Data Act 2023/2854 RO

(a)	punerea de date referitoare la un produs și de date referitoare la un serviciu conex la dispoziția utilizatorului produsului conectat sau serviciului conex;

(b)	punerea de date la dispoziția destinatarilor datelor de către deținătorii de date;

(c)	punerea de date la dispoziția organismelor din sectorul public, a Comisiei, a Băncii Centrale Europene și a organelor Uniunii de către deținătorii de date, în cazul în care există o nevoie excepțională pentru respectivele date, pentru îndeplinirea unei sarcini specifice de interes public;

(d)	facilitarea trecerii de la un serviciu de prelucrare a datelor la altul;

(e)	introducerea unor garanții împotriva accesului ilegal al terților la date fără caracter personal; și

(f)	elaborarea de standarde de interoperabilitate pentru datele care urmează să fie accesate, transferate și utilizate.

(2) Prezentul regulament se referă la datele cu caracter personal și datele fără caracter personal, inclusiv la următoarele tipuri de date, în următoarele contexte:

(a)	capitolul II se aplică datelor, cu excepția conținutului, privind performanța, utilizarea și mediul produselor conectate și ale serviciilor conexe;

(b)	capitolul III se aplică tuturor datelor din sectorul privat care fac obiectul obligațiilor statutare privind partajarea de date;

(c)	capitolul IV se aplică tuturor datelor din sectorul privat care se accesează și se utilizează pe baza unor contracte între întreprinderi;

(d)	capitolul V se aplică tuturor datelor din sectorul privat, cu accent pe datele fără caracter personal;

(e)	capitolul VI se aplică tuturor datelor și serviciilor prelucrate de furnizorii de servicii de prelucrare a datelor;

(f)	capitolul VII se aplică tuturor datelor fără caracter personal deținute în Uniune de furnizori de servicii de prelucrare a datelor.

(3) Prezentul regulament se aplică:

(a)	fabricanților de produse conectate introduse pe piață în Uniune și furnizorilor de servicii conexe, indiferent de locul de stabilire al respectivilor fabricanți și furnizori;

(b)	utilizatorilor în Uniune de produse conectate sau de servicii conexe astfel cum se menționează la litera (a);

(c)	deținătorilor de date, indiferent de locul de stabilire al acestora, care pun date la dispoziția destinatarilor datelor din Uniune;

(d)	destinatarilor datelor din Uniune cărora le sunt puse la dispoziție date;

(e)

organismelor din sectorul public, Comisiei, Băncii Centrale Europene și organelor Uniunii care înaintează deținătorilor de date o cerere de punere la dispoziție de date în cazul în care există o nevoie excepțională de datele respective pentru îndeplinirea unei sarcini specifice de interes public și deținătorilor de date care furnizează datele respective ca răspuns la o astfel de cerere;

(f)	furnizorilor de servicii de prelucrare a datelor, indiferent de locul de stabilire al acestora, care oferă astfel de servicii clienților din Uniune;

(g)	participanților la spațiile de date și vânzătorilor de aplicații care utilizează contracte inteligente și persoanelor a căror activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord.

(4) Trimiterile la produse conectate sau servicii conexe din prezentul regulament se înțeleg ca incluzând și asistenții virtuali, în măsura în care aceștia interacționează cu un produs conectat sau un serviciu conex.

(5) Prezentul regulament nu aduce atingere dreptului Uniunii și dreptului intern privind protecția datelor cu caracter personal, a vieții private și a confidențialității comunicațiilor și a integrității echipamentelor terminale, care se aplică datelor cu caracter personal prelucrate în legătură cu drepturile și obligațiile stabilite în acesta, în special Regulamentelor (UE) 2016/679 și (UE) 2018/1725 și Directivei 2002/58/CE, nici atribuțiilor și competențelor autorităților de supraveghere și nici drepturilor persoanelor vizate. În măsura în care utilizatorii sunt persoanele vizate, drepturile prevăzute în capitolul II din prezentul regulament completează dreptul de acces al persoanelor vizate și drepturile la portabilitatea datelor prevăzute la articolele 15 și 20 din Regulamentul (UE) 2016/679. În cazul unui conflict între prezentul regulament și dreptul Uniunii privind protecția datelor cu caracter personal sau a vieții private ori legislația națională adoptată în conformitate cu dreptul respectiv al Uniunii, prevalează dreptul Uniunii sau dreptul intern relevant privind protecția datelor cu caracter personal sau a vieții private.

(6) Prezentul regulament nu se aplică în cazul înțelegerilor voluntare de schimb de date între entități private și publice, în special al înțelegerilor voluntare de partajare de date, și nici nu împiedică astfel de înțelegeri.

Prezentul regulament nu aduce atingere actelor juridice ale Uniunii sau actelor juridice naționale care prevăd partajarea, accesarea și utilizarea de date în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, sau în scopuri vamale sau fiscale, în special Regulamentelor (UE) 2021/784, (UE) 2022/2065 și (UE) 2023/1543 și Directivei (UE) 2023/1544 sau cooperării internaționale în domeniul respectiv. Prezentul regulament nu se aplică activităților de colectare de date sau partajare de date, acces la date sau utilizare de date desfășurate în temeiul Regulamentului (UE) 2015/847 și al Directivei (UE) 2015/849. Prezentul regulament nu se aplică domeniilor care nu intră în sfera de aplicare a dreptului Uniunii și, sub nicio formă, nu aduce atingere competențelor statelor membre în materie de siguranță publică, apărare sau securitate națională, indiferent de tipul de entitate însărcinată de statele membre să îndeplinească sarcini în legătură cu aceste competențe, sau competenței acestora de a proteja alte funcții esențiale ale statului, inclusiv asigurarea integrității teritoriale a statului și menținerea ordinii publice. Prezentul regulament nu aduce atingere competențelor pe care le au statele membre în ceea ce privește administrația vamală și fiscală sau sănătatea și siguranța cetățenilor.

(7) Prezentul regulament completează abordarea bazată pe autoreglementare din Regulamentul (UE) 2018/1807 prin adăugarea de obligații general aplicabile în ceea ce privește trecerea la alt furnizor de servicii de cloud.

(8) Prezentul regulament nu aduce atingere actelor juridice ale Uniunii și actelor juridice naționale care prevăd protecția drepturilor de proprietate intelectuală, în special Directivelor 2001/29/CE, 2004/48/CE și (UE) 2019/790.

(9) Prezentul regulament completează și nu aduce atingere dreptului Uniunii care vizează promovarea intereselor consumatorilor și asigurarea unui nivel ridicat de protecție a consumatorilor, precum și protejarea sănătății, siguranței și intereselor economice ale acestora, în special Directivelor 93/13/CEE, 2005/29/CE și 2011/83/UE.

(10) Prezentul regulament nu împiedică încheierea de contracte legale voluntare de partajare de date, inclusiv contracte încheiate pe bază de reciprocitate, care respectă cerințele prevăzute în prezentul regulament.

Articolul 2

efiniții

În sensul prezentului regulament, se aplică următoarele definiții:

1.	„date” înseamnă orice reprezentare digitală a unor acte, fapte sau informații și orice compilație a unor astfel de acte, fapte sau informații, inclusiv sub forma unei înregistrări audio, video sau audiovizuale;

2.	„metadate” înseamnă o descriere structurată a conținutului sau a utilizării datelor care facilitează descoperirea sau utilizarea acestor date;

3.	„date cu caracter personal” înseamnă date cu caracter personal astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

4.	„date fără caracter personal” înseamnă alte date decât datele cu caracter personal;

„produs conectat” înseamnă un bun care obține, generează sau colectează date privind utilizarea sau mediul său, care are capacitatea de a comunica date referitoare la produs prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat și a cărui funcție principală nu este stocarea, prelucrarea sau transmiterea datelor în numele altor părți decât utilizatorul;

„serviciu conex” înseamnă un serviciu digital, altul decât un serviciu de comunicații electronice, inclusiv un software, care este conectat la produs la momentul achiziționării, al închirierii sau al leasingului astfel încât absența sa ar împiedica produsul conectat să îndeplinească una sau mai multe dintre funcțiile sale, sau care este ulterior conectat la produs de către fabricant sau de către un terț pentru a suplimenta, actualiza sau adapta funcțiile produsului conectat;

„prelucrare” înseamnă orice operațiune sau serie de operațiuni efectuate asupra datelor sau a seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

„serviciu de prelucrare a datelor” înseamnă un serviciu digital care este furnizat unui client și care permite accesul ubicuu și la cerere în rețea la un bazin comun configurabil, scalabil și elastic de resurse informatice cu un caracter centralizat, distribuit sau foarte distribuit care pot fi rapid mobilizate și eliberate cu un efort minim de administrare sau de interacțiune cu furnizorul de servicii;

9.	„același tip de serviciu” înseamnă un set de servicii de prelucrare a datelor care au în comun același obiectiv principal, același model de serviciu de prelucrare a datelor și funcționalitățile principale;

10.	„serviciu de intermediere de date” înseamnă un serviciu de intermediere de date astfel cum este definit la articolul 2 punctul 11 din Regulamentul (UE) 2022/868;

11.	„persoană vizată” înseamnă persoană vizată astfel cum se menționează la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

12.	„utilizator” înseamnă o persoană fizică sau juridică care deține un produs conectat sau căreia i-au fost transferate prin contract drepturi temporare de utilizare a produsului conectat respectiv sau care primește servicii conexe;

13.

„deținător de date” înseamnă o persoană fizică sau juridică care, în conformitate cu prezentul regulament, cu dreptul aplicabil al Uniunii sau cu legislația națională adoptată în conformitate cu dreptul Uniunii, are dreptul sau obligația de a utiliza și de a pune la dispoziție date, inclusiv, dacă s-a convenit prin contract, date referitoare la produs sau date referitoare la un serviciu conex pe care le-a extras sau pe care le-a generat în timpul furnizării unui serviciu conex;

14.

„destinatarul datelor” înseamnă o persoană fizică sau juridică acționând în scopuri legate de activitatea sa comercială, economică, meșteșugărească sau profesională, care este diferită de utilizatorul unui produs conectat sau al unui serviciu conex, putând fi și un terț, și căreia deținătorul de date îi pune la dispoziție date în urma unei cereri primite de la utilizator sau în conformitate cu o obligație juridică prevăzută în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii;

15.

„date referitoare la produs” înseamnă date generate prin utilizarea unui produs conectat pe care fabricantul le-a proiectat astfel încât să poată fi extrase, prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat, de către un utilizator, un deținător de date sau un terț, inclusiv, după caz, de către fabricant;

16.

„date referitoare la serviciul conex” înseamnă date care reprezintă digitizarea acțiunilor și evenimentelor utilizatorilor legate de produsul conectat, înregistrate în mod intenționat de utilizator sau generate ca produs secundar al acțiunii utilizatorului în timpul furnizării unui serviciu conex de către furnizor;

17.

„date ușor accesibile” înseamnă datele referitoare la un produs și datele referitoare la un serviciu conex pe care un deținător de date le obține sau le poate obține în mod legal de la produsul conectat sau de la serviciul conex, fără a fi nevoie de un efort disproporționat care să depășească cadrul unei simple operații;

18.	„secret comercial” înseamnă un secret comercial astfel cum este definit la articolul 2 punctul 1 din Directiva (UE) 2016/943;

19.	„deținătorul secretului comercial” înseamnă un deținător al secretului comercial astfel cum este definit la articolul 2 punctul 2 din Directiva (UE) 2016/943;

20.	„creare de profiluri” înseamnă creare de profiluri astfel cum este definită la articolul 4 punctul 4 din Regulamentul (UE) 2016/679;

21.	„punere la dispoziție pe piață” înseamnă orice furnizare a unui produs conectat pentru distribuție, consum sau utilizare pe piața Uniunii în cursul unei activități comerciale, contra cost sau gratuit;

22.	„introducere pe piață” înseamnă punerea la dispoziție pentru prima oară a unui produs conectat pe piața Uniunii;

23.	„consumator” înseamnă orice persoană fizică ce acționează în scopuri care nu se încadrează în activitatea sa comercială, economică, meșteșugărească sau profesională;

24.	„întreprindere” înseamnă o persoană fizică sau juridică care acționează, în cadrul contractelor și practicilor care intră în domeniul de aplicare al prezentului regulament, în scopuri care au legătură cu activitatea sa comercială, economică, meșteșugărească sau profesională;

25.	„întreprindere mică” înseamnă o întreprindere mică astfel cum este definită la articolul 2 alineatul (2) din anexa la Recomandarea 2003/361/CE;

26.	„microîntreprindere” înseamnă o microîntreprindere astfel cum este definită la articolul 2 alineatul (3) din Recomandarea 2003/361/CE;

27.	„organe ale Uniunii” înseamnă organele, oficiile și agențiile Uniunii instituite prin sau în temeiul unor acte adoptate în temeiul Tratatului privind Uniunea Europeană, a TFUE sau a Tratatului de instituire a Comunității Europene a Energiei Atomice;

28.	„organism din sectorul public” înseamnă autoritățile naționale, regionale sau locale ale statelor membre și organismele de drept public ale statelor membre sau asociațiile formate din una sau mai multe astfel de autorități ori din unul sau mai multe astfel de organisme;

29.

„situație de urgență” înseamnă o situație excepțională, limitată în timp, cum ar fi o situație de urgență de sănătate publică, o situație de urgență cauzată de dezastre naturale, un dezastru antropic major, inclusiv un incident major de securitate cibernetică, care are efecte negative asupra populației Uniunii, asupra unui stat membru sau asupra unei părți ale unui stat membru, cu un risc de repercusiuni grave și de durată asupra condițiilor de viață sau a stabilității economice, a stabilității financiare ori de degradare substanțială și imediată a activelor economice din Uniune ori din statul membru relevant, și care este stabilită sau declarată în mod oficial în conformitate cu procedurile relevante în temeiul dreptului Uniunii sau al dreptului intern;

30.	„client” înseamnă o persoană fizică sau juridică care a intrat într-o relație contractuală cu un furnizor de servicii de prelucrare a datelor cu scopul de a utiliza unul sau mai multe servicii de prelucrare a datelor;

31.

„asistenți virtuali” înseamnă un software care poate prelucra cereri, sarcini sau întrebări, inclusiv cele exprimate în formă audio, prin text, prin gesturi sau prin mișcări, și care, pe baza respectivelor cereri, sarcini sau întrebări, oferă acces la alte servicii sau controlează funcțiile produselor conectate;

32.	„active digitale” înseamnă elemente în format digital, inclusiv aplicații, asupra cărora clientul are drept de utilizare, indiferent de relația contractuală cu serviciul de prelucrare a datelor pe care intenționează să îl schimbe;

33.	„infrastructura TIC locală” înseamnă o infrastructură TIC și resurse informatice deținute, închiriate sau utilizate în sistem de leasing de client, situate în centrul de date al clientului și exploatate de client sau de un terț;

34.

„trecere la alt furnizor” înseamnă procesul care implică un furnizor de servicii de prelucrare a datelor de origine, un client al unui serviciu de prelucrare a datelor și, după caz, un furnizor de servicii de prelucrare a datelor de destinație, prin care clientul unui serviciu de prelucrare a datelor trece de la utilizarea unui serviciu de prelucrare a datelor la utilizarea unui alt serviciu de prelucrare a datelor, care este același tip de serviciu, sau la alt serviciu, oferit de un furnizor diferit de servicii de prelucrare a datelor, sau la o infrastructură TIC locală, inclusiv prin extragerea, transformarea și încărcarea datelor;

35.

„taxe pentru ieșirea datelor prin transfer” înseamnă taxele de transfer de date percepute clienților pentru extragerea datelor lor prin intermediul rețelei din infrastructura TIC a unui furnizor de servicii de prelucrare a datelor către sistemul unui furnizor diferit sau către o infrastructură TIC locală;

36.

„taxe de trecere la alt furnizor” înseamnă taxe, altele decât taxele standard pentru servicii sau penalitățile pentru reziliere anticipată, impuse de un furnizor de servicii de prelucrare a datelor unui client pentru acțiunile prevăzute de prezentul regulament pentru trecerea la sistemul unui furnizor diferit sau la infrastructura TIC locală, inclusiv taxele pentru ieșirea datelor prin transfer;

37.

„echivalență funcțională” înseamnă restabilirea, pe baza datelor exportabile și a activelor digitale ale clientului, a unui nivel minim de funcționalitate în mediul unui nou serviciu de prelucrare a datelor, care este același tip de serviciu, după procesul de trecere la alt furnizor, în situația în care serviciul de prelucrare a datelor de destinație produce rezultate realmente comparabile ca răspuns la aceleași date de intrare pentru caracteristicile partajate furnizate clientului în temeiul contractului;

38.

„date exportabile”, în sensul articolelor 23-31 și al articolului 35, înseamnă datele de intrare și de ieșire, inclusiv metadatele, generate direct sau indirect sau cogenerate, prin utilizarea de către client a serviciului de prelucrare a datelor, cu excepția oricăror active sau date protejate de drepturi de proprietate intelectuală, sau care constituie secrete comerciale, ale furnizorilor de servicii de prelucrare a datelor sau ale terților;

39.	„contract inteligent” înseamnă un program pentru calculator utilizat pentru executarea automată a unui contract sau a unei părți a acestuia, utilizând o secvență de înregistrări electronice de date și asigurând integritatea și acuratețea ordonării lor cronologice;

40.	„interoperabilitate” înseamnă capacitatea a două sau mai multe spații de date sau rețele de comunicații, sisteme, produse conectate, aplicații, servicii de prelucrare a datelor sau componente de a schimba și de a utiliza date în vederea îndeplinirii funcțiilor lor;

41.	„specificație deschisă de interoperabilitate” înseamnă o specificație tehnică în domeniul tehnologiilor informației și comunicațiilor care este orientată spre performanța realizării interoperabilității între serviciile de prelucrare a datelor;

42.	„specificații comune” înseamnă un document, diferit de un standard, ce conține soluții tehnice care oferă un mijloc de respectare a anumitor cerințe și obligații stabilite în prezentul regulament;

43.	„standard armonizat” înseamnă un standard armonizat astfel cum este definit la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012.

CAPITOLUL II

PARTAJAREA DE DATE ÎNTRE ÎNTREPRINDERI ȘI CONSUMATORI ȘI ÎNTRE ÎNTREPRINDERI

Articolul 3

Obligația de a pune datele referitoare la produsele și datele referitoare la serviciile conexe la dispoziția utilizatorului

(1) Produsele conectate sunt proiectate și fabricate, iar serviciile conexe sunt proiectate și furnizate astfel încât datele referitoare la produs și datele referitoare la serviciul conex, inclusiv metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, să fie direct accesibile utilizatorului, în mod implicit, ușor, securizat și gratuit, într-un format cuprinzător, structurat, utilizat în mod curent și prelucrabil automat și dacă este relevant și fezabil din punct de vedere tehnic.

(2) Înainte de încheierea unui contract de cumpărare, închiriere sau de leasing a unui produs conectat, vânzătorul sau locatorul parte la contractul de închiriere sau de leasing, care poate fi fabricantul, furnizează utilizatorului într-un mod clar și inteligibil, cel puțin următoarele informații:

(a)	tipul, formatul și volumul estimat al datelor referitoare la produs pe care produsul conectat este capabil să le genereze;

(b)	dacă produsul conectat este capabil să genereze date în mod continuu și în timp real;

(c)	dacă produsul conectat este capabil să stocheze date pe dispozitiv sau pe un server la distanță, inclusiv, după caz, durata preconizată a păstrării;

(d)	modul în care utilizatorul poate accesa, extrage sau, după caz, șterge datele, inclusiv mijloacele tehnice în acest sens, precum și condițiile de utilizare și calitatea serviciului.

(3) Înainte de încheierea unui contract de furnizare a unui serviciu conex, furnizorul unui astfel de serviciu conex îi furnizează utilizatorului, într-un mod clar și inteligibil, cel puțin următoarele informații:

(a)

natura, volumul estimat și frecvența de colectare a datelor referitoare la produs pe care se preconizează că le va obține potențialul deținător de date și, după caz, modalitățile prin care utilizatorul poate accesa sau extrage astfel de date, inclusiv procedurile deținătorului potențial de date privind stocarea și durata perioadei de păstrare a datelor;

(b)	natura și volumul estimat al datelor referitoare la serviciu care urmează să fie generate, precum și modalitățile prin care utilizatorul poate accesa sau extrage astfel de date, inclusiv procedurile deținătorului potențial de date privind stocarea și durata perioadei de păstrare a datelor;

(c)	dacă deținătorul potențial de date se așteaptă să utilizeze el însuși datele ușor accesibile și scopurile pentru care aceste date urmează să fie utilizate și dacă intenționează să permită uneia sau mai multor terți să utilizeze datele în scopuri convenite cu utilizatorul;

(d)	identitatea potențialului deținător de date, cum ar fi denumirea sa comercială și adresa geografică la care este stabilit și, după caz, alte părți implicate în prelucrarea datelor;

(e)	mijloacele de comunicare care permit utilizatorului să contacteze rapid deținătorul potențial de date și să comunice eficient cu deținătorul de date respectiv;

(f)	modul în care utilizatorul poate solicita ca datele să fie partajate cu un terț și în care, după caz, își poate retrage consimțământul pentru partajarea datelor;

(g)	dreptul utilizatorului de a depune o plângere privind încălcarea oricărei dispoziții a prezentului capitol la autoritatea competentă desemnată în temeiul articolului 37;

(h)

dacă deținătorul potențial de date este deținătorul unor secrete comerciale conținute în datele care sunt accesibile din produsul conectat sau generate în timpul furnizării unui serviciu conex și în cazul în care deținătorul potențial de date nu este deținătorul secretului comercial, identitatea deținătorului secretului comercial;

(i)	durata contractului dintre utilizator și deținătorul potențial de date, precum și modalitățile de reziliere a unui astfel de contract.

Articolul 10

Soluționarea litigiilor

(1) Utilizatorii, deținătorii de date și destinatarii datelor au acces la un organism de soluționare a litigiilor, certificat în conformitate cu alineatul (5) de la prezentul articol, pentru a soluționa litigii în temeiul articolului 4 alineatele (3) și (9) și al articolului 5 alineatul (12), precum și litigii în legătură cu clauzele și condițiile echitabile, rezonabile și nediscriminatorii de punere la dispoziție a datelor și cu modul transparent de punere la dispoziție a datelor, în conformitate cu prezentul capitol și cu capitolul IV.

(2) Organismele de soluționare a litigiilor aduc taxele sau mecanismele utilizate pentru stabilirea taxelor la cunoștința părților în cauză înainte ca părțile respective să solicite emiterea unei decizii.

(3) În ceea ce privește litigiile pentru care a fost sesizat organismul de soluționare a litigiilor în temeiul articolului 4 alineatele (3) și (9) și al articolului 5 alineatul (12), în cazul în care organismul de soluționare a litigiilor decide în cadrul unui litigiu în favoarea utilizatorului sau a destinatarului datelor, deținătorul de date suportă toate taxele percepute de organismul de soluționare a litigiilor și rambursează utilizatorului sau destinatarului respectiv orice alte cheltuieli rezonabile pe care le-a suportat în legătură cu soluționarea litigiului. În cazul în care organismul de soluționare a litigiilor decide în cadrul unui litigiu în favoarea deținătorului de date, utilizatorul sau destinatarul datelor nu are obligația de a rambursa eventualele taxe sau alte cheltuieli pe care deținătorul de date le-a plătit sau pe care urmează să le plătească în legătură cu soluționarea litigiului, cu excepția cazului în care organismul de soluționare a litigiilor constată că utilizatorul sau destinatarul datelor a acționat în mod evident cu rea-credință.

(4) Clienții și furnizorii de servicii de prelucrare a datelor au acces la un organism de soluționare a litigiilor, certificat în conformitate cu alineatul (5) de la prezentul articol, pentru a soluționa litigiile legate de încălcarea drepturilor clienților și a obligațiilor furnizorilor de servicii de prelucrare a datelor, în conformitate cu articolele 23-31.

(5) Statul membru în care este stabilit organismul de soluționare a litigiilor certifică organismul, la cererea organismului respectiv, în cazul în care acesta a demonstrat că îndeplinește toate condițiile următoare:

(a)	este imparțial și independent și emite decizii în conformitate cu norme de procedură clare, nediscriminatorii și echitabile;

(b)

dispune de cunoștințele de specialitate necesare, în special privind clauzele și condițiile echitabile, rezonabile și nediscriminatorii, inclusiv privind compensațiile, și privind punerea la dispoziție a datelor într-un mod transparent, ceea ce îi permite să stabilească în mod eficace clauzele și condițiile respective;

(c)	este ușor de accesat prin intermediul tehnologiei comunicațiilor electronice;

(d)	are capacitatea de a adopta decizii într-un mod rapid, eficace și eficient din punctul de vedere al costurilor în cel puțin o limbă oficială a Uniunii.

(6) Organismele de soluționare a litigiilor certificate sunt notificate Comisiei de către statele membre în conformitate cu alineatul (5). Comisia publică pe un site specializat o listă a organismelor respective, pe care o actualizează în permanență.

(7) Un organism de soluționare a litigiilor refuză să trateze o cerere de soluționare a unui litigiu dacă pentru același litigiu s-a introdus deja o cerere în fața altui organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

(8) Un organism de soluționare a litigiilor acordă părților, într-un termen rezonabil, posibilitatea de a-și exprima punctele de vedere asupra chestiunilor pe care părțile respective le-au introdus în fața organismului respectiv. În contextul respectiv, fiecare parte la un litigiu primește concluziile celeilalte părți la litigiu și eventualele declarații ale experților. Părților li se oferă posibilitatea de a prezenta observații cu privire la cererile și declarațiile respective.

(9) Un organism de soluționare a litigiilor adoptă o decizie cu privire la chestiunea pentru care a fost sesizat în termen de cel mult 90 de zile de la data primirii unei cereri în temeiul alineatelor (1) și (4). Decizia respectivă este scrisă sau pe un suport durabil și este însoțită de o expunere de motive.

(10) Organismele de soluționare a litigiilor întocmesc și pun la dispoziția publicului rapoartele lor anuale de activitate. Fiecare astfel de raport anual include, în special, următoarele informații:

(a)	rezultatele agregate ale litigiilor;

(b)	timpul mediu necesar pentru soluționarea litigiilor;

(c)	motivele cele mai frecvente ale litigiilor.

(11) Pentru facilitarea schimbului de informații și de bune practici, un organism de soluționare a litigiilor poate decide să includă recomandări în raportul menționat la alineatul (10) privind modul în care pot fi evitate sau soluționate problemele.

(12) Decizia unui organism de soluționare a litigiilor este obligatorie pentru părți numai dacă părțile și-au dat consimțământul explicit cu privire la caracterul său obligatoriu înainte de începerea procedurii de soluționare a litigiilor.

(13) Prezentul articol nu aduce atingere dreptului părților de a introduce o cale de atac eficientă în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

Articolul 23

Eliminarea obstacolelor din calea trecerii la alt furnizor

furnizorii de servicii de prelucrare a datelor iau măsurile prevăzute la articolele 25, 26, 27, 29 și 30 pentru a le permite clienților să treacă la un serviciu de prelucrare a datelor, care acoperă același tip de serviciu și care este furnizat de alt furnizor de servicii de prelucrare a datelor, sau la o infrastructură TIC locală, sau, dacă este cazul, să utilizeze mai mulți furnizori de servicii de prelucrare a datelor în același timp. În special, furnizorii de servicii de prelucrare a datelor nu impun și elimină obstacolele precomerciale, comerciale, tehnice, contractuale și organizatorice care nu le permit clienților:

(a)	să rezilieze, după încheierea perioadei maxime de preaviz și după finalizarea cu succes a procesului de trecere la alt furnizor, în conformitate cu articolul 25, contractul având ca obiect serviciul de prelucrare a datelor;

(b)	să încheie noi contracte cu un furnizor diferit de servicii de prelucrare a datelor care acoperă același tip de serviciu;

(c)	să își porteze datele exportabile ce le aparțin în calitate de clienți și activele digitale către un furnizor diferit de servicii de prelucrare a datelor sau către o infrastructură TIC locală, inclusiv după ce au beneficiat de o ofertă vizând un nivel de servicii gratuit;

(d)	în conformitate cu articolul 24, să obțină echivalența funcțională în utilizarea noului serviciu de prelucrare a datelor în mediul informatic al unui furnizor diferit de servicii de prelucrare a datelor care acoperă același tip de serviciu;

(e)	să obțină segregarea, acolo unde este fezabil din punct de vedere tehnic, a serviciilor de prelucrare a datelor menționate la articolul 30 alineatul (1) de alte servicii de prelucrare a datelor furnizate de furnizorul de servicii de prelucrare a datelor.

Articolul 24

Domeniul de aplicare al obligațiilor tehnice

Responsabilitățile furnizorilor de servicii de prelucrare a datelor prevăzute la articolele 23, 25, 29, 30 și 34 se aplică numai în cazul serviciilor, contractelor sau practicilor comerciale asigurate de furnizorul serviciilor de prelucrare a datelor de origine.

Articolul 25

Clauze contractuale referitoare la trecerea la alt furnizor

(1) Drepturile clientului și obligațiile furnizorului de servicii de prelucrare a datelor în ceea ce privește trecerea la alt furnizor de astfel de servicii sau, dacă este cazul, la o infrastructură TIC locală se stabilesc în mod clar într-un contract scris. furnizorul de servicii de prelucrare a datelor pune contractul la dispoziția clientului înainte de semnarea contractului, într-un mod care permite clientului să stocheze contractul și să îl reproducă.

(2) Fără a aduce atingere Directivei (UE) 2019/770, contractul menționat la alineatul (1) de la prezentul articol include cel puțin următoarele:

(a)

clauze care îi permit clientului, la cerere, să treacă la un serviciu de prelucrare a datelor oferit de un furnizor diferit de servicii de prelucrare a datelor sau să porteze toate datele exportabile și activele digitale către o infrastructură TIC locală, fără întârzieri nejustificate, și, în orice caz, nu mai târziu de o perioadă de tranziție maximă obligatorie de 30 de zile calendaristice, care începe să curgă după încheierea perioadei maxime de preaviz menționate la litera (d), în cursul căreia contractul de servicii rămâne aplicabil iar furnizorul de servicii de prelucrare a datelor:

(i)	oferă asistență adecvată clientului și terților autorizați de client în cursul procesului de trecere la alt furnizor;

(ii)	acționează cu grija cuvenită pentru a menține continuitatea activității și continuă să asigure funcțiile sau serviciile prevăzute în contract;

(iii)

furnizează informații clare despre riscurile cunoscute legate de continuitatea asigurării funcțiilor sau serviciilor de partea furnizorului de servicii de prelucrare a datelor de origine;

(iv)

se asigură că se menține un nivel ridicat de securitate pe tot parcursul procesului de trecere la alt furnizor, în special securitatea datelor în timpul transferului acestora și securitatea continuă a datelor în perioada de extragere specificată la litera (g), în conformitate cu dreptul aplicabil al Uniunii sau cu dreptul intern aplicabil;

(b)	obligația furnizorului de servicii de prelucrare a datelor de a sprijini strategia de ieșire a clientului relevantă pentru serviciile contractate, inclusiv prin furnizarea tuturor informațiilor pertinente;

(c)

o clauză care precizează că, în oricare dintre următoarele situații, contractul este considerat reziliat, iar clientul este informat cu privire la această reziliere:

(i)	după caz, la finalizarea cu succes a procesului de trecere la alt furnizor;

(ii)	la sfârșitul perioadei maxime de preaviz menționate la litera (d), în cazul în care clientul nu dorește să transfere, ci să șteargă datele sale exportabile și activele sale digitale din momentul încetării furnizării serviciilor;

(d)	o perioadă maximă de preaviz pentru demararea procesului de trecere la alt furnizor, care nu trebuie să depășească două luni;

(e)	o listă exhaustivă a tuturor categoriilor de date și active digitale care pot fi portate în cursul procesului de trecere la alt furnizor, inclusiv, ca cerință minimă, toate datele exportabile;

(f)

o listă exhaustivă a categoriilor de date specifice funcționării interne a serviciului de prelucrare a datelor prestat de furnizor care urmează să fie exceptate de la includerea în categoria datelor exportabile în temeiul literei (e) de la prezentul alineat atunci când există un risc de încălcare a secretelor comerciale ale furnizorului, cu condiția ca astfel de exceptări să nu împiedice sau să nu întârzie procesul de trecere la alt furnizor prevăzut la articolul 23;

(g)	o perioadă minimă de extragere a datelor de cel puțin 30 de zile calendaristice, care începe să curgă după încheierea perioadei de tranziție convenite între client și furnizorul de servicii de prelucrare a datelor, în conformitate cu litera (a) de la prezentul alineat și cu alineatul (4);

(h)

o clauză care să garanteze ștergerea completă a tuturor datelor exportabile și a activelor digitale generate direct de client sau care au legătură directă cu clientul, după expirarea perioadei de extragere menționate la litera (g) sau după expirarea unei alte perioade convenite și care survine la o dată ulterioară datei de expirare a perioadei de extragere menționate la litera (g), cu condiția ca procesul de trecere la alt furnizor să fi fost finalizat cu succes;

(i)	taxele de trecere la alt furnizor care pot fi impuse de furnizorii de servicii de prelucrare a datelor în conformitate cu articolul 29.

(3) Contractul menționat la alineatul (1) include clauze care prevăd că clientul dispune de posibilitatea de a notifica furnizorului de servicii de prelucrare a datelor decizia sa de a efectua una sau mai multe dintre următoarele acțiuni după încheierea perioadei maxime de preaviz menționate la alineatul (2) litera (d):

(a)	trecerea la un furnizor diferit de servicii de prelucrare a datelor, caz în care clientul furnizează informațiile necesare cu privire la furnizorul respectiv;

(b)	trecerea la o infrastructură TIC locală;

(c)	ștergerea datelor exportabile și a activelor digitale ce îi aparțin.

(4) În cazul în care perioada de tranziție maximă obligatorie, astfel cum este prevăzută la alineatul (2) litera (a), nu poate fi asigurată din motive tehnice, furnizorul de servicii de prelucrare a datelor informează clientul în termen de 14 zile lucrătoare de la depunerea cererii de trecere la alt furnizor, justifică în mod corespunzător incapacitatea tehnică și indică o perioadă de tranziție alternativă, care nu poate depăși șapte luni. În conformitate cu alineatul (1), se asigură continuitatea serviciului pe toată perioada de tranziție alternativă.

(5) Fără a se aduce atingere alineatului (4), contractul menționat la alineatul (1) include clauze care conferă clientului dreptul de a prelungi perioada de tranziție, o singură dată, cu o perioadă pe care clientul o consideră mai adaptată propriilor sale scopuri.

Articolul 26

Obligația de informare ce revine furnizorilor de servicii de prelucrare a datelor

furnizorul de servicii de prelucrare a datelor pune la dispoziția clientului:

(a)

informații despre procedurile disponibile pentru trecerea la alt furnizor și portarea către serviciul de prelucrare a datelor, inclusiv informații despre metodele și formatele de trecere la alt furnizor și de portare disponibile, precum și despre restricțiile și limitările tehnice care sunt cunoscute de furnizorul de servicii de prelucrare a datelor;

(b)

o trimitere la un registru online actualizat găzduit de furnizorul de servicii de prelucrare a datelor, care să conțină detalii privind toate structurile și formatele de date, precum și standardele și specificațiile deschise de interoperabilitate relevante, în care sunt disponibile datele exportabile menționate la articolul 25 alineatul (2) litera (e).

Articolul 27

Obligația de a acționa cu bună-credință

Toate părțile implicate, inclusiv furnizorii de servicii de prelucrare a datelor de destinație, cooperează cu bună-credință pentru a asigura eficacitatea procesului de trecere la alt furnizor, pentru a permite transferul în timp util al datelor și pentru a menține continuitatea serviciului de prelucrare a datelor.

Articolul 28

Obligații contractuale în materie de transparență privind accesul și transferul la nivel internațional

(1) furnizorii de servicii de prelucrare a datelor publică următoarele informații pe site-urile lor web și le actualizează permanent:

(a)	jurisdicția sub incidența căreia intră infrastructura TIC instalată pentru prelucrarea datelor serviciilor lor individuale;

(b)

o descriere generală a măsurilor tehnice, organizatorice și contractuale adoptate de furnizorul de servicii de prelucrare a datelor pentru a împiedica accesul administrațiilor publice la nivel internațional sau transferul de către acestea de date fără caracter personal deținute în Uniune, în cazul în care un astfel de acces sau transfer ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant.

(2) Site-urile web menționate la alineatul (1) sunt enumerate în contractele aferente tuturor serviciilor de prelucrare a datelor oferite de furnizorii de servicii de prelucrare a datelor.

Articolul 29

Eliminarea treptată a taxelor de trecere la alt furnizor

(1) Începând cu 12 ianuarie 2027, furnizorii de servicii de prelucrare a datelor nu impun clientului, pentru procesul de trecere la alt furnizor, niciun fel de taxe de trecere la alt furnizor.

(2) De la 11 ianuarie 2024 până la 12 ianuarie 2027, furnizorii de servicii de prelucrare a datelor pot să impună clientului, pentru procesul de trecere la alt furnizor, taxe reduse de trecere la alt furnizor.

(3) Taxele reduse de trecere la alt furnizor menționate la alineatul (2) nu pot depăși costurile pe care le suportă furnizorul de servicii de prelucrare a datelor și care sunt direct legate de procesul în cauză de trecere la alt furnizor.

(4) Înainte de a încheia un contract cu un client, furnizorii de servicii de prelucrare a datelor pun la dispoziția clientului potențial informații clare cu privire la taxele standard pentru furnizarea serviciilor și la penalizările pentru reziliere anticipată care ar putea fi impuse, precum și cu privire la taxele reduse de trecere la alt furnizor, care ar putea fi impuse în intervalul de timp menționat la alineatul (2).

(5) Unde este cazul, furnizorii de servicii de prelucrare a datelor pun la dispoziția clientului informații cu privire la serviciile de prelucrare a datelor care implică o mare complexitate sau costuri ridicate în caz de trecere la alt furnizor ori pentru care este imposibil să se treacă la alt furnizor fără intervenții semnificative asupra arhitecturii datelor, activelor digitale sau serviciilor.

(6) Unde este cazul, furnizorii de servicii de prelucrare a datelor pun informațiile menționate la alineatele (4) și (5) la dispoziția clienților într-o secțiune a site-ului lor web rezervată acestui scop sau prin orice alt mod ușor accesibil.

(7) Comisia este împuternicită să adopte, în conformitate cu articolul 45, acte delegate de completare a prezentului regulament în vederea instituirii unui mecanism de monitorizare prin care Comisia să monitorizeze taxele de trecere la alt furnizor impuse de furnizorii de servicii de prelucrare a datelor de pe piață, pentru a se asigura că eliminarea și reducerea taxelor de trecere la alt furnizor, în temeiul alineatelor (1) și (2) de la prezentul articol, se realizează în termenele stabilite la alineatele respective.

Articolul 30

Aspecte tehnice ale trecerii la alt furnizor

(1) furnizorii de servicii de prelucrare a datelor care vizează resurse informatice scalabile și elastice care se limitează la elemente de infrastructură, cum ar fi serverele, rețelele și resursele virtuale necesare pentru exploatarea infrastructurii, dar care nu oferă acces la serviciile, software-urile și aplicațiile de operare care sunt stocate, prelucrate în alt mod sau instalate pe respectivele elemente de infrastructură, iau toate măsurile rezonabile posibile, în conformitate cu articolul 27, pentru a ajuta clientul, după ce acesta trece la un serviciu care acoperă același tip de serviciu, să obțină echivalența funcțională în utilizarea serviciului de prelucrare a datelor de destinație. furnizorul de servicii de prelucrare a datelor de origine facilitează procesul de trecere la alt furnizor punând la dispoziție capacități, informații adecvate, documentație, asistență tehnică și, după caz, instrumentele necesare.

(2) furnizorii de servicii de prelucrare a datelor, alții decât cei menționați la alineatul (1), pun interfețe deschise la dispoziția tuturor clienților lor și a furnizorilor de servicii de destinație, în mod egal și gratuit, pentru a facilita procesul de trecere la alt furnizor. Respectivele interfețe includ informații suficiente cu privire la serviciul în cauză pentru a permite dezvoltarea de software-uri care să facă posibilă comunicarea cu serviciile, în scopul portabilității datelor și al interoperabilității.

(3) În cazul unor servicii de prelucrare a datelor diferite de cele menționate la alineatul (1) de la prezentul articol, furnizorii de servicii de prelucrare a datelor asigură compatibilitatea cu specificațiile comune bazate pe specificații deschise de interoperabilitate sau cu standardele armonizate de interoperabilitate, pentru o perioadă de cel puțin 12 luni după publicarea trimiterilor la respectivele specificații comune sau standarde armonizate pentru interoperabilitatea serviciilor de prelucrare a datelor în registrul central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor, ce urmează publicării actelor de punere în aplicare subiacente în Jurnalul Oficial al Uniunii Europene în conformitate cu articolul 35 alineatul (8).

(4) furnizorii de servicii de prelucrare a datelor, alții decât cei menționați la alineatul (1) de la prezentul articol, actualizează registrul online menționat la articolul 26 litera (b) în conformitate cu obligațiile care le revin în temeiul alineatului (3) de la prezentul articol.

(5) În cazul trecerii de la un serviciu la un altul de același tip, pentru care specificațiile comune sau standardele armonizate pentru interoperabilitate menționate la alineatul (3) de la prezentul articol nu au fost publicate în registrul central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor în conformitate cu articolul 35 alineatul (8), furnizorul serviciilor de prelucrare a datelor exportă, la cererea clientului, toate datele exportabile într-un format structurat, utilizat în mod curent și care poate fi citit automat.

(6) furnizorii de servicii de prelucrare a datelor nu sunt obligați să dezvolte noi tehnologii sau servicii, sau să comunice sau să transfere active digitale protejate de drepturi de proprietate intelectuală sau care constituie secrete comerciale către un client sau către un furnizor diferit de servicii de prelucrare a datelor ori să compromită securitatea și integritatea serviciului clientului sau furnizorului.

Articolul 31

Regimul specific aferent anumitor servicii de prelucrare a datelor

(1) Obligațiile prevăzute la articolul 23 litera (d), la articolul 29 și la articolul 30 alineatele (1) și (3) nu se aplică serviciilor de prelucrare a datelor în cazul cărora majoritatea caracteristicilor principale au fost personalizate pentru a răspunde nevoilor specifice ale unui client individual sau în cazul cărora toate componentele au fost dezvoltate în beneficiul unui client individual, și nici în cazul în care respectivele servicii de prelucrare a datelor nu sunt oferite la scară comercială largă prin intermediul catalogului de servicii al furnizorului de servicii de prelucrare a datelor.

(2) Obligațiile prevăzute în prezentul capitol nu se aplică serviciilor de prelucrare a datelor puse la dispoziție într-o versiune care nu este destinată producției, în scop de testare și evaluare și numai pentru o perioadă limitată de timp.

(3) Înainte de încheierea unui contract privind furnizarea serviciilor de prelucrare a datelor menționate la prezentul articol, furnizorul de servicii de prelucrare a datelor informează clientul potențial cu privire la obligațiile prevăzute în prezentul capitol care nu se aplică.

CAPITOLUL VII

ACCESUL ADMINISTRAȚIILOR PUBLICE LA DATELE FĂRĂ CARACTER PERSONAL ȘI TRANSFERUL ACESTORA LA NIVEL INTERNAȚIONAL

Articolul 32

Accesul administrațiilor publice și transferul la nivel internațional

(1) Fără a aduce atingere alineatului (2) sau (3), furnizorii de servicii de prelucrare a datelor iau toate măsurile tehnice, organizatorice și juridice adecvate, inclusiv de ordin contractual, pentru a împiedica transferul internațional de date fără caracter personal deținute în Uniune și accesul la astfel de date al administrațiilor publice ale țărilor terțe, în cazul în care un astfel de transfer sau acces ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant.

(2) Deciziile sau hotărârile unei instanțe judecătorești sau ale unui tribunal dintr-o țară terță și deciziile unei autorități administrative dintr-o țară terță prin care se solicită unui furnizor de servicii de prelucrare a datelor să transfere date fără caracter personal deținute în Uniune ce intră în domeniul de aplicare al prezentului regulament sau să acorde acces la astfel de date sunt recunoscute sau pot fi executate sub orice formă doar dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență judiciară reciprocă, în vigoare între țara terță solicitantă și Uniune sau pe orice alt asemenea acord între țara terță solicitantă și un stat membru.

(3) În absența unui acord internațional de tipul celor menționate la alineatul (2), în cazul în care un furnizor de servicii de prelucrare a datelor este destinatarul unei decizii sau al unei hotărâri a unei instanțe judecătorești sau a unui tribunal dintr-o țară terță ori al unei decizii a unei autorități administrative dintr-o țară terță care prevede transferul de date fără caracter personal deținute în Uniune și care intră în domeniul de aplicare al prezentului regulament sau acordarea accesului la astfel de date iar, prin respectarea unei astfel de decizii, destinatarul riscă să intre în conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant, transferul către autoritatea din țara terță respectivă sau accesul acesteia la astfel de date poate avea loc numai atunci când:

(a)

sistemul țării terțe în cauză prevede obligativitatea expunerii motivelor și a proporționalității unei astfel de decizii sau hotărâri judecătorești și prevede că o astfel de decizie sau hotărâre trebuie să aibă un caracter specific, de exemplu prin demonstrarea unei legături suficiente cu anumite persoane suspectate sau cu anumite încălcări;

(b)	obiecția motivată a destinatarului este supusă controlului unei instanțe judecătorești competente sau al unui tribunal competent din țara terță; și

(c)

instanța judecătorească competentă sau tribunalul competent din țara terță care pronunță decizia sau hotărârea sau care revizuiește decizia unei autorități administrative este împuternicită, în temeiul dreptului țării terțe respective, să țină seama în mod corespunzător de interesele juridice relevante ale furnizorului de date protejate în temeiul dreptului Uniunii sau al dreptului intern al statului membru relevant.

Destinatarul deciziei sau hotărârii poate solicita avizul organismului național relevant sau al autorității competente în materie de cooperare judiciară internațională, pentru a stabili dacă condițiile prevăzute la primul paragraf sunt îndeplinite, în special atunci când consideră că decizia poate viza secrete comerciale și alte date sensibile din punct de vedere comercial, precum și conținuturi protejate de drepturi de proprietate intelectuală, ori atunci când transferul datelor poate avea drept rezultat reidentificarea acestora. Organismul național relevant sau autoritatea națională relevantă poate consulta Comisia. În cazul în care destinatarul consideră că decizia sau hotărârea poate afecta interesele Uniunii sau ale statelor membre ale acesteia în materie de securitate sau apărare națională, acesta solicită avizul organismului național relevant sau al autorității naționale relevante pentru a stabili dacă datele solicitate vizează interesele Uniunii sau ale statelor membre ale acesteia în materie de securitate sau apărare națională. În cazul în care destinatarul nu primește un răspuns în termen de o lună sau în care în avizul unui astfel de organism sau al unei astfel de autorități se concluzionează că nu sunt îndeplinite condițiile prevăzute la primul paragraf, destinatarul poate respinge cererea de transfer al datelor fără caracter personal sau de acces la acestea din motivele menționate.

EDIB, astfel cum este menționat la articolul 42, consiliază și asistă Comisia în elaborarea de orientări cu privire la evaluarea îndeplinirii condițiilor prevăzute la primul paragraf de la prezentul alineat.

(4) Dacă sunt îndeplinite condițiile prevăzute la alineatul (2) sau (3), furnizorul de servicii de prelucrare a datelor pune la dispoziție volumul minim de date permis ca răspuns la o cerere, pe baza unei interpretări rezonabile a cererii respective de către furnizor sau de organismul național relevant sau de autoritatea națională relevantă menționată la alineatul (3) al doilea paragraf.

(5) furnizorul de servicii de prelucrare a datelor îl informează pe client cu privire la existența unei cereri prin care o autoritate dintr-o țară terță solicită acces la datele sale, înainte de a da curs cererii respective, cu excepția cazurilor în care cererea servește unor scopuri de asigurare a respectării legii și atât timp cât acest lucru este necesar pentru a se menține eficacitatea activității de asigurare a respectării legii.

CAPITOLUL VIII

INTEROPERABILITATE

Articolul 34

Interoperabilitatea în scopul utilizării în paralel a serviciilor de prelucrare a datelor

(1) Cerințele prevăzute la articolul 23, la articolul 24, la articolul 25 alineatul (2) litera (a) punctul (ii), litera (a) punctul (iv) și literele (e) și (f), precum și la articolul 30 alineatele (2)-(5) se aplică, de asemenea, mutatis mutandis furnizorilor de servicii de prelucrare a datelor, pentru a facilita interoperabilitatea în scopul utilizării în paralel a serviciilor de prelucrare a datelor.

(2) În cazul în care un serviciu de prelucrare a datelor este utilizat în paralel cu un alt serviciu de prelucrare a datelor, furnizorii de servicii de prelucrare a datelor pot impune taxe pentru ieșirea datelor prin transfer, dar numai în scopul transferării costurilor de ieșire suportate, fără a depăși costurile respective.

Articolul 37

Autoritățile competente și coordonatorii de date

(1) Fiecare stat membru desemnează una sau mai multe autorități competente care sunt responsabile cu aplicarea și asigurarea respectării prezentului regulament (denumite în continuare „autoritățile competente”). Statele membre pot să înființeze una sau mai multe autorități noi sau să se bazeze pe autorități existente.

(2) În cazul în care un stat membru desemnează mai multe autorități competente, acesta desemnează un coordonator de date ales dintre ele pentru a facilita cooperarea între autoritățile competente și pentru a sprijini entitățile care intră în domeniul de aplicare al prezentului regulament cu privire la toate aspectele legate de aplicarea și asigurarea respectării acestuia. Autoritățile competente cooperează între ele în exercitarea sarcinilor și competențelor care le-au fost atribuite în temeiul alineatului (5).

(3) Autoritățile de supraveghere care sunt responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 sunt responsabile cu monitorizarea aplicării prezentului regulament în ceea ce privește protecția datelor cu caracter personal. Se aplică, mutatis mutandis, capitolele VI și VII din Regulamentul (UE) 2016/679.

Autoritatea Europeană pentru Protecția Datelor este responsabilă cu monitorizarea aplicării prezentului regulament pentru aspectele care privesc Comisia, Banca Centrală Europeană și organele Uniunii. Acolo unde este cazul, se aplică, mutatis mutandis, articolul 62 din Regulamentul (UE) 2018/1725.

Sarcinile și competențele autorităților de supraveghere menționate în prezentul alineat se exercită în ceea ce privește prelucrarea datelor cu caracter personal.

(4) Fără a aduce atingere alineatului (1) de la prezentul articol:

(a)	în ceea ce privește aspectele sectoriale specifice ale accesului la date și utilizării acestora care au legătură cu aplicarea prezentului regulament, se respectă competența autorităților sectoriale;

(b)	autoritatea competentă responsabilă cu aplicarea și asigurarea respectării articolelor 23-31, 34 și 35 dispune de experiență în domeniul serviciilor de date și de comunicații electronice.

(5) Statele membre se asigură că sarcinile și competențele autorităților competente sunt clar definite și includ:

(a)	promovarea competențelor digitale și a sensibilizării utilizatorilor și entităților care intră sub incidența prezentului regulament cu privire la drepturile și obligațiile care le revin în temeiul prezentului regulament;

(b)

tratarea plângerilor depuse ca urmare a unor presupuse încălcări ale prezentului regulament, inclusiv cele legate de secrete comerciale, precum și investigarea, în măsura adecvată, a obiectului plângerii și informarea cu regularitate a reclamanților, acolo unde este cazul în conformitate cu dreptul intern, cu privire la evoluția și rezultatul investigației, într-un termen rezonabil, în special dacă este necesară efectuarea unor investigații mai amănunțite sau coordonarea cu o altă autoritate competentă;

(c)	desfășurarea de investigații în chestiuni care privesc aplicarea prezentului regulament, inclusiv pe baza unor informații primite de la o altă autoritate competentă sau de la o altă autoritate publică;

(d)	impunerea de sancțiuni financiare efective, proporționale și disuasive, care pot include penalități cu titlu cominatoriu și penalități cu efect retroactiv, sau deschiderea de proceduri judiciare pentru impunerea de amenzi;

(e)	monitorizarea evoluțiilor tehnologice și comerciale relevante pentru punerea la dispoziție și utilizarea de date;

(f)

cooperarea cu autoritățile competente ale altor state membre și, unde este cazul, cu Comisia sau cu EDIB, pentru asigurarea unei aplicări consecvente și eficiente a prezentului regulament, inclusiv transmiterea reciprocă a tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate, inclusiv în ceea ce privește alineatul (10) de la prezentul articol;

(g)

cooperarea cu autoritățile competente relevante responsabile cu punerea în aplicare a altor acte juridice ale Uniunii sau actelor juridice naționale, inclusiv cu autoritățile competente în domeniul datelor și al serviciilor de comunicații electronice, cu autoritatea de supraveghere responsabilă cu monitorizarea aplicării Regulamentului (UE) 2016/679 sau cu autoritățile sectoriale, pentru a se asigura faptul că prezentul regulament este pus în aplicare în mod consecvent cu alte acte din dreptul Uniunii și din dreptul intern;

(h)	cooperarea cu autoritățile competente relevante pentru asigurarea aplicării articolelor 23-31, 34 și 35 în mod consecvent cu alte acte din dreptul Uniunii și cu măsurile de autoreglementare aplicabile furnizorilor de servicii de prelucrare a datelor;

(i)	asigurarea faptului că taxele de trecere la alt furnizor sunt eliminate în conformitate cu articolul 29;

(j)	examinarea cererilor de date introduse în temeiul capitolului V.

În cazul în care este desemnat, coordonatorul de date facilitează cooperarea menționată la literele (f), (g) și (h) de la primul paragraf și asistă autoritățile competente, la cererea acestora.

(6) În cazul în care este desemnat un coordonator de date, o astfel de autoritate competentă:

(a)	acționează ca punct unic de contact pentru toate aspectele legate de aplicarea prezentului regulament;

(b)

asigură disponibilitatea publică online a cererilor de punere la dispoziție a datelor introduse de organismele din sectorul public în cazul unei nevoi excepționale în temeiul capitolului V și promovează acordurile voluntare de partajare de date între organismele din sectorul public și deținătorii de date;

(c)	informează anual Comisia cu privire la refuzurile notificate în temeiul articolului 4 alineatele (2) și (8) și al articolului 5 alineatul (11).

(7) Statele membre notifică Comisiei denumirile autorităților competente, sarcinile și competențele acestora și, când este cazul, denumirea coordonatorului de date. Comisia ține un registru public al acestor autorități.

(8) Când își îndeplinesc sarcinile și își exercită competențele în conformitate cu prezentul regulament, autoritățile competente rămân imparțiale și nesupuse niciunei influențe externe, directe sau indirecte, și nici nu solicită, nici nu acceptă instrucțiuni referitoare la cazuri individuale de la nicio altă autoritate publică sau parte privată.

(9) Statele membre se asigură că autorităților competente li se pun la dispoziție suficiente resurse umane și tehnice și că dispun de expertiza relevantă pentru îndeplinirea cu eficacitate a sarcinilor ce le revin în conformitate cu prezentul regulament.

(10) Entitățile care intră în domeniul de aplicare al prezentului regulament se supun competenței statului membru în care este stabilită entitatea. În cazul în care entitatea are sedii în mai multe state membre, se consideră că aceasta intră în sfera de competență a statului membru în care își are sediul principal, și anume locul unde entitatea își are sediul central sau sediul social și de unde se exercită principalele funcții financiare și controlul operațional.

(11) Orice entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune fără a fi stabilită în Uniune desemnează un reprezentant legal într-unul dintre statele membre.

(12) În scopul asigurării respectării prezentului regulament, o entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune împuternicește un reprezentant legal, care să comunice cu autoritățile competente în plus față de entitate sau în locul acesteia cu privire la toate aspectele legate de respectiva entitate. Reprezentantul legal respectiv cooperează cu autoritățile competente și le demonstrează în mod exhaustiv, la cerere, acțiunile întreprinse și dispozițiile stabilite de entitatea care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune pentru a asigura respectarea prezentului regulament.

(13) Se consideră că o entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune se află în competența statului membru în care este situat reprezentantul său legal. Desemnarea unui reprezentant legal de către o astfel de entitate nu aduce atingere răspunderii entității respective și nici acțiunilor în justiție care ar putea fi introduse împotriva acesteia. Înainte ca o entitate să desemneze un reprezentant legal în conformitate cu prezentul articol, aceasta se află în sfera de competență a tuturor statelor membre, după caz, în vederea asigurării aplicării și respectării prezentului regulament. Orice autoritate competentă își poate exercita competența, inclusiv prin impunerea de sancțiuni efective, proporționale și disuasive, cu condiția ca entitatea să nu facă obiectul unor proceduri de aplicare a legii inițiate de o altă autoritate competentă, în temeiul prezentului regulament, cu privire la aceleași fapte.

(14) Autoritățile competente pot solicita utilizatorilor, deținătorilor de date sau destinatarilor datelor ori reprezentanților lor legali care se află în sfera de competență a statului lor membru toate informațiile necesare pentru verificarea respectării prezentului regulament. Orice cerere de informații este proporțională cu îndeplinirea sarcinii aferente și se motivează.

(15) În cazul în care o autoritate competentă dintr-un stat membru solicită asistență sau măsuri de asigurare a respectării legii din partea unei autorități competente dintr-un alt stat membru, aceasta introduce o cerere motivată. La primirea unei astfel de cereri, autoritatea competentă furnizează un răspuns, fără întârzieri nejustificate, prezentând în detaliu măsurile care au fost întreprinse sau care urmează să fie întreprinse.

(16) Autoritățile competente respectă principiul confidențialității și pe cel al secretului profesional și comercial și protejează datele cu caracter personal în conformitate cu dreptul Uniunii sau cu dreptul intern. Orice informație transmisă în contextul unei solicitări de asistență și furnizată în temeiul prezentului articol se utilizează numai în scopul pentru care a fost solicitată.

Articolul 49

Evaluare și reexaminare

(1) Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cu principalele sale constatări Parlamentului European, Consiliului și Comitetului Economic și Social European. În cadrul evaluării se analizează în special:

(a)

situațiile care trebuie considerate că reprezintă o nevoie excepțională în sensul articolului 15 din prezentul regulament și aplicarea în practică a capitolului V din prezentul regulament, în special experiența acumulată ca urmare a aplicării capitolului V din prezentul regulament de către organismele din sectorul public, de către Comisie, Banca Centrală Europeană și de către organele Uniunii; numărul și rezultatul procedurilor inițiate în fața autorității competente în temeiul articolului 18 alineatul (5) privind aplicarea capitolului V din prezentul regulament, astfel cum au fost raportate de autoritățile competente; impactul altor obligații prevăzute în dreptul Uniunii sau în dreptul intern în scopul respectării cererilor de acces la informații; impactul mecanismelor voluntare de partajare de date, cum ar fi cele instituite de organizațiile de promovare a altruismului în materie de date recunoscute în cadrul Regulamentului (UE) 2022/868, asupra îndeplinirii obiectivelor capitolului V din prezentul regulament, precum și rolul datelor cu caracter personal în contextul articolului 15 din prezentul regulament, inclusiv evoluția tehnologiilor de protecție a vieții private;

(b)	impactul prezentului regulament asupra utilizării datelor în economie, inclusiv asupra inovării în domeniul datelor, a practicilor de valorificare financiară a datelor și a serviciilor de intermediere de date, precum și asupra partajării de date în cadrul spațiilor europene comune ale datelor;

(c)	accesibilitatea și utilizarea diferitelor categorii și tipuri de date;

(d)	excluderea anumitor categorii de întreprinderi de la calitatea de beneficiar în temeiul articolului 5;

(e)	absența oricărui impact asupra drepturilor de proprietate intelectuală;

(f)

impactul asupra secretelor comerciale, inclusiv asupra protecției împotriva dobândirii, utilizării și divulgării ilegale a acestora, precum și impactul mecanismului care permite deținătorului de date să respingă cererea utilizatorului în temeiul articolului 4 alineatul (8) și al articolului 5 alineatul (11), ținând seama, în măsura posibilului, de orice revizuire a Directivei (UE) 2016/943;

(g)	măsura în care lista clauzelor contractuale abuzive menționată la articolul 13 reflectă situația la zi, în contextul noilor practici comerciale și al ritmului rapid al inovării pe piață;

(h)	schimbările survenite în practicile contractuale ale furnizorilor de servicii de prelucrare a datelor și dacă schimbările respective permit respectarea într-o măsură suficientă a articolului 25;

(i)	diminuarea taxelor impuse de furnizorii de servicii de prelucrare a datelor pentru procesul de trecere la alt furnizor, în concordanță cu obligația de eliminare treptată a taxelor de trecere la alt furnizor, prevăzută la articolul 29;

(j)	interacțiunea dintre prezentul regulament și alte acte juridice ale Uniunii relevante pentru economia datelor;

(k)	împiedicarea accesului ilegal al administrațiilor publice la datele fără caracter personal;

(l)	eficacitatea sistemului de asigurare a respectării prezentului regulament, stabilit la articolul 37;

(m)	impactul prezentului regulament asupra IMM-urilor în ceea ce privește capacitatea lor de inovare, disponibilitatea serviciilor de prelucrare a datelor pentru utilizatorii din Uniune și sarcina administrativă generată de respectarea noilor obligații.

(2) Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cuprinzând principalele sale constatări Parlamentului European și Consiliului, precum și Comitetului Economic și Social European. Evaluarea respectivă analizează impactul articolelor 23-31, 34 și 35, în special în ceea ce privește stabilirea prețurilor și diversitatea serviciilor de prelucrare a datelor oferite în Uniune, cu un accent special pe furnizorii care sunt IMM-uri.

(3) Statele membre furnizează Comisiei informațiile necesare pentru întocmirea rapoartelor menționate la alineatele (1) și (2).

(4) Pe baza rapoartelor menționate la alineatele (1) și (2), Comisia poate înainta Parlamentului European și Consiliului, dacă este cazul, o propunere legislativă de modificare a prezentului regulament.

whereas

keyboard_tab Data Act 2023/2854 RO

Data Act 2023/2854 RO