Data Act 2023/2854 RO

1.	„date” înseamnă orice reprezentare digitală a unor acte, fapte sau informații și orice compilație a unor astfel de acte, fapte sau informații, inclusiv sub forma unei înregistrări audio, video sau audiovizuale;

2.	„metadate” înseamnă o descriere structurată a conținutului sau a utilizării datelor care facilitează descoperirea sau utilizarea acestor date;

3.	„date cu caracter personal” înseamnă date cu caracter personal astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

4.	„date fără caracter personal” înseamnă alte date decât datele cu caracter personal;

„produs conectat” înseamnă un bun care obține, generează sau colectează date privind utilizarea sau mediul său, care are capacitatea de a comunica date referitoare la produs prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat și a cărui funcție principală nu este stocarea, prelucrarea sau transmiterea datelor în numele altor părți decât utilizatorul;

„serviciu conex” înseamnă un serviciu digital, altul decât un serviciu de comunicații electronice, inclusiv un software, care este conectat la produs la momentul achiziționării, al închirierii sau al leasingului astfel încât absența sa ar împiedica produsul conectat să îndeplinească una sau mai multe dintre funcțiile sale, sau care este ulterior conectat la produs de către fabricant sau de către un terț pentru a suplimenta, actualiza sau adapta funcțiile produsului conectat;

„prelucrare” înseamnă orice operațiune sau serie de operațiuni efectuate asupra datelor sau a seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

„serviciu de prelucrare a datelor” înseamnă un serviciu digital care este furnizat unui client și care permite accesul ubicuu și la cerere în rețea la un bazin comun configurabil, scalabil și elastic de resurse informatice cu un caracter centralizat, distribuit sau foarte distribuit care pot fi rapid mobilizate și eliberate cu un efort minim de administrare sau de interacțiune cu furnizorul de servicii;

9.	„același tip de serviciu” înseamnă un set de servicii de prelucrare a datelor care au în comun același obiectiv principal, același model de serviciu de prelucrare a datelor și funcționalitățile principale;

10.	„serviciu de intermediere de date” înseamnă un serviciu de intermediere de date astfel cum este definit la articolul 2 punctul 11 din Regulamentul (UE) 2022/868;

11.	„persoană vizată” înseamnă persoană vizată astfel cum se menționează la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

12.	„utilizator” înseamnă o persoană fizică sau juridică care deține un produs conectat sau căreia i-au fost transferate prin contract drepturi temporare de utilizare a produsului conectat respectiv sau care primește servicii conexe;

13.

„deținător de date” înseamnă o persoană fizică sau juridică care, în conformitate cu prezentul regulament, cu dreptul aplicabil al Uniunii sau cu legislația națională adoptată în conformitate cu dreptul Uniunii, are dreptul sau obligația de a utiliza și de a pune la dispoziție date, inclusiv, dacă s-a convenit prin contract, date referitoare la produs sau date referitoare la un serviciu conex pe care le-a extras sau pe care le-a generat în timpul furnizării unui serviciu conex;

14.

„destinatarul datelor” înseamnă o persoană fizică sau juridică acționând în scopuri legate de activitatea sa comercială, economică, meșteșugărească sau profesională, care este diferită de utilizatorul unui produs conectat sau al unui serviciu conex, putând fi și un terț, și căreia deținătorul de date îi pune la dispoziție date în urma unei cereri primite de la utilizator sau în conformitate cu o obligație juridică prevăzută în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii;

15.

„date referitoare la produs” înseamnă date generate prin utilizarea unui produs conectat pe care fabricantul le-a proiectat astfel încât să poată fi extrase, prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat, de către un utilizator, un deținător de date sau un terț, inclusiv, după caz, de către fabricant;

16.

„date referitoare la serviciul conex” înseamnă date care reprezintă digitizarea acțiunilor și evenimentelor utilizatorilor legate de produsul conectat, înregistrate în mod intenționat de utilizator sau generate ca produs secundar al acțiunii utilizatorului în timpul furnizării unui serviciu conex de către furnizor;

17.

„date ușor accesibile” înseamnă datele referitoare la un produs și datele referitoare la un serviciu conex pe care un deținător de date le obține sau le poate obține în mod legal de la produsul conectat sau de la serviciul conex, fără a fi nevoie de un efort disproporționat care să depășească cadrul unei simple operații;

18.	„secret comercial” înseamnă un secret comercial astfel cum este definit la articolul 2 punctul 1 din Directiva (UE) 2016/943;

19.	„deținătorul secretului comercial” înseamnă un deținător al secretului comercial astfel cum este definit la articolul 2 punctul 2 din Directiva (UE) 2016/943;

20.	„creare de profiluri” înseamnă creare de profiluri astfel cum este definită la articolul 4 punctul 4 din Regulamentul (UE) 2016/679;

21.	„punere la dispoziție pe piață” înseamnă orice furnizare a unui produs conectat pentru distribuție, consum sau utilizare pe piața Uniunii în cursul unei activități comerciale, contra cost sau gratuit;

22.	„introducere pe piață” înseamnă punerea la dispoziție pentru prima oară a unui produs conectat pe piața Uniunii;

23.	„consumator” înseamnă orice persoană fizică ce acționează în scopuri care nu se încadrează în activitatea sa comercială, economică, meșteșugărească sau profesională;

24.	„întreprindere” înseamnă o persoană fizică sau juridică care acționează, în cadrul contractelor și practicilor care intră în domeniul de aplicare al prezentului regulament, în scopuri care au legătură cu activitatea sa comercială, economică, meșteșugărească sau profesională;

25.	„întreprindere mică” înseamnă o întreprindere mică astfel cum este definită la articolul 2 alineatul (2) din anexa la Recomandarea 2003/361/CE;

26.	„microîntreprindere” înseamnă o microîntreprindere astfel cum este definită la articolul 2 alineatul (3) din Recomandarea 2003/361/CE;

27.	„organe ale Uniunii” înseamnă organele, oficiile și agențiile Uniunii instituite prin sau în temeiul unor acte adoptate în temeiul Tratatului privind Uniunea Europeană, a TFUE sau a Tratatului de instituire a Comunității Europene a Energiei Atomice;

28.	„organism din sectorul public” înseamnă autoritățile naționale, regionale sau locale ale statelor membre și organismele de drept public ale statelor membre sau asociațiile formate din una sau mai multe astfel de autorități ori din unul sau mai multe astfel de organisme;

29.

„situație de urgență” înseamnă o situație excepțională, limitată în timp, cum ar fi o situație de urgență de sănătate publică, o situație de urgență cauzată de dezastre naturale, un dezastru antropic major, inclusiv un incident major de securitate cibernetică, care are efecte negative asupra populației Uniunii, asupra unui stat membru sau asupra unei părți ale unui stat membru, cu un risc de repercusiuni grave și de durată asupra condițiilor de viață sau a stabilității economice, a stabilității financiare ori de degradare substanțială și imediată a activelor economice din Uniune ori din statul membru relevant, și care este stabilită sau declarată în mod oficial în conformitate cu procedurile relevante în temeiul dreptului Uniunii sau al dreptului intern;

30.	„client” înseamnă o persoană fizică sau juridică care a intrat într-o relație contractuală cu un furnizor de servicii de prelucrare a datelor cu scopul de a utiliza unul sau mai multe servicii de prelucrare a datelor;

31.

„asistenți virtuali” înseamnă un software care poate prelucra cereri, sarcini sau întrebări, inclusiv cele exprimate în formă audio, prin text, prin gesturi sau prin mișcări, și care, pe baza respectivelor cereri, sarcini sau întrebări, oferă acces la alte servicii sau controlează funcțiile produselor conectate;

32.	„active digitale” înseamnă elemente în format digital, inclusiv aplicații, asupra cărora clientul are drept de utilizare, indiferent de relația contractuală cu serviciul de prelucrare a datelor pe care intenționează să îl schimbe;

33.	„infrastructura TIC locală” înseamnă o infrastructură TIC și resurse informatice deținute, închiriate sau utilizate în sistem de leasing de client, situate în centrul de date al clientului și exploatate de client sau de un terț;

34.

„trecere la alt furnizor” înseamnă procesul care implică un furnizor de servicii de prelucrare a datelor de origine, un client al unui serviciu de prelucrare a datelor și, după caz, un furnizor de servicii de prelucrare a datelor de destinație, prin care clientul unui serviciu de prelucrare a datelor trece de la utilizarea unui serviciu de prelucrare a datelor la utilizarea unui alt serviciu de prelucrare a datelor, care este același tip de serviciu, sau la alt serviciu, oferit de un furnizor diferit de servicii de prelucrare a datelor, sau la o infrastructură TIC locală, inclusiv prin extragerea, transformarea și încărcarea datelor;

35.

„taxe pentru ieșirea datelor prin transfer” înseamnă taxele de transfer de date percepute clienților pentru extragerea datelor lor prin intermediul rețelei din infrastructura TIC a unui furnizor de servicii de prelucrare a datelor către sistemul unui furnizor diferit sau către o infrastructură TIC locală;

36.

„taxe de trecere la alt furnizor” înseamnă taxe, altele decât taxele standard pentru servicii sau penalitățile pentru reziliere anticipată, impuse de un furnizor de servicii de prelucrare a datelor unui client pentru acțiunile prevăzute de prezentul regulament pentru trecerea la sistemul unui furnizor diferit sau la infrastructura TIC locală, inclusiv taxele pentru ieșirea datelor prin transfer;

37.

„echivalență funcțională” înseamnă restabilirea, pe baza datelor exportabile și a activelor digitale ale clientului, a unui nivel minim de funcționalitate în mediul unui nou serviciu de prelucrare a datelor, care este același tip de serviciu, după procesul de trecere la alt furnizor, în situația în care serviciul de prelucrare a datelor de destinație produce rezultate realmente comparabile ca răspuns la aceleași date de intrare pentru caracteristicile partajate furnizate clientului în temeiul contractului;

38.

„date exportabile”, în sensul articolelor 23-31 și al articolului 35, înseamnă datele de intrare și de ieșire, inclusiv metadatele, generate direct sau indirect sau cogenerate, prin utilizarea de către client a serviciului de prelucrare a datelor, cu excepția oricăror active sau date protejate de drepturi de proprietate intelectuală, sau care constituie secrete comerciale, ale furnizorilor de servicii de prelucrare a datelor sau ale terților;

39.	„contract inteligent” înseamnă un program pentru calculator utilizat pentru executarea automată a unui contract sau a unei părți a acestuia, utilizând o secvență de înregistrări electronice de date și asigurând integritatea și acuratețea ordonării lor cronologice;

40.	„interoperabilitate” înseamnă capacitatea a două sau mai multe spații de date sau rețele de comunicații, sisteme, produse conectate, aplicații, servicii de prelucrare a datelor sau componente de a schimba și de a utiliza date în vederea îndeplinirii funcțiilor lor;

41.	„specificație deschisă de interoperabilitate” înseamnă o specificație tehnică în domeniul tehnologiilor informației și comunicațiilor care este orientată spre performanța realizării interoperabilității între serviciile de prelucrare a datelor;

42.	„specificații comune” înseamnă un document, diferit de un standard, ce conține soluții tehnice care oferă un mijloc de respectare a anumitor cerințe și obligații stabilite în prezentul regulament;

43.	„standard armonizat” înseamnă un standard armonizat astfel cum este definit la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012.

CAPITOLUL II

PARTAJAREA DE DATE ÎNTRE ÎNTREPRINDERI ȘI CONSUMATORI ȘI ÎNTRE ÎNTREPRINDERI

Articolul 13

Clauze contractuale abuzive impuse unilateral unei alte întreprinderi

(1) O clauză contractuală referitoare la accesul la date și utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date, care a fost impusă unilateral de o întreprindere unei alte întreprinderi, nu poate fi obligatorie pentru aceasta din urmă dacă este abuzivă.

(2) O clauză contractuală care reflectă dispoziții imperative ale dreptului Uniunii sau dispoziții ale dreptului Uniunii care s-ar aplica în cazul în care clauzele contractuale nu ar reglementa chestiunea nu este considerată abuzivă.

(3) O clauză contractuală este abuzivă dacă prezintă caracteristici ca urmare a cărora utilizarea sa deviază în mod flagrant de la bunele practici comerciale în ceea ce privește accesarea și utilizarea de date, contrar bunei-credințe și corectitudinii.

(4) În special, o clauză contractuală este abuzivă în sensul alineatului (3) dacă are ca obiect sau ca efect:

(a)	excluderea sau limitarea răspunderii părții care a impus-o unilateral pentru acte intenționate sau neglijență gravă;

(b)	excluderea măsurilor reparatorii de care dispune partea căreia i-a fost impusă unilateral în cazul neexecutării obligațiilor contractuale sau excluderea răspunderii părții care a impus-o unilateral în cazul unei încălcări a respectivelor obligații;

(c)	acordarea către partea care a impus-o unilateral a dreptului exclusiv de a stabili dacă datele furnizate sunt conforme cu contractul sau de a interpreta orice clauză contractuală.

(5) O clauză contractuală este prezumată a fi abuzivă în sensul alineatului (3) dacă are ca obiect sau ca efect:

(a)	limitarea în mod necorespunzător a măsurilor reparatorii în cazul neexecutării obligațiilor contractuale sau limitarea răspunderii în cazul încălcării acestor obligații, sau extinderea răspunderii întreprinderii căreia i-a fost impusă clauza în mod unilateral;

(b)

crearea pentru partea care a impus clauza unilateral a posibilității de accesare și utilizare a datelor celeilalte părți contractante într-un mod care prejudiciază în mod semnificativ interesele legitime ale celeilalte părți contractante, în special în cazul în care datele respective conțin date sensibile din punct de vedere comercial sau sunt protejate de secrete comerciale ori drepturi de proprietate intelectuală;

(c)

împiedicarea părții căreia i-a fost impusă unilateral să utilizeze datele furnizate sau generate de partea respectivă pe durata contractului sau limitarea utilizării unor astfel de date într-o asemenea măsură încât partea respectivă nu are dreptul să utilizeze, să înregistreze, să acceseze sau să controleze astfel de date sau să exploateze valoarea unor astfel de date în mod adecvat;

(d)	împiedicarea părții căreia i-a fost impusă unilateral clauza să rezilieze acordul într-un termen rezonabil;

(e)	împiedicarea părții căreia i-a fost impusă unilateral clauza să obțină o copie a datelor furnizate sau generate de partea respectivă pe durata contractului sau într-un termen rezonabil de la încetarea acestuia;

(f)

crearea pentru partea care a impus-o unilateral a posibilității de a rezilia contractul cu un preaviz nejustificat de scurt, luându-se în considerare orice posibilitate rezonabilă a celeilalte părți contractante de a trece la un serviciu alternativ și comparabil, precum și prejudiciul financiar cauzat de o astfel de reziliere, cu excepția cazului în care există motive serioase în acest sens;

(g)

acordarea pentru partea care a impus unilateral clauza a posibilității de a modifica substanțial prețul specificat în contract sau orice altă condiție de fond legată de natura, formatul, calitatea sau cantitatea datelor care urmează să fie partajate, când niciun motiv întemeiat și niciun drept al celeilalte părți de a rezilia contractul în cazul unei astfel de modificări nu este specificat în contract.

Litera (g) de la primul paragraf nu afectează condițiile prin care partea care a impus unilateral clauza își rezervă dreptul de a modifica unilateral clauzele unui contract pe durată nedeterminată, cu condiția ca în contract să se specifice un motiv întemeiat pentru o astfel de modificare unilaterală, ca partea care a impus unilateral clauza să fie obligată să dea celeilalte părți contractante un preaviz rezonabil cu privire la orice astfel de modificare intenționată și ca cealaltă parte contractantă să aibă libertatea de a rezilia contractul fără costuri în cazul unei modificări.

(6) Se consideră că o clauză contractuală este impusă unilateral în înțelesul prezentului articol dacă a fost oferită de o parte contractantă, fără ca cealaltă parte contractantă să fi fost în măsură să îi influențeze conținutul, în ciuda încercării de a o negocia. Sarcina de a dovedi că o clauză nu a fost impusă unilateral îi revine părții contractante care a oferit clauza contractuală respectivă. Partea contractantă care a inclus clauza contractuală contestată nu poate invoca caracterul abuziv al clauzei contractuale respective.

(7) În cazul în care clauza contractuală abuzivă poate fi disociată de celelalte clauze ale contractului, acestea din urmă sunt obligatorii.

(8) Prezentul articol nu se aplică clauzelor contractuale care definesc obiectul principal al contractului sau caracterului adecvat al prețului, în raport cu datele furnizate în schimb.

(9) Părțile la un contract care intră în domeniul de aplicare al alineatului (1) nu exclud aplicarea prezentului articol, nu derogă de la acesta și nu îi modifică efectele.

CAPITOLUL V

PUNEREA DE DATE LA DISPOZIȚIA ORGANISMELOR DIN SECTORUL PUBLIC, A COMISIEI, A BĂNCII CENTRALE EUROPENE ȘI A ORGANELOR UNIUNII PE BAZA UNEI NEVOI EXCEPȚIONALE

Articolul 17

Cereri de punere la dispoziție de date

(1) Când solicită date în temeiul articolului 14, un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii:

(a)	specifică datele solicitate, inclusiv metadatele relevante necesare pentru interpretarea și utilizarea datelor respective;

(b)	demonstrează că sunt îndeplinite condițiile necesare pentru existența unei nevoi excepționale menționate la articolul 15 în scopul pentru care sunt solicitate datele;

(c)

explică scopul cererii, utilizarea preconizată a datelor solicitate, inclusiv, dacă este cazul, de către un terț în conformitate cu alineatul (4) de la prezentul articol, durata utilizării respective și, după caz, modul în care prelucrarea datelor cu caracter personal trebuie să răspundă nevoii excepționale;

(d)	precizează, dacă este posibil, momentul în care se preconizează că datele vor fi șterse de către toate părțile care au acces la acestea;

(e)	justifică alegerea deținătorului de date căruia îi este adresată cererea;

(f)	menționează orice alte organisme din sectorul public sau Comisia, Banca Centrală Europeană sau organele Uniunii și terții cu care se intenționează partajarea datelor solicitate;

(g)

în cazul în care se solicită date cu caracter personal, specifică orice măsuri tehnice și organizatorice care sunt necesare și proporționale pentru punerea în aplicare a principiilor de protecție a datelor și a garanțiilor necesare, cum ar fi pseudonimizarea, și dacă anonimizarea poate fi aplicată de către deținătorul de date înainte de a pune la dispoziție datele;

(h)	precizează dispoziția legală care atribuie organismului din sectorul public solicitant, Comisiei, Băncii Centrale Europene sau organului Uniunii sarcina specifică de interes public relevantă pentru solicitarea datelor;

(i)	precizează termenul până la care datele urmează să fie puse la dispoziție și termenul menționat la articolul 18 alineatul (2) până la care deținătorul datelor poate să respingă sau să solicite modificarea cererii;

(j)	depun toate eforturile pentru a evita ca respectarea solicitării de date să conducă la răspunderea deținătorilor de date pentru încălcarea dreptului Uniunii sau a dreptului intern.

(2) O cerere de date introdusă în temeiul alineatului (1) de la prezentul articol trebuie:

(a)	să fie formulată în scris și exprimată într-un limbaj clar, concis și simplu, ușor de înțeles de către deținătorul datelor;

(b)	să precizeze tipul de date solicitate și să corespundă datelor pe care deținătorul de date le controlează la momentul cererii;

(c)	să fie proporțională cu nevoia excepțională și justificată în mod corespunzător în ceea ce privește granularitatea și volumul datelor solicitate și frecvența accesului la datele solicitate;

(d)	să respecte obiectivele legitime ale deținătorului datelor, angajându-se să asigure protecția secretelor comerciale în conformitate cu articolul 19 alineatul (3), precum și costurile și eforturile necesare pentru punerea la dispoziție a datelor;

(e)

să se refere la date fără caracter personal și numai dacă se demonstrează că acest lucru este insuficient pentru a răspunde nevoii excepționale de utilizare a datelor, în conformitate cu articolul 15 alineatul (1) litera (a), să solicite date cu caracter personal în formă pseudonimizată și să stabilească măsurile tehnice și organizatorice care urmează să fie luate pentru a proteja datele;

(f)	să informeze deținătorul datelor cu privire la sancțiunile care urmează să fie impuse în temeiul articolului 40 de către autoritatea competentă desemnată în temeiul articolului 37 în cazul nerespectării cererii;

(g)

în cazul în care cererea este introdusă de un organism din sectorul public, să fie transmisă coordonatorului de date menționat la articolul 37 al statului membru în care este stabilit organismul din sectorul public solicitant, care pune cererea la dispoziția publicului online, fără întârzieri nejustificate, cu excepția cazului în care coordonatorul de date consideră că o astfel de publicare ar crea un risc pentru siguranța publică;

(h)	în cazul în care cererea este introdusă de Comisie, Banca Centrală Europeană sau un organ al Uniunii, să fie pusă la dispoziție online fără întârzieri nejustificate;

(i)	în cazul în care se solicită date cu caracter personal, să fie notificată fără întârzieri nejustificate autorității de supraveghere responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 din statul membru în care este stabilit organismul din sectorul public.

Banca Centrală Europeană și organele Uniunii informează Comisia cu privire la cererile lor.

(3) Un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii nu pun la dispoziție datele obținute în temeiul prezentului capitol în vederea reutilizării, astfel cum este definită la articolul 2 punctul 2 din Regulamentul (UE) 2022/868 sau la articolul 2 punctul 11 din Directiva (UE) 2019/1024. Regulamentul (UE) 2022/868 și Directiva (UE) 2019/1024 nu se aplică în cazul datelor deținute de organisme din sectorul public și obținute în temeiul prezentului capitol.

(4) Alineatul (3) de la prezentul articol nu împiedică un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii să facă schimb de date obținute în temeiul prezentului capitol cu alt organism din sectorul public sau cu Comisia, cu Banca Centrală Europeană ori cu un organ al Uniunii, cu scopul îndeplinirii sarcinilor menționate la articolul 15, astfel cum se specifică în cerere în conformitate cu alineatul (1) litera (f) de la prezentul articol, sau să pună datele la dispoziția unui terț în cazul în care a delegat, prin intermediul unui acord accesibil publicului, sarcina de efectuare a inspecțiilor tehnice sau alte funcții către respectivul terț. Obligațiile care revin organismelor din sectorul public în temeiul articolului 19, în special garanțiile de păstrare a confidențialității secretelor comerciale, se aplică și acestor terți. În cazul în care transmite sau pune la dispoziție date în temeiul prezentului alineat, organismul din sectorul public ori Comisia, Banca Centrală Europeană ori un organ Uniunii notifică acest lucru deținătorului de date de la care au fost primite datele, fără întârzieri nejustificate.

(5) În cazul în care deținătorul de date consideră că drepturile sale în temeiul prezentului capitol au fost încălcate prin transmiterea sau punerea la dispoziție a datelor, acesta poate depune o plângere la autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date.

(6) Comisia elaborează un model pentru cererile depuse în temeiul prezentului articol.

Articolul 18

Îndeplinirea cererilor de date

(1) Un deținător de date care primește o cerere de a pune la dispoziție date în temeiul prezentului capitol pune datele, fără întârzieri nejustificate, la dispoziția organismului din sectorul public, a Comisiei, Băncii Centrale Europene ori a organului Uniunii care a introdus cererea, ținând seama de măsurile tehnice, organizatorice și juridice necesare.

(2) Fără a aduce atingere nevoilor specifice în ceea ce privește disponibilitatea datelor definite în dreptul Uniunii sau în dreptul intern, un deținător de date poate să respingă cererea sau să solicite modificarea unei cereri de a pune la dispoziție date în temeiul prezentului capitol fără întârzieri nejustificate și, în orice caz, nu mai târziu de cinci zile lucrătoare de la primirea unei cereri de date necesare pentru răspunsul la o situație de urgență și fără întârzieri nejustificate și, în orice caz, nu mai târziu de 30 de zile lucrătoare de la primirea unei astfel de cereri în alte cazuri de nevoie excepțională, din oricare dintre următoarele motive:

(a)	deținătorul de date nu are control asupra datelor solicitate;

(b)	o cerere similară în același scop a fost introdusă anterior de un alt organism din sectorul public sau de Comisie, de Banca Centrală Europeană ori de un organ al Uniunii, iar deținătorul de date nu a fost notificat cu privire la ștergerea datelor în temeiul articolului 19 alineatul (1) litera (c);

(c)	cererea nu îndeplinește condițiile prevăzute la articolul 17 alineatele (1) și (2).

(3) Dacă decide să respingă cererea sau să solicite modificarea acesteia în conformitate cu alineatul (2) litera (b), deținătorul datelor face cunoscută identitatea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene ori a organului Uniunii care a introdus anterior o cerere în același scop.

(4) În cazul în care datele solicitate includ date cu caracter personal, deținătorul de date anonimizează în mod corespunzător datele, cu excepția cazului în care respectarea cererii de punere a datelor la dispoziția unui organism din sectorul public, a Comisiei, a Băncii Centrale Europene sau a unui organ al Uniunii impune divulgarea de date cu caracter personal. În aceste cazuri, deținătorul de date pseudonimizează datele.

(5) În cazul în care organismul din sectorul public, Comisia, Banca Centrală Europeană ori organul Uniunii dorește să conteste refuzul unui deținător de date de a furniza datele solicitate sau în cazul în care deținătorul de date dorește să conteste cererea, iar chestiunea nu poate fi soluționată printr-o modificare adecvată a cererii, este sesizată autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date cu privire la chestiunea în cauză.

Articolul 40

Sancțiuni

(1) Statele membre adoptă normele privind sancțiunile care se aplică în cazul nerespectării prezentului regulament și iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancțiunile trebuie să fie efective, proporționale și disuasive.

(2) Statele membre notifică Comisiei normele și măsurile respective până la 12 septembrie 2025 și îi comunică acesteia, fără întârziere, orice modificare ulterioară a respectivelor norme și măsuri. Comisia ține un registru public ușor accesibil al acestor măsuri și îl actualizează periodic.

(3) Statele membre țin seama de recomandările EDIB și de următoarele criterii neexhaustive atunci când impun sancțiuni pentru încălcarea prezentului regulament:

(a)	natura, gravitatea, amploarea și durata încălcării;

(b)	orice acțiune întreprinsă de autorul încălcării pentru a atenua sau a remedia prejudiciul cauzat de încălcare;

(c)	eventuale încălcări anterioare comise de către autorul încălcării;

(d)	beneficiile financiare obținute sau pierderile evitate de autorul încălcării ca urmare a încălcării, în măsura în care aceste beneficii sau pierderi pot fi stabilite în mod fiabil;

(e)	orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului;

(f)	cifra de afaceri anuală realizată de autorul încălcării în Uniune, în exercițiul financiar precedent.

(4) Pentru încălcările obligațiilor stabilite în capitolele II, III și V din prezentul regulament, autoritățile de supraveghere responsabile de monitorizarea aplicării Regulamentului (UE) 2016/679 pot impune, în limitele domeniului lor de competență, amenzi administrative în conformitate cu articolul 83 din Regulamentul (UE) 2016/679 până la concurența sumei menționate la articolul 83 alineatul (5) din regulamentul respectiv.

(5) Pentru încălcările obligațiilor stabilite în capitolul V din prezentul regulament, Autoritatea Europeană pentru Protecția Datelor poate impune, în limitele domeniului său de competență, amenzi administrative în conformitate cu articolul 66 din Regulamentul (UE) 2018/1725 până la concurența sumei menționate la articolul 66 alineatul (3) din regulamentul respectiv.

Articolul 47

modificarea Regulamentului (UE) 2017/2394

În anexa la Regulamentul (UE) 2017/2394 se adaugă următorul punct:

„29.

Regulamentul (UE) 2023/2854 al Parlamentului European și al Consiliului din 13 decembrie 2023 privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora și de modificare a Regulamentului (UE) 2017/2394 și a Directivei (UE) 2020/1828 (Regulamentul privind datele) (JO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).”

Articolul 48

modificarea Directivei (UE) 2020/1828

În anexa I la Directiva (UE) 2020/1828 se adaugă următorul punct:

„68.

Articolul 49

Evaluare și reexaminare

(1) Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cu principalele sale constatări Parlamentului European, Consiliului și Comitetului Economic și Social European. În cadrul evaluării se analizează în special:

(a)

situațiile care trebuie considerate că reprezintă o nevoie excepțională în sensul articolului 15 din prezentul regulament și aplicarea în practică a capitolului V din prezentul regulament, în special experiența acumulată ca urmare a aplicării capitolului V din prezentul regulament de către organismele din sectorul public, de către Comisie, Banca Centrală Europeană și de către organele Uniunii; numărul și rezultatul procedurilor inițiate în fața autorității competente în temeiul articolului 18 alineatul (5) privind aplicarea capitolului V din prezentul regulament, astfel cum au fost raportate de autoritățile competente; impactul altor obligații prevăzute în dreptul Uniunii sau în dreptul intern în scopul respectării cererilor de acces la informații; impactul mecanismelor voluntare de partajare de date, cum ar fi cele instituite de organizațiile de promovare a altruismului în materie de date recunoscute în cadrul Regulamentului (UE) 2022/868, asupra îndeplinirii obiectivelor capitolului V din prezentul regulament, precum și rolul datelor cu caracter personal în contextul articolului 15 din prezentul regulament, inclusiv evoluția tehnologiilor de protecție a vieții private;

(b)	impactul prezentului regulament asupra utilizării datelor în economie, inclusiv asupra inovării în domeniul datelor, a practicilor de valorificare financiară a datelor și a serviciilor de intermediere de date, precum și asupra partajării de date în cadrul spațiilor europene comune ale datelor;

(c)	accesibilitatea și utilizarea diferitelor categorii și tipuri de date;

(d)	excluderea anumitor categorii de întreprinderi de la calitatea de beneficiar în temeiul articolului 5;

(e)	absența oricărui impact asupra drepturilor de proprietate intelectuală;

(f)

impactul asupra secretelor comerciale, inclusiv asupra protecției împotriva dobândirii, utilizării și divulgării ilegale a acestora, precum și impactul mecanismului care permite deținătorului de date să respingă cererea utilizatorului în temeiul articolului 4 alineatul (8) și al articolului 5 alineatul (11), ținând seama, în măsura posibilului, de orice revizuire a Directivei (UE) 2016/943;

(g)	măsura în care lista clauzelor contractuale abuzive menționată la articolul 13 reflectă situația la zi, în contextul noilor practici comerciale și al ritmului rapid al inovării pe piață;

(h)	schimbările survenite în practicile contractuale ale furnizorilor de servicii de prelucrare a datelor și dacă schimbările respective permit respectarea într-o măsură suficientă a articolului 25;

(i)	diminuarea taxelor impuse de furnizorii de servicii de prelucrare a datelor pentru procesul de trecere la alt furnizor, în concordanță cu obligația de eliminare treptată a taxelor de trecere la alt furnizor, prevăzută la articolul 29;

(j)	interacțiunea dintre prezentul regulament și alte acte juridice ale Uniunii relevante pentru economia datelor;

(k)	împiedicarea accesului ilegal al administrațiilor publice la datele fără caracter personal;

(l)	eficacitatea sistemului de asigurare a respectării prezentului regulament, stabilit la articolul 37;

(m)	impactul prezentului regulament asupra IMM-urilor în ceea ce privește capacitatea lor de inovare, disponibilitatea serviciilor de prelucrare a datelor pentru utilizatorii din Uniune și sarcina administrativă generată de respectarea noilor obligații.

(2) Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cuprinzând principalele sale constatări Parlamentului European și Consiliului, precum și Comitetului Economic și Social European. Evaluarea respectivă analizează impactul articolelor 23-31, 34 și 35, în special în ceea ce privește stabilirea prețurilor și diversitatea serviciilor de prelucrare a datelor oferite în Uniune, cu un accent special pe furnizorii care sunt IMM-uri.

(3) Statele membre furnizează Comisiei informațiile necesare pentru întocmirea rapoartelor menționate la alineatele (1) și (2).

(4) Pe baza rapoartelor menționate la alineatele (1) și (2), Comisia poate înainta Parlamentului European și Consiliului, dacă este cazul, o propunere legislativă de modificare a prezentului regulament.

Articolul 50

Intrarea în vigoare și aplicarea

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Se aplică începând cu 12 septembrie 2025.

Obligația care decurge din articolul 3 alineatul (1) se aplică produselor conectate și serviciilor conexe acestora introduse pe piață după 12 septembrie 2026.

Capitolul III se aplică în ceea ce privește obligațiile de a pune date la dispoziție în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii care intră în vigoare după 12 septembrie 2025.

Capitolul IV se aplică contractelor încheiate după 12 septembrie 2025.

Capitolul IV se aplică începând cu 12 septembrie 2027 contractelor încheiate la 12 septembrie 2025 sau înainte de respectiva dată, cu condiția ca aceste contracte:

(a)	să aibă o durată nedeterminată; sau

(b)	să expire cel devreme la 10 ani de la 11 ianuarie 2024.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Strasbourg, 13 decembrie 2023.

Pentru Parlamentul European

Președinta

R. METSOLA

Pentru Consiliu

Președintele

P. NAVARRO RÍOS

(1) JO C 402, 19.10.2022, p. 5.

(2) JO C 365, 23.9.2022, p. 18.

(3) JO C 375, 30.9.2022, p. 112.

(4) Poziția Parlamentului European din 9 noiembrie 2023 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 27 noiembrie 2023.

(5) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).

(6) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („Regulamentul general privind protecția datelor”) (JO L 119, 4.5.2016, p. 1).

(7) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

(8) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice („Directiva asupra confidențialității și comunicațiilor electronice”) (JO L 201, 31.7.2002, p. 37).

(9) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).

(10) Directiva 2005/29/CE a Parlamentului European și a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piața internă față de consumatori și de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE și 2002/65/CE ale Parlamentului European și ale Consiliului și a Regulamentului (CE) nr. 2006/2004 al Parlamentului European și al Consiliului („Directiva privind practicile comerciale neloiale”) (JO L 149, 11.6.2005, p. 22).

(11) Directiva 2011/83/UE a Parlamentului European și a Consiliului din 25 octombrie 2011 privind drepturile consumatorilor, de modificare a Directivei 93/13/CEE a Consiliului și a Directivei 1999/44/CE a Parlamentului European și a Consiliului și de abrogare a Directivei 85/577/CEE a Consiliului și a Directivei 97/7/CE a Parlamentului European și a Consiliului (JO L 304, 22.11.2011, p. 64).

(12) Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului din 29 aprilie 2021 privind prevenirea diseminării conținutului online cu caracter terorist (JO L 172, 17.5.2021, p. 79).

(13) Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale) (JO L 277, 27.10.2022, p. 1).

(14) Regulamentul (UE) 2023/1543 al Parlamentului European și al Consiliului din 12 iulie 2023 privind ordinele europene de divulgare a probelor electronice și ordinele europene de păstrare a probelor electronice în cadrul procedurilor penale și pentru executarea pedepselor privative de libertate în urma unor proceduri penale (JO L 191, 28.7.2023, p. 118).

(15) Directiva (UE) 2023/1544 a Parlamentului European și a Consiliului din 12 iulie 2023 de stabilire a unor norme armonizate privind desemnarea sediilor desemnate și numirea reprezentanților legali în scopul obținerii de probe electronice în cadrul procedurilor penale (JO L 191, 28.7.2023, p. 181).

(16) Regulamentul (UE) 2015/847 al Parlamentului European și al Consiliului din 20 mai 2015 privind informațiile care însoțesc transferurile de fonduri și de abrogare a Regulamentului (CE) nr. 1781/2006 (JO L 141, 5.6.2015, p. 1).

(17) Directiva (UE) 2015/849 a Parlamentului European și a Consiliului din 20 mai 2015 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului, de modificare a Regulamentului (UE) nr. 648/2012 al Parlamentului European și al Consiliului și de abrogare a Directivei 2005/60/CE a Parlamentului European și a Consiliului și a Directivei 2006/70/CE a Comisiei (JO L 141, 5.6.2015, p. 73).

(18) Directiva (UE) 2019/882 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind cerințele de accesibilitate aplicabile produselor și serviciilor (JO L 151, 7.6.2019, p. 70).

(19) Directiva 2001/29/CE a Parlamentului European și a Consiliului din 22 mai 2001 privind armonizarea anumitor aspecte ale dreptului de autor și drepturilor conexe în societatea informațională (JO L 167, 22.6.2001, p. 10).

(20) Directiva 2004/48/CE a Parlamentului European și a Consiliului din 29 aprilie 2004 privind respectarea drepturilor de proprietate intelectuală (JO L 157, 30.4.2004, p. 45).

(21) Directiva (UE) 2019/790 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind dreptul de autor și drepturile conexe pe piața unică digitală și de modificare a Directivelor 96/9/CE și 2001/29/CE (JO L 130, 17.5.2019, p. 92).

(22) Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului din 30 mai 2022 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor) (JO L 152, 3.6.2022, p. 1).

(23) Directiva (UE) 2016/943 a Parlamentului European și a Consiliului din 8 iunie 2016 privind protecția know-how-ului și a informațiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării și divulgării ilegale (JO L 157, 15.6.2016, p. 1).

(24) Directiva 98/6/CE a Parlamentului European și a Consiliului din 16 februarie 1998 privind protecția consumatorului prin indicarea prețurilor produselor oferite consumatorilor (JO L 80, 18.3.1998, p. 27).

(25) Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă („Directiva privind comerțul electronic”) (JO L 178, 17.7.2000, p. 1).

(26) Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului din 14 septembrie 2022 privind piețe contestabile și echitabile în sectorul digital și de modificare a Directivelor (UE) 2019/1937 și (UE) 2020/1828 (Regulamentul privind piețele digitale) (JO L 265, 12.10.2022, p. 1).

(27) Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11 martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităților Europene (JO L 87, 31.3.2009, p. 164).

(28) Directiva (UE) 2019/1024 a Parlamentului European și a Consiliului din 20 iunie 2019 privind datele deschise și reutilizarea informațiilor din sectorul public (JO L 172, 26.6.2019, p. 56).

(29) Directiva 96/9/CE a Parlamentului European și a Consiliului din 11 martie 1996 privind protecția juridică a bazelor de date (JO L 77, 27.3.1996, p. 20).

(30) Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană (JO L 303, 28.11.2018, p. 59).

(31) Directiva (UE) 2019/770 a Parlamentului European și a Consiliului din 20 mai 2019 privind anumite aspecte legate de contractele de furnizare de conținut digital și de servicii digitale (JO L 136, 22.5.2019, p. 1).

(32) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).

(33) Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului (JO L 316, 14.11.2012, p. 12).

(34) Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).

(35) Decizia nr. 768/2008/CE a Parlamentului European și a Consiliului din 9 iulie 2008 privind un cadru comun pentru comercializarea produselor și de abrogare a Deciziei 93/465/CEE a Consiliului (JO L 218, 13.8.2008, p. 82).

(36) Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului din 12 decembrie 2017 privind cooperarea dintre autoritățile naționale însărcinate să asigure respectarea legislației în materie de protecție a consumatorului și de abrogare a Regulamentului (CE) nr. 2006/2004 (JO L 345, 27.12.2017, p. 1).

(37) Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1).

(38) JO L 123, 12.5.2016, p. 1.

(39) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0782 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 RO

Data Act 2023/2854 RO