keyboard_tab Data Act 2023/2854 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolul 4 Drepturile și obligațiile utilizatorilor și ale deținătorilor de date cu privire la accesul, utilizarea și punerea la dispoziție a datelor referitoare la produs și a datelor referitoare la un serviciu conex
- 1 Articolul 5 Dreptul utilizatorului de a partaja date cu terți
- 1 Articolul 8 Condițiile în care deținătorii de date pun date la dispoziția destinatarilor datelor
- 2 Articolul 11 Măsuri tehnice de protecție privind utilizarea sau divulgarea neautorizată de date
- 1 Articolul 18 Îndeplinirea cererilor de date
- 1 Articolul 19 Obligațiile organismelor din sectorul public, ale Comisiei, ale Băncii Centrale Europene și ale organelor Uniunii
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
PARTAJAREA DE DATE ÎNTRE ÎNTREPRINDERI ȘI CONSUMATORI ȘI ÎNTRE ÎNTREPRINDERI
CAPITOLUL III
OBLIGAȚIILE DEȚINĂTORILOR DE DATE CARE AU OBLIGAȚIA DE A PUNE DATE LA DISPOZIȚIE ÎN TEMEIUL DREPTULUI UNIUNII
CAPITOLUL IV
CLAUZELE CONTRACTUALE ABUZIVE REFERITOARE LA ACCESAREA ȘI UTILIZAREA DE DATE ÎNTRE ÎNTREPRINDERI
CAPITOLUL V
PUNEREA DE DATE LA DISPOZIȚIA ORGANISMELOR DIN SECTORUL PUBLIC, A COMISIEI, A BĂNCII CENTRALE EUROPENE ȘI A ORGANELOR UNIUNII PE BAZA UNEI NEVOI EXCEPȚIONALE
CAPITOLUL VI
TRECEREA DE LA UN SERVICIU DE PRELUCRARE A DATELOR LA ALTUL
CAPITOLUL VII
ACCESUL ADMINISTRAȚIILOR PUBLICE LA DATELE FĂRĂ CARACTER PERSONAL ȘI TRANSFERUL ACESTORA LA NIVEL INTERNAȚIONAL
CAPITOLUL VIII
INTEROPERABILITATE
CAPITOLUL IX
PUNEREA ÎN APLICARE ȘI ASIGURAREA RESPECTĂRII REGULAMENTULUI
CAPITOLUL X
DREPTUL SUI GENERIS PREVĂZUT ÎN DIRECTIVA 96/9/CE
CAPITOLUL XI
DISPOZIȚII FINALE
- date 130
- care 82
- datelor 60
- consiliului 51
- privind 48
- european 44
- pentru 43
- deținătorul 42
- parlamentului 42
- temeiul 40
- jo l 35
- este 35
- datele 34
- unui 31
- comerciale 27
- uniunii 26
- cazul 25
- alineatul 24
- poate 23
- articolul 23
- utilizator 20
- deținător 19
- articolului 19
- fără 18
- dreptul 18
- sunt 18
- tehnice 18
- deținătorului 17
- conformitate 16
- nr / 16
- unei 16
- dacă 16
- utilizatorului 16
- utilizarea 15
- măsurile 15
- astfel 15
- ue / 15
- pune 15
- orice 14
- prin 14
- către 14
- sectorul 14
- dispoziția 14
- întârzieri 13
- nejustificate 13
- public 13
- dispoziție 13
- caracter 13
- În 12
- utilizatorul 12
Articolul 4
Drepturile și obligațiile utilizatorilor și ale deținătorilor de date cu privire la accesul, utilizarea și punerea la dispoziție a datelor referitoare la produs și a datelor referitoare la un serviciu conex
(1) În cazul în care datele nu pot fi accesate direct de către utilizator din produsul conectat sau din serviciul conex, deținătorii de date pun la dispoziția utilizatorului date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, fără întârzieri nejustificate, de aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, gratuit, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Această punere la dispoziție se realizează pe baza unei simple cereri introduse prin mijloace electronice, în cazul în care acest lucru este fezabil din punct de vedere tehnic.
(2) Utilizatorii și deținătorii de date pot conveni prin contract să restricționeze sau să interzică accesul, utilizarea sau partajarea ulterioară a datelor, în cazul în care o astfel de prelucrare ar putea submina cerințele de securitate ale produsului conectat, astfel cum sunt prevăzute de dreptul Uniunii sau de dreptul intern, având ca rezultat un efect negativ grav asupra sănătății, siguranței sau securității persoanelor fizice. Autoritățile sectoriale pot furniza utilizatorilor și deținătorilor de date expertiză tehnică în acest context. În cazul în care deținătorul de date refuză să partajeze date în temeiul prezentului articol, acesta notifică acest lucru autorității competente desemnate în temeiul articolului 37.
(3) Fără a aduce atingere dreptului utilizatorului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal dintr-un stat membru, utilizatorul poate, în legătură cu orice litigiu cu deținătorul datelor referitor la restricțiile sau interdicțiile contractuale menționate la alineatul (2):
| (a) | să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă; sau |
| (b) | să convină cu deținătorul de date să sesizeze un organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1). |
(4) Deținătorii de date nu îngreunează în mod nejustificat exercitarea de către utilizator a alegerilor sau a drepturilor sale în temeiul prezentului articol, inclusiv prin oferirea de opțiuni utilizatorului într-un mod care nu este neutru sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a opțiunilor utilizatorului prin structura, proiectarea, funcția sau modul de operare a unei interfețe digitale cu utilizatorul sau a unei părți a acesteia.
(5) Cu scopul de a verifica dacă o persoană fizică sau juridică se califică drept utilizator în înțelesul alineatului (1), un deținător de date nu solicită respectivei persoane să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu păstrează nicio informație, în special date de înregistrare, privind accesul utilizatorului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a utilizatorului și pentru securitatea și întreținerea infrastructurii de date.
(6) Secretele comerciale sunt protejate și se divulgă numai dacă deținătorul de date și utilizatorul iau toate măsurile necesare înainte de divulgare pentru păstrarea confidențialității acestora, în special în ceea ce privește terții. Deținătorul de date, sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial, identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu utilizatorul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, în special în ceea ce privește terții, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.
(7) În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (6) sau în cazul în care utilizatorul nu pune în aplicare măsurile convenite în temeiul alineatului (6) sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris utilizatorului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt sau a suspendat partajarea datelor și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.
(8) În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de utilizator în temeiul alineatului (6) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate și unicitatea și noutatea produsului conectat, și se furnizează în scris utilizatorului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.
(9) Fără a aduce atingere dreptului unui utilizator de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un utilizator care dorește să conteste decizia unui deținător de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatele (7) și (8) poate:
| (a) | să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă, care decide, fără întârzieri nejustificate, dacă și în ce condiții urmează să înceapă sau să se reia partajarea de date; sau |
| (b) | să convină cu deținătorul de date în vederea sesizării unui organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1). |
(10) Utilizatorul nu poate să utilizeze datele obținute în urma unei cereri menționate la alineatul (1) pentru dezvoltarea unui produs conectat care concurează direct cu produsul conectat de la care provin datele și nici nu poate partaja datele cu un terț în acest scop și nici nu utilizează aceste date pentru a obține informații despre situația economică, activele și metodele de producție ale fabricantului, sau după caz, ale deținătorului de date.
(11) Utilizatorul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a deținătorului de date care este destinată să protejeze datele.
(12) În cazul în care utilizatorul nu este persoana vizată ale cărei date personale sunt cerute, eventualele date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex se pun la dispoziția utilizatorului de către deținătorul datelor numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.
(13) Un deținător de date poate să utilizeze orice date ușor accesibile care nu sunt date fără caracter personal numai pe baza unui contract cu utilizatorul. Un deținător de date nu poate să utilizeze astfel de date pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale utilizatorului ori cu utilizarea de către utilizator în orice alt mod care ar putea submina poziția comercială a utilizatorului respectiv pe piețele pe care acesta își desfășoară activitatea.
(14) Deținătorii de date nu pun la dispoziția terților date fără caracter personal în scopuri comerciale sau necomerciale, altele decât îndeplinirea contractului lor cu utilizatorul. Dacă este cazul, deținătorii de date obligă terții să nu partajeze ulterior datele primite de la aceștia prin contract.
Articolul 5
Dreptul utilizatorului de a partaja date cu terți
(1) La cererea unui utilizator sau a unei părți care acționează în numele unui utilizator, deținătorul de date pune la dispoziția unui terț, fără întârzieri nejustificate, date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, la aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, în mod gratuit pentru utilizator, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Datele se pun la dispoziția terțului de către deținătorul de date în conformitate cu articolele 8 și 9.
(2) Alineatul (1) nu se aplică datelor ușor accesibile în contextul testării unor produse conectate, substanțe sau procese noi care nu sunt încă introduse pe piață, cu excepția cazului în care utilizarea lor de către un terț este permisă prin contract.
(3) O întreprindere desemnată drept controlor de acces, în temeiul articolului 3 din Regulamentul (UE) 2022/1925, nu poate fi un destinatar de date eligibil în temeiul prezentului articol și, prin urmare, nu poate:
| (a) | să solicite sau să ofere stimulente comerciale unui utilizator în vreun mod, cum ar fi prin acordarea de compensații pecuniare sau de orice altă natură, pentru a pune la dispoziția unuia dintre serviciile sale datele pe care utilizatorul le-a obținut în urma unei cereri introduse în temeiul articolului 4 alineatul (1); |
| (b) | să solicite sau să ofere stimulente comerciale unui utilizator pentru ca acesta să adreseze deținătorului de date o cerere de punere de date la dispoziția unuia dintre serviciile sale, în temeiul alineatului (1) de la prezentul articol; |
| (c) | să primească de la un utilizator date pe care acesta le-a obținut în urma unei cereri introduse în temeiul articolului 4 alineatul (1). |
(4) Pentru a verifica dacă o persoană fizică sau juridică se califică drept utilizator sau terț în sensul alineatului (1), utilizatorul sau terțul nu sunt obligați să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu pot păstra nicio informație privind accesul terțului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a terțului și pentru securitatea și întreținerea infrastructurii de date.
(5) Terțul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a unui deținător de date care este destinată să protejeze datele.
(6) Un deținător de date nu poate să utilizeze niciun fel de date ușor accesibile pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale terțului ori cu utilizarea de către terț în orice alt mod care ar putea submina poziția comercială a terțului pe piețele pe care aceasta își desfășoară activitatea, cu excepția cazului în care terțul și-a dat consimțământul pentru o astfel de utilizare și are posibilitatea tehnică de a-și retrage cu ușurință consimțământul respectiv în orice moment.
(7) În cazul în care utilizatorul nu este persoana vizată ale cărei date cu caracter personal sunt cerute, orice date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex, se pun de către deținătorul de date la dispoziția terțului numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.
(8) Faptul că deținătorul datelor și terțul nu reușesc să convină asupra unor modalități de transmitere a datelor nu poate să împiedice, să prevină sau să perturbe exercitarea drepturilor persoanei vizate, astfel cum sunt prevăzute în Regulamentul (UE) 2016/679, și, în special, a dreptului la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din regulamentul menționat.
(9) Secretele comerciale se păstrează și se divulgă terților numai în măsura în care o astfel de divulgare este strict necesară pentru îndeplinirea scopului convenit între utilizator și terț. Deținătorul de date sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu terțul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.
(10) În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (9) de la prezentul articol sau în cazul în care terțul nu pune în aplicare măsurile convenite în temeiul alineatului (9) de la prezentul articol sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris terțului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt partajării datelor sau a suspendat-o și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.
(11) În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de terț în temeiul alineatului (9) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate, precum și unicitatea și noutatea produsului conectat, și se furnizează în scris terțului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.
(12) Fără a aduce atingere dreptului terțului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un terț care dorește să conteste decizia deținătorului de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatelor (10) și (11) poate:
| (a) | să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă, care decide, fără întârzieri nejustificate, dacă și în ce condiții începe sau se reia partajarea de date; sau |
| (b) | să convină cu deținătorul de date în vederea sesizării unui organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1). |
(13) Dreptul menționat la alineatul (1) nu poate să aducă atingere drepturilor persoanelor vizate în temeiul dreptului Uniunii și al dreptului intern aplicabile privind protecția datelor cu caracter personal.
Articolul 8
Condițiile în care deținătorii de date pun date la dispoziția destinatarilor datelor
(1) În cazul în care, în relațiile dintre întreprinderi, un deținător de date este obligat să pună date la dispoziția unui destinatar al datelor în temeiul articolului 5 sau în temeiul altor acte din dreptul aplicabil al Uniunii sau din legislația națională adoptate în conformitate cu dreptul Uniunii, respectivul deținător de date convine cu un destinatar al datelor modalitățile de punere la dispoziție a datelor și face acest lucru în conformitate cu clauze și condiții echitabile, rezonabile și nediscriminatorii și într-un mod transparent, în conformitate cu prezentul capitol și cu capitolul IV.
(2) O clauză contractuală care se referă la accesul la date și la utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date nu este obligatorie dacă este o clauză contractuală abuzivă în înțelesul articolului 13 sau dacă exclude aplicarea drepturilor utilizatorului prevăzute în capitolul II, derogă de la respectivele drepturi sau modifică efectul acestora, în detrimentul utilizatorului.
(3) Un deținător de date nu discriminează, în ceea ce privește modalitățile de punere la dispoziție a datelor, între categorii comparabile de destinatari ai datelor, inclusiv întreprinderi partenere sau întreprinderi afiliate deținătorului de date, când pune la dispoziție date. În cazul în care un destinatar al datelor consideră discriminatorii condițiile în care i-au fost puse la dispoziție datele, deținătorul de date furnizează fără întârziere destinatarului datelor, la cererea motivată a acestuia, informații care arată că nu a existat nicio discriminare.
(4) Un deținător de date nu poate să pună date la dispoziția unui destinatar al datelor, inclusiv în mod exclusiv, cu excepția cazului în care există o cerere introdusă în acest sens de utilizator în temeiul capitolului II.
(5) Deținătorii de date și destinatarii datelor nu au obligația de a furniza informații în plus față de cele necesare pentru verificarea respectării clauzelor contractuale convenite pentru punerea la dispoziție a datelor sau a obligațiilor care le revin în temeiul prezentului regulament sau al altor acte din dreptul aplicabil al Uniunii sau din legislația națională adoptate în conformitate cu dreptul Uniunii.
(6) Cu excepția cazului în care se prevede altfel în dreptul Uniunii, inclusiv la articolul 4 alineatul (6) și la articolul 5 alineatul (9) din prezentul regulament, sau în legislația națională adoptată în conformitate cu dreptul Uniunii, obligația de a pune date la dispoziția unui destinatar al datelor nu include obligația de divulgare a unor secrete comerciale.
Articolul 11
Măsuri tehnice de protecție privind utilizarea sau divulgarea neautorizată de date
(1) Un deținător de date poate să aplice măsuri tehnice de protecție corespunzătoare, inclusiv contracte inteligente și criptare, pentru a preveni accesul neautorizat la date, inclusiv metadate, și pentru a asigura respectarea articolelor 4, 5, 6, 8 și 9, precum și a clauzelor contractuale convenite pentru punerea la dispoziție a datelor. Aceste măsuri tehnice de protecție nu discriminează diferiții destinatari ai datelor și nici nu obstrucționează dreptul unui utilizator de a obține o copie a datelor ori de a extrage, utiliza sau accesa datele sau de a furniza date unor terți în temeiul articolului 5 sau orice drept al unui terț prevăzut în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii. Utilizatorii, terții și destinatarii datelor nu modifică sau elimină astfel de măsuri tehnice de protecție, cu excepția cazului în care deținătorul de date își dă acordul în acest sens.
(2) În circumstanțele menționate la alineatul (3), terțul sau destinatarul datelor dă curs, fără întârzieri nejustificate, cererilor deținătorului de date și, după caz, atunci când aceștia nu sunt aceeași persoană, deținătorului secretului comercial, sau ale utilizatorului:
| (a) | de a șterge datele puse la dispoziție de către deținătorul datelor și toate copiile acestora; |
| (b) | de a înceta producerea, oferirea, sau introducerea pe piață sau utilizarea bunurilor, a datelor derivate sau a serviciilor produse pe baza cunoștințelor obținute prin intermediul unor astfel de date ori importul, exportul sau depozitarea de bunuri care încalcă drepturile prevăzute în scopurile respective și de a distruge eventualele bunuri care încalcă drepturile respective, în cazul în care există un risc grav ca utilizarea ilegală a acestor date să cauzeze un prejudiciu semnificativ deținătorului de date, deținătorului secretului comercial sau utilizatorului sau în cazul în care o astfel de măsură nu ar fi disproporționată în raport cu interesele deținătorului de date, ale deținătorului secretului comercial sau ale utilizatorului; |
| (c) | de a informa utilizatorul cu privire la utilizarea sau divulgarea neautorizată a datelor și la măsurile luate pentru a pune capăt utilizării sau divulgării neautorizate a datelor; |
| (d) | de a compensa partea care suferă de pe urma utilizării abuzive sau a divulgării unor astfel de date accesate sau utilizate în mod ilegal. |
(3) Alineatul (2) se aplică în cazul în care un terț sau un destinatar al datelor:
| (a) | în scopul obținerii de date a furnizat informații false unui deținător de date, a utilizat mijloace înșelătoare sau coercitive sau a abuzat de lacunele din infrastructura tehnică a deținătorului de date destinată să protejeze datele; |
| (b) | a utilizat datele puse la dispoziție în scopuri neautorizate, inclusiv pentru dezvoltarea unui produs conectat concurent în sensul articolului 6 alineatul (2) litera (e); |
| (c) | a divulgat în mod ilegal date unei alte părți; |
| (d) | nu a menținut măsurile tehnice și organizatorice convenite în temeiul articolului 5 alineatul (9); sau |
| (e) | a modificat sau eliminat măsurile tehnice de protecție aplicate de deținătorul de date în temeiul alineatului (1) de la prezentul articol fără acordul deținătorului de date. |
(4) Alineatul (2) se aplică și în cazul în care un utilizator modifică sau elimină măsurile tehnice de protecție aplicate de deținătorul de date sau nu menține măsurile tehnice și organizatorice luate de utilizator de comun acord cu deținătorul de date sau, dacă nu este aceeași persoană, cu deținătorul secretelor comerciale, pentru a păstra secretele comerciale, precum și în ceea ce privește orice altă parte care primește datele de la utilizator prin încălcarea prezentului regulament.
(5) În cazul în care destinatarul datelor încalcă articolul 6 alineatul (2) litera (a) sau (b), utilizatorii au aceleași drepturi ca deținătorii de date în temeiul alineatului (2) de la prezentul articol.
Articolul 18
Îndeplinirea cererilor de date
(1) Un deținător de date care primește o cerere de a pune la dispoziție date în temeiul prezentului capitol pune datele, fără întârzieri nejustificate, la dispoziția organismului din sectorul public, a Comisiei, Băncii Centrale Europene ori a organului Uniunii care a introdus cererea, ținând seama de măsurile tehnice, organizatorice și juridice necesare.
(2) Fără a aduce atingere nevoilor specifice în ceea ce privește disponibilitatea datelor definite în dreptul Uniunii sau în dreptul intern, un deținător de date poate să respingă cererea sau să solicite modificarea unei cereri de a pune la dispoziție date în temeiul prezentului capitol fără întârzieri nejustificate și, în orice caz, nu mai târziu de cinci zile lucrătoare de la primirea unei cereri de date necesare pentru răspunsul la o situație de urgență și fără întârzieri nejustificate și, în orice caz, nu mai târziu de 30 de zile lucrătoare de la primirea unei astfel de cereri în alte cazuri de nevoie excepțională, din oricare dintre următoarele motive:
| (a) | deținătorul de date nu are control asupra datelor solicitate; |
| (b) | o cerere similară în același scop a fost introdusă anterior de un alt organism din sectorul public sau de Comisie, de Banca Centrală Europeană ori de un organ al Uniunii, iar deținătorul de date nu a fost notificat cu privire la ștergerea datelor în temeiul articolului 19 alineatul (1) litera (c); |
| (c) | cererea nu îndeplinește condițiile prevăzute la articolul 17 alineatele (1) și (2). |
(3) Dacă decide să respingă cererea sau să solicite modificarea acesteia în conformitate cu alineatul (2) litera (b), deținătorul datelor face cunoscută identitatea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene ori a organului Uniunii care a introdus anterior o cerere în același scop.
(4) În cazul în care datele solicitate includ date cu caracter personal, deținătorul de date anonimizează în mod corespunzător datele, cu excepția cazului în care respectarea cererii de punere a datelor la dispoziția unui organism din sectorul public, a Comisiei, a Băncii Centrale Europene sau a unui organ al Uniunii impune divulgarea de date cu caracter personal. În aceste cazuri, deținătorul de date pseudonimizează datele.
(5) În cazul în care organismul din sectorul public, Comisia, Banca Centrală Europeană ori organul Uniunii dorește să conteste refuzul unui deținător de date de a furniza datele solicitate sau în cazul în care deținătorul de date dorește să conteste cererea, iar chestiunea nu poate fi soluționată printr-o modificare adecvată a cererii, este sesizată autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date cu privire la chestiunea în cauză.
Articolul 19
Obligațiile organismelor din sectorul public, ale Comisiei, ale Băncii Centrale Europene și ale organelor Uniunii
(1) Un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii care primește date în urma unei cereri introduse în temeiul articolului 14:
| (a) | nu utilizează datele într-un mod incompatibil cu scopul pentru care au fost solicitate; |
| (b) | a pus în aplicare măsuri tehnice și organizatorice care să păstreze confidențialitatea și integritatea datelor solicitate și securitatea transferurilor de date, în special a datelor cu caracter personal, și protejează drepturile și libertățile persoanelor vizate; |
| (c) | șterge datele de îndată ce acestea nu mai sunt necesare pentru scopul declarat și informează deținătorul de date și persoanele fizice sau organizațiile care au primit datele în temeiul articolului 21 alineatul (1), fără întârzieri nejustificate, că datele au fost șterse, cu excepția cazului în care este necesară arhivarea datelor în conformitate cu dreptul Uniunii sau cu dreptul intern privind accesul public la documente în contextul obligațiilor de transparență. |
(2) Un organism din sectorul public, Comisia, Banca Centrală Europeană, un organ al Uniunii sau un terț care primește date în temeiul prezentului capitol:
| (a) | nu utilizează datele sau informațiile despre situația economică, activele și metodele de producție sau de operare ale deținătorului de date pentru a dezvolta sau a îmbunătăți un produs conectat sau un serviciu conex care concurează cu produsul conectat sau cu serviciul conex al deținătorului de date; |
| (b) | nu partajează datele cu un alt terț în oricare dintre scopurile menționate la litera (a). |
(3) divulgarea de secrete comerciale către un organism din sectorul public, către Comisie, Banca Centrală Europeană ori un organ al Uniunii este obligatorie numai dacă ea este strict necesară pentru atingerea scopului unei cereri depuse în temeiul articolului 15. Într-un astfel de caz, deținătorul datelor sau, atunci când aceștia nu sunt aceeași persoană, deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante. Organismul din sectorul public, Comisia, Banca Centrală Europeană ori organul Uniunii iau, înainte de divulgarea secretelor comerciale, toate măsurile tehnice și organizatorice necesare și adecvate pentru a păstra confidențialitatea secretelor comerciale, inclusiv, după caz, utilizarea de modele de clauze contractuale, de standarde tehnice și aplicarea codurilor de conduită.
(4) Un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii este responsabil de securitatea datelor pe care le primește.
Articolul 50
Intrarea în vigoare și aplicarea
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Se aplică începând cu 12 septembrie 2025.
Obligația care decurge din articolul 3 alineatul (1) se aplică produselor conectate și serviciilor conexe acestora introduse pe piață după 12 septembrie 2026.
Capitolul III se aplică în ceea ce privește obligațiile de a pune date la dispoziție în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii care intră în vigoare după 12 septembrie 2025.
Capitolul IV se aplică contractelor încheiate după 12 septembrie 2025.
Capitolul IV se aplică începând cu 12 septembrie 2027 contractelor încheiate la 12 septembrie 2025 sau înainte de respectiva dată, cu condiția ca aceste contracte:
| (a) | să aibă o durată nedeterminată; sau |
| (b) | să expire cel devreme la 10 ani de la 11 ianuarie 2024. |
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Strasbourg, 13 decembrie 2023.
Pentru Parlamentul European
Președinta
R. METSOLA
Pentru Consiliu
Președintele
P. NAVARRO RÍOS
(1) JO C 402, 19.10.2022, p. 5.
(2) JO C 365, 23.9.2022, p. 18.
(3) JO C 375, 30.9.2022, p. 112.
(4) Poziția Parlamentului European din 9 noiembrie 2023 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 27 noiembrie 2023.
(5) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).
(6) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („Regulamentul general privind protecția datelor”) (JO L 119, 4.5.2016, p. 1).
(7) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(8) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice („Directiva asupra confidențialității și comunicațiilor electronice”) (JO L 201, 31.7.2002, p. 37).
(9) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).
(10) Directiva 2005/29/CE a Parlamentului European și a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piața internă față de consumatori și de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE și 2002/65/CE ale Parlamentului European și ale Consiliului și a Regulamentului (CE) nr. 2006/2004 al Parlamentului European și al Consiliului („Directiva privind practicile comerciale neloiale”) (JO L 149, 11.6.2005, p. 22).
(11) Directiva 2011/83/UE a Parlamentului European și a Consiliului din 25 octombrie 2011 privind drepturile consumatorilor, de modificare a Directivei 93/13/CEE a Consiliului și a Directivei 1999/44/CE a Parlamentului European și a Consiliului și de abrogare a Directivei 85/577/CEE a Consiliului și a Directivei 97/7/CE a Parlamentului European și a Consiliului (JO L 304, 22.11.2011, p. 64).
(12) Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului din 29 aprilie 2021 privind prevenirea diseminării conținutului online cu caracter terorist (JO L 172, 17.5.2021, p. 79).
(13) Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale) (JO L 277, 27.10.2022, p. 1).
(14) Regulamentul (UE) 2023/1543 al Parlamentului European și al Consiliului din 12 iulie 2023 privind ordinele europene de divulgare a probelor electronice și ordinele europene de păstrare a probelor electronice în cadrul procedurilor penale și pentru executarea pedepselor privative de libertate în urma unor proceduri penale (JO L 191, 28.7.2023, p. 118).
(15) Directiva (UE) 2023/1544 a Parlamentului European și a Consiliului din 12 iulie 2023 de stabilire a unor norme armonizate privind desemnarea sediilor desemnate și numirea reprezentanților legali în scopul obținerii de probe electronice în cadrul procedurilor penale (JO L 191, 28.7.2023, p. 181).
(16) Regulamentul (UE) 2015/847 al Parlamentului European și al Consiliului din 20 mai 2015 privind informațiile care însoțesc transferurile de fonduri și de abrogare a Regulamentului (CE) nr. 1781/2006 (JO L 141, 5.6.2015, p. 1).
(17) Directiva (UE) 2015/849 a Parlamentului European și a Consiliului din 20 mai 2015 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului, de modificare a Regulamentului (UE) nr. 648/2012 al Parlamentului European și al Consiliului și de abrogare a Directivei 2005/60/CE a Parlamentului European și a Consiliului și a Directivei 2006/70/CE a Comisiei (JO L 141, 5.6.2015, p. 73).
(18) Directiva (UE) 2019/882 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind cerințele de accesibilitate aplicabile produselor și serviciilor (JO L 151, 7.6.2019, p. 70).
(19) Directiva 2001/29/CE a Parlamentului European și a Consiliului din 22 mai 2001 privind armonizarea anumitor aspecte ale dreptului de autor și drepturilor conexe în societatea informațională (JO L 167, 22.6.2001, p. 10).
(20) Directiva 2004/48/CE a Parlamentului European și a Consiliului din 29 aprilie 2004 privind respectarea drepturilor de proprietate intelectuală (JO L 157, 30.4.2004, p. 45).
(21) Directiva (UE) 2019/790 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind dreptul de autor și drepturile conexe pe piața unică digitală și de modificare a Directivelor 96/9/CE și 2001/29/CE (JO L 130, 17.5.2019, p. 92).
(22) Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului din 30 mai 2022 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor) (JO L 152, 3.6.2022, p. 1).
(23) Directiva (UE) 2016/943 a Parlamentului European și a Consiliului din 8 iunie 2016 privind protecția know-how-ului și a informațiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării și divulgării ilegale (JO L 157, 15.6.2016, p. 1).
(24) Directiva 98/6/CE a Parlamentului European și a Consiliului din 16 februarie 1998 privind protecția consumatorului prin indicarea prețurilor produselor oferite consumatorilor (JO L 80, 18.3.1998, p. 27).
(25) Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă („Directiva privind comerțul electronic”) (JO L 178, 17.7.2000, p. 1).
(26) Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului din 14 septembrie 2022 privind piețe contestabile și echitabile în sectorul digital și de modificare a Directivelor (UE) 2019/1937 și (UE) 2020/1828 (Regulamentul privind piețele digitale) (JO L 265, 12.10.2022, p. 1).
(27) Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11 martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităților Europene (JO L 87, 31.3.2009, p. 164).
(28) Directiva (UE) 2019/1024 a Parlamentului European și a Consiliului din 20 iunie 2019 privind datele deschise și reutilizarea informațiilor din sectorul public (JO L 172, 26.6.2019, p. 56).
(29) Directiva 96/9/CE a Parlamentului European și a Consiliului din 11 martie 1996 privind protecția juridică a bazelor de date (JO L 77, 27.3.1996, p. 20).
(30) Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană (JO L 303, 28.11.2018, p. 59).
(31) Directiva (UE) 2019/770 a Parlamentului European și a Consiliului din 20 mai 2019 privind anumite aspecte legate de contractele de furnizare de conținut digital și de servicii digitale (JO L 136, 22.5.2019, p. 1).
(32) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).
(33) Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului (JO L 316, 14.11.2012, p. 12).
(34) Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).
(35) Decizia nr. 768/2008/CE a Parlamentului European și a Consiliului din 9 iulie 2008 privind un cadru comun pentru comercializarea produselor și de abrogare a Deciziei 93/465/CEE a Consiliului (JO L 218, 13.8.2008, p. 82).
(36) Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului din 12 decembrie 2017 privind cooperarea dintre autoritățile naționale însărcinate să asigure respectarea legislației în materie de protecție a consumatorului și de abrogare a Regulamentului (CE) nr. 2006/2004 (JO L 345, 27.12.2017, p. 1).
(37) Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1).
(38) JO L 123, 12.5.2016, p. 1.
(39) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
ELI: http://data.europa.eu/eli/reg/2023/2854/oj
ISSN 1977-0782 (electronic edition)