Data Act 2023/2854 RO

Drepturile și obligațiile utilizatorilor și ale deținătorilor de date cu privire la accesul, utilizarea și punerea la dispoziție a datelor referitoare la produs și a datelor referitoare la un serviciu conex

(1) În cazul în care datele nu pot fi accesate direct de către utilizator din produsul conectat sau din serviciul conex, deținătorii de date pun la dispoziția utilizatorului date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, fără întârzieri nejustificate, de aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, gratuit, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Această punere la dispoziție se realizează pe baza unei simple cereri introduse prin mijloace electronice, în cazul în care acest lucru este fezabil din punct de vedere tehnic.

(2) Utilizatorii și deținătorii de date pot conveni prin contract să restricționeze sau să interzică accesul, utilizarea sau partajarea ulterioară a datelor, în cazul în care o astfel de prelucrare ar putea submina cerințele de securitate ale produsului conectat, astfel cum sunt prevăzute de dreptul Uniunii sau de dreptul intern, având ca rezultat un efect negativ grav asupra sănătății, siguranței sau securității persoanelor fizice. Autoritățile sectoriale pot furniza utilizatorilor și deținătorilor de date expertiză tehnică în acest context. În cazul în care deținătorul de date refuză să partajeze date în temeiul prezentului articol, acesta notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(3) Fără a aduce atingere dreptului utilizatorului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal dintr-un stat membru, utilizatorul poate, în legătură cu orice litigiu cu deținătorul datelor referitor la restricțiile sau interdicțiile contractuale menționate la alineatul (2):

(a)	să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă; sau

(b)	să convină cu deținătorul de date să sesizeze un organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1).

(4) Deținătorii de date nu îngreunează în mod nejustificat exercitarea de către utilizator a alegerilor sau a drepturilor sale în temeiul prezentului articol, inclusiv prin oferirea de opțiuni utilizatorului într-un mod care nu este neutru sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a opțiunilor utilizatorului prin structura, proiectarea, funcția sau modul de operare a unei interfețe digitale cu utilizatorul sau a unei părți a acesteia.

(5) Cu scopul de a verifica dacă o persoană fizică sau juridică se califică drept utilizator în înțelesul alineatului (1), un deținător de date nu solicită respectivei persoane să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu păstrează nicio informație, în special date de înregistrare, privind accesul utilizatorului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a utilizatorului și pentru securitatea și întreținerea infrastructurii de date.

(6) Secretele comerciale sunt protejate și se divulgă numai dacă deținătorul de date și utilizatorul iau toate măsurile necesare înainte de divulgare pentru păstrarea confidențialității acestora, în special în ceea ce privește terții. Deținătorul de date, sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial, identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu utilizatorul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, în special în ceea ce privește terții, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.

(7) În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (6) sau în cazul în care utilizatorul nu pune în aplicare măsurile convenite în temeiul alineatului (6) sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris utilizatorului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt sau a suspendat partajarea datelor și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.

(8) În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de utilizator în temeiul alineatului (6) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate și unicitatea și noutatea produsului conectat, și se furnizează în scris utilizatorului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(9) Fără a aduce atingere dreptului unui utilizator de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un utilizator care dorește să conteste decizia unui deținător de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatele (7) și (8) poate:

(a)	să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă, care decide, fără întârzieri nejustificate, dacă și în ce condiții urmează să înceapă sau să se reia partajarea de date; sau

(b)	să convină cu deținătorul de date în vederea sesizării unui organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1).

(10) Utilizatorul nu poate să utilizeze datele obținute în urma unei cereri menționate la alineatul (1) pentru dezvoltarea unui produs conectat care concurează direct cu produsul conectat de la care provin datele și nici nu poate partaja datele cu un terț în acest scop și nici nu utilizează aceste date pentru a obține informații despre situația economică, activele și metodele de producție ale fabricantului, sau după caz, ale deținătorului de date.

(11) Utilizatorul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a deținătorului de date care este destinată să protejeze datele.

(12) În cazul în care utilizatorul nu este persoana vizată ale cărei date personale sunt cerute, eventualele date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex se pun la dispoziția utilizatorului de către deținătorul datelor numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.

(13) Un deținător de date poate să utilizeze orice date ușor accesibile care nu sunt date fără caracter personal numai pe baza unui contract cu utilizatorul. Un deținător de date nu poate să utilizeze astfel de date pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale utilizatorului ori cu utilizarea de către utilizator în orice alt mod care ar putea submina poziția comercială a utilizatorului respectiv pe piețele pe care acesta își desfășoară activitatea.

(14) Deținătorii de date nu pun la dispoziția terților date fără caracter personal în scopuri comerciale sau necomerciale, altele decât îndeplinirea contractului lor cu utilizatorul. Dacă este cazul, deținătorii de date obligă terții să nu partajeze ulterior datele primite de la aceștia prin contract.

Articolul 5

Dreptul utilizatorului de a partaja date cu terți

(1) La cererea unui utilizator sau a unei părți care acționează în numele unui utilizator, deținătorul de date pune la dispoziția unui terț, fără întârzieri nejustificate, date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, la aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, în mod gratuit pentru utilizator, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Datele se pun la dispoziția terțului de către deținătorul de date în conformitate cu articolele 8 și 9.

(2) Alineatul (1) nu se aplică datelor ușor accesibile în contextul testării unor produse conectate, substanțe sau procese noi care nu sunt încă introduse pe piață, cu excepția cazului în care utilizarea lor de către un terț este permisă prin contract.

(3) O întreprindere desemnată drept controlor de acces, în temeiul articolului 3 din Regulamentul (UE) 2022/1925, nu poate fi un destinatar de date eligibil în temeiul prezentului articol și, prin urmare, nu poate:

(a)

să solicite sau să ofere stimulente comerciale unui utilizator în vreun mod, cum ar fi prin acordarea de compensații pecuniare sau de orice altă natură, pentru a pune la dispoziția unuia dintre serviciile sale datele pe care utilizatorul le-a obținut în urma unei cereri introduse în temeiul articolului 4 alineatul (1);

(b)	să solicite sau să ofere stimulente comerciale unui utilizator pentru ca acesta să adreseze deținătorului de date o cerere de punere de date la dispoziția unuia dintre serviciile sale, în temeiul alineatului (1) de la prezentul articol;

(c)	să primească de la un utilizator date pe care acesta le-a obținut în urma unei cereri introduse în temeiul articolului 4 alineatul (1).

(4) Pentru a verifica dacă o persoană fizică sau juridică se califică drept utilizator sau terț în sensul alineatului (1), utilizatorul sau terțul nu sunt obligați să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu pot păstra nicio informație privind accesul terțului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a terțului și pentru securitatea și întreținerea infrastructurii de date.

(5) Terțul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a unui deținător de date care este destinată să protejeze datele.

(6) Un deținător de date nu poate să utilizeze niciun fel de date ușor accesibile pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale terțului ori cu utilizarea de către terț în orice alt mod care ar putea submina poziția comercială a terțului pe piețele pe care aceasta își desfășoară activitatea, cu excepția cazului în care terțul și-a dat consimțământul pentru o astfel de utilizare și are posibilitatea tehnică de a-și retrage cu ușurință consimțământul respectiv în orice moment.

(7) În cazul în care utilizatorul nu este persoana vizată ale cărei date cu caracter personal sunt cerute, orice date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex, se pun de către deținătorul de date la dispoziția terțului numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.

(8) Faptul că deținătorul datelor și terțul nu reușesc să convină asupra unor modalități de transmitere a datelor nu poate să împiedice, să prevină sau să perturbe exercitarea drepturilor persoanei vizate, astfel cum sunt prevăzute în Regulamentul (UE) 2016/679, și, în special, a dreptului la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din regulamentul menționat.

(9) Secretele comerciale se păstrează și se divulgă terților numai în măsura în care o astfel de divulgare este strict necesară pentru îndeplinirea scopului convenit între utilizator și terț. Deținătorul de date sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu terțul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.

(10) În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (9) de la prezentul articol sau în cazul în care terțul nu pune în aplicare măsurile convenite în temeiul alineatului (9) de la prezentul articol sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris terțului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt partajării datelor sau a suspendat-o și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.

(11) În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de terț în temeiul alineatului (9) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate, precum și unicitatea și noutatea produsului conectat, și se furnizează în scris terțului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(12) Fără a aduce atingere dreptului terțului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un terț care dorește să conteste decizia deținătorului de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatelor (10) și (11) poate:

(a)	să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă, care decide, fără întârzieri nejustificate, dacă și în ce condiții începe sau se reia partajarea de date; sau

(b)	să convină cu deținătorul de date în vederea sesizării unui organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1).

(13) Dreptul menționat la alineatul (1) nu poate să aducă atingere drepturilor persoanelor vizate în temeiul dreptului Uniunii și al dreptului intern aplicabile privind protecția datelor cu caracter personal.

Articolul 9

Compensație pentru punerea de date la dispoziție

(1) Orice compensație convenită între un deținător de date și un destinatar al datelor pentru punerea de date la dispoziție în relațiile dintre întreprinderi trebuie să fie nediscriminatorie și rezonabilă și poate include o marjă.

(2) Atunci când convin asupra oricărei compensații, deținătorul de date și destinatarul datelor iau în considerare în special:

(a)	costurile suportate pentru punerea la dispoziție a datelor, inclusiv, în special, costurile necesare pentru formatarea datelor, diseminarea prin mijloace electronice și stocarea acestora;

(b)	investițiile în colectarea și producerea de date, după caz, luând în considerare dacă alte părți au contribuit la obținerea, generarea sau colectarea datelor în cauză.

(3) Compensația menționată la alineatul (1) poate varia, de asemenea, în funcție de volumul, formatul sau natura datelor.

(4) În cazul în care destinatarul datelor este o IMM sau o organizație de cercetare fără scop lucrativ și în cazul în care un astfel de destinatar de date nu are întreprinderi partenere sau întreprinderi afiliate care nu se califică drept IMM-uri, nicio compensație convenită nu depășește costurile menționate la alineatul (2) litera (a).

(5) Comisia adoptă orientări privind calcularea compensației rezonabile, ținând seama de avizul Comitetului european pentru inovare în domeniul datelor (EDIB) menționat la articolul 42.

(6) Prezentul articol nu împiedică alte acte legislative ale Uniunii sau ale legislației naționale adoptate în conformitate cu dreptul Uniunii să excludă compensațiile pentru punerea la dispoziție a datelor sau prevederea unei compensații mai mici.

(7) Deținătorul de date trebuie să furnizeze destinatarului datelor informații suficient de detaliate cu privire la baza de calculare a compensației, astfel încât destinatarul datelor să poată evalua dacă sunt îndeplinite cerințele de la alineatele (1)-(4).

Articolul 11

Măsuri tehnice de protecție privind utilizarea sau divulgarea neautorizată de date

(1) Un deținător de date poate să aplice măsuri tehnice de protecție corespunzătoare, inclusiv contracte inteligente și criptare, pentru a preveni accesul neautorizat la date, inclusiv metadate, și pentru a asigura respectarea articolelor 4, 5, 6, 8 și 9, precum și a clauzelor contractuale convenite pentru punerea la dispoziție a datelor. Aceste măsuri tehnice de protecție nu discriminează diferiții destinatari ai datelor și nici nu obstrucționează dreptul unui utilizator de a obține o copie a datelor ori de a extrage, utiliza sau accesa datele sau de a furniza date unor terți în temeiul articolului 5 sau orice drept al unui terț prevăzut în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii. Utilizatorii, terții și destinatarii datelor nu modifică sau elimină astfel de măsuri tehnice de protecție, cu excepția cazului în care deținătorul de date își dă acordul în acest sens.

(2) În circumstanțele menționate la alineatul (3), terțul sau destinatarul datelor dă curs, fără întârzieri nejustificate, cererilor deținătorului de date și, după caz, atunci când aceștia nu sunt aceeași persoană, deținătorului secretului comercial, sau ale utilizatorului:

(a)	de a șterge datele puse la dispoziție de către deținătorul datelor și toate copiile acestora;

(b)

de a înceta producerea, oferirea, sau introducerea pe piață sau utilizarea bunurilor, a datelor derivate sau a serviciilor produse pe baza cunoștințelor obținute prin intermediul unor astfel de date ori importul, exportul sau depozitarea de bunuri care încalcă drepturile prevăzute în scopurile respective și de a distruge eventualele bunuri care încalcă drepturile respective, în cazul în care există un risc grav ca utilizarea ilegală a acestor date să cauzeze un prejudiciu semnificativ deținătorului de date, deținătorului secretului comercial sau utilizatorului sau în cazul în care o astfel de măsură nu ar fi disproporționată în raport cu interesele deținătorului de date, ale deținătorului secretului comercial sau ale utilizatorului;

(c)	de a informa utilizatorul cu privire la utilizarea sau divulgarea neautorizată a datelor și la măsurile luate pentru a pune capăt utilizării sau divulgării neautorizate a datelor;

(d)	de a compensa partea care suferă de pe urma utilizării abuzive sau a divulgării unor astfel de date accesate sau utilizate în mod ilegal.

(3) Alineatul (2) se aplică în cazul în care un terț sau un destinatar al datelor:

(a)	în scopul obținerii de date a furnizat informații false unui deținător de date, a utilizat mijloace înșelătoare sau coercitive sau a abuzat de lacunele din infrastructura tehnică a deținătorului de date destinată să protejeze datele;

(b)	a utilizat datele puse la dispoziție în scopuri neautorizate, inclusiv pentru dezvoltarea unui produs conectat concurent în sensul articolului 6 alineatul (2) litera (e);

(c)	a divulgat în mod ilegal date unei alte părți;

(d)	nu a menținut măsurile tehnice și organizatorice convenite în temeiul articolului 5 alineatul (9); sau

(e)	a modificat sau eliminat măsurile tehnice de protecție aplicate de deținătorul de date în temeiul alineatului (1) de la prezentul articol fără acordul deținătorului de date.

(4) Alineatul (2) se aplică și în cazul în care un utilizator modifică sau elimină măsurile tehnice de protecție aplicate de deținătorul de date sau nu menține măsurile tehnice și organizatorice luate de utilizator de comun acord cu deținătorul de date sau, dacă nu este aceeași persoană, cu deținătorul secretelor comerciale, pentru a păstra secretele comerciale, precum și în ceea ce privește orice altă parte care primește datele de la utilizator prin încălcarea prezentului regulament.

(5) În cazul în care destinatarul datelor încalcă articolul 6 alineatul (2) litera (a) sau (b), utilizatorii au aceleași drepturi ca deținătorii de date în temeiul alineatului (2) de la prezentul articol.

Articolul 17

Cereri de punere la dispoziție de date

(1) Când solicită date în temeiul articolului 14, un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii:

(a)	specifică datele solicitate, inclusiv metadatele relevante necesare pentru interpretarea și utilizarea datelor respective;

(b)	demonstrează că sunt îndeplinite condițiile necesare pentru existența unei nevoi excepționale menționate la articolul 15 în scopul pentru care sunt solicitate datele;

(c)

explică scopul cererii, utilizarea preconizată a datelor solicitate, inclusiv, dacă este cazul, de către un terț în conformitate cu alineatul (4) de la prezentul articol, durata utilizării respective și, după caz, modul în care prelucrarea datelor cu caracter personal trebuie să răspundă nevoii excepționale;

(d)	precizează, dacă este posibil, momentul în care se preconizează că datele vor fi șterse de către toate părțile care au acces la acestea;

(e)	justifică alegerea deținătorului de date căruia îi este adresată cererea;

(f)	menționează orice alte organisme din sectorul public sau Comisia, Banca Centrală Europeană sau organele Uniunii și terții cu care se intenționează partajarea datelor solicitate;

(g)

în cazul în care se solicită date cu caracter personal, specifică orice măsuri tehnice și organizatorice care sunt necesare și proporționale pentru punerea în aplicare a principiilor de protecție a datelor și a garanțiilor necesare, cum ar fi pseudonimizarea, și dacă anonimizarea poate fi aplicată de către deținătorul de date înainte de a pune la dispoziție datele;

(h)	precizează dispoziția legală care atribuie organismului din sectorul public solicitant, Comisiei, Băncii Centrale Europene sau organului Uniunii sarcina specifică de interes public relevantă pentru solicitarea datelor;

(i)	precizează termenul până la care datele urmează să fie puse la dispoziție și termenul menționat la articolul 18 alineatul (2) până la care deținătorul datelor poate să respingă sau să solicite modificarea cererii;

(j)	depun toate eforturile pentru a evita ca respectarea solicitării de date să conducă la răspunderea deținătorilor de date pentru încălcarea dreptului Uniunii sau a dreptului intern.

(2) O cerere de date introdusă în temeiul alineatului (1) de la prezentul articol trebuie:

(a)	să fie formulată în scris și exprimată într-un limbaj clar, concis și simplu, ușor de înțeles de către deținătorul datelor;

(b)	să precizeze tipul de date solicitate și să corespundă datelor pe care deținătorul de date le controlează la momentul cererii;

(c)	să fie proporțională cu nevoia excepțională și justificată în mod corespunzător în ceea ce privește granularitatea și volumul datelor solicitate și frecvența accesului la datele solicitate;

(d)	să respecte obiectivele legitime ale deținătorului datelor, angajându-se să asigure protecția secretelor comerciale în conformitate cu articolul 19 alineatul (3), precum și costurile și eforturile necesare pentru punerea la dispoziție a datelor;

(e)

să se refere la date fără caracter personal și numai dacă se demonstrează că acest lucru este insuficient pentru a răspunde nevoii excepționale de utilizare a datelor, în conformitate cu articolul 15 alineatul (1) litera (a), să solicite date cu caracter personal în formă pseudonimizată și să stabilească măsurile tehnice și organizatorice care urmează să fie luate pentru a proteja datele;

(f)	să informeze deținătorul datelor cu privire la sancțiunile care urmează să fie impuse în temeiul articolului 40 de către autoritatea competentă desemnată în temeiul articolului 37 în cazul nerespectării cererii;

(g)

în cazul în care cererea este introdusă de un organism din sectorul public, să fie transmisă coordonatorului de date menționat la articolul 37 al statului membru în care este stabilit organismul din sectorul public solicitant, care pune cererea la dispoziția publicului online, fără întârzieri nejustificate, cu excepția cazului în care coordonatorul de date consideră că o astfel de publicare ar crea un risc pentru siguranța publică;

(h)	în cazul în care cererea este introdusă de Comisie, Banca Centrală Europeană sau un organ al Uniunii, să fie pusă la dispoziție online fără întârzieri nejustificate;

(i)	în cazul în care se solicită date cu caracter personal, să fie notificată fără întârzieri nejustificate autorității de supraveghere responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 din statul membru în care este stabilit organismul din sectorul public.

Banca Centrală Europeană și organele Uniunii informează Comisia cu privire la cererile lor.

(3) Un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii nu pun la dispoziție datele obținute în temeiul prezentului capitol în vederea reutilizării, astfel cum este definită la articolul 2 punctul 2 din Regulamentul (UE) 2022/868 sau la articolul 2 punctul 11 din Directiva (UE) 2019/1024. Regulamentul (UE) 2022/868 și Directiva (UE) 2019/1024 nu se aplică în cazul datelor deținute de organisme din sectorul public și obținute în temeiul prezentului capitol.

(4) Alineatul (3) de la prezentul articol nu împiedică un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii să facă schimb de date obținute în temeiul prezentului capitol cu alt organism din sectorul public sau cu Comisia, cu Banca Centrală Europeană ori cu un organ al Uniunii, cu scopul îndeplinirii sarcinilor menționate la articolul 15, astfel cum se specifică în cerere în conformitate cu alineatul (1) litera (f) de la prezentul articol, sau să pună datele la dispoziția unui terț în cazul în care a delegat, prin intermediul unui acord accesibil publicului, sarcina de efectuare a inspecțiilor tehnice sau alte funcții către respectivul terț. Obligațiile care revin organismelor din sectorul public în temeiul articolului 19, în special garanțiile de păstrare a confidențialității secretelor comerciale, se aplică și acestor terți. În cazul în care transmite sau pune la dispoziție date în temeiul prezentului alineat, organismul din sectorul public ori Comisia, Banca Centrală Europeană ori un organ Uniunii notifică acest lucru deținătorului de date de la care au fost primite datele, fără întârzieri nejustificate.

(5) În cazul în care deținătorul de date consideră că drepturile sale în temeiul prezentului capitol au fost încălcate prin transmiterea sau punerea la dispoziție a datelor, acesta poate depune o plângere la autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date.

(6) Comisia elaborează un model pentru cererile depuse în temeiul prezentului articol.

Articolul 19

Obligațiile organismelor din sectorul public, ale Comisiei, ale Băncii Centrale Europene și ale organelor Uniunii

(1) Un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii care primește date în urma unei cereri introduse în temeiul articolului 14:

(a)	nu utilizează datele într-un mod incompatibil cu scopul pentru care au fost solicitate;

(b)	a pus în aplicare măsuri tehnice și organizatorice care să păstreze confidențialitatea și integritatea datelor solicitate și securitatea transferurilor de date, în special a datelor cu caracter personal, și protejează drepturile și libertățile persoanelor vizate;

(c)

șterge datele de îndată ce acestea nu mai sunt necesare pentru scopul declarat și informează deținătorul de date și persoanele fizice sau organizațiile care au primit datele în temeiul articolului 21 alineatul (1), fără întârzieri nejustificate, că datele au fost șterse, cu excepția cazului în care este necesară arhivarea datelor în conformitate cu dreptul Uniunii sau cu dreptul intern privind accesul public la documente în contextul obligațiilor de transparență.

(2) Un organism din sectorul public, Comisia, Banca Centrală Europeană, un organ al Uniunii sau un terț care primește date în temeiul prezentului capitol:

(a)

nu utilizează datele sau informațiile despre situația economică, activele și metodele de producție sau de operare ale deținătorului de date pentru a dezvolta sau a îmbunătăți un produs conectat sau un serviciu conex care concurează cu produsul conectat sau cu serviciul conex al deținătorului de date;

(b)	nu partajează datele cu un alt terț în oricare dintre scopurile menționate la litera (a).

(3) Divulgarea de secrete comerciale către un organism din sectorul public, către Comisie, Banca Centrală Europeană ori un organ al Uniunii este obligatorie numai dacă ea este strict necesară pentru atingerea scopului unei cereri depuse în temeiul articolului 15. Într-un astfel de caz, deținătorul datelor sau, atunci când aceștia nu sunt aceeași persoană, deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante. Organismul din sectorul public, Comisia, Banca Centrală Europeană ori organul Uniunii iau, înainte de divulgarea secretelor comerciale, toate măsurile tehnice și organizatorice necesare și adecvate pentru a păstra confidențialitatea secretelor comerciale, inclusiv, după caz, utilizarea de modele de clauze contractuale, de standarde tehnice și aplicarea codurilor de conduită.

(4) Un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii este responsabil de securitatea datelor pe care le primește.

Articolul 23

Eliminarea obstacolelor din calea trecerii la alt furnizor

Furnizorii de servicii de prelucrare a datelor iau măsurile prevăzute la articolele 25, 26, 27, 29 și 30 pentru a le permite clienților să treacă la un serviciu de prelucrare a datelor, care acoperă același tip de serviciu și care este furnizat de alt furnizor de servicii de prelucrare a datelor, sau la o infrastructură TIC locală, sau, dacă este cazul, să utilizeze mai mulți furnizori de servicii de prelucrare a datelor în același timp. În special, furnizorii de servicii de prelucrare a datelor nu impun și elimină obstacolele precomerciale, comerciale, tehnice, contractuale și organizatorice care nu le permit clienților:

(a)	să rezilieze, după încheierea perioadei maxime de preaviz și după finalizarea cu succes a procesului de trecere la alt furnizor, în conformitate cu articolul 25, contractul având ca obiect serviciul de prelucrare a datelor;

(b)	să încheie noi contracte cu un furnizor diferit de servicii de prelucrare a datelor care acoperă același tip de serviciu;

(c)	să își porteze datele exportabile ce le aparțin în calitate de clienți și activele digitale către un furnizor diferit de servicii de prelucrare a datelor sau către o infrastructură TIC locală, inclusiv după ce au beneficiat de o ofertă vizând un nivel de servicii gratuit;

(d)	în conformitate cu articolul 24, să obțină echivalența funcțională în utilizarea noului serviciu de prelucrare a datelor în mediul informatic al unui furnizor diferit de servicii de prelucrare a datelor care acoperă același tip de serviciu;

(e)	să obțină segregarea, acolo unde este fezabil din punct de vedere tehnic, a serviciilor de prelucrare a datelor menționate la articolul 30 alineatul (1) de alte servicii de prelucrare a datelor furnizate de furnizorul de servicii de prelucrare a datelor.

Articolul 25

Clauze contractuale referitoare la trecerea la alt furnizor

(1) Drepturile clientului și obligațiile furnizorului de servicii de prelucrare a datelor în ceea ce privește trecerea la alt furnizor de astfel de servicii sau, dacă este cazul, la o infrastructură TIC locală se stabilesc în mod clar într-un contract scris. Furnizorul de servicii de prelucrare a datelor pune contractul la dispoziția clientului înainte de semnarea contractului, într-un mod care permite clientului să stocheze contractul și să îl reproducă.

(2) Fără a aduce atingere Directivei (UE) 2019/770, contractul menționat la alineatul (1) de la prezentul articol include cel puțin următoarele:

(a)

clauze care îi permit clientului, la cerere, să treacă la un serviciu de prelucrare a datelor oferit de un furnizor diferit de servicii de prelucrare a datelor sau să porteze toate datele exportabile și activele digitale către o infrastructură TIC locală, fără întârzieri nejustificate, și, în orice caz, nu mai târziu de o perioadă de tranziție maximă obligatorie de 30 de zile calendaristice, care începe să curgă după încheierea perioadei maxime de preaviz menționate la litera (d), în cursul căreia contractul de servicii rămâne aplicabil iar furnizorul de servicii de prelucrare a datelor:

(i)	oferă asistență adecvată clientului și terților autorizați de client în cursul procesului de trecere la alt furnizor;

(ii)	acționează cu grija cuvenită pentru a menține continuitatea activității și continuă să asigure funcțiile sau serviciile prevăzute în contract;

(iii)

furnizează informații clare despre riscurile cunoscute legate de continuitatea asigurării funcțiilor sau serviciilor de partea furnizorului de servicii de prelucrare a datelor de origine;

(iv)

se asigură că se menține un nivel ridicat de securitate pe tot parcursul procesului de trecere la alt furnizor, în special securitatea datelor în timpul transferului acestora și securitatea continuă a datelor în perioada de extragere specificată la litera (g), în conformitate cu dreptul aplicabil al Uniunii sau cu dreptul intern aplicabil;

(b)	obligația furnizorului de servicii de prelucrare a datelor de a sprijini strategia de ieșire a clientului relevantă pentru serviciile contractate, inclusiv prin furnizarea tuturor informațiilor pertinente;

(c)

o clauză care precizează că, în oricare dintre următoarele situații, contractul este considerat reziliat, iar clientul este informat cu privire la această reziliere:

(i)	după caz, la finalizarea cu succes a procesului de trecere la alt furnizor;

(ii)	la sfârșitul perioadei maxime de preaviz menționate la litera (d), în cazul în care clientul nu dorește să transfere, ci să șteargă datele sale exportabile și activele sale digitale din momentul încetării furnizării serviciilor;

(d)	o perioadă maximă de preaviz pentru demararea procesului de trecere la alt furnizor, care nu trebuie să depășească două luni;

(e)	o listă exhaustivă a tuturor categoriilor de date și active digitale care pot fi portate în cursul procesului de trecere la alt furnizor, inclusiv, ca cerință minimă, toate datele exportabile;

(f)

o listă exhaustivă a categoriilor de date specifice funcționării interne a serviciului de prelucrare a datelor prestat de furnizor care urmează să fie exceptate de la includerea în categoria datelor exportabile în temeiul literei (e) de la prezentul alineat atunci când există un risc de încălcare a secretelor comerciale ale furnizorului, cu condiția ca astfel de exceptări să nu împiedice sau să nu întârzie procesul de trecere la alt furnizor prevăzut la articolul 23;

(g)	o perioadă minimă de extragere a datelor de cel puțin 30 de zile calendaristice, care începe să curgă după încheierea perioadei de tranziție convenite între client și furnizorul de servicii de prelucrare a datelor, în conformitate cu litera (a) de la prezentul alineat și cu alineatul (4);

(h)

o clauză care să garanteze ștergerea completă a tuturor datelor exportabile și a activelor digitale generate direct de client sau care au legătură directă cu clientul, după expirarea perioadei de extragere menționate la litera (g) sau după expirarea unei alte perioade convenite și care survine la o dată ulterioară datei de expirare a perioadei de extragere menționate la litera (g), cu condiția ca procesul de trecere la alt furnizor să fi fost finalizat cu succes;

(i)	taxele de trecere la alt furnizor care pot fi impuse de furnizorii de servicii de prelucrare a datelor în conformitate cu articolul 29.

(3) Contractul menționat la alineatul (1) include clauze care prevăd că clientul dispune de posibilitatea de a notifica furnizorului de servicii de prelucrare a datelor decizia sa de a efectua una sau mai multe dintre următoarele acțiuni după încheierea perioadei maxime de preaviz menționate la alineatul (2) litera (d):

(a)	trecerea la un furnizor diferit de servicii de prelucrare a datelor, caz în care clientul furnizează informațiile necesare cu privire la furnizorul respectiv;

(b)	trecerea la o infrastructură TIC locală;

(c)	ștergerea datelor exportabile și a activelor digitale ce îi aparțin.

(4) În cazul în care perioada de tranziție maximă obligatorie, astfel cum este prevăzută la alineatul (2) litera (a), nu poate fi asigurată din motive tehnice, furnizorul de servicii de prelucrare a datelor informează clientul în termen de 14 zile lucrătoare de la depunerea cererii de trecere la alt furnizor, justifică în mod corespunzător incapacitatea tehnică și indică o perioadă de tranziție alternativă, care nu poate depăși șapte luni. În conformitate cu alineatul (1), se asigură continuitatea serviciului pe toată perioada de tranziție alternativă.

(5) Fără a se aduce atingere alineatului (4), contractul menționat la alineatul (1) include clauze care conferă clientului dreptul de a prelungi perioada de tranziție, o singură dată, cu o perioadă pe care clientul o consideră mai adaptată propriilor sale scopuri.

Articolul 26

Obligația de informare ce revine furnizorilor de servicii de prelucrare a datelor

Furnizorul de servicii de prelucrare a datelor pune la dispoziția clientului:

(a)

informații despre procedurile disponibile pentru trecerea la alt furnizor și portarea către serviciul de prelucrare a datelor, inclusiv informații despre metodele și formatele de trecere la alt furnizor și de portare disponibile, precum și despre restricțiile și limitările tehnice care sunt cunoscute de furnizorul de servicii de prelucrare a datelor;

(b)

o trimitere la un registru online actualizat găzduit de furnizorul de servicii de prelucrare a datelor, care să conțină detalii privind toate structurile și formatele de date, precum și standardele și specificațiile deschise de interoperabilitate relevante, în care sunt disponibile datele exportabile menționate la articolul 25 alineatul (2) litera (e).

Articolul 28

Obligații contractuale în materie de transparență privind accesul și transferul la nivel internațional

(1) Furnizorii de servicii de prelucrare a datelor publică următoarele informații pe site-urile lor web și le actualizează permanent:

(a)	jurisdicția sub incidența căreia intră infrastructura TIC instalată pentru prelucrarea datelor serviciilor lor individuale;

(b)

o descriere generală a măsurilor tehnice, organizatorice și contractuale adoptate de furnizorul de servicii de prelucrare a datelor pentru a împiedica accesul administrațiilor publice la nivel internațional sau transferul de către acestea de date fără caracter personal deținute în Uniune, în cazul în care un astfel de acces sau transfer ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant.

(2) Site-urile web menționate la alineatul (1) sunt enumerate în contractele aferente tuturor serviciilor de prelucrare a datelor oferite de furnizorii de servicii de prelucrare a datelor.

Articolul 29

Eliminarea treptată a taxelor de trecere la alt furnizor

(1) Începând cu 12 ianuarie 2027, furnizorii de servicii de prelucrare a datelor nu impun clientului, pentru procesul de trecere la alt furnizor, niciun fel de taxe de trecere la alt furnizor.

(2) De la 11 ianuarie 2024 până la 12 ianuarie 2027, furnizorii de servicii de prelucrare a datelor pot să impună clientului, pentru procesul de trecere la alt furnizor, taxe reduse de trecere la alt furnizor.

(3) Taxele reduse de trecere la alt furnizor menționate la alineatul (2) nu pot depăși costurile pe care le suportă furnizorul de servicii de prelucrare a datelor și care sunt direct legate de procesul în cauză de trecere la alt furnizor.

(4) Înainte de a încheia un contract cu un client, furnizorii de servicii de prelucrare a datelor pun la dispoziția clientului potențial informații clare cu privire la taxele standard pentru furnizarea serviciilor și la penalizările pentru reziliere anticipată care ar putea fi impuse, precum și cu privire la taxele reduse de trecere la alt furnizor, care ar putea fi impuse în intervalul de timp menționat la alineatul (2).

(5) Unde este cazul, furnizorii de servicii de prelucrare a datelor pun la dispoziția clientului informații cu privire la serviciile de prelucrare a datelor care implică o mare complexitate sau costuri ridicate în caz de trecere la alt furnizor ori pentru care este imposibil să se treacă la alt furnizor fără intervenții semnificative asupra arhitecturii datelor, activelor digitale sau serviciilor.

(6) Unde este cazul, furnizorii de servicii de prelucrare a datelor pun informațiile menționate la alineatele (4) și (5) la dispoziția clienților într-o secțiune a site-ului lor web rezervată acestui scop sau prin orice alt mod ușor accesibil.

(7) Comisia este împuternicită să adopte, în conformitate cu articolul 45, acte delegate de completare a prezentului regulament în vederea instituirii unui mecanism de monitorizare prin care Comisia să monitorizeze taxele de trecere la alt furnizor impuse de furnizorii de servicii de prelucrare a datelor de pe piață, pentru a se asigura că eliminarea și reducerea taxelor de trecere la alt furnizor, în temeiul alineatelor (1) și (2) de la prezentul articol, se realizează în termenele stabilite la alineatele respective.

Articolul 30

Aspecte tehnice ale trecerii la alt furnizor

(1) Furnizorii de servicii de prelucrare a datelor care vizează resurse informatice scalabile și elastice care se limitează la elemente de infrastructură, cum ar fi serverele, rețelele și resursele virtuale necesare pentru exploatarea infrastructurii, dar care nu oferă acces la serviciile, software-urile și aplicațiile de operare care sunt stocate, prelucrate în alt mod sau instalate pe respectivele elemente de infrastructură, iau toate măsurile rezonabile posibile, în conformitate cu articolul 27, pentru a ajuta clientul, după ce acesta trece la un serviciu care acoperă același tip de serviciu, să obțină echivalența funcțională în utilizarea serviciului de prelucrare a datelor de destinație. Furnizorul de servicii de prelucrare a datelor de origine facilitează procesul de trecere la alt furnizor punând la dispoziție capacități, informații adecvate, documentație, asistență tehnică și, după caz, instrumentele necesare.

(2) Furnizorii de servicii de prelucrare a datelor, alții decât cei menționați la alineatul (1), pun interfețe deschise la dispoziția tuturor clienților lor și a furnizorilor de servicii de destinație, în mod egal și gratuit, pentru a facilita procesul de trecere la alt furnizor. Respectivele interfețe includ informații suficiente cu privire la serviciul în cauză pentru a permite dezvoltarea de software-uri care să facă posibilă comunicarea cu serviciile, în scopul portabilității datelor și al interoperabilității.

(3) În cazul unor servicii de prelucrare a datelor diferite de cele menționate la alineatul (1) de la prezentul articol, furnizorii de servicii de prelucrare a datelor asigură compatibilitatea cu specificațiile comune bazate pe specificații deschise de interoperabilitate sau cu standardele armonizate de interoperabilitate, pentru o perioadă de cel puțin 12 luni după publicarea trimiterilor la respectivele specificații comune sau standarde armonizate pentru interoperabilitatea serviciilor de prelucrare a datelor în registrul central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor, ce urmează publicării actelor de punere în aplicare subiacente în Jurnalul Oficial al Uniunii Europene în conformitate cu articolul 35 alineatul (8).

(4) Furnizorii de servicii de prelucrare a datelor, alții decât cei menționați la alineatul (1) de la prezentul articol, actualizează registrul online menționat la articolul 26 litera (b) în conformitate cu obligațiile care le revin în temeiul alineatului (3) de la prezentul articol.

(5) În cazul trecerii de la un serviciu la un altul de același tip, pentru care specificațiile comune sau standardele armonizate pentru interoperabilitate menționate la alineatul (3) de la prezentul articol nu au fost publicate în registrul central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor în conformitate cu articolul 35 alineatul (8), furnizorul serviciilor de prelucrare a datelor exportă, la cererea clientului, toate datele exportabile într-un format structurat, utilizat în mod curent și care poate fi citit automat.

(6) Furnizorii de servicii de prelucrare a datelor nu sunt obligați să dezvolte noi tehnologii sau servicii, sau să comunice sau să transfere active digitale protejate de drepturi de proprietate intelectuală sau care constituie secrete comerciale către un client sau către un furnizor diferit de servicii de prelucrare a datelor ori să compromită securitatea și integritatea serviciului clientului sau furnizorului.

Articolul 31

Regimul specific aferent anumitor servicii de prelucrare a datelor

(1) Obligațiile prevăzute la articolul 23 litera (d), la articolul 29 și la articolul 30 alineatele (1) și (3) nu se aplică serviciilor de prelucrare a datelor în cazul cărora majoritatea caracteristicilor principale au fost personalizate pentru a răspunde nevoilor specifice ale unui client individual sau în cazul cărora toate componentele au fost dezvoltate în beneficiul unui client individual, și nici în cazul în care respectivele servicii de prelucrare a datelor nu sunt oferite la scară comercială largă prin intermediul catalogului de servicii al furnizorului de servicii de prelucrare a datelor.

(2) Obligațiile prevăzute în prezentul capitol nu se aplică serviciilor de prelucrare a datelor puse la dispoziție într-o versiune care nu este destinată producției, în scop de testare și evaluare și numai pentru o perioadă limitată de timp.

(3) Înainte de încheierea unui contract privind furnizarea serviciilor de prelucrare a datelor menționate la prezentul articol, furnizorul de servicii de prelucrare a datelor informează clientul potențial cu privire la obligațiile prevăzute în prezentul capitol care nu se aplică.

CAPITOLUL VII

ACCESUL ADMINISTRAȚIILOR PUBLICE LA DATELE FĂRĂ CARACTER PERSONAL ȘI TRANSFERUL ACESTORA LA NIVEL INTERNAȚIONAL

Articolul 32

Accesul administrațiilor publice și transferul la nivel internațional

(1) Fără a aduce atingere alineatului (2) sau (3), furnizorii de servicii de prelucrare a datelor iau toate măsurile tehnice, organizatorice și juridice adecvate, inclusiv de ordin contractual, pentru a împiedica transferul internațional de date fără caracter personal deținute în Uniune și accesul la astfel de date al administrațiilor publice ale țărilor terțe, în cazul în care un astfel de transfer sau acces ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant.

(2) Deciziile sau hotărârile unei instanțe judecătorești sau ale unui tribunal dintr-o țară terță și deciziile unei autorități administrative dintr-o țară terță prin care se solicită unui furnizor de servicii de prelucrare a datelor să transfere date fără caracter personal deținute în Uniune ce intră în domeniul de aplicare al prezentului regulament sau să acorde acces la astfel de date sunt recunoscute sau pot fi executate sub orice formă doar dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență judiciară reciprocă, în vigoare între țara terță solicitantă și Uniune sau pe orice alt asemenea acord între țara terță solicitantă și un stat membru.

(3) În absența unui acord internațional de tipul celor menționate la alineatul (2), în cazul în care un furnizor de servicii de prelucrare a datelor este destinatarul unei decizii sau al unei hotărâri a unei instanțe judecătorești sau a unui tribunal dintr-o țară terță ori al unei decizii a unei autorități administrative dintr-o țară terță care prevede transferul de date fără caracter personal deținute în Uniune și care intră în domeniul de aplicare al prezentului regulament sau acordarea accesului la astfel de date iar, prin respectarea unei astfel de decizii, destinatarul riscă să intre în conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant, transferul către autoritatea din țara terță respectivă sau accesul acesteia la astfel de date poate avea loc numai atunci când:

(a)

sistemul țării terțe în cauză prevede obligativitatea expunerii motivelor și a proporționalității unei astfel de decizii sau hotărâri judecătorești și prevede că o astfel de decizie sau hotărâre trebuie să aibă un caracter specific, de exemplu prin demonstrarea unei legături suficiente cu anumite persoane suspectate sau cu anumite încălcări;

(b)	obiecția motivată a destinatarului este supusă controlului unei instanțe judecătorești competente sau al unui tribunal competent din țara terță; și

(c)

instanța judecătorească competentă sau tribunalul competent din țara terță care pronunță decizia sau hotărârea sau care revizuiește decizia unei autorități administrative este împuternicită, în temeiul dreptului țării terțe respective, să țină seama în mod corespunzător de interesele juridice relevante ale furnizorului de date protejate în temeiul dreptului Uniunii sau al dreptului intern al statului membru relevant.

Destinatarul deciziei sau hotărârii poate solicita avizul organismului național relevant sau al autorității competente în materie de cooperare judiciară internațională, pentru a stabili dacă condițiile prevăzute la primul paragraf sunt îndeplinite, în special atunci când consideră că decizia poate viza secrete comerciale și alte date sensibile din punct de vedere comercial, precum și conținuturi protejate de drepturi de proprietate intelectuală, ori atunci când transferul datelor poate avea drept rezultat reidentificarea acestora. Organismul național relevant sau autoritatea națională relevantă poate consulta Comisia. În cazul în care destinatarul consideră că decizia sau hotărârea poate afecta interesele Uniunii sau ale statelor membre ale acesteia în materie de securitate sau apărare națională, acesta solicită avizul organismului național relevant sau al autorității naționale relevante pentru a stabili dacă datele solicitate vizează interesele Uniunii sau ale statelor membre ale acesteia în materie de securitate sau apărare națională. În cazul în care destinatarul nu primește un răspuns în termen de o lună sau în care în avizul unui astfel de organism sau al unei astfel de autorități se concluzionează că nu sunt îndeplinite condițiile prevăzute la primul paragraf, destinatarul poate respinge cererea de transfer al datelor fără caracter personal sau de acces la acestea din motivele menționate.

EDIB, astfel cum este menționat la articolul 42, consiliază și asistă Comisia în elaborarea de orientări cu privire la evaluarea îndeplinirii condițiilor prevăzute la primul paragraf de la prezentul alineat.

(4) Dacă sunt îndeplinite condițiile prevăzute la alineatul (2) sau (3), furnizorul de servicii de prelucrare a datelor pune la dispoziție volumul minim de date permis ca răspuns la o cerere, pe baza unei interpretări rezonabile a cererii respective de către furnizor sau de organismul național relevant sau de autoritatea națională relevantă menționată la alineatul (3) al doilea paragraf.

(5) Furnizorul de servicii de prelucrare a datelor îl informează pe client cu privire la existența unei cereri prin care o autoritate dintr-o țară terță solicită acces la datele sale, înainte de a da curs cererii respective, cu excepția cazurilor în care cererea servește unor scopuri de asigurare a respectării legii și atât timp cât acest lucru este necesar pentru a se menține eficacitatea activității de asigurare a respectării legii.

CAPITOLUL VIII

INTEROPERABILITATE

Articolul 33

Cerințe esențiale privind interoperabilitatea datelor, a mecanismelor și serviciilor de partajare a datelor, precum și a spațiilor europene comune ale datelor

(1) Participanții la spațiile de date care oferă date sau servicii de date altor participanți respectă următoarele cerințe esențiale pentru a facilita interoperabilitatea datelor, a mecanismelor și a serviciilor de partajare a datelor, precum și a spațiilor europene comune ale datelor, care sunt cadre interoperabile specifice fiecărui scop sau fiecărui sector ori transsectoriale de standarde și practici comune pentru partajarea sau prelucrarea în comun a datelor, printre altele, pentru dezvoltarea de noi produse și servicii, pentru cercetarea științifică sau pentru inițiative ale societății civile:

(a)

conținutul setului de date, restricțiile de utilizare, licențele, metodologia de colectare a datelor, calitatea datelor și incertitudinea datelor trebuie să fie descrise suficient, acolo unde este cazul într-un format care poate fi citit automat, pentru a i se permite destinatarului să găsească, să acceseze și să utilizeze datele;

(b)	structurile de date, formatele de date, vocabularele, sistemele de clasificare, taxonomiile și listele de coduri, dacă sunt disponibile, trebuie să fie descrise într-un mod accesibil publicului și coerent;

(c)

mijloacele tehnice de accesare a datelor, cum ar fi interfețele de programare a aplicațiilor, precum și condițiile de utilizare a acestora și calitatea serviciului trebuie să fie descrise suficient pentru a se permite accesarea și transmiterea automată a datelor între părți, inclusiv în mod continuu, sub formă de descărcare în masă sau în timp real, într-un format care poate fi citit automat, atunci când acest lucru este fezabil din punct de vedere tehnic și nu afectează buna funcționare a produsului conectat;

(d)	acolo unde este cazul, trebuie puse la dispoziție mijloacele care permit interoperabilitatea instrumentelor de automatizare a executării acordurilor de partajare de date, cum ar fi contractele inteligente.

Cerințele pot avea un caracter generic sau pot viza sectoare specifice, dar ținând în același timp seama pe deplin de interconectarea lor cu cerințele care decurg din dreptul Uniunii sau din dreptul intern.

(2) Comisia este împuternicită să adopte acte delegate, în conformitate cu articolul 45 din prezentul regulament pentru a-l completa prin detalierea suplimentară a cerințelor esențiale prevăzute la alineatul (1) de la prezentul articol, în ceea ce privește acele cerințe care, prin natura lor, nu pot produce efectul scontat decât dacă sunt specificate mai în detaliu în acte juridice obligatorii ale Uniunii și pentru a reflecta în mod corespunzător evoluțiile tehnologice și ale pieței.

Atunci când adoptă acte delegate, Comisia ține seama de avizul EDIB, în conformitate cu articolul 42 litera (c) punctul (iii).

(3) Participanții la spațiile de date care oferă date sau servicii de date altor participanți la spațiile de date ce îndeplinesc standardele armonizate sau părți ale acestora pentru care sunt publicate trimiteri în Jurnalul Oficial al Uniunii Europene sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de standarde armonizate sau părți ale acestora.

(4) Comisia, în temeiul articolului 10 din Regulamentul (UE) nr. 1025/2012, solicită uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatul (1) de la prezentul articol.

(5) Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune care să acopere una sau toate cerințele esențiale prevăzute la alineatul (1), în cazul în care sunt îndeplinite următoarele condiții:

(a)

Comisia a solicitat, în temeiul articolului 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, uneia sau mai multor organizații de standardizare europene să elaboreze un standard armonizat care să îndeplinească cerințele esențiale prevăzute la alineatul (1) de la prezentul articol și:

(i)	cererea nu a fost acceptată;

(ii)	standardele armonizate care răspund cererii respective nu sunt furnizate în termenul stabilit în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012; sau

(iii)

standardele armonizate nu se conformează solicitării; și

(b)

în Jurnalul Oficial al Uniunii Europene nu este publicată nicio trimitere la standarde armonizate care să acopere cerințele esențiale relevante prevăzute la alineatul (1) de la prezentul articol, în conformitate cu Regulamentul (UE) nr. 1025/2012, și nu se anticipează publicarea niciunei astfel de trimiteri în viitorul apropiat.

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).

(6) Înainte de a pregăti un proiect de act de punere în aplicare menționat la alineatul (5) de la prezentul articol, Comisia informează comitetul menționat la articolul 22 din Regulamentul (UE) nr. 1025/2012 că, în opinia sa, au fost îndeplinite condițiile prevăzute la alineatul (5) de la prezentul articol.

(7) Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (5), Comisia ține seama de avizul EDIB și de avizele altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.

(8) Participanții la spațiile de date care oferă date sau servicii de date altor participanți la spațiile de date ce îndeplinesc specificațiile comune sau părți ale acestora stabilite de actele de punere în aplicare menționate la alineatul (5) sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de specificații comune sau de părți ale acestora.

(9) În cazul în care un standard armonizat este adoptat de o organizație de standardizare europeană și este propus Comisiei pentru ca trimiterea la acesta să fie publicată în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. În cazul în care trimiterea la un standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menționate la alineatul (5) de la prezentul articol sau acele părți ale lor care vizează aceleași cerințe esențiale ca cele care fac obiectul standardului armonizat respectiv.

(10) În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatul (1), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

(11) Comisia poate adopta orientări ținând seama de propunerea înaintată de EDIB, în conformitate cu articolul 30 litera (h) din Regulamentul (UE) 2022/868, care să stabilească cadre interoperabile pentru standarde și practici comune pentru funcționarea spațiilor europene comune ale datelor.

Articolul 35

Interoperabilitatea serviciilor de prelucrare a datelor

(1) Specificațiile deschise de interoperabilitate și standardele europene armonizate de interoperabilitate a serviciilor de prelucrare a datelor trebuie:

(a)	să realizeze, când este fezabil din punct de vedere tehnic, interoperabilitatea între diferite servicii de prelucrare a datelor care acoperă același tip de serviciu;

(b)	să îmbunătățească portabilitatea activelor digitale între diferite servicii de prelucrare a datelor care acoperă același tip de serviciu;

(c)	să faciliteze, când este fezabil din punct de vedere tehnic, echivalența funcțională între diferitele servicii de prelucrare a datelor menționate la articolul 30 alineatul (1) care acoperă același tip de serviciu;

(d)	să nu aibă un impact negativ asupra securității și integrității datelor și a serviciilor de prelucrare a datelor;

(e)	să fie proiectate astfel încât să permită progresele tehnice și includerea de noi funcții și inovații în domeniul serviciilor de prelucrare a datelor.

(2) Specificațiile deschise de interoperabilitate și standardele armonizate de interoperabilitate a serviciilor de prelucrare a datelor abordează în mod adecvat:

(a)	aspectele de interoperabilitate în cloud, și anume interoperabilitatea transporturilor, interoperabilitatea sintactică, interoperabilitatea datelor semantice, interoperabilitatea comportamentală și interoperabilitatea politicilor;

(b)	aspectele de portabilitate a datelor în cloud, și anume portabilitatea sintactică a datelor, portabilitatea semantică a datelor și portabilitatea politicilor de date;

(c)	aspectele de aplicații în cloud, și anume portabilitatea sintactică a aplicațiilor, portabilitatea instrucțiunilor aplicațiilor, portabilitatea metadatelor aplicațiilor, portabilitatea comportamentului aplicațiilor și portabilitatea politicilor de aplicații.

(3) Specificațiile deschise de interoperabilitate respectă anexa II la Regulamentul (UE) nr. 1025/2012.

(4) După ce ia în considerare standardele internaționale și europene relevante și inițiativele de autoreglementare, Comisia poate, în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, să solicite uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatele (1) și (2) de la prezentul articol.

(5) Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune bazate pe specificații deschise de interoperabilitate care să acopere toate cerințele esențiale prevăzute la alineatele (1) și (2).

(6) Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (5) de la prezentul articol, Comisia ține seama de opiniile autorităților competente relevante menționate la articolul 37 alineatul (5) litera (h) și de cele ale altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.

(7) În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatele (1) și (2), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

(8) În sensul articolului 30 alineatul (3), Comisia publică, prin intermediul unor acte de punere în aplicare, trimiterile la standardele armonizate și specificațiile comune pentru interoperabilitatea serviciilor de prelucrare a datelor într-un registru central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor.

(9) Actele de punere în aplicare menționate în prezentul articol se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).

Articolul 36

Cerințe esențiale privind contractele inteligente pentru executarea acordurilor de partajare de date

(1) Vânzătorul unei aplicații care utilizează contracte inteligente sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord de punere la dispoziție de date sau a unei părți a acestuia se asigură că respectivele contracte inteligente respectă următoarele cerințe esențiale:

(a)	robustețe și controlul accesului, pentru a se asigura că, prin modul în care a fost conceput, contractul inteligent oferă mecanisme de control al accesului și un grad foarte ridicat de robustețe, pentru a preveni erorile funcționale și a rezista la manipularea de către terți;

(b)

reziliere și întrerupere în siguranță, pentru a asigura existența unui mecanism care să permită încetarea executării continue a tranzacțiilor și faptul că contractul inteligent include funcții interne care să poată reseta sau instrui contractul să oprească sau să întrerupă operația, în special, pentru evitarea unor execuții accidentale viitoare;

(c)

arhivare și continuitate a datelor, pentru a se asigura că, în cazul în care un contract inteligent trebuie reziliat sau dezactivat, există posibilitatea de arhivare a datelor privind operațiile, a logicii contractului inteligent și a codului acestuia, pentru a se ține evidența operațiilor efectuate asupra datelor în trecut (posibilitatea auditării);

(d)	control al accesului, pentru a asigura faptul că un contract inteligent este protejat prin mecanisme riguroase de control al accesului la nivel de guvernanță și de contractare inteligentă; și

(e)	consecvență, pentru a asigura consecvența cu clauzele acordului de partajare de date pe care îl execută contractul inteligent.

(2) Vânzătorul unui contract inteligent sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord sau a unei părți a acestuia, de punere la dispoziție de date efectuează o evaluare a conformității pentru a verifica dacă sunt îndeplinite cerințele esențiale prevăzute la alineatul (1) și, dacă respectivele cerințe sunt îndeplinite, emite o declarație de conformitate UE.

(3) Prin întocmirea declarației de conformitate UE, vânzătorul unei aplicații care utilizează contracte inteligente sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord sau a unei părți a acestuia de punere la dispoziție de date răspunde pentru îndeplinirea cerințelor esențiale prevăzute la alineatul (1).

(4) Un contract inteligent care îndeplinește standardele armonizate sau părți relevante ale acestora pentru care sunt publicate trimiteri în Jurnalul Oficial al Uniunii Europene este prezumat a îndeplini cerințele esențiale prevăzute la alineatul (1) în măsura în care cerințele respective fac obiectul unor astfel de standarde armonizate sau al unei părți ale acestora.

(5) Comisia, în temeiul articolului 10 din Regulamentul (UE) nr. 1025/2012, solicită uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatul (1) de la prezentul articol.

(6) Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune care să acopere una sau toate cerințele esențiale prevăzute la alineatul (1), în cazul în care sunt îndeplinite următoarele condiții:

(a)

Comisia a solicitat, în temeiul articolului 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, uneia sau mai multor organizații de standardizare europene să elaboreze un standard armonizat care îndeplinește cerințele esențiale prevăzute la alineatul (1) de la prezentul articol și:

(i)	cererea nu a fost acceptată;

(ii)	standardele armonizate care răspund cererii respective nu sunt adoptate în termenul stabilit în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012; sau

(iii)

standardele armonizate nu se conformează solicitării; și

(b)

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).

(7) Înainte de a pregăti un proiect de act de punere în aplicare menționat la alineatul (6) de la prezentul articol, Comisia informează comitetul menționat la articolul 22 din Regulamentul (UE) nr. 1025/2012 că, în opinia sa, au fost îndeplinite condițiile prevăzute la alineatul (6) de la prezentul articol.

(8) Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (6), Comisia ține seama de avizul EDIB și de avizele altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.

(9) Vânzătorul unui contract inteligent sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord sau a unei părți a acestuia de punere la dispoziție de date ce îndeplinesc specificațiile comune stabilite de actele de punere în aplicare menționate la alineatul (6) sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de specificații comune sau de părți ale acestora.

(10) În cazul în care un standard armonizat este adoptat de o organizație de standardizare europeană și este propus Comisiei pentru ca trimiterea la acesta să fie publicată în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. În cazul în care trimiterea la un standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menționate la alineatul (6) de la prezentul articol sau acele părți ale lor care vizează aceleași cerințe esențiale ca cele care fac obiectul standardului armonizat respectiv.

(11) În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatul (1), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

CAPITOLUL IX

PUNEREA ÎN APLICARE ȘI ASIGURAREA RESPECTĂRII REGULAMENTULUI

Articolul 37

Autoritățile competente și coordonatorii de date

(1) Fiecare stat membru desemnează una sau mai multe autorități competente care sunt responsabile cu aplicarea și asigurarea respectării prezentului regulament (denumite în continuare „autoritățile competente”). Statele membre pot să înființeze una sau mai multe autorități noi sau să se bazeze pe autorități existente.

(2) În cazul în care un stat membru desemnează mai multe autorități competente, acesta desemnează un coordonator de date ales dintre ele pentru a facilita cooperarea între autoritățile competente și pentru a sprijini entitățile care intră în domeniul de aplicare al prezentului regulament cu privire la toate aspectele legate de aplicarea și asigurarea respectării acestuia. Autoritățile competente cooperează între ele în exercitarea sarcinilor și competențelor care le-au fost atribuite în temeiul alineatului (5).

(3) Autoritățile de supraveghere care sunt responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 sunt responsabile cu monitorizarea aplicării prezentului regulament în ceea ce privește protecția datelor cu caracter personal. Se aplică, mutatis mutandis, capitolele VI și VII din Regulamentul (UE) 2016/679.

Autoritatea Europeană pentru Protecția Datelor este responsabilă cu monitorizarea aplicării prezentului regulament pentru aspectele care privesc Comisia, Banca Centrală Europeană și organele Uniunii. Acolo unde este cazul, se aplică, mutatis mutandis, articolul 62 din Regulamentul (UE) 2018/1725.

Sarcinile și competențele autorităților de supraveghere menționate în prezentul alineat se exercită în ceea ce privește prelucrarea datelor cu caracter personal.

(4) Fără a aduce atingere alineatului (1) de la prezentul articol:

(a)	în ceea ce privește aspectele sectoriale specifice ale accesului la date și utilizării acestora care au legătură cu aplicarea prezentului regulament, se respectă competența autorităților sectoriale;

(b)	autoritatea competentă responsabilă cu aplicarea și asigurarea respectării articolelor 23-31, 34 și 35 dispune de experiență în domeniul serviciilor de date și de comunicații electronice.

(5) Statele membre se asigură că sarcinile și competențele autorităților competente sunt clar definite și includ:

(a)	promovarea competențelor digitale și a sensibilizării utilizatorilor și entităților care intră sub incidența prezentului regulament cu privire la drepturile și obligațiile care le revin în temeiul prezentului regulament;

(b)

tratarea plângerilor depuse ca urmare a unor presupuse încălcări ale prezentului regulament, inclusiv cele legate de secrete comerciale, precum și investigarea, în măsura adecvată, a obiectului plângerii și informarea cu regularitate a reclamanților, acolo unde este cazul în conformitate cu dreptul intern, cu privire la evoluția și rezultatul investigației, într-un termen rezonabil, în special dacă este necesară efectuarea unor investigații mai amănunțite sau coordonarea cu o altă autoritate competentă;

(c)	desfășurarea de investigații în chestiuni care privesc aplicarea prezentului regulament, inclusiv pe baza unor informații primite de la o altă autoritate competentă sau de la o altă autoritate publică;

(d)	impunerea de sancțiuni financiare efective, proporționale și disuasive, care pot include penalități cu titlu cominatoriu și penalități cu efect retroactiv, sau deschiderea de proceduri judiciare pentru impunerea de amenzi;

(e)	monitorizarea evoluțiilor tehnologice și comerciale relevante pentru punerea la dispoziție și utilizarea de date;

(f)

cooperarea cu autoritățile competente ale altor state membre și, unde este cazul, cu Comisia sau cu EDIB, pentru asigurarea unei aplicări consecvente și eficiente a prezentului regulament, inclusiv transmiterea reciprocă a tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate, inclusiv în ceea ce privește alineatul (10) de la prezentul articol;

(g)

cooperarea cu autoritățile competente relevante responsabile cu punerea în aplicare a altor acte juridice ale Uniunii sau actelor juridice naționale, inclusiv cu autoritățile competente în domeniul datelor și al serviciilor de comunicații electronice, cu autoritatea de supraveghere responsabilă cu monitorizarea aplicării Regulamentului (UE) 2016/679 sau cu autoritățile sectoriale, pentru a se asigura faptul că prezentul regulament este pus în aplicare în mod consecvent cu alte acte din dreptul Uniunii și din dreptul intern;

(h)	cooperarea cu autoritățile competente relevante pentru asigurarea aplicării articolelor 23-31, 34 și 35 în mod consecvent cu alte acte din dreptul Uniunii și cu măsurile de autoreglementare aplicabile furnizorilor de servicii de prelucrare a datelor;

(i)	asigurarea faptului că taxele de trecere la alt furnizor sunt eliminate în conformitate cu articolul 29;

(j)	examinarea cererilor de date introduse în temeiul capitolului V.

În cazul în care este desemnat, coordonatorul de date facilitează cooperarea menționată la literele (f), (g) și (h) de la primul paragraf și asistă autoritățile competente, la cererea acestora.

(6) În cazul în care este desemnat un coordonator de date, o astfel de autoritate competentă:

(a)	acționează ca punct unic de contact pentru toate aspectele legate de aplicarea prezentului regulament;

(b)

asigură disponibilitatea publică online a cererilor de punere la dispoziție a datelor introduse de organismele din sectorul public în cazul unei nevoi excepționale în temeiul capitolului V și promovează acordurile voluntare de partajare de date între organismele din sectorul public și deținătorii de date;

(c)	informează anual Comisia cu privire la refuzurile notificate în temeiul articolului 4 alineatele (2) și (8) și al articolului 5 alineatul (11).

(7) Statele membre notifică Comisiei denumirile autorităților competente, sarcinile și competențele acestora și, când este cazul, denumirea coordonatorului de date. Comisia ține un registru public al acestor autorități.

(8) Când își îndeplinesc sarcinile și își exercită competențele în conformitate cu prezentul regulament, autoritățile competente rămân imparțiale și nesupuse niciunei influențe externe, directe sau indirecte, și nici nu solicită, nici nu acceptă instrucțiuni referitoare la cazuri individuale de la nicio altă autoritate publică sau parte privată.

(9) Statele membre se asigură că autorităților competente li se pun la dispoziție suficiente resurse umane și tehnice și că dispun de expertiza relevantă pentru îndeplinirea cu eficacitate a sarcinilor ce le revin în conformitate cu prezentul regulament.

(10) Entitățile care intră în domeniul de aplicare al prezentului regulament se supun competenței statului membru în care este stabilită entitatea. În cazul în care entitatea are sedii în mai multe state membre, se consideră că aceasta intră în sfera de competență a statului membru în care își are sediul principal, și anume locul unde entitatea își are sediul central sau sediul social și de unde se exercită principalele funcții financiare și controlul operațional.

(11) Orice entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune fără a fi stabilită în Uniune desemnează un reprezentant legal într-unul dintre statele membre.

(12) În scopul asigurării respectării prezentului regulament, o entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune împuternicește un reprezentant legal, care să comunice cu autoritățile competente în plus față de entitate sau în locul acesteia cu privire la toate aspectele legate de respectiva entitate. Reprezentantul legal respectiv cooperează cu autoritățile competente și le demonstrează în mod exhaustiv, la cerere, acțiunile întreprinse și dispozițiile stabilite de entitatea care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune pentru a asigura respectarea prezentului regulament.

(13) Se consideră că o entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune se află în competența statului membru în care este situat reprezentantul său legal. Desemnarea unui reprezentant legal de către o astfel de entitate nu aduce atingere răspunderii entității respective și nici acțiunilor în justiție care ar putea fi introduse împotriva acesteia. Înainte ca o entitate să desemneze un reprezentant legal în conformitate cu prezentul articol, aceasta se află în sfera de competență a tuturor statelor membre, după caz, în vederea asigurării aplicării și respectării prezentului regulament. Orice autoritate competentă își poate exercita competența, inclusiv prin impunerea de sancțiuni efective, proporționale și disuasive, cu condiția ca entitatea să nu facă obiectul unor proceduri de aplicare a legii inițiate de o altă autoritate competentă, în temeiul prezentului regulament, cu privire la aceleași fapte.

(14) Autoritățile competente pot solicita utilizatorilor, deținătorilor de date sau destinatarilor datelor ori reprezentanților lor legali care se află în sfera de competență a statului lor membru toate informațiile necesare pentru verificarea respectării prezentului regulament. Orice cerere de informații este proporțională cu îndeplinirea sarcinii aferente și se motivează.

(15) În cazul în care o autoritate competentă dintr-un stat membru solicită asistență sau măsuri de asigurare a respectării legii din partea unei autorități competente dintr-un alt stat membru, aceasta introduce o cerere motivată. La primirea unei astfel de cereri, autoritatea competentă furnizează un răspuns, fără întârzieri nejustificate, prezentând în detaliu măsurile care au fost întreprinse sau care urmează să fie întreprinse.

(16) Autoritățile competente respectă principiul confidențialității și pe cel al secretului profesional și comercial și protejează datele cu caracter personal în conformitate cu dreptul Uniunii sau cu dreptul intern. Orice informație transmisă în contextul unei solicitări de asistență și furnizată în temeiul prezentului articol se utilizează numai în scopul pentru care a fost solicitată.

Articolul 40

Sancțiuni

(1) Statele membre adoptă normele privind sancțiunile care se aplică în cazul nerespectării prezentului regulament și iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancțiunile trebuie să fie efective, proporționale și disuasive.

(2) Statele membre notifică Comisiei normele și măsurile respective până la 12 septembrie 2025 și îi comunică acesteia, fără întârziere, orice modificare ulterioară a respectivelor norme și măsuri. Comisia ține un registru public ușor accesibil al acestor măsuri și îl actualizează periodic.

(3) Statele membre țin seama de recomandările EDIB și de următoarele criterii neexhaustive atunci când impun sancțiuni pentru încălcarea prezentului regulament:

(a)	natura, gravitatea, amploarea și durata încălcării;

(b)	orice acțiune întreprinsă de autorul încălcării pentru a atenua sau a remedia prejudiciul cauzat de încălcare;

(c)	eventuale încălcări anterioare comise de către autorul încălcării;

(d)	beneficiile financiare obținute sau pierderile evitate de autorul încălcării ca urmare a încălcării, în măsura în care aceste beneficii sau pierderi pot fi stabilite în mod fiabil;

(e)	orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului;

(f)	cifra de afaceri anuală realizată de autorul încălcării în Uniune, în exercițiul financiar precedent.

(4) Pentru încălcările obligațiilor stabilite în capitolele II, III și V din prezentul regulament, autoritățile de supraveghere responsabile de monitorizarea aplicării Regulamentului (UE) 2016/679 pot impune, în limitele domeniului lor de competență, amenzi administrative în conformitate cu articolul 83 din Regulamentul (UE) 2016/679 până la concurența sumei menționate la articolul 83 alineatul (5) din regulamentul respectiv.

(5) Pentru încălcările obligațiilor stabilite în capitolul V din prezentul regulament, Autoritatea Europeană pentru Protecția Datelor poate impune, în limitele domeniului său de competență, amenzi administrative în conformitate cu articolul 66 din Regulamentul (UE) 2018/1725 până la concurența sumei menționate la articolul 66 alineatul (3) din regulamentul respectiv.

Articolul 42

Rolul EDIB

EDIB, instituit de Comisie ca un grup de experți în temeiul articolului 29 din Regulamentul (UE) 2022/868, în care sunt reprezentate autoritățile competente, sprijină aplicarea consecventă a prezentului regulament prin următoarele acțiuni:

(a)	consiliază și asistă Comisia în ceea ce privește dezvoltarea unei practici coerente a organismelor competente pentru asigurarea punerii în aplicare a capitolelor II, III, V și VII;

(b)

facilitează cooperarea între autoritățile competente prin consolidarea capacităților și schimbul de informații, în special prin stabilirea de metode pentru schimbul eficient de informații referitoare la asigurarea respectării drepturilor și obligațiilor în conformitate cu capitolele II, III și V în cazurile transfrontaliere, inclusiv coordonarea în ceea ce privește stabilirea sancțiunilor;

(c)

consiliază și asistă Comisia în ceea ce privește:

(i)	posibilitatea de a solicita redactarea standardelor armonizate menționate la articolul 33 alineatul (4), articolul 35 alineatul (4) și articolul 36 alineatul (5);

(ii)	pregătirea actelor de punere în aplicare menționate la articolul 33 alineatul (5), articolul 35 alineatele (5) și (8) și articolul 36 alineatul (6);

(iii)

pregătirea actelor delegate menționate la articolul 29 alineatul (7) și la articolul 33 alineatul (2); și

(iv)	adoptarea orientărilor care stabilesc cadre interoperabile pentru standarde și practici comune pentru funcționarea spațiilor europene comune ale datelor menționate la articolul 33 alineatul (11).

CAPITOLUL X

DREPTUL SUI GENERIS PREVĂZUT ÎN DIRECTIVA 96/9/CE

Articolul 49

Evaluare și reexaminare

(1) Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cu principalele sale constatări Parlamentului European, Consiliului și Comitetului Economic și Social European. În cadrul evaluării se analizează în special:

(a)

situațiile care trebuie considerate că reprezintă o nevoie excepțională în sensul articolului 15 din prezentul regulament și aplicarea în practică a capitolului V din prezentul regulament, în special experiența acumulată ca urmare a aplicării capitolului V din prezentul regulament de către organismele din sectorul public, de către Comisie, Banca Centrală Europeană și de către organele Uniunii; numărul și rezultatul procedurilor inițiate în fața autorității competente în temeiul articolului 18 alineatul (5) privind aplicarea capitolului V din prezentul regulament, astfel cum au fost raportate de autoritățile competente; impactul altor obligații prevăzute în dreptul Uniunii sau în dreptul intern în scopul respectării cererilor de acces la informații; impactul mecanismelor voluntare de partajare de date, cum ar fi cele instituite de organizațiile de promovare a altruismului în materie de date recunoscute în cadrul Regulamentului (UE) 2022/868, asupra îndeplinirii obiectivelor capitolului V din prezentul regulament, precum și rolul datelor cu caracter personal în contextul articolului 15 din prezentul regulament, inclusiv evoluția tehnologiilor de protecție a vieții private;

(b)	impactul prezentului regulament asupra utilizării datelor în economie, inclusiv asupra inovării în domeniul datelor, a practicilor de valorificare financiară a datelor și a serviciilor de intermediere de date, precum și asupra partajării de date în cadrul spațiilor europene comune ale datelor;

(c)	accesibilitatea și utilizarea diferitelor categorii și tipuri de date;

(d)	excluderea anumitor categorii de întreprinderi de la calitatea de beneficiar în temeiul articolului 5;

(e)	absența oricărui impact asupra drepturilor de proprietate intelectuală;

(f)

impactul asupra secretelor comerciale, inclusiv asupra protecției împotriva dobândirii, utilizării și divulgării ilegale a acestora, precum și impactul mecanismului care permite deținătorului de date să respingă cererea utilizatorului în temeiul articolului 4 alineatul (8) și al articolului 5 alineatul (11), ținând seama, în măsura posibilului, de orice revizuire a Directivei (UE) 2016/943;

(g)	măsura în care lista clauzelor contractuale abuzive menționată la articolul 13 reflectă situația la zi, în contextul noilor practici comerciale și al ritmului rapid al inovării pe piață;

(h)	schimbările survenite în practicile contractuale ale furnizorilor de servicii de prelucrare a datelor și dacă schimbările respective permit respectarea într-o măsură suficientă a articolului 25;

(i)	diminuarea taxelor impuse de furnizorii de servicii de prelucrare a datelor pentru procesul de trecere la alt furnizor, în concordanță cu obligația de eliminare treptată a taxelor de trecere la alt furnizor, prevăzută la articolul 29;

(j)	interacțiunea dintre prezentul regulament și alte acte juridice ale Uniunii relevante pentru economia datelor;

(k)	împiedicarea accesului ilegal al administrațiilor publice la datele fără caracter personal;

(l)	eficacitatea sistemului de asigurare a respectării prezentului regulament, stabilit la articolul 37;

(m)	impactul prezentului regulament asupra IMM-urilor în ceea ce privește capacitatea lor de inovare, disponibilitatea serviciilor de prelucrare a datelor pentru utilizatorii din Uniune și sarcina administrativă generată de respectarea noilor obligații.

(2) Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cuprinzând principalele sale constatări Parlamentului European și Consiliului, precum și Comitetului Economic și Social European. Evaluarea respectivă analizează impactul articolelor 23-31, 34 și 35, în special în ceea ce privește stabilirea prețurilor și diversitatea serviciilor de prelucrare a datelor oferite în Uniune, cu un accent special pe furnizorii care sunt IMM-uri.

(3) Statele membre furnizează Comisiei informațiile necesare pentru întocmirea rapoartelor menționate la alineatele (1) și (2).

(4) Pe baza rapoartelor menționate la alineatele (1) și (2), Comisia poate înainta Parlamentului European și Consiliului, dacă este cazul, o propunere legislativă de modificare a prezentului regulament.

whereas

keyboard_tab Data Act 2023/2854 RO

Data Act 2023/2854 RO