keyboard_tab Data Act 2023/2854 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Articolul 2 efiniții
- 1 Articolul 4 Drepturile și obligațiile utilizatorilor și ale deținătorilor de date cu privire la accesul, utilizarea și punerea la dispoziție a datelor referitoare la produs și a datelor referitoare la un serviciu conex
- 1 Articolul 6 Obligațiile terților care primesc date la cererea utilizatorului
- 1 Articolul 23 Eliminarea obstacolelor din calea trecerii la alt furnizor
- 5 Articolul 25 Clauze contractuale referitoare la trecerea la alt furnizor
- 1 Articolul 29 Eliminarea treptată a taxelor de trecere la alt furnizor
- 1 Articolul 30 Aspecte tehnice ale trecerii la alt furnizor
- 1 Articolul 35 Interoperabilitatea serviciilor de prelucrare a datelor
- 1 Articolul 37 Autoritățile competente și coordonatorii de date
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
PARTAJAREA DE DATE ÎNTRE ÎNTREPRINDERI ȘI CONSUMATORI ȘI ÎNTRE ÎNTREPRINDERI
CAPITOLUL III
OBLIGAȚIILE DEȚINĂTORILOR DE DATE CARE AU OBLIGAȚIA DE A PUNE DATE LA DISPOZIȚIE ÎN TEMEIUL DREPTULUI UNIUNII
CAPITOLUL IV
CLAUZELE CONTRACTUALE ABUZIVE REFERITOARE LA ACCESAREA ȘI UTILIZAREA DE DATE ÎNTRE ÎNTREPRINDERI
CAPITOLUL V
PUNEREA DE DATE LA DISPOZIȚIA ORGANISMELOR DIN SECTORUL PUBLIC, A COMISIEI, A BĂNCII CENTRALE EUROPENE ȘI A ORGANELOR UNIUNII PE BAZA UNEI NEVOI EXCEPȚIONALE
CAPITOLUL VI
TRECEREA DE LA UN SERVICIU DE PRELUCRARE A DATELOR LA ALTUL
CAPITOLUL VII
ACCESUL ADMINISTRAȚIILOR PUBLICE LA DATELE FĂRĂ CARACTER PERSONAL ȘI TRANSFERUL ACESTORA LA NIVEL INTERNAȚIONAL
CAPITOLUL VIII
INTEROPERABILITATE
CAPITOLUL IX
PUNEREA ÎN APLICARE ȘI ASIGURAREA RESPECTĂRII REGULAMENTULUI
CAPITOLUL X
DREPTUL SUI GENERIS PREVĂZUT ÎN DIRECTIVA 96/9/CE
CAPITOLUL XI
DISPOZIȚII FINALE
- care 161
- datelor 123
- date 89
- prelucrare 81
- pentru 72
- servicii 63
- este 58
- consiliului 51
- furnizor 47
- privind 47
- european 44
- înseamnă 43
- articolul 42
- parlamentului 42
- unui 42
- prin 36
- alineatul 36
- jo l 35
- serviciu 34
- datele 33
- regulament 32
- temeiul 30
- cazul 30
- conformitate 29
- prezentului 28
- trecere 26
- inclusiv 25
- astfel 25
- ue / 25
- prezentul 24
- uniunii 24
- competente 23
- unei 23
- către 22
- serviciilor 21
- comerciale 21
- conectat 20
- sunt 20
- după 19
- poate 19
- caracter 19
- nr / 19
- dispoziție 19
- dreptul 18
- aplicare 18
- fără 17
- menționate 17
- utilizarea 17
- digitale 17
- privire 17
Articolul 2
efiniții
În sensul prezentului regulament, se aplică următoarele definiții:
| 1. | „date” înseamnă orice reprezentare digitală a unor acte, fapte sau informații și orice compilație a unor astfel de acte, fapte sau informații, inclusiv sub forma unei înregistrări audio, video sau audiovizuale; |
| 2. | „metadate” înseamnă o descriere structurată a conținutului sau a utilizării datelor care facilitează descoperirea sau utilizarea acestor date; |
| 3. | „date cu caracter personal” înseamnă date cu caracter personal astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679; |
| 4. | „date fără caracter personal” înseamnă alte date decât datele cu caracter personal; |
| 5. | „produs conectat” înseamnă un bun care obține, generează sau colectează date privind utilizarea sau mediul său, care are capacitatea de a comunica date referitoare la produs prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat și a cărui funcție principală nu este stocarea, prelucrarea sau transmiterea datelor în numele altor părți decât utilizatorul; |
| 6. | „serviciu conex” înseamnă un serviciu digital, altul decât un serviciu de comunicații electronice, inclusiv un software, care este conectat la produs la momentul achiziționării, al închirierii sau al leasingului astfel încât absența sa ar împiedica produsul conectat să îndeplinească una sau mai multe dintre funcțiile sale, sau care este ulterior conectat la produs de către fabricant sau de către un terț pentru a suplimenta, actualiza sau adapta funcțiile produsului conectat; |
| 7. | „prelucrare” înseamnă orice operațiune sau serie de operațiuni efectuate asupra datelor sau a seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea; |
| 8. | „serviciu de prelucrare a datelor” înseamnă un serviciu digital care este furnizat unui client și care permite accesul ubicuu și la cerere în rețea la un bazin comun configurabil, scalabil și elastic de resurse informatice cu un caracter centralizat, distribuit sau foarte distribuit care pot fi rapid mobilizate și eliberate cu un efort minim de administrare sau de interacțiune cu furnizorul de servicii; |
| 9. | „același tip de serviciu” înseamnă un set de servicii de prelucrare a datelor care au în comun același obiectiv principal, același model de serviciu de prelucrare a datelor și funcționalitățile principale; |
| 10. | „serviciu de intermediere de date” înseamnă un serviciu de intermediere de date astfel cum este definit la articolul 2 punctul 11 din Regulamentul (UE) 2022/868; |
| 11. | „persoană vizată” înseamnă persoană vizată astfel cum se menționează la articolul 4 punctul 1 din Regulamentul (UE) 2016/679; |
| 12. | „utilizator” înseamnă o persoană fizică sau juridică care deține un produs conectat sau căreia i-au fost transferate prin contract drepturi temporare de utilizare a produsului conectat respectiv sau care primește servicii conexe; |
| 13. | „deținător de date” înseamnă o persoană fizică sau juridică care, în conformitate cu prezentul regulament, cu dreptul aplicabil al Uniunii sau cu legislația națională adoptată în conformitate cu dreptul Uniunii, are dreptul sau obligația de a utiliza și de a pune la dispoziție date, inclusiv, dacă s-a convenit prin contract, date referitoare la produs sau date referitoare la un serviciu conex pe care le-a extras sau pe care le-a generat în timpul furnizării unui serviciu conex; |
| 14. | „destinatarul datelor” înseamnă o persoană fizică sau juridică acționând în scopuri legate de activitatea sa comercială, economică, meșteșugărească sau profesională, care este diferită de utilizatorul unui produs conectat sau al unui serviciu conex, putând fi și un terț, și căreia deținătorul de date îi pune la dispoziție date în urma unei cereri primite de la utilizator sau în conformitate cu o obligație juridică prevăzută în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii; |
| 15. | „date referitoare la produs” înseamnă date generate prin utilizarea unui produs conectat pe care fabricantul le-a proiectat astfel încât să poată fi extrase, prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat, de către un utilizator, un deținător de date sau un terț, inclusiv, după caz, de către fabricant; |
| 16. | „date referitoare la serviciul conex” înseamnă date care reprezintă digitizarea acțiunilor și evenimentelor utilizatorilor legate de produsul conectat, înregistrate în mod intenționat de utilizator sau generate ca produs secundar al acțiunii utilizatorului în timpul furnizării unui serviciu conex de către furnizor; |
| 17. | „date ușor accesibile” înseamnă datele referitoare la un produs și datele referitoare la un serviciu conex pe care un deținător de date le obține sau le poate obține în mod legal de la produsul conectat sau de la serviciul conex, fără a fi nevoie de un efort disproporționat care să depășească cadrul unei simple operații; |
| 18. | „secret comercial” înseamnă un secret comercial astfel cum este definit la articolul 2 punctul 1 din Directiva (UE) 2016/943; |
| 19. | „deținătorul secretului comercial” înseamnă un deținător al secretului comercial astfel cum este definit la articolul 2 punctul 2 din Directiva (UE) 2016/943; |
| 20. | „creare de profiluri” înseamnă creare de profiluri astfel cum este definită la articolul 4 punctul 4 din Regulamentul (UE) 2016/679; |
| 21. | „punere la dispoziție pe piață” înseamnă orice furnizare a unui produs conectat pentru distribuție, consum sau utilizare pe piața Uniunii în cursul unei activități comerciale, contra cost sau gratuit; |
| 22. | „introducere pe piață” înseamnă punerea la dispoziție pentru prima oară a unui produs conectat pe piața Uniunii; |
| 23. | „consumator” înseamnă orice persoană fizică ce acționează în scopuri care nu se încadrează în activitatea sa comercială, economică, meșteșugărească sau profesională; |
| 24. | „întreprindere” înseamnă o persoană fizică sau juridică care acționează, în cadrul contractelor și practicilor care intră în domeniul de aplicare al prezentului regulament, în scopuri care au legătură cu activitatea sa comercială, economică, meșteșugărească sau profesională; |
| 25. | „întreprindere mică” înseamnă o întreprindere mică astfel cum este definită la articolul 2 alineatul (2) din anexa la Recomandarea 2003/361/CE; |
| 26. | „microîntreprindere” înseamnă o microîntreprindere astfel cum este definită la articolul 2 alineatul (3) din Recomandarea 2003/361/CE; |
| 27. | „organe ale Uniunii” înseamnă organele, oficiile și agențiile Uniunii instituite prin sau în temeiul unor acte adoptate în temeiul Tratatului privind Uniunea Europeană, a TFUE sau a Tratatului de instituire a Comunității Europene a Energiei Atomice; |
| 28. | „organism din sectorul public” înseamnă autoritățile naționale, regionale sau locale ale statelor membre și organismele de drept public ale statelor membre sau asociațiile formate din una sau mai multe astfel de autorități ori din unul sau mai multe astfel de organisme; |
| 29. | „situație de urgență” înseamnă o situație excepțională, limitată în timp, cum ar fi o situație de urgență de sănătate publică, o situație de urgență cauzată de dezastre naturale, un dezastru antropic major, inclusiv un incident major de securitate cibernetică, care are efecte negative asupra populației Uniunii, asupra unui stat membru sau asupra unei părți ale unui stat membru, cu un risc de repercusiuni grave și de durată asupra condițiilor de viață sau a stabilității economice, a stabilității financiare ori de degradare substanțială și imediată a activelor economice din Uniune ori din statul membru relevant, și care este stabilită sau declarată în mod oficial în conformitate cu procedurile relevante în temeiul dreptului Uniunii sau al dreptului intern; |
| 30. | „client” înseamnă o persoană fizică sau juridică care a intrat într-o relație contractuală cu un furnizor de servicii de prelucrare a datelor cu scopul de a utiliza unul sau mai multe servicii de prelucrare a datelor; |
| 31. | „asistenți virtuali” înseamnă un software care poate prelucra cereri, sarcini sau întrebări, inclusiv cele exprimate în formă audio, prin text, prin gesturi sau prin mișcări, și care, pe baza respectivelor cereri, sarcini sau întrebări, oferă acces la alte servicii sau controlează funcțiile produselor conectate; |
| 32. | „active digitale” înseamnă elemente în format digital, inclusiv aplicații, asupra cărora clientul are drept de utilizare, indiferent de relația contractuală cu serviciul de prelucrare a datelor pe care intenționează să îl schimbe; |
| 33. | „infrastructura TIC locală” înseamnă o infrastructură TIC și resurse informatice deținute, închiriate sau utilizate în sistem de leasing de client, situate în centrul de date al clientului și exploatate de client sau de un terț; |
| 34. | „trecere la alt furnizor” înseamnă procesul care implică un furnizor de servicii de prelucrare a datelor de origine, un client al unui serviciu de prelucrare a datelor și, după caz, un furnizor de servicii de prelucrare a datelor de destinație, prin care clientul unui serviciu de prelucrare a datelor trece de la utilizarea unui serviciu de prelucrare a datelor la utilizarea unui alt serviciu de prelucrare a datelor, care este același tip de serviciu, sau la alt serviciu, oferit de un furnizor diferit de servicii de prelucrare a datelor, sau la o infrastructură TIC locală, inclusiv prin extragerea, transformarea și încărcarea datelor; |
| 35. | „taxe pentru ieșirea datelor prin transfer” înseamnă taxele de transfer de date percepute clienților pentru extragerea datelor lor prin intermediul rețelei din infrastructura TIC a unui furnizor de servicii de prelucrare a datelor către sistemul unui furnizor diferit sau către o infrastructură TIC locală; |
| 36. | „taxe de trecere la alt furnizor” înseamnă taxe, altele decât taxele standard pentru servicii sau penalitățile pentru reziliere anticipată, impuse de un furnizor de servicii de prelucrare a datelor unui client pentru acțiunile prevăzute de prezentul regulament pentru trecerea la sistemul unui furnizor diferit sau la infrastructura TIC locală, inclusiv taxele pentru ieșirea datelor prin transfer; |
| 37. | „echivalență funcțională” înseamnă restabilirea, pe baza datelor exportabile și a activelor digitale ale clientului, a unui nivel minim de funcționalitate în mediul unui nou serviciu de prelucrare a datelor, care este același tip de serviciu, după procesul de trecere la alt furnizor, în situația în care serviciul de prelucrare a datelor de destinație produce rezultate realmente comparabile ca răspuns la aceleași date de intrare pentru caracteristicile partajate furnizate clientului în temeiul contractului; |
| 38. | „date exportabile”, în sensul articolelor 23-31 și al articolului 35, înseamnă datele de intrare și de ieșire, inclusiv metadatele, generate direct sau indirect sau cogenerate, prin utilizarea de către client a serviciului de prelucrare a datelor, cu excepția oricăror active sau date protejate de drepturi de proprietate intelectuală, sau care constituie secrete comerciale, ale furnizorilor de servicii de prelucrare a datelor sau ale terților; |
| 39. | „contract inteligent” înseamnă un program pentru calculator utilizat pentru executarea automată a unui contract sau a unei părți a acestuia, utilizând o secvență de înregistrări electronice de date și asigurând integritatea și acuratețea ordonării lor cronologice; |
| 40. | „interoperabilitate” înseamnă capacitatea a două sau mai multe spații de date sau rețele de comunicații, sisteme, produse conectate, aplicații, servicii de prelucrare a datelor sau componente de a schimba și de a utiliza date în vederea îndeplinirii funcțiilor lor; |
| 41. | „specificație deschisă de interoperabilitate” înseamnă o specificație tehnică în domeniul tehnologiilor informației și comunicațiilor care este orientată spre performanța realizării interoperabilității între serviciile de prelucrare a datelor; |
| 42. | „specificații comune” înseamnă un document, diferit de un standard, ce conține soluții tehnice care oferă un mijloc de respectare a anumitor cerințe și obligații stabilite în prezentul regulament; |
| 43. | „standard armonizat” înseamnă un standard armonizat astfel cum este definit la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012. |
CAPITOLUL II
PARTAJAREA DE DATE ÎNTRE ÎNTREPRINDERI ȘI CONSUMATORI ȘI ÎNTRE ÎNTREPRINDERI
Articolul 4
Drepturile și obligațiile utilizatorilor și ale deținătorilor de date cu privire la accesul, utilizarea și punerea la dispoziție a datelor referitoare la produs și a datelor referitoare la un serviciu conex
(1) În cazul în care datele nu pot fi accesate direct de către utilizator din produsul conectat sau din serviciul conex, deținătorii de date pun la dispoziția utilizatorului date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, fără întârzieri nejustificate, de aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, gratuit, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Această punere la dispoziție se realizează pe baza unei simple cereri introduse prin mijloace electronice, în cazul în care acest lucru este fezabil din punct de vedere tehnic.
(2) Utilizatorii și deținătorii de date pot conveni prin contract să restricționeze sau să interzică accesul, utilizarea sau partajarea ulterioară a datelor, în cazul în care o astfel de prelucrare ar putea submina cerințele de securitate ale produsului conectat, astfel cum sunt prevăzute de dreptul Uniunii sau de dreptul intern, având ca rezultat un efect negativ grav asupra sănătății, siguranței sau securității persoanelor fizice. Autoritățile sectoriale pot furniza utilizatorilor și deținătorilor de date expertiză tehnică în acest context. În cazul în care deținătorul de date refuză să partajeze date în temeiul prezentului articol, acesta notifică acest lucru autorității competente desemnate în temeiul articolului 37.
(3) Fără a aduce atingere dreptului utilizatorului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal dintr-un stat membru, utilizatorul poate, în legătură cu orice litigiu cu deținătorul datelor referitor la restricțiile sau interdicțiile contractuale menționate la alineatul (2):
| (a) | să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă; sau |
| (b) | să convină cu deținătorul de date să sesizeze un organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1). |
(4) Deținătorii de date nu îngreunează în mod nejustificat exercitarea de către utilizator a alegerilor sau a drepturilor sale în temeiul prezentului articol, inclusiv prin oferirea de opțiuni utilizatorului într-un mod care nu este neutru sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a opțiunilor utilizatorului prin structura, proiectarea, funcția sau modul de operare a unei interfețe digitale cu utilizatorul sau a unei părți a acesteia.
(5) Cu scopul de a verifica dacă o persoană fizică sau juridică se califică drept utilizator în înțelesul alineatului (1), un deținător de date nu solicită respectivei persoane să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu păstrează nicio informație, în special date de înregistrare, privind accesul utilizatorului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a utilizatorului și pentru securitatea și întreținerea infrastructurii de date.
(6) Secretele comerciale sunt protejate și se divulgă numai dacă deținătorul de date și utilizatorul iau toate măsurile necesare înainte de divulgare pentru păstrarea confidențialității acestora, în special în ceea ce privește terții. Deținătorul de date, sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial, identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu utilizatorul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, în special în ceea ce privește terții, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.
(7) În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (6) sau în cazul în care utilizatorul nu pune în aplicare măsurile convenite în temeiul alineatului (6) sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris utilizatorului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt sau a suspendat partajarea datelor și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.
(8) În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de utilizator în temeiul alineatului (6) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate și unicitatea și noutatea produsului conectat, și se furnizează în scris utilizatorului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.
(9) Fără a aduce atingere dreptului unui utilizator de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un utilizator care dorește să conteste decizia unui deținător de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatele (7) și (8) poate:
| (a) | să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă, care decide, fără întârzieri nejustificate, dacă și în ce condiții urmează să înceapă sau să se reia partajarea de date; sau |
| (b) | să convină cu deținătorul de date în vederea sesizării unui organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1). |
(10) Utilizatorul nu poate să utilizeze datele obținute în urma unei cereri menționate la alineatul (1) pentru dezvoltarea unui produs conectat care concurează direct cu produsul conectat de la care provin datele și nici nu poate partaja datele cu un terț în acest scop și nici nu utilizează aceste date pentru a obține informații despre situația economică, activele și metodele de producție ale fabricantului, sau după caz, ale deținătorului de date.
(11) Utilizatorul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a deținătorului de date care este destinată să protejeze datele.
(12) În cazul în care utilizatorul nu este persoana vizată ale cărei date personale sunt cerute, eventualele date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex se pun la dispoziția utilizatorului de către deținătorul datelor numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.
(13) Un deținător de date poate să utilizeze orice date ușor accesibile care nu sunt date fără caracter personal numai pe baza unui contract cu utilizatorul. Un deținător de date nu poate să utilizeze astfel de date pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale utilizatorului ori cu utilizarea de către utilizator în orice alt mod care ar putea submina poziția comercială a utilizatorului respectiv pe piețele pe care acesta își desfășoară activitatea.
(14) Deținătorii de date nu pun la dispoziția terților date fără caracter personal în scopuri comerciale sau necomerciale, altele decât îndeplinirea contractului lor cu utilizatorul. Dacă este cazul, deținătorii de date obligă terții să nu partajeze ulterior datele primite de la aceștia prin contract.
Articolul 6
Obligațiile terților care primesc date la cererea utilizatorului
(1) Un terț prelucrează datele care îi sunt puse la dispoziție în temeiul articolului 5 numai în scopurile și în condițiile convenite cu utilizatorul și sub rezerva dreptului Uniunii și a dreptului intern privind protecția datelor cu caracter personal, inclusiv a drepturilor persoanei vizate în ceea ce privește datele cu caracter personal. Terțul șterge datele când acestea nu mai sunt necesare pentru scopul convenit, cu excepția cazului în care s-a convenit altfel cu utilizatorul cu privire la datele fără caracter personal.
(2) Terțul nu poate:
| (a) | să îngreuneze excesiv exercitarea posibilității de alegere sau a drepturilor utilizatorului, inclusiv de exemplu prin oferirea de posibilități de alegere utilizatorului într-un mod care nu este neutru sau prin constrângerea, înșelarea sau manipularea acestuia, sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a opțiunilor utilizatorului, inclusiv prin intermediul unei interfețe digitale cu utilizatorul sau al unei părți a acesteia; |
| (b) | în pofida articolului 22 alineatul (2) literele (a) și (c) din Regulamentul (UE) 2016/679, să utilizeze datele pe care le primește pentru crearea de profiluri, cu excepția cazului în care acest lucru este necesar pentru furnizarea serviciul solicitat de utilizator; |
| (c) | să pună datele pe care le primește la dispoziția unui alt terț, cu excepția cazului în care datele sunt puse la dispoziție în temeiul unui contract cu utilizatorul și cu condiția ca celălalt terț să ia toate măsurile necesare convenite între deținătorul datelor și terț pentru a păstra confidențialitatea secretelor comerciale; |
| (d) | să pună datele pe care le primește la dispoziția unei întreprinderi desemnate drept controlor de acces în temeiul articolului 3 din Regulamentul (UE) 2022/1925; |
| (e) | să utilizeze datele pe care le primește pentru dezvoltarea unui produs care concurează cu produsul conectat din care provin datele accesate sau să partajeze datele cu alt terț în scopul respectiv; de asemenea, terții nu pot să utilizeze niciun fel de date fără caracter personal referitoare la produs sau date referitoare la serviciul conex care le sunt puse la dispoziție pentru a obține informații cu privire la situația economică, activele și metodele de producție ale deținătorului de date sau cu privire la utilizarea de către acesta; |
| (f) | să folosească datele pe care le primește într-un mod care să aibă un impact negativ asupra securității produsului conectat sau asupra serviciului conex; |
| (g) | să ignore măsurile specifice pe care le-a convenit cu un deținător de date sau cu deținătorul de secrete comerciale în temeiul articolului 5 alineatul (9) și să încalce confidențialitatea secretelor comerciale; |
| (h) | să împiedice utilizatorul care este un consumator, inclusiv în temeiul unui contract, să pună datele pe care le primește la dispoziția altor părți. |
Articolul 23
Eliminarea obstacolelor din calea trecerii la alt furnizor
Furnizorii de servicii de prelucrare a datelor iau măsurile prevăzute la articolele 25, 26, 27, 29 și 30 pentru a le permite clienților să treacă la un serviciu de prelucrare a datelor, care acoperă același tip de serviciu și care este furnizat de alt furnizor de servicii de prelucrare a datelor, sau la o infrastructură TIC locală, sau, dacă este cazul, să utilizeze mai mulți furnizori de servicii de prelucrare a datelor în același timp. În special, furnizorii de servicii de prelucrare a datelor nu impun și elimină obstacolele precomerciale, comerciale, tehnice, contractuale și organizatorice care nu le permit clienților:
| (a) | să rezilieze, după încheierea perioadei maxime de preaviz și după finalizarea cu succes a procesului de trecere la alt furnizor, în conformitate cu articolul 25, contractul având ca obiect serviciul de prelucrare a datelor; |
| (b) | să încheie noi contracte cu un furnizor diferit de servicii de prelucrare a datelor care acoperă același tip de serviciu; |
| (c) | să își porteze datele exportabile ce le aparțin în calitate de clienți și activele digitale către un furnizor diferit de servicii de prelucrare a datelor sau către o infrastructură TIC locală, inclusiv după ce au beneficiat de o ofertă vizând un nivel de servicii gratuit; |
| (d) | în conformitate cu articolul 24, să obțină echivalența funcțională în utilizarea noului serviciu de prelucrare a datelor în mediul informatic al unui furnizor diferit de servicii de prelucrare a datelor care acoperă același tip de serviciu; |
| (e) | să obțină segregarea, acolo unde este fezabil din punct de vedere tehnic, a serviciilor de prelucrare a datelor menționate la articolul 30 alineatul (1) de alte servicii de prelucrare a datelor furnizate de furnizorul de servicii de prelucrare a datelor. |
Articolul 25
Clauze contractuale referitoare la trecerea la alt furnizor
(1) Drepturile clientului și obligațiile furnizorului de servicii de prelucrare a datelor în ceea ce privește trecerea la alt furnizor de astfel de servicii sau, dacă este cazul, la o infrastructură TIC locală se stabilesc în mod clar într-un contract scris. Furnizorul de servicii de prelucrare a datelor pune contractul la dispoziția clientului înainte de semnarea contractului, într-un mod care permite clientului să stocheze contractul și să îl reproducă.
(2) Fără a aduce atingere Directivei (UE) 2019/770, contractul menționat la alineatul (1) de la prezentul articol include cel puțin următoarele:
| (a) | clauze care îi permit clientului, la cerere, să treacă la un serviciu de prelucrare a datelor oferit de un furnizor diferit de servicii de prelucrare a datelor sau să porteze toate datele exportabile și activele digitale către o infrastructură TIC locală, fără întârzieri nejustificate, și, în orice caz, nu mai târziu de o perioadă de tranziție maximă obligatorie de 30 de zile calendaristice, care începe să curgă după încheierea perioadei maxime de preaviz menționate la litera (d), în cursul căreia contractul de servicii rămâne aplicabil iar furnizorul de servicii de prelucrare a datelor:
|
| (b) | obligația furnizorului de servicii de prelucrare a datelor de a sprijini strategia de ieșire a clientului relevantă pentru serviciile contractate, inclusiv prin furnizarea tuturor informațiilor pertinente; |
| (c) | o clauză care precizează că, în oricare dintre următoarele situații, contractul este considerat reziliat, iar clientul este informat cu privire la această reziliere:
|
| (d) | o perioadă maximă de preaviz pentru demararea procesului de trecere la alt furnizor, care nu trebuie să depășească două luni; |
| (e) | o listă exhaustivă a tuturor categoriilor de date și active digitale care pot fi portate în cursul procesului de trecere la alt furnizor, inclusiv, ca cerință minimă, toate datele exportabile; |
| (f) | o listă exhaustivă a categoriilor de date specifice funcționării interne a serviciului de prelucrare a datelor prestat de furnizor care urmează să fie exceptate de la includerea în categoria datelor exportabile în temeiul literei (e) de la prezentul alineat atunci când există un risc de încălcare a secretelor comerciale ale furnizorului, cu condiția ca astfel de exceptări să nu împiedice sau să nu întârzie procesul de trecere la alt furnizor prevăzut la articolul 23; |
| (g) | o perioadă minimă de extragere a datelor de cel puțin 30 de zile calendaristice, care începe să curgă după încheierea perioadei de tranziție convenite între client și furnizorul de servicii de prelucrare a datelor, în conformitate cu litera (a) de la prezentul alineat și cu alineatul (4); |
| (h) | o clauză care să garanteze ștergerea completă a tuturor datelor exportabile și a activelor digitale generate direct de client sau care au legătură directă cu clientul, după expirarea perioadei de extragere menționate la litera (g) sau după expirarea unei alte perioade convenite și care survine la o dată ulterioară datei de expirare a perioadei de extragere menționate la litera (g), cu condiția ca procesul de trecere la alt furnizor să fi fost finalizat cu succes; |
| (i) | taxele de trecere la alt furnizor care pot fi impuse de furnizorii de servicii de prelucrare a datelor în conformitate cu articolul 29. |
(3) Contractul menționat la alineatul (1) include clauze care prevăd că clientul dispune de posibilitatea de a notifica furnizorului de servicii de prelucrare a datelor decizia sa de a efectua una sau mai multe dintre următoarele acțiuni după încheierea perioadei maxime de preaviz menționate la alineatul (2) litera (d):
| (a) | trecerea la un furnizor diferit de servicii de prelucrare a datelor, caz în care clientul furnizează informațiile necesare cu privire la furnizorul respectiv; |
| (b) | trecerea la o infrastructură TIC locală; |
| (c) | ștergerea datelor exportabile și a activelor digitale ce îi aparțin. |
(4) În cazul în care perioada de tranziție maximă obligatorie, astfel cum este prevăzută la alineatul (2) litera (a), nu poate fi asigurată din motive tehnice, furnizorul de servicii de prelucrare a datelor informează clientul în termen de 14 zile lucrătoare de la depunerea cererii de trecere la alt furnizor, justifică în mod corespunzător incapacitatea tehnică și indică o perioadă de tranziție alternativă, care nu poate depăși șapte luni. În conformitate cu alineatul (1), se asigură continuitatea serviciului pe toată perioada de tranziție alternativă.
(5) Fără a se aduce atingere alineatului (4), contractul menționat la alineatul (1) include clauze care conferă clientului dreptul de a prelungi perioada de tranziție, o singură dată, cu o perioadă pe care clientul o consideră mai adaptată propriilor sale scopuri.
Articolul 29
Eliminarea treptată a taxelor de trecere la alt furnizor
(1) Începând cu 12 ianuarie 2027, furnizorii de servicii de prelucrare a datelor nu impun clientului, pentru procesul de trecere la alt furnizor, niciun fel de taxe de trecere la alt furnizor.
(2) De la 11 ianuarie 2024 până la 12 ianuarie 2027, furnizorii de servicii de prelucrare a datelor pot să impună clientului, pentru procesul de trecere la alt furnizor, taxe reduse de trecere la alt furnizor.
(3) Taxele reduse de trecere la alt furnizor menționate la alineatul (2) nu pot depăși costurile pe care le suportă furnizorul de servicii de prelucrare a datelor și care sunt direct legate de procesul în cauză de trecere la alt furnizor.
(4) Înainte de a încheia un contract cu un client, furnizorii de servicii de prelucrare a datelor pun la dispoziția clientului potențial informații clare cu privire la taxele standard pentru furnizarea serviciilor și la penalizările pentru reziliere anticipată care ar putea fi impuse, precum și cu privire la taxele reduse de trecere la alt furnizor, care ar putea fi impuse în intervalul de timp menționat la alineatul (2).
(5) Unde este cazul, furnizorii de servicii de prelucrare a datelor pun la dispoziția clientului informații cu privire la serviciile de prelucrare a datelor care implică o mare complexitate sau costuri ridicate în caz de trecere la alt furnizor ori pentru care este imposibil să se treacă la alt furnizor fără intervenții semnificative asupra arhitecturii datelor, activelor digitale sau serviciilor.
(6) Unde este cazul, furnizorii de servicii de prelucrare a datelor pun informațiile menționate la alineatele (4) și (5) la dispoziția clienților într-o secțiune a site-ului lor web rezervată acestui scop sau prin orice alt mod ușor accesibil.
(7) Comisia este împuternicită să adopte, în conformitate cu articolul 45, acte delegate de completare a prezentului regulament în vederea instituirii unui mecanism de monitorizare prin care Comisia să monitorizeze taxele de trecere la alt furnizor impuse de furnizorii de servicii de prelucrare a datelor de pe piață, pentru a se asigura că eliminarea și reducerea taxelor de trecere la alt furnizor, în temeiul alineatelor (1) și (2) de la prezentul articol, se realizează în termenele stabilite la alineatele respective.
Articolul 30
Aspecte tehnice ale trecerii la alt furnizor
(1) Furnizorii de servicii de prelucrare a datelor care vizează resurse informatice scalabile și elastice care se limitează la elemente de infrastructură, cum ar fi serverele, rețelele și resursele virtuale necesare pentru exploatarea infrastructurii, dar care nu oferă acces la serviciile, software-urile și aplicațiile de operare care sunt stocate, prelucrate în alt mod sau instalate pe respectivele elemente de infrastructură, iau toate măsurile rezonabile posibile, în conformitate cu articolul 27, pentru a ajuta clientul, după ce acesta trece la un serviciu care acoperă același tip de serviciu, să obțină echivalența funcțională în utilizarea serviciului de prelucrare a datelor de destinație. Furnizorul de servicii de prelucrare a datelor de origine facilitează procesul de trecere la alt furnizor punând la dispoziție capacități, informații adecvate, documentație, asistență tehnică și, după caz, instrumentele necesare.
(2) Furnizorii de servicii de prelucrare a datelor, alții decât cei menționați la alineatul (1), pun interfețe deschise la dispoziția tuturor clienților lor și a furnizorilor de servicii de destinație, în mod egal și gratuit, pentru a facilita procesul de trecere la alt furnizor. Respectivele interfețe includ informații suficiente cu privire la serviciul în cauză pentru a permite dezvoltarea de software-uri care să facă posibilă comunicarea cu serviciile, în scopul portabilității datelor și al interoperabilității.
(3) În cazul unor servicii de prelucrare a datelor diferite de cele menționate la alineatul (1) de la prezentul articol, furnizorii de servicii de prelucrare a datelor asigură compatibilitatea cu specificațiile comune bazate pe specificații deschise de interoperabilitate sau cu standardele armonizate de interoperabilitate, pentru o perioadă de cel puțin 12 luni după publicarea trimiterilor la respectivele specificații comune sau standarde armonizate pentru interoperabilitatea serviciilor de prelucrare a datelor în registrul central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor, ce urmează publicării actelor de punere în aplicare subiacente în Jurnalul Oficial al Uniunii Europene în conformitate cu articolul 35 alineatul (8).
(4) Furnizorii de servicii de prelucrare a datelor, alții decât cei menționați la alineatul (1) de la prezentul articol, actualizează registrul online menționat la articolul 26 litera (b) în conformitate cu obligațiile care le revin în temeiul alineatului (3) de la prezentul articol.
(5) În cazul trecerii de la un serviciu la un altul de același tip, pentru care specificațiile comune sau standardele armonizate pentru interoperabilitate menționate la alineatul (3) de la prezentul articol nu au fost publicate în registrul central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor în conformitate cu articolul 35 alineatul (8), furnizorul serviciilor de prelucrare a datelor exportă, la cererea clientului, toate datele exportabile într-un format structurat, utilizat în mod curent și care poate fi citit automat.
(6) Furnizorii de servicii de prelucrare a datelor nu sunt obligați să dezvolte noi tehnologii sau servicii, sau să comunice sau să transfere active digitale protejate de drepturi de proprietate intelectuală sau care constituie secrete comerciale către un client sau către un furnizor diferit de servicii de prelucrare a datelor ori să compromită securitatea și integritatea serviciului clientului sau furnizorului.
Articolul 35
Interoperabilitatea serviciilor de prelucrare a datelor
(1) Specificațiile deschise de interoperabilitate și standardele europene armonizate de interoperabilitate a serviciilor de prelucrare a datelor trebuie:
| (a) | să realizeze, când este fezabil din punct de vedere tehnic, interoperabilitatea între diferite servicii de prelucrare a datelor care acoperă același tip de serviciu; |
| (b) | să îmbunătățească portabilitatea activelor digitale între diferite servicii de prelucrare a datelor care acoperă același tip de serviciu; |
| (c) | să faciliteze, când este fezabil din punct de vedere tehnic, echivalența funcțională între diferitele servicii de prelucrare a datelor menționate la articolul 30 alineatul (1) care acoperă același tip de serviciu; |
| (d) | să nu aibă un impact negativ asupra securității și integrității datelor și a serviciilor de prelucrare a datelor; |
| (e) | să fie proiectate astfel încât să permită progresele tehnice și includerea de noi funcții și inovații în domeniul serviciilor de prelucrare a datelor. |
(2) Specificațiile deschise de interoperabilitate și standardele armonizate de interoperabilitate a serviciilor de prelucrare a datelor abordează în mod adecvat:
| (a) | aspectele de interoperabilitate în cloud, și anume interoperabilitatea transporturilor, interoperabilitatea sintactică, interoperabilitatea datelor semantice, interoperabilitatea comportamentală și interoperabilitatea politicilor; |
| (b) | aspectele de portabilitate a datelor în cloud, și anume portabilitatea sintactică a datelor, portabilitatea semantică a datelor și portabilitatea politicilor de date; |
| (c) | aspectele de aplicații în cloud, și anume portabilitatea sintactică a aplicațiilor, portabilitatea instrucțiunilor aplicațiilor, portabilitatea metadatelor aplicațiilor, portabilitatea comportamentului aplicațiilor și portabilitatea politicilor de aplicații. |
(3) Specificațiile deschise de interoperabilitate respectă anexa II la Regulamentul (UE) nr. 1025/2012.
(4) După ce ia în considerare standardele internaționale și europene relevante și inițiativele de autoreglementare, Comisia poate, în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, să solicite uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatele (1) și (2) de la prezentul articol.
(5) Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune bazate pe specificații deschise de interoperabilitate care să acopere toate cerințele esențiale prevăzute la alineatele (1) și (2).
(6) Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (5) de la prezentul articol, Comisia ține seama de opiniile autorităților competente relevante menționate la articolul 37 alineatul (5) litera (h) și de cele ale altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.
(7) În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatele (1) și (2), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.
(8) În sensul articolului 30 alineatul (3), Comisia publică, prin intermediul unor acte de punere în aplicare, trimiterile la standardele armonizate și specificațiile comune pentru interoperabilitatea serviciilor de prelucrare a datelor într-un registru central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor.
(9) Actele de punere în aplicare menționate în prezentul articol se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).
Articolul 37
Autoritățile competente și coordonatorii de date
(1) Fiecare stat membru desemnează una sau mai multe autorități competente care sunt responsabile cu aplicarea și asigurarea respectării prezentului regulament (denumite în continuare „autoritățile competente”). Statele membre pot să înființeze una sau mai multe autorități noi sau să se bazeze pe autorități existente.
(2) În cazul în care un stat membru desemnează mai multe autorități competente, acesta desemnează un coordonator de date ales dintre ele pentru a facilita cooperarea între autoritățile competente și pentru a sprijini entitățile care intră în domeniul de aplicare al prezentului regulament cu privire la toate aspectele legate de aplicarea și asigurarea respectării acestuia. Autoritățile competente cooperează între ele în exercitarea sarcinilor și competențelor care le-au fost atribuite în temeiul alineatului (5).
(3) Autoritățile de supraveghere care sunt responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 sunt responsabile cu monitorizarea aplicării prezentului regulament în ceea ce privește protecția datelor cu caracter personal. Se aplică, mutatis mutandis, capitolele VI și VII din Regulamentul (UE) 2016/679.
Autoritatea Europeană pentru Protecția Datelor este responsabilă cu monitorizarea aplicării prezentului regulament pentru aspectele care privesc Comisia, Banca Centrală Europeană și organele Uniunii. Acolo unde este cazul, se aplică, mutatis mutandis, articolul 62 din Regulamentul (UE) 2018/1725.
Sarcinile și competențele autorităților de supraveghere menționate în prezentul alineat se exercită în ceea ce privește prelucrarea datelor cu caracter personal.
(4) Fără a aduce atingere alineatului (1) de la prezentul articol:
| (a) | în ceea ce privește aspectele sectoriale specifice ale accesului la date și utilizării acestora care au legătură cu aplicarea prezentului regulament, se respectă competența autorităților sectoriale; |
| (b) | autoritatea competentă responsabilă cu aplicarea și asigurarea respectării articolelor 23-31, 34 și 35 dispune de experiență în domeniul serviciilor de date și de comunicații electronice. |
(5) Statele membre se asigură că sarcinile și competențele autorităților competente sunt clar definite și includ:
| (a) | promovarea competențelor digitale și a sensibilizării utilizatorilor și entităților care intră sub incidența prezentului regulament cu privire la drepturile și obligațiile care le revin în temeiul prezentului regulament; |
| (b) | tratarea plângerilor depuse ca urmare a unor presupuse încălcări ale prezentului regulament, inclusiv cele legate de secrete comerciale, precum și investigarea, în măsura adecvată, a obiectului plângerii și informarea cu regularitate a reclamanților, acolo unde este cazul în conformitate cu dreptul intern, cu privire la evoluția și rezultatul investigației, într-un termen rezonabil, în special dacă este necesară efectuarea unor investigații mai amănunțite sau coordonarea cu o altă autoritate competentă; |
| (c) | desfășurarea de investigații în chestiuni care privesc aplicarea prezentului regulament, inclusiv pe baza unor informații primite de la o altă autoritate competentă sau de la o altă autoritate publică; |
| (d) | impunerea de sancțiuni financiare efective, proporționale și disuasive, care pot include penalități cu titlu cominatoriu și penalități cu efect retroactiv, sau deschiderea de proceduri judiciare pentru impunerea de amenzi; |
| (e) | monitorizarea evoluțiilor tehnologice și comerciale relevante pentru punerea la dispoziție și utilizarea de date; |
| (f) | cooperarea cu autoritățile competente ale altor state membre și, unde este cazul, cu Comisia sau cu EDIB, pentru asigurarea unei aplicări consecvente și eficiente a prezentului regulament, inclusiv transmiterea reciprocă a tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate, inclusiv în ceea ce privește alineatul (10) de la prezentul articol; |
| (g) | cooperarea cu autoritățile competente relevante responsabile cu punerea în aplicare a altor acte juridice ale Uniunii sau actelor juridice naționale, inclusiv cu autoritățile competente în domeniul datelor și al serviciilor de comunicații electronice, cu autoritatea de supraveghere responsabilă cu monitorizarea aplicării Regulamentului (UE) 2016/679 sau cu autoritățile sectoriale, pentru a se asigura faptul că prezentul regulament este pus în aplicare în mod consecvent cu alte acte din dreptul Uniunii și din dreptul intern; |
| (h) | cooperarea cu autoritățile competente relevante pentru asigurarea aplicării articolelor 23-31, 34 și 35 în mod consecvent cu alte acte din dreptul Uniunii și cu măsurile de autoreglementare aplicabile furnizorilor de servicii de prelucrare a datelor; |
| (i) | asigurarea faptului că taxele de trecere la alt furnizor sunt eliminate în conformitate cu articolul 29; |
| (j) | examinarea cererilor de date introduse în temeiul capitolului V. |
În cazul în care este desemnat, coordonatorul de date facilitează cooperarea menționată la literele (f), (g) și (h) de la primul paragraf și asistă autoritățile competente, la cererea acestora.
(6) În cazul în care este desemnat un coordonator de date, o astfel de autoritate competentă:
| (a) | acționează ca punct unic de contact pentru toate aspectele legate de aplicarea prezentului regulament; |
| (b) | asigură disponibilitatea publică online a cererilor de punere la dispoziție a datelor introduse de organismele din sectorul public în cazul unei nevoi excepționale în temeiul capitolului V și promovează acordurile voluntare de partajare de date între organismele din sectorul public și deținătorii de date; |
| (c) | informează anual Comisia cu privire la refuzurile notificate în temeiul articolului 4 alineatele (2) și (8) și al articolului 5 alineatul (11). |
(7) Statele membre notifică Comisiei denumirile autorităților competente, sarcinile și competențele acestora și, când este cazul, denumirea coordonatorului de date. Comisia ține un registru public al acestor autorități.
(8) Când își îndeplinesc sarcinile și își exercită competențele în conformitate cu prezentul regulament, autoritățile competente rămân imparțiale și nesupuse niciunei influențe externe, directe sau indirecte, și nici nu solicită, nici nu acceptă instrucțiuni referitoare la cazuri individuale de la nicio altă autoritate publică sau parte privată.
(9) Statele membre se asigură că autorităților competente li se pun la dispoziție suficiente resurse umane și tehnice și că dispun de expertiza relevantă pentru îndeplinirea cu eficacitate a sarcinilor ce le revin în conformitate cu prezentul regulament.
(10) Entitățile care intră în domeniul de aplicare al prezentului regulament se supun competenței statului membru în care este stabilită entitatea. În cazul în care entitatea are sedii în mai multe state membre, se consideră că aceasta intră în sfera de competență a statului membru în care își are sediul principal, și anume locul unde entitatea își are sediul central sau sediul social și de unde se exercită principalele funcții financiare și controlul operațional.
(11) Orice entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune fără a fi stabilită în Uniune desemnează un reprezentant legal într-unul dintre statele membre.
(12) În scopul asigurării respectării prezentului regulament, o entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune împuternicește un reprezentant legal, care să comunice cu autoritățile competente în plus față de entitate sau în locul acesteia cu privire la toate aspectele legate de respectiva entitate. Reprezentantul legal respectiv cooperează cu autoritățile competente și le demonstrează în mod exhaustiv, la cerere, acțiunile întreprinse și dispozițiile stabilite de entitatea care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune pentru a asigura respectarea prezentului regulament.
(13) Se consideră că o entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune se află în competența statului membru în care este situat reprezentantul său legal. Desemnarea unui reprezentant legal de către o astfel de entitate nu aduce atingere răspunderii entității respective și nici acțiunilor în justiție care ar putea fi introduse împotriva acesteia. Înainte ca o entitate să desemneze un reprezentant legal în conformitate cu prezentul articol, aceasta se află în sfera de competență a tuturor statelor membre, după caz, în vederea asigurării aplicării și respectării prezentului regulament. Orice autoritate competentă își poate exercita competența, inclusiv prin impunerea de sancțiuni efective, proporționale și disuasive, cu condiția ca entitatea să nu facă obiectul unor proceduri de aplicare a legii inițiate de o altă autoritate competentă, în temeiul prezentului regulament, cu privire la aceleași fapte.
(14) Autoritățile competente pot solicita utilizatorilor, deținătorilor de date sau destinatarilor datelor ori reprezentanților lor legali care se află în sfera de competență a statului lor membru toate informațiile necesare pentru verificarea respectării prezentului regulament. Orice cerere de informații este proporțională cu îndeplinirea sarcinii aferente și se motivează.
(15) În cazul în care o autoritate competentă dintr-un stat membru solicită asistență sau măsuri de asigurare a respectării legii din partea unei autorități competente dintr-un alt stat membru, aceasta introduce o cerere motivată. La primirea unei astfel de cereri, autoritatea competentă furnizează un răspuns, fără întârzieri nejustificate, prezentând în detaliu măsurile care au fost întreprinse sau care urmează să fie întreprinse.
(16) Autoritățile competente respectă principiul confidențialității și pe cel al secretului profesional și comercial și protejează datele cu caracter personal în conformitate cu dreptul Uniunii sau cu dreptul intern. Orice informație transmisă în contextul unei solicitări de asistență și furnizată în temeiul prezentului articol se utilizează numai în scopul pentru care a fost solicitată.
Articolul 50
Intrarea în vigoare și aplicarea
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Se aplică începând cu 12 septembrie 2025.
Obligația care decurge din articolul 3 alineatul (1) se aplică produselor conectate și serviciilor conexe acestora introduse pe piață după 12 septembrie 2026.
Capitolul III se aplică în ceea ce privește obligațiile de a pune date la dispoziție în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii care intră în vigoare după 12 septembrie 2025.
Capitolul IV se aplică contractelor încheiate după 12 septembrie 2025.
Capitolul IV se aplică începând cu 12 septembrie 2027 contractelor încheiate la 12 septembrie 2025 sau înainte de respectiva dată, cu condiția ca aceste contracte:
| (a) | să aibă o durată nedeterminată; sau |
| (b) | să expire cel devreme la 10 ani de la 11 ianuarie 2024. |
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Strasbourg, 13 decembrie 2023.
Pentru Parlamentul European
Președinta
R. METSOLA
Pentru Consiliu
Președintele
P. NAVARRO RÍOS
(1) JO C 402, 19.10.2022, p. 5.
(2) JO C 365, 23.9.2022, p. 18.
(3) JO C 375, 30.9.2022, p. 112.
(4) Poziția Parlamentului European din 9 noiembrie 2023 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 27 noiembrie 2023.
(5) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).
(6) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („Regulamentul general privind protecția datelor”) (JO L 119, 4.5.2016, p. 1).
(7) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(8) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice („Directiva asupra confidențialității și comunicațiilor electronice”) (JO L 201, 31.7.2002, p. 37).
(9) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).
(10) Directiva 2005/29/CE a Parlamentului European și a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piața internă față de consumatori și de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE și 2002/65/CE ale Parlamentului European și ale Consiliului și a Regulamentului (CE) nr. 2006/2004 al Parlamentului European și al Consiliului („Directiva privind practicile comerciale neloiale”) (JO L 149, 11.6.2005, p. 22).
(11) Directiva 2011/83/UE a Parlamentului European și a Consiliului din 25 octombrie 2011 privind drepturile consumatorilor, de modificare a Directivei 93/13/CEE a Consiliului și a Directivei 1999/44/CE a Parlamentului European și a Consiliului și de abrogare a Directivei 85/577/CEE a Consiliului și a Directivei 97/7/CE a Parlamentului European și a Consiliului (JO L 304, 22.11.2011, p. 64).
(12) Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului din 29 aprilie 2021 privind prevenirea diseminării conținutului online cu caracter terorist (JO L 172, 17.5.2021, p. 79).
(13) Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale) (JO L 277, 27.10.2022, p. 1).
(14) Regulamentul (UE) 2023/1543 al Parlamentului European și al Consiliului din 12 iulie 2023 privind ordinele europene de divulgare a probelor electronice și ordinele europene de păstrare a probelor electronice în cadrul procedurilor penale și pentru executarea pedepselor privative de libertate în urma unor proceduri penale (JO L 191, 28.7.2023, p. 118).
(15) Directiva (UE) 2023/1544 a Parlamentului European și a Consiliului din 12 iulie 2023 de stabilire a unor norme armonizate privind desemnarea sediilor desemnate și numirea reprezentanților legali în scopul obținerii de probe electronice în cadrul procedurilor penale (JO L 191, 28.7.2023, p. 181).
(16) Regulamentul (UE) 2015/847 al Parlamentului European și al Consiliului din 20 mai 2015 privind informațiile care însoțesc transferurile de fonduri și de abrogare a Regulamentului (CE) nr. 1781/2006 (JO L 141, 5.6.2015, p. 1).
(17) Directiva (UE) 2015/849 a Parlamentului European și a Consiliului din 20 mai 2015 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului, de modificare a Regulamentului (UE) nr. 648/2012 al Parlamentului European și al Consiliului și de abrogare a Directivei 2005/60/CE a Parlamentului European și a Consiliului și a Directivei 2006/70/CE a Comisiei (JO L 141, 5.6.2015, p. 73).
(18) Directiva (UE) 2019/882 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind cerințele de accesibilitate aplicabile produselor și serviciilor (JO L 151, 7.6.2019, p. 70).
(19) Directiva 2001/29/CE a Parlamentului European și a Consiliului din 22 mai 2001 privind armonizarea anumitor aspecte ale dreptului de autor și drepturilor conexe în societatea informațională (JO L 167, 22.6.2001, p. 10).
(20) Directiva 2004/48/CE a Parlamentului European și a Consiliului din 29 aprilie 2004 privind respectarea drepturilor de proprietate intelectuală (JO L 157, 30.4.2004, p. 45).
(21) Directiva (UE) 2019/790 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind dreptul de autor și drepturile conexe pe piața unică digitală și de modificare a Directivelor 96/9/CE și 2001/29/CE (JO L 130, 17.5.2019, p. 92).
(22) Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului din 30 mai 2022 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor) (JO L 152, 3.6.2022, p. 1).
(23) Directiva (UE) 2016/943 a Parlamentului European și a Consiliului din 8 iunie 2016 privind protecția know-how-ului și a informațiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării și divulgării ilegale (JO L 157, 15.6.2016, p. 1).
(24) Directiva 98/6/CE a Parlamentului European și a Consiliului din 16 februarie 1998 privind protecția consumatorului prin indicarea prețurilor produselor oferite consumatorilor (JO L 80, 18.3.1998, p. 27).
(25) Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă („Directiva privind comerțul electronic”) (JO L 178, 17.7.2000, p. 1).
(26) Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului din 14 septembrie 2022 privind piețe contestabile și echitabile în sectorul digital și de modificare a Directivelor (UE) 2019/1937 și (UE) 2020/1828 (Regulamentul privind piețele digitale) (JO L 265, 12.10.2022, p. 1).
(27) Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11 martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităților Europene (JO L 87, 31.3.2009, p. 164).
(28) Directiva (UE) 2019/1024 a Parlamentului European și a Consiliului din 20 iunie 2019 privind datele deschise și reutilizarea informațiilor din sectorul public (JO L 172, 26.6.2019, p. 56).
(29) Directiva 96/9/CE a Parlamentului European și a Consiliului din 11 martie 1996 privind protecția juridică a bazelor de date (JO L 77, 27.3.1996, p. 20).
(30) Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană (JO L 303, 28.11.2018, p. 59).
(31) Directiva (UE) 2019/770 a Parlamentului European și a Consiliului din 20 mai 2019 privind anumite aspecte legate de contractele de furnizare de conținut digital și de servicii digitale (JO L 136, 22.5.2019, p. 1).
(32) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).
(33) Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului (JO L 316, 14.11.2012, p. 12).
(34) Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).
(35) Decizia nr. 768/2008/CE a Parlamentului European și a Consiliului din 9 iulie 2008 privind un cadru comun pentru comercializarea produselor și de abrogare a Deciziei 93/465/CEE a Consiliului (JO L 218, 13.8.2008, p. 82).
(36) Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului din 12 decembrie 2017 privind cooperarea dintre autoritățile naționale însărcinate să asigure respectarea legislației în materie de protecție a consumatorului și de abrogare a Regulamentului (CE) nr. 2006/2004 (JO L 345, 27.12.2017, p. 1).
(37) Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1).
(38) JO L 123, 12.5.2016, p. 1.
(39) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
ELI: http://data.europa.eu/eli/reg/2023/2854/oj
ISSN 1977-0782 (electronic edition)