Amendamentele adoptate de Parlamentul European la 14 martie 2023 referitoare la propunerea de regulament al Parlamentului European și al Consiliului privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora (Legea privind datele) (COM(2022)0068 – C9-0051/2022 – 2022/0047(COD))(1)
Chestiunea a fost retrimisă pentru negocieri interinstituționale comisiei competente în temeiul articolului 59 alineatul (4) al patrulea paragraf din Regulamentul de procedură (A9-0031/2023).
* Amendamente: textul nou sau modificat este marcat cu caractere cursive aldine; textul eliminat este marcat prin simbolul ▌.
Propunere de REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora (Legea privind datele)
(Text cu relevanță pentru SEE)
PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 114,
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ parlamentelor naționale,
având în vedere avizul Comitetului Economic și Social European(1),
hotărând în conformitate cu procedura legislativă ordinară,
întrucât:
(1) În ultimii ani, tehnologiile bazate pe date au efecte de transformare asupra tuturor sectoarelor economiei. Volumul și valoarea potențială a datelor pentru consumatori, întreprinderi și societate au crescut în special ca urmare a proliferării produselor conectate la internet ▌. Existența unor date de înaltă calitate și interoperabile din diferite domenii sporește competitivitatea și inovarea și asigură o creștere economică durabilă. Același set de date poate fi utilizat și reutilizat într-o multitudine de scopuri și în mod nelimitat, fără nicio pierdere în ceea ce privește calitatea sau cantitatea sa.
(2) În contextul în care Uniunea Europeană deține o poziție competitivă la nivel mondial în domeniul producției și este lider în domeniul software-ului industrial și al roboticii, barierele existente în calea partajării de date împiedică alocarea optimă a datelor în beneficiul societății. Printre aceste bariere se numără faptul că deținătorii de date nu sunt stimulați să încheie în mod voluntar acorduri de partajare de date, insecuritatea în ceea ce privește drepturile și obligațiile legate de date, valoarea economică a seturilor de date, costurile de contractare și de implementare a interfețelor tehnice, nivelul ridicat de fragmentare a informațiilor în silozuri de date, gestionarea necorespunzătoare a metadatelor, absența unor standarde de interoperabilitate semantică și tehnică, blocajele care împiedică accesul la date, lipsa unor practici comune de partajare de date și utilizarea abuzivă a dezechilibrelor contractuale în ceea ce privește accesul la date și utilizarea acestora.
(3) În sectoarele caracterizate de prezența microîntreprinderilor și a întreprinderilor mici și mijlocii (IMM-uri) există adesea o lipsă de capacități și competențe digitale pentru colectarea, analizarea și utilizarea datelor, iar accesul este frecvent restricționat când datele sunt deținute în sistem de un singur actor sau când nu există interoperabilitate între date, între serviciile de date sau la nivel transfrontalier.
(4) Pentru satisfacerea nevoilor economiei digitale, pentru a evita fragmentarea pieței interne ce ar putea rezulta din legiferarea la nivel național și pentru eliminarea barierelor din calea unei piețe interne a datelor cu o funcționare corespunzătoare, este necesar să se stabilească un cadru armonizat în care să se precizeze cine ▌ are dreptul să utilizezedatele accesibile colectate, obținute sau generate în alt mod de produse conectate sau de servicii conexe, în ce condiții și pe ce temei. În consecință, dacă nu se prevede explicit în prezentul regulament, statele membre nu ar trebui să adopte sau să mențină cerințe naționale suplimentare în chestiunile care intră în domeniul de aplicare al prezentului regulament, deoarece astfel s-ar afecta aplicarea directă și uniformă a acestuia.
(5) Prin prezentul regulament se asigură că producătorii de produse conectate și furnizorii de servicii conexe trebuie să proiecteze produsele și serviciile astfel încât utilizatorii unui produs conectat sau ai unui serviciu conex din Uniune să poată accesa în timp util datele accesibile de pe produs sau generate în timpul prestării unui serviciu conex și că utilizatorii respectivi pot utiliza datele în orice scop legal, inclusiv prin partajarea acestora cu părți terțe alese de ei. În prezentul regulament se prevede obligația deținătorilor de date de a pune datele la dispoziția utilizatorilor și a destinatarilor de date desemnați de utilizatori ▌. Prin prezentul regulament se asigură, de asemenea, că deținătorii de date pun datele la dispoziția destinatarilor de date din Uniune în condiții echitabile, rezonabile și nediscriminatorii și într-un mod transparent. Normele de drept privat sunt esențiale în cadrul general al partajării de date. Prin urmare, prezentul regulament adaptează normele de drept al contractelor și previne exploatarea dezechilibrelor contractuale care împiedică accesul echitabil la date și utilizarea corectă a acestora ▌. Prin prezentul regulament se asigură, de asemenea, că, în cazul în care există o nevoie excepțională , deținătorii de date pun datele la dispoziția organismelor din sectorul public al statelor membre și la dispoziția instituțiilor, agențiilor sau organelor Uniunii ▌. În plus, prin prezentul regulament se urmăresc facilitarea trecerii de la un serviciu de prelucrare a datelor la altul și consolidarea interoperabilității datelor și a mecanismelor și serviciilor de partajare de date în Uniune. Prezentul regulament nu ar trebui interpretat în sensul că recunoaște sau creează vreun temei juridic pentru deținerea de date, accesul la date sau prelucrarea de date de către deținătorii de date sau că îi conferă unui deținător de date vreun drept nou de a utiliza date accesate de pe un produs conectat sau generate în timpul prestării unui serviciu conex. ▌ Dimpotrivă, aceasta recunoaște că utilizatorii pot conveni să acorde autorizații de acces și de utilizare a datelor accesate de pe produsele conectate sau a datelor generate în timpul prestării de servicii conexe către deținătorii de date, care pot fi adesea fabricanți și care pot conveni prin contract cu utilizatorul să presteze unul sau mai multe servicii conexe.
(6) Generarea de date este o funcție a proiectării unui produs conectat de către fabricant, în special includerea senzorilor și a software-ului de procesare în dispozitiv, a acțiunilor utilizatorului și, în funcție de modalitățile de operare, a furnizării unuia sau mai multor servicii conexe. Multe produse conectate, de exemplu, în sectorul infrastructurii civile, al producției de energie sau al transporturilor, înregistrează date despre mediul în care se află sau despre interacțiunea cu alte elemente ale infrastructurii respective, fără ca utilizatorul sau o parte terță să facă ceva. Astfel de date pot adesea să nu aibă caracter personal și pot fi prețioase pentru utilizator sau pentru părțile terțe, care le pot folosi pentru a-și îmbunătăți operațiunile, funcționarea generală a unei rețele sau a unui sistem sau punându-le la dispoziția altora. Acest lucru dă naștere unor întrebări legate de echitate în economia digitală, deoarece datele accesate de pe produse conectate sau generate în timpul prestării de servicii conexe reprezintă o contribuție importantă pentru serviciile post-vânzare, auxiliare și de altă natură. Pentru a se realiza beneficiile economice importante ale datelor ▌ pentru economie și societate, în locul acordării de drepturi exclusive de acces și utilizare se preferă o abordare generală a atribuirii drepturilor de acces la date și de utilizare a acestora. Însă este important și ca partajarea de date pe baza unor acorduri voluntare să continue să se dezvolte pentru a înlesni creșterea valorii bazate pe date a întreprinderilor europene.
(7) Dreptul fundamental la protecția datelor cu caracter personal este protejat în special prin Regulamentele (UE) 2016/679(3) și ▌ (UE) 2018/1725(4)aleParlamentului European și ale Consiliului. Viața privată și confidențialitatea comunicațiilor sunt protejate în plus prin Directiva 2002/58/CE a Parlamentului European și a Consiliului(5), în care sunt prevăzute condiții pentru orice stocare de date cu și fără caracter personal în echipamentele terminale și pentru orice acces de pe acestea. Instrumentele respective oferă baza pentru o prelucrare sustenabilă și responsabilă a datelor, inclusiv în cazul în care seturile de date conțin o combinație de date cu și fără caracter personal. Prezentul regulament completează actele legislative ale Uniunii privind protecția datelor și a vieții private, în special Regulamentul (UE) 2016/679 și Directiva 2002/58/CE, fără a le aduce atingere. Nicio dispoziție a prezentului regulament nu ar trebui să fie aplicată sau interpretată în sensul diminuării sau limitării dreptului la protecția datelor cu caracter personal sau a dreptului la viață privată și la confidențialitatea comunicațiilor. Prezentul regulament nu ar trebui interpretat ca stabilind un nou temei juridic pentru prelucrarea datelor cu caracter personal în cazul vreuneia dintre activitățile reglementate sau ca modificând cerințele privind informațiile prevăzute în Regulamentul (UE) 2016/679. În caz de divergență între prezentul regulament și dreptul Uniunii privind protecția datelor cu caracter personal sau dreptul intern adoptat în conformitate cu respectivul drept al Uniunii, ar trebui să prevaleze dreptul Uniunii sau dreptul intern pertinent privind protecția datelor cu caracter personal.
(8) Principiul reducerii la minimum a datelor și principiul protecției datelor începând cu momentul conceperii și în mod implicit sunt esențiale atunci când prelucrarea implică riscuri semnificative pentru drepturile fundamentale ale persoanelor. Ținând seama de stadiul actual al tehnologiei, toate părțile la partajarea de date, inclusiv când aceasta intră în domeniul de aplicare al prezentului regulament, ar trebui să pună în aplicare măsuri tehnice și organizatorice pentru protejarea acestor drepturi. Astfel de măsuri cuprind nu doar pseudonimizarea și criptarea, ci și utilizarea unei tehnologii tot mai accesibile care permite introducerea de algoritmi în date și derivarea de informații valoroase fără transmitere între părți ori copiere inutilă a datelor brute sau structurate în sine.
(9) Prezentul regulament completează actele legislative ale Uniunii care vizează promovarea intereselor consumatorilor și asigurarea unui nivel ridicat de protecție a consumatorilor, pentru protejarea sănătății, siguranței și intereselor economice ale acestora, în special Directiva 2005/29/CE a Parlamentului European și a Consiliului(6), Directiva 2011/83/UE a Parlamentului European și a Consiliului(7) și Directiva 93/13/CEE a Parlamentului European și a Consiliului(8), fără a le aduce atingere.
(10) Prezentul regulament nu aduce atingere actelor legislative ale Uniunii care prevăd partajarea de date, accesul la date și utilizarea de date în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor ori în scopuri vamale sau fiscale, indiferent de dispoziția din Tratatul privind funcționarea Uniunii Europene în temeiul căreia au fost adoptate. Printre astfel de acte se numără Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului din 29 aprilie 2021 privind prevenirea diseminării conținutului online cu caracter terorist, {propunerile privind probele electronice [COM(2018) 225 și 226], după adoptare}, [Propunerea de] regulament al Parlamentului European și al Consiliului privind o piață unică pentru serviciile digitale (Actul legislativ privind serviciile digitale) și de modificare a Directivei 2000/31/CE, precum și cooperarea internațională desfășurată în acest context, în special pe baza Convenției Consiliului Europei din 2001 privind criminalitatea informatică („Convenția de la Budapesta”). Prezentul regulament nu aduce atingere competențelor statelor membre în ceea ce privește activitățile referitoare la securitatea publică, apărare și securitatea națională în conformitate cu dreptul Uniunii și activitățile din domeniul vamal în legătură cu gestionarea riscurilor și, în general, verificarea respectării Codului vamal de către operatorii economici.
(11) Actele legislative ale Uniunii prin care sunt stabilite cerințe în materie de proiectare fizică și de date pentru produsele care urmează să fie introduse pe piața Uniunii nu ar trebui să fie afectate de prezentul regulament, cu excepția obligațiilor prevăzute la articolul 3 alineatul (1).
(12) Prezentul regulament completează actele legislative ale Uniunii care vizează stabilirea unor cerințe de accesibilitate pentru anumite produse și servicii, în special Directiva 2019/882(9), fără a le aduce atingere.
(13) Prezentul regulament nu aduce atingere competențelor statelor membre în ceea ce privește activitățile referitoare la securitatea publică, apărare și securitatea națională în conformitate cu dreptul Uniunii și activitățile din domeniul vamal în legătură cu gestionarea riscurilor și, în general, verificarea respectării Codului vamal de către operatorii economici.
(13a) Prezentul regulament urmărește și să întărească poziția și modelele de afaceri ale terților, de exemplu, ale furnizorilor, printr-o abordare orizontală. Pentru a ține seama de situația deosebită și de complexitatea sectorului respectiv, prezentul regulament ar trebui să fie urmat de acte legislative sectoriale, de exemplu, de cel referitor la spațiul datelor privind mobilitatea. Aceste acte legislative ar putea stabili mai multe norme privind dreptul furnizorilor de a avea acces mai bun sau acces direct la datele provenite de la propriile lor componente inteligente pentru aspecte precum monitorizarea calității, dezvoltarea de produse sau îmbunătățirea siguranței și clarifică rolul furnizorilor de componente în ceea ce privește produsele conectate.
(13b) Prezentul regulament nu aduce atingere actelor juridice ale Uniunii și actelor juridice naționale care prevăd protecția drepturilor de proprietate intelectuală, printre care și Directiva 2001/29/CE(10), Directiva 2004/48/CE(11) și Directiva (UE) 2019/790(12) a Parlamentului European și a Consiliului.
(14) Produsele fizice care obțin, generează sau colectează, prin intermediul componentelor lor, date privind performanța, utilizarea sau mediul lor și care au capacitatea de a comunica datele respective printr-un serviciu de comunicații electronice, o conexiune fizică sau un dispozitiv (denumit adesea internetul obiectelor) ar trebui să intre în domeniul de aplicare al prezentului regulament, cu excepția prototipurilor.. Serviciile de comunicații electronice cuprind rețelele de telefonie terestre, rețelele de televiziune prin cablu, rețelele prin satelit și rețelele de comunicare în câmp apropiat. Astfel de produse conectatese găsesc în toate aspectele economiei și societății, inclusiv în infrastructura privată, civilă sau comercială, în vehicule, nave, aeronave, în echipamentele menajere și bunurile de consum, dispozitive medicale și de sănătate sau utilajele agricole și industriale sau în centralele energetice și instalațiile de transport al energiei. Datele obținute, generate sau colectate de un produs conectat care le este accesibil deținătorilor de date sau destinatarilor datelor ar trebui să poată fi accesate întotdeauna de proprietarul produsului sau de un terț căruia proprietarul produsului i-a transferat anumite drepturi asupra produsului pe baza unui contract de închiriere sau de leasing. În sensul prezentului regulament, proprietarul sau terțul respectiv ar trebui să fie denumit utilizator. Aceste drepturi de acces nu ar trebui să modifice și nici să afecteze în vreun fel drepturile fundamentale ale persoanelor vizate, care pot interacționa cu produsul conectat, la datele cu caracter personal generate de produs. Opțiunile de proiectare ale producătorilor, cererile utilizatorilor și, după caz, legislația sectorială care răspunde nevoilor și obiectivelor specifice sectorului sau deciziile antitrust ar trebui să stabilească ce date este capabil un produs conectat să pună la dispoziția deținătorilor de date sau a destinatarilor de date la punctul de vânzare. Prezentul regulament se aplică produselor introduse pe piață în Uniune și nu se aplică deci produselor aflate în etapa de dezvoltare, cum ar fi prototipurile.
(15) În schimb, conținutul sau datele obținute, generate sau accesate de pe produsul conectat sau transmise acestuia în scopul stocării sau prelucrării în numele unor terți,așa cum se întâmplă în cazul serverelor sau al infrastructurii de cloud, printre altele, în vederea utilizării de către un serviciu online, nu ar trebui să intre în domeniul de aplicare al prezentului regulament.
(16) Este necesar și să se stabilească norme care să se aplice serviciilor conexe încorporate într-un produs conectat sau interconectate cu acesta, astfel încât, în absența serviciului, produsele respective nu ar putea să își îndeplinească una sau mai multe funcțiiși care presupun transferul de date între produsul conectat și furnizorul de servicii conexe. În cazul în care un furnizor al unui serviciu conex accesează date de pe un produs conectat sau are acces la datele generate în timpul furnizării serviciului conex și are dreptul de a utiliza date fără caracter personal, în conformitate cu articolul 4 alineatul (6), acesta ar trebui să fie considerat deținător de date în cazul datelor pe care le-a accesat de pe produs sau care au fost generate în timpul furnizării serviciului conex. Aceste servicii conexe pot face parte din vânzare. Aceste servicii conexe pot genera ele însele date de valoare pentru utilizator, independent de capacitățile de colectare a datelor pe care le are produsul conectat cu care sunt interconectate. Aceste date pot reprezenta digitalizarea acțiunilor și evenimentelor utilizatorilor și ar trebui să poată fi accesate în consecință de către utilizator. Astfel de date pot fi valoroase pentru utilizator și sprijină inovarea și dezvoltarea serviciilor digitale și a altor servicii care protejează mediul, sănătatea și economia circulară, inclusiv prin facilitarea întreținerii și a reparării produselor în cauză sau prin dezvoltarea de produse sau servicii. Informațiile derivate sau deduse din datele fără caracter personal de către un deținător de date sau un destinatar al datelor după ce acestea au fost accesate de pe produsul conectat, în afară de datele generate în timpul prestării unui serviciu conex, nu ar trebui să fie considerate în domeniul de aplicare al prezentului regulament. Prezentul regulament ar trebui să se aplice și unui serviciu conex care nu este furnizat chiar de vânzător, de cel care închiriază sau de locator, ci de către o parte terță, în cadrul unui contract de vânzare, de închiriere sau de leasing. În cazul în care nu se știe sigur dacă prestarea serviciului conex este necesară pentru a menține funcționarea adecvată a produsului conectat, dacă furnizarea serviciului face parte din contractul de vânzare, de închiriere sau de leasing, ar trebui să se aplice prezentul regulament. Nici alimentarea cu energie electrică, nici furnizarea conectivității nu trebuie interpretate ca fiind servicii conexe în temeiul prezentului regulament.
(17) Datele accesate de pe un produs conectat sau generate în timpul prestării unui serviciu conex includ datele înregistrate intenționat de utilizator. Astfel de date cuprind, de asemenea, datele generate ca produs secundar al acțiunii utilizatorului, cum ar fi datele de diagnosticare, și generate fără nicio acțiune din partea utilizatorului, cum ar fi datele referitoare la mediul și interacțiunile produsului conectat, inclusiv atunci când produsul se află în „mod stand-by”, precum și datele înregistrate în perioadele în care produsul este oprit. Astfel de date ar trebui includă date în forma și formatul în care sunt accesate de pe produs și să fie compilate într-un format inteligibil, structurat, utilizat în mod obișnuit și prelucrabil automat, precum și să includă metadatele relevante, dar nu ar trebui să se refere la date rezultate dintr-o adăugare de valoare printr-un proces informatic care calculează date derivate atunci când un astfel de proces informatic face obiectul unor secrete comerciale și drepturi de proprietate intelectuală. Atunci când datele sunt accesate într-un format criptat, utilizatorului ar trebui să i se pună la dispoziție toate mijloacele necesare pentru a decripta astfel de date și pentru a le face accesibile.
(17a) Trebuie depuse eforturi suplimentare pentru a consolida economia datelor și guvernanța datelor. În special, este esențial să fie extinsă și sprijinită alfabetizarea în materie de date, astfel încât utilizatorii și întreprinderile să aibă cunoștință și motivație să ofere și să acorde acces la datele lor în conformitate cu normele juridice aplicabile. Acest lucru stă la baza unei societăți sustenabile în materie de date. Aplicarea la scară largă a măsurilor de alfabetizare în materie de date ar presupune reducerea inegalităților digitale, ar contribui la îmbunătățirea condițiilor de muncă și ar susține, în cele din urmă, consolidarea economiei datelor în Uniune și parcursul de inovare al acesteia. Pentru a oferi oportunități de angajare de bună calitate, a duce la bun sfârșit dobândirea și dezvoltarea de competențe în materie de date, ar trebui să se ofere cetățenilor și lucrătorilor posibilitatea de a dobândi competențe digitale, în special, în cazul angajaților întreprinderilor nou-înființate și al IMM-urilor.
(18) Prin utilizatorul unui produs conectat ar trebui să se înțeleagă persoana juridică sau fizică, precum o întreprindere, un consumator sau un organism din sectorul public, care a cumpărat produsul conectat sau beneficiază de servicii conexe sau căruia (căreia) proprietarul produsului conectat i-a transferat, în baza unui contract de închiriere sau de leasing, drepturi temporare de utilizare a produsului conectat sau de a beneficia de servicii conexe. Un astfel de utilizator suportă riscurile și se bucură de beneficiile aferente utilizării produsului conectat și ar trebui ▌, prin urmare, ▌să aibă dreptul de a obține beneficii din datele accesate de pe produsul conectat și generate în timpul prestării oricărui serviciu conex.
(18a) „Alfabetizarea în materie de date” se referă la abilități, cunoștințe și înțelegere care le permit utilizatorilor, consumatorilor și întreprinderilor, în special microîntreprinderilor și întreprinderilor mici și mijlocii, să conștientizeze valoarea potențială a datelor pe care le-au generat, le produc și le partajează, în contextul drepturilor și obligațiilor lor prevăzute în prezentul regulament și în alte regulamente ale Uniunii privind datele. Alfabetizarea în materie de date ar trebui să însemne mai mult decât cunoașterea instrumentelor și tehnologiilor și să vizeze înzestrarea cetățenilor și a întreprinderilor cu capacitatea de a beneficia de o piață a datelor echitabilă. Prin urmare, este necesar ca Comisia și statele membre, în cooperare cu toate părțile interesate competente, să promoveze dezvoltarea alfabetizării în materie de date, în toate sectoarele societății, pentru cetățenii de toate vârstele, inclusiv pentru femei și fete. În consecință, Uniunea și statele sale membre ar trebui să investească mai mult în educație și formare, pentru a răspândi alfabetizarea în materie de date și a garanta că progresele în această privință sunt urmărite îndeaproape. Așadar, și întreprinderile ar trebui să promoveze instrumente și să adopte măsuri pentru a asigura competența în materie de date a personalului lor care se ocupă de accesul la date, utilizarea datelor și transferurile de date și, după caz, a altor persoane care prelucrează date în numele lor, ținând seama de cunoștințele lor tehnice, de experiența, de educația și de formarea lor și luând în considerare utilizatorii sau grupurile de utilizatori de la care datele sunt produse sau generate.
(19) În practică, nu toate datele generate de produse conectate sau servicii conexe pot fi accesate cu ușurință de utilizatorii lor, iar posibilitățile de portabilitate a datelor generate de produse conectate la internet ▌sunt deseori limitate. Utilizatorii nu pot să obțină datele necesare pentru a recurge la furnizori de servicii de reparații și alte servicii, iar întreprinderile nu pot să lanseze servicii inovatoare, mai eficiente și mai convenabile. În multe sectoare, fabricanții au deseori capacitatea de a stabili, prin controlul exercitat asupra proiectării tehnice a produsului sau a serviciilor conexe, ce date sunt generate și cum pot fi accesate datele respective, chiar dacă nu au niciun drept legal la date. Prin urmare, este necesar să se asigure că produsele conectate sunt proiectate și fabricate și că serviciile conexe sunt furnizate astfel încât datele generate prin utilizarea lor să poată fi întotdeauna accesate cu ușurință de către utilizator, în mod gratuit și într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat, inclusiv în scopul extragerii, utilizării sau partajării datelor. Cu excepția cazului în care se prevede altfel în dreptul Uniunii, în dreptul intern sau în hotărârile relevante referitoare la măsurile antitrust, astfel de date ar trebui să fie accesibile la nivelul prelucrării, inclusiv prin intermediul unui software conținut în produsul conectat, a cărui instalare este permisă în conformitate cu opțiunea fabricantului în materie de proiectare înainte de vânzarea către utilizator. Datele ar trebui să fie puse la dispoziție în forma în care au fost generate de produs, numai cu adaptările minime necesare pentru ca acestea să poată fi utilizate de o parte terță, incluzând metadatele aferente necesare pentru interpretarea și utilizarea datelor. Acest lucru necesită eliminarea barierelor tehnice pentru a se asigura, dacă este posibil din punct de vedere tehnic, că utilizatorii vor avea acces direct și în timp real la datele lor fără proceduri ample de verificare individuală. Pentru a facilita accesul terților la datele necesare, este necesar, de asemenea, ca accesul la instrumentele software să fie eficient din punctul de vedere al costurilor. În cazul în care actualizările sau modificările ulterioare ale produsului conectat, efectuate de fabricant sau de o altă parte, conduc la generarea unor date accesibile suplimentare sau la restricționarea datelor accesibile inițial, astfel de modificări ar trebui comunicate utilizatorului în contextul actualizării sau modificării. Prezentul regulament nu introduce obligația de a stoca date suplimentare în unitatea centrală de calcul a unui produs dacă acest lucru ar fi disproporționat în raport cu utilizarea preconizată. Acest lucru nu împiedică fabricantul sau deținătorul de date să convină în mod voluntar cu utilizatorul cu privire la efectuarea unei astfel de adaptări.
(20) În cazul coproprietății asupra produsului conectat și a serviciilor conexe furnizate, dacă mai multe persoane sau entități dețin un produs ori sunt părți la un contract de leasing sau de închiriere, ▌proiectarea produsului conectat sau a serviciului conex sau a interfeței relevante ar trebui să permită tuturor persoanelor să poată avea acces la datele pe care le generează. Utilizatorii de produse conectate care generează date au nevoie, în mod obișnuit, de un cont de utilizator. Acest cont permite identificarea utilizatorului de către un titular al datelor, care poate fi fabricantul și constituie un mijloc de comunicare pentru formularea și prelucrarea cererilor de acces la date. În scopul identificării și autentificării, fabricanții și furnizorii de servicii conexe ar trebui să le permită utilizatorilor să utilizeze portofelele europene pentru identitatea digitală emise în temeiul Regulamentului (UE) 910/2014(13). Fabricanții sau proiectanții unui produs care este utilizat de obicei de către mai multe persoane ar trebui să introducă mecanismul necesar pentru a permite diferitelor persoane să aibă conturi de utilizator separate, când este relevant, sau posibilitatea ca mai multe persoane să utilizeze același cont de utilizator. Utilizatorului ar trebui să i se acorde accesul pe baza unor mecanisme simple de solicitare care să autorizeze executarea automată, fără a fi nevoie ca cererea să fie examinată sau aprobată de către un fabricant sau deținător de date. Cu alte cuvinte, datele ar trebui să fie puse la dispoziție numai atunci când utilizatorul dorește efectiv acest lucru. În cazul în care executarea automată a cererii de acces la date nu este posibilă, de exemplu, prin intermediul unui cont de utilizator sau al unei aplicații mobile specifice furnizate împreună cu produsul sau serviciul, fabricantul ar trebui să informeze utilizatorul cu privire la modul în care pot fi accesate datele. Conturile de utilizator ar trebui să le permită utilizatorilor să revoce consimțământul pentru prelucrarea și schimbul de date, precum și să solicite ștergerea datelor generate prin utilizarea produsului conectat, în special în cazurile în care utilizatorii produsului intenționează să transfere dreptul de proprietate asupra produsului unei alte părți.
(21) Se poate ca produsele să fie proiectate astfel încât să pună direct la dispoziție anumite date dintr-o memorie de date instalată pe dispozitiv sau de pe un server aflat la distanță căruia îi sunt comunicate datele. Accesul la memoria de date instalată pe dispozitiv poate fi asigurat prin rețele prin cablu sau rețele locale cu acces pe suport radio conectate la un serviciu de comunicații electronice accesibil publicului sau la o rețea mobilă. Serverul poate fi serverul local propriu al fabricantului sau serverul unei părți terțe ori al unui furnizor de servicii cloud care acționează ca deținător de date. Persoanele împuternicite de operator, astfel cum sunt definite în Regulamentul (UE) 2016/679, nu sunt considerate, în mod implicit, a acționa în calitate de deținători de date, cu excepția cazului în care sunt mandatate în mod expres de operatorul de date. Acestea pot fi concepute astfel încât să permită utilizatorului sau unei părți terțe să prelucreze datele referitoare la produs sau la o instanță de calcul a fabricantului.
(22) Asistenții virtuali joacă un rol tot mai mare în digitalizarea mediilor de consum și profesionale și servesc drept interfață ușor de utilizat pentru redarea de conținut, obținerea de informații sau activarea de obiecte fizice conectate la internet. Asistenții virtuali pot să acționeze drept unic punct de intrare, de exemplu într-un mediu de casă inteligentă, și să înregistreze volume semnificative de date relevante despre modul în care utilizatorii interacționează cu produsele conectate la internet, inclusiv cu cele fabricate de alte părți, și pot să înlocuiască utilizarea interfețelor furnizate de producător, cum ar fi ecranele tactile sau aplicațiile pentru telefoane inteligente. Se poate ca utilizatorul să dorească să pună astfel de date la dispoziția unor fabricanți terți și să permită servicii noi de casă inteligentă. Astfel de asistenți virtuali ar trebui să intre în domeniul de aplicare al dreptului de acces la date prevăzut în prezentul regulament și în ceea ce privește datele înregistrate înainte de activarea asistentului virtual prin cuvântul de trezire și datele generate când un utilizator interacționează cu un produs conectat prin intermediul unui asistent virtual furnizat de o altă entitate decât fabricantul produsului conectat.
(23) Înainte de încheierea unui contract de cumpărare a unui produs conectat, fabricantul sau, după caz, vânzătorul ar trebui să furnizeze utilizatorului informații clare și suficiente cu privire la datele accesibile din produsul conectat, inclusiv la tipul, formatul, frecvența de eșantionare și volumul estimat al datelor accesibile. Acestea ar trebui să includă informații privind structurile de date, formatele de date, vocabularele, sistemele de clasificare, taxonomiile și listele de coduri, dacă sunt disponibile, precum și informații privind modul în care pot fi stocate, extrase sau accesate datele ▌, inclusiv furnizarea de kituri de dezvoltare de software sau interfețe de programare a aplicațiilor, împreună cu condițiile de utilizare și calitatea descrierilor serviciilor. Această obligație asigură transparență cu privire la datele accesibile generate și îmbunătățește accesul ușor al utilizatorului. Obligația de transparență ar putea fi îndeplinită de către deținătorul de date de exemplu prin menținerea pe internet a unui localizator uniform de resurse (URL) stabil, care poate fi transmis sub forma unui link web sau a unui cod QR, indicând informațiile relevante. Un astfel de URL ar putea fi furnizat utilizatorului de către fabricant sau, dacă este cazul, de către vânzător, înainte de încheierea contractului de vânzare a unui produs conectat. În orice caz, este necesar să i se permită utilizatorului să stocheze informațiile într-un mod care să le facă accesibile ulterior și care să permită reproducerea nemodificată a informațiilor stocate. Această obligație de a furniza informații nu aduce atingere obligației operatorului de a furniza informații persoanei vizate în temeiul articolelor 12, 13 și 14 din Regulamentul (UE) 2016/679.
(23a) Serviciile conexe ar trebui furnizate astfel încât datele generate în timpul furnizării lor, care reprezintă digitalizarea acțiunilor și evenimentelor utilizatorilor, să fie, în mod implicit, accesibile utilizatorului în mod gratuit și ușor, în mod sigur și, dacă este relevant și fezabil din punct de vedere tehnic, direct, într-un format structurat, utilizat în mod curent și care poate fi prelucrat în mod automat, împreună cu metadatele relevante necesare pentru interpretarea și utilizarea acestora. Informațiile derivate sau deduse din aceste date prin intermediul unor algoritmi brevetați complecși, în special atunci când combină rezultatul mai multor senzori din produsul conectat, nu ar trebui să fie considerate ca făcând obiectul obligației unui deținător de date de a partaja date cu utilizatorii sau destinatarii datelor, cu excepția cazului în care s-a convenit altfel. Înainte de a încheia un acord cu un utilizator privind furnizarea unui serviciu conex, care implică accesul furnizorului la datele din produsul conectat, în conformitate cu articolul 4 alineatul (6) din prezentul regulament, furnizorul ar trebui să convină cu utilizatorul asupra naturii, volumului, frecvenței de colectare și formatului datelor accesate de furnizorul de servicii conexe din produsul conectat, precum și asupra naturii și volumului estimat de date generate în timpul furnizării serviciului conex și, după caz, asupra modalităților prin care utilizatorul poate accesa sau extrage astfel de date, inclusiv perioada în care acestea ar trebui stocate.
(24) În prezentul regulament se prevede obligația deținătorilor de date de a pune la dispoziție date în anumite circumstanțe. În măsura în care datele prelucrate sunt date cu caracter personal, deținătorul datelor ar trebui să fie operator în temeiul Regulamentului (UE) 2016/679. În cazul în care utilizatorii sunt persoane vizate, deținătorii de date ar trebui să aibă obligația de a le oferi acces la datele lor și de a pune datele la dispoziția părților terțe alese de utilizator, în conformitate cu prezentul regulament. Cu toate acestea, prezentul regulament nu creează pentru deținătorii de date niciun temei juridic, astfel cum se prevede în Regulamentul (UE) 2016/679, pentru oferirea accesului la date cu caracter personal sau pentru punerea unor astfel de date la dispoziția unei părți terțe la cererea unui utilizator care nu este persoană vizată și nu ar trebui înțeles în sensul că le conferă deținătorilor de date vreun drept nou de a utiliza datele accesate din produsul conectat sau generate pe durata furnizării unui serviciu conex. Acest lucru este valabil în special atunci când deținătorul datelor este fabricantul. În acest caz, temeiul pentru utilizarea de către fabricant a datelor fără caracter personal ar trebui să fie un acord contractual între fabricant și utilizator. Acest raport contractual poate face parte din contractul de vânzare ▌referitor la produsul conectat. Utilizatorului ar trebui să i se ofere o posibilitate rezonabilă de a respinge acest acord. În cazul în care un utilizator alege să respingă clauzele și condițiile contractuale, acest lucru nu ar trebui să îl împiedice să utilizeze produsul relevant al serviciului, cu excepția cazului în care produsul serviciului nu poate funcționa fără acceptarea de către utilizator a clauzelor contractuale. Orice clauză contractuală în temeiul căreia deținătorul datelor poate utiliza datele generate de utilizatorul unui produs sau al unui serviciu conex ar trebui să fie transparentă pentru utilizator, inclusiv în ceea ce privește scopul în care deținătorul de date intenționează să utilizeze datele. Prezentul regulament nu ar trebui să împiedice condițiile contractuale având ca scop excluderea sau limitarea utilizării datelor sau a anumitor categorii ale acestora de către deținătorul de date. Prezentul regulament nu ar trebui să împiedice nici cerințele de reglementare sectoriale prevăzute în dreptul Uniunii sau în dreptul intern compatibil cu dreptul Uniunii, prin care s-ar exclude sau limita utilizarea anumitor astfel de date de către un deținător de date din motive de politică publică bine definite.
(24a) În prezent, este adesea dificil pentru întreprinderi să justifice costurile cu personalul sau costurile informatice necesare pentru pregătirea seturilor de date sau a produselor de date fără caracter personal și să le ofere potențialelor contrapărți prin intermediul piețelor de date, inclusiv al serviciilor de intermediere de date, astfel cum sunt definite în Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului(14). Un obstacol semnificativ în calea schimbului de date fără caracter personal de către întreprinderi rezultă, prin urmare, din lipsa de previzibilitate a rentabilității economice rezultate din investițiile în organizarea și punerea la dispoziție a seturilor de date sau a produselor de date. Pentru a permite apariția unor piețe lichide, eficiente și echitabile pentru datele fără caracter personal în Uniune, trebuie să se clarifice care parte are dreptul de a oferi astfel de date pe o piață. Utilizatorii ar trebui, prin urmare, să aibă dreptul de a partaja date fără caracter personal cu destinatarii datelor în scopuri comerciale și necomerciale. O astfel de partajare a datelor ar putea fi efectuată direct de către utilizator, la cererea utilizatorului, de către deținătorul de date sau prin servicii de intermediere de date. Serviciile de intermediere de date, astfel cum sunt reglementate de Regulamentul (UE) 2022/868, ar putea facilita o economie a datelor prin stabilirea unor relații comerciale între utilizatori, destinatarii datelor și părțile terțe și pot sprijini utilizatorii în exercitarea dreptului lor de utilizare a datelor, cum ar fi asigurarea anonimizării corespunzătoare a datelor sau agregarea accesului la date de la mai mulți utilizatori individuali. Pentru a proteja stimulentele pentru utilizatori de a monetiza datele fără caracter personal din produsele conectate pe care aceștia le dețin, deținătorii de date ar trebui să fie în măsură să monetizeze seturile de date agregate de la mai mulți utilizatori și nu ar trebui să pună la dispoziție date fără caracter personal pe care le-au accesat din produsul conectat către terți în alte scopuri comerciale sau necomerciale decât îndeplinirea obligațiilor lor contractuale față de utilizator. În același timp, în cazul în care deținătorii de date au convenit prin contract cu utilizatorii asupra dreptului de a utiliza aceste date, ei ar trebui să aibă libertatea de a le utiliza pentru o gamă largă de scopuri, inclusiv pentru a îmbunătăți funcționarea produsului conectat sau a serviciilor conexe, pentru a dezvolta noi produse sau servicii sau pentru a le îmbogăți sau manipula ori pentru a le agrega cu alte date, inclusiv cu scopul de a pune la dispoziția terților setul de date rezultat, atât timp cât un astfel de set de date derivate nu permite identificarea elementelor de date specifice accesate de deținătorul de date din produsul conectat sau nu permite unei părți terțe să deducă aceste elemente de date din setul de date fără un efort semnificativ.
(24b) În cazul în care produsele generează date care sunt derivate sau deduse din alte date generate de produsul conectat prin intermediul unor algoritmi brevetați complecși, inclusiv prin intermediul celor care fac parte dintr-un software brevetat, în sensul Directivei 2009/24/CE a Parlamentului European și a Consiliului(15), ar trebui să se considere că aceste date nu intră în domeniul de aplicare al prezentului regulament și, prin urmare, nu fac obiectul obligației unui deținător de date de a le pune la dispoziția unui utilizator sau a unui destinatar al datelor, cu excepția cazului în care utilizatorul și deținătorul de date au convenit altfel. Aceste date ar trebui să includă în special informațiile obținute prin intermediul fuziunii senzorilor, deducând sau derivând date de la mai mulți senzori, colectate în produsul conectat prin utilizarea unor algoritmi complecși și brevetați. Cu toate acestea, datele deduse sau derivate din prelucrarea datelor brute colectate de la un singur senzor sau de la un grup conectat de senzori, cu scopul de a face ca datele colectate să fie ușor de înțeles pentru o gamă mai largă de cazuri de utilizare, prin determinarea cantității sau a calității fizice sau a modificării unei cantități fizice, cum ar fi temperatura, presiunea, debitul, pH-ul, nivelul lichidului, poziția, accelerația sau viteza, ar trebui incluse în obligația deținătorilor de date de a pune datele la dispoziția utilizatorilor și a destinatarilor datelor. Legislația sectorială ar trebui să definească în continuare datele accesibile pe baza particularităților sectorului.
(24c) În principiu, pentru a încuraja apariția unor piețe lichide, echitabile și eficiente pentru datele fără caracter personal, utilizatorii de produse conectate ar trebui să poată face schimb de date cu alte persoane, inclusiv în scopuri comerciale, cu un efort juridic și tehnic minim. Înainte de a avea loc schimbul de date, ar trebui să se garanteze faptul că un utilizator poate face schimb de date cu un grad ridicat de certitudine că nu se va confrunta cu consecințe juridice nefavorabile după ce datele au fost partajate. Prin urmare, în cazul în care datele sunt excluse de la obligația deținătorului de date de a le pune la dispoziția utilizatorilor sau a destinatarilor datelor, domeniul de aplicare al acestor date ar trebui să fie specificat în acordul contractual dintre utilizator și deținătorul de date pentru furnizarea unui serviciu conex într-un format inteligibil și clar, astfel încât utilizatorii să poată stabili cu ușurință ce date sunt la dispoziția lor pentru a fi partajate cu destinatarii datelor sau cu părți terțe, fără alte obligații de a proteja astfel de date.
(24d) Există multe motive pentru care anumite date generate prin utilizarea unui produs rămân inaccesibile unui deținător de date și, prin urmare, nu ar intra sub incidența obligațiilor de partajare prevăzute în capitolul II. Datele pot fi foarte volatile (valori înregistrate la frecvență înaltă) și pot fi suprascrise instantaneu sau rapid. Acestea pot fi colectate numai pentru activarea unei funcții foarte specifice, cum ar fi ștergătoarele de parbriz sau farurile, iar în prezent nu este disponibil niciun caz de utilizare, iar proiectarea produsului nu prevede stocarea unor astfel de date în produs, având în vedere costurile legate de stocarea acestor date, de conectarea senzorului de captare a datelor la o componentă informatică centrală din care datele ar putea fi exportate și costurile de conectivitate pentru transmiterea datelor atunci când volumele sunt considerabile. În acest sens, reglementările sectoriale ar trebui să specifice mai în detaliu relevanța datelor accesibile în funcție de particularitățile lor, cu scopul de a asigura disponibilitatea cel puțin a datelor, care sunt esențiale pentru repararea sau întreținerea produselor conectate și a serviciilor conexe.
(25) În sectoarele caracterizate de concentrarea unui număr mic de fabricanți sau furnizori de servicii conexe care aprovizionează utilizatori finali, capacitatea utilizatorilor de a negocia accesul la datele transferate de produsul conectat sau generate în timpul furnizării serviciilor conexe este limitată din cauza puterii de negociere a fabricantului sau a furnizorului de servicii conexe. În astfel de circumstanțe, este posibil ca acordurile contractuale să nu fie suficiente pentru atingerea obiectivului de consolidare a capacității de acțiune a utilizatorilor. Datele tind să rămână sub controlul fabricanților sau al furnizorilor de servicii conexe, ceea ce înseamnă că pentru utilizatori este dificil să obțină valoare din datele generate de echipamentele pe care le dețin. Întreprinderile mai mici inovatoare au, așadar, un potențial limitat de a oferi soluții bazate pe date într-un mod competitiv și pentru o economie diversificată a datelor în Europa. Prin urmare, prezentul regulament ar trebui să se bazeze pe evoluțiile recente din anumite sectoare, cum ar fi Codul de conduită privind partajarea de date agricole prin acord contractual. Pentru abordarea nevoilor, a chestiunilor de securitate și a obiectivelor sectoriale se pot elabora propuneri de legislație sectorială. În plus, deținătorii de date nu ar trebui să utilizeze niciun fel de date pe care le-au accesat din produsul conectat sau care au fost generate pe durata furnizăriiserviciilor conexe pentru a deriva informații despre situația economică a utilizatorului, despre activele sau metodele de producție ale acestuia ori despre utilizare în orice alt mod care ar putea submina poziția comercială a utilizatorului pe piețele pe care își desfășoară activitatea. Acest lucru ar presupune, de exemplu, utilizarea cunoștințelor despre performanța generală a unei întreprinderi sau a unei ferme agricole în negocierile contractuale purtate cu utilizatorul cu privire la potențiala achiziție a produselor sau a produselor agricole ale utilizatorului în detrimentul utilizatorului sau, de exemplu, utilizarea unor astfel de informații pentru alimentarea unor baze de date mai mari de pe anumite piețe în ansamblu (cum ar fi bazele de date privind randamentul culturilor pentru următorul sezon de recoltare), deoarece o astfel de utilizare ar putea avea în mod indirect efecte negative asupra utilizatorului. Utilizatorului ar trebui să i se ofere interfața tehnică necesară pentru gestionarea permisiunilor, de preferință cu opțiuni de permisiuni granulare (cum ar fi „permite o singură dată” sau „permite când utilizezi această aplicație sau acest serviciu”), inclusiv opțiunea de retragere a permisiunii.
(26) Clauzele contractelor dintre un deținător de date și un consumator în calitate de utilizator al produselor conectate sau al unui serviciu conex care generează date se supun dreptului Uniunii privind consumatorii, inclusiv Directivei 2005/29/CE privind practicile comerciale neloiale, precum și Directivei 93/13/CEE, pentru a se asigura că nu i se impun clauze contractuale abuzive consumatorului. În ceea ce privește clauzele contractuale abuzive impuse ▌, în prezentul regulament se prevede că astfel de clauze abuzive nu ar trebui să fie obligatorii pentru întreprinderea respectivă.
(27) Deținătorii de date pot să prevadă o identificare corespunzătoare a utilizatorului, pentru a verifica dreptul utilizatorului de a accesa datele. În cazul datelor cu caracter personal prelucrate de o persoană împuternicită de operator în numele operatorului, deținătorii datelor ar trebui să se asigure că cererea de acces este primită și tratată de persoana împuternicită de operator.
(28) Utilizatorul ar trebui să aibă libertatea de a utiliza datele în orice scop legal. Un astfel de scop este furnizarea datelor pe care utilizatorul le-a primit prin exercitarea dreptului prevăzut în prezentul regulament către un destinatar al datelor care oferă un serviciu post-vânzare potențial concurent cu un serviciu furnizat de un deținător de date sau însărcinarea deținătorului de date să facă acest lucru. Cererea ar trebui, de asemenea, să fie valabilă indiferent dacă aceasta este înaintată de utilizator sau de o parte terță autorizată care acționează în numele utilizatorului, cum ar fi serviciul autorizat de intermediere de date în sensul Regulamentului (UE) 2022/868. Deținătorii datelor ar trebui să se asigure că datele puse la dispoziția unui destinatar al datelor sunt la fel de exacte, complete, fiabile, relevante și actuale ca și datele la care pot avea posibilitatea sau dreptul de a avea acces deținătorii datelor înșiși ca urmare a utilizării produsului conectat sau a serviciului conex. La manipularea datelor ar trebui respectate pe deplin toate eventualele secrete comerciale sau drepturi de proprietate intelectuală. Este important să se mențină factorii de stimulare a investițiilor în produse cu funcționalități bazate pe utilizarea datelor provenite de la senzorii integrați în produsul respectiv. Scopul prezentului regulament ar trebui înțeles în consecință în sensul că încurajează dezvoltarea de produse sau servicii conexe noi și inovatoare și că stimulează inovarea în domeniul post-vânzare, dar și dezvoltarea unor servicii complet noi care utilizează datele, inclusiv pe baza datelor dintr-o multitudine de produse sau servicii conexe. În același timp, prin prezentul regulament se urmărește să se evite subminarea factorilor de stimulare a investițiilor pentru tipul de produs din care sunt obținute datele, de exemplu prin utilizarea datelor pentru dezvoltarea unui produs concurent. Alte scopuri legale în acest context includ ingineria inversă, atunci când este permisă în temeiul Directivei (UE) 2016/943 a Parlamentului European și a Consiliului(16) ca mijloc legal de descoperire independentă a know-how-ului sau a informațiilor, cu condiția ca aceasta să nu ducă la concurență neloială și să nu aducă atingere obligației de a nu dezvolta un produs concurent utilizând datele primite în temeiul prezentului regulament. Acest lucru poate fi valabil în scopul reparării, prelungirii duratei de viață a unui produs sau furnizării de servicii post-vânzare pentru produse conectate atunci când fabricantul sau furnizorul de servicii conexe și-a încetat producția sau furnizarea.
(28a) Prezentul regulament ar trebui interpretat astfel încât să asigure protecția acordată secretelor comerciale în temeiul Directivei (UE) 2016/943. În acest scop, deținătorii datelor ar trebui să fie în măsură să îi solicite utilizatorului sau părților terțe alese de utilizator să păstreze confidențialitatea datelor considerate ca fiind secrete comerciale. Secretele comerciale ar trebui identificate înainte de divulgare. Cu toate acestea, deținătorii de date nu pot submina dreptul utilizatorilor de a solicita accesul la date și utilizarea acestora în conformitate cu prezentul regulament pe motiv că deținătorul de date consideră anumite date ca fiind secrete comerciale. Deținătorul datelor sau deținătorul secretului comercial, în cazul în care acesta nu este deținătorul datelor, ar trebui să aibă posibilitatea de a conveni cu utilizatorul sau cu părțile terțe alese de utilizator cu privire la măsurile adecvate pentru păstrarea confidențialității acestora, inclusiv prin utilizarea modelelor de clauze contractuale, a acordurilor de confidențialitate, a protocoalelor stricte de acces, a standardelor tehnice și a aplicării codurilor de conduită. În cazurile în care utilizatorul sau părțile terțe la alegerea utilizatorului nu pun în aplicare măsurile respective sau subminează confidențialitatea secretelor comerciale, deținătorul datelor ar trebui să poată suspenda schimbul de date identificate drept secrete comerciale, în așteptarea examinării de către coordonatorul de date al statului membru. În astfel de cazuri, deținătorul datelor ar trebui să notifice imediat coordonatorului de date din statul membru în care deținătorul datelor este stabilit, în temeiul articolului 31 din prezentul regulament, faptul că a suspendat partajarea datelor și să identifice măsurile care nu au fost puse în aplicare sau secretele comerciale cărora le-a fost subminată confidențialitatea. În cazul în care utilizatorul sau o parte terță aleasă de utilizator dorește să conteste decizia deținătorului datelor de a suspenda schimbul de date, coordonatorul de date ar trebui să decidă, într-un termen rezonabil, dacă schimbul de date ar trebui reluat sau nu și, în caz afirmativ, să indice în ce condiții. Comisia, asistată de Comitetul european pentru inovare în domeniul datelor, ar trebui să dezvolte un model de clauze contractuale și ar trebui să poată să elaboreze standarde tehnice. Comisia, asistată de Comitetul european pentru inovare în domeniul datelor, ar putea să încurajeze și instituirea unor coduri de conduită în legătură cu respectarea secretelor comerciale sau a drepturilor de proprietate intelectuală la manipularea datelor, cu scopul de a contribui la realizarea obiectivului prezentului regulament.
(29) Un destinatar al datelor căruia îi sunt puse la dispoziție date poate fi o persoană fizică sau juridică, o întreprindere, o organizație de cercetare, o organizație nonprofit sau un intermediar, inclusiv servicii de intermediere de date sau organizații de promovare a altruismului în materie de date, astfel cum sunt definite în Regulamentul(UE) 2022/868. Când pun datele la dispoziția unui destinatar al datelor, deținătorii de date nu ar trebui să abuzeze de poziția lor pentru a căuta un avantaj concurențial pe piețele pe care un deținător de date și un destinatar aldatelor s-ar putea afla în concurență directă. Deținătorii de date nu ar trebui, prin urmare, să utilizeze niciun fel de date accesate din produsul conectat sau generate pe durata furnizării unui serviciu conex pentru a deriva informații despre situația economică a părții terțe, despre activele sau metodele de producție ale acesteia ori despre utilizare în orice alt mod care ar putea submina poziția comercială a părții terțe pe piețele pe care își desfășoară activitatea. Utilizatorul ar trebui să aibă dreptul de a partaja date fără caracter personal cu părțile terțe în scopuri comerciale. Cu acordul utilizatorului și sub rezerva dispozițiilor prezentului regulament, destinatarii datelor ar trebui să poată transfera către terți drepturile de acces la date acordate de utilizator, inclusiv în schimbul unei compensații. Serviciile de intermediere de date [astfel cum sunt reglementate de Regulamentul (UE) 2022/868] pot ajuta utilizatorii sau destinatarii de date să stabilească o relație comercială în orice scop legal pe baza datelor care intră în domeniul de aplicare al prezentului regulament. Acestea ar putea juca un rol esențial în agregarea accesului la datele unui număr mare de potențiali utilizatori de date individuali, astfel încât să poată fi facilitate analizele volumelor mari de date sau învățarea automată, atât timp cât acești utilizatori păstrează controlul deplin asupra posibilității de a contribui cu datele lor la o astfel de agregare și asupra condițiilor comerciale în care vor fi utilizate datele lor.
(30) Utilizarea unui produs sau a unui serviciu conex poate, în special când utilizatorul este o persoană fizică, să genereze date care se referă la o persoană fizică identificată sau identificabilă (persoana vizată). Prelucrarea unor astfel de date se supune normelor stabilite în Regulamentul (UE) 2016/679, inclusiv în cazul în care datele cu caracter personal și cele fără caracter personal dintr-un set de date sunt legate între ele în mod indisolubil(17). Persoana vizată poate fi utilizatorul sau o altă persoană fizică. Datele cu caracter personal pot fi solicitate numai de un operator sau de o persoană vizată. Dacă este persoana vizată, utilizatorul are, în anumite circumstanțe, dreptul, prevăzut în Regulamentul (UE) 2016/679, de a accesa datele cu caracter personal care îl privesc, astfel de drepturi nefiind afectate de prezentul regulament. În temeiul prezentului regulament, utilizatorul care este o persoană fizică are, de asemenea, dreptul de a accesa toate datele generate de produs, cu și fără caracter personal. Dacă nu este persoana vizată, ci o întreprindere, inclusiv o întreprindere profesională unipersonală, și nu utilizează produsul în comun în gospodărie, utilizatorul este considerat operator în înțelesul Regulamentului (UE) 2016/679. În consecință, un astfel de utilizator care intenționează să solicite în calitate de operator date cu caracter personal generate prin utilizarea unui produs sau a unui serviciu conex trebuie să aibă un temei juridic pentru prelucrarea datelor, astfel cum se prevede la articolul 6 alineatul (1) din Regulamentul (UE) 2016/679, cum ar fi consimțământul persoanei vizate sau interesul legitim. Acest utilizator ar trebui să se asigure că persoana vizată este informată în mod corespunzător cu privire la scopurile determinate, explicite și legitime pentru prelucrarea datelor respective, precum și cu privire la modul în care persoana vizată își poate exercita efectiv drepturile. În cazul în care sunt operatori asociați în înțelesul articolului 26 din Regulamentul (UE) 2016/679, deținătorul de date și utilizatorul trebuie să stabilească, în mod transparent, prin intermediul unui acord între ei, responsabilitățile care le revin în ceea ce privește respectarea regulamentului menționat. Ar trebui să se înțeleagă că, după ce datele au fost puse la dispoziție, un astfel de utilizator poate deveni, la rândul său, deținător de date, dacă îndeplinește criteriile prevăzute în prezentul regulament, supunându-se astfel obligațiilor de a pune la dispoziție datele în temeiul prezentului regulament.
(31) Datele accesate de un produs conex sau generate în timpul furnizării unui serviciu conex ar trebui să fie puse la dispoziția unei părți terțe numai la cererea utilizatorului. Prezentul regulament completează în consecință dreptul prevăzut la articolul 20 din Regulamentul (UE) 2016/679. La articolul menționat se prevede dreptul persoanelor vizate de a primi date cu caracter personal care le privesc într-un format structurat, utilizat în mod curent și care poate fi citit automat și de a porta aceste date la alți operatori, în cazul în care datele respective sunt prelucrate în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) ori în temeiul unui contract prevăzut la articolul 6 alineatul (1) litera (b). Persoanele vizate au, la rândul lor, dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, dar numai când acest lucru este fezabil din punct de vedere tehnic. La articolul 20 se precizează că sunt avute în vedere datele furnizate de persoana vizată, dar nu se precizează dacă acest lucru presupune un comportament activ din partea persoanei vizate sau dacă se aplică și în situațiile în care un produs sau un serviciu conex observă, prin concepția sa, comportamentul unei persoane vizate sau alte informații în legătură cu o persoană vizată în mod pasiv. Dreptul prevăzut în prezentul regulament completează dreptul de a primi și de a porta date cu caracter personal în temeiul articolului 20 din Regulamentul (UE) 2016/679 în mai multe moduri. Utilizatorii au astfel dreptul de a accesa și de a pune la dispoziția unui destinatar al datelor orice fel de date accesate de produsul conex sau generate în timpul furnizării unui serviciu conex, indiferent de caracterul personal al datelor respective, de distincția dintre date furnizate activ sau observate pasiv și de temeiul juridic al prelucrării. Spre deosebire de obligațiile tehnice prevăzute la articolul 20 din Regulamentul (UE) 2016/679, prezentul regulament impune și asigură fezabilitatea tehnică a accesului părților terțe la toate tipurile de date care intră în domeniul său de aplicare, indiferent dacă datele au sau nu caracter personal. De asemenea, prezentul regulament permite deținătorilor de date să stabilească o compensație rezonabilă de plătit de către destinatarii datelor, dar nu și de către utilizator, pentru orice cost suportat pentru furnizarea accesului direct la datele generate de produsul utilizatorului. Dacă deținătorul de date și partea terță nu sunt în măsură să convină asupra unor condiții pentru un astfel de acces direct, persoana vizată nu ar trebui în niciun caz să fie împiedicată să își exercite drepturile prevăzute în Regulamentul (UE) 2016/679, inclusiv dreptul la portabilitatea datelor, recurgând la căile de atac prevăzute în regulamentul menționat. În acest context trebuie să se înțeleagă că, în conformitate cu Regulamentul (UE) 2016/679, un acord contractual nu permite prelucrarea unor categorii speciale de date cu caracter personal de către deținătorii de date sau de către destinatarul datelor.
(32) Accesul la orice fel de date stocate în echipamente terminale și accesate din acestea intră în domeniul de aplicare al Directivei 2002/58/CE și necesită consimțământul abonatului sau al utilizatorului în înțelesul directivei menționate, cu excepția cazului în care este strict necesar pentru furnizarea unui serviciu al societății informaționale solicitat în mod explicit de către utilizator sau abonat (ori exclusiv în scopul transmiterii unei comunicații). Directiva 2002/58/CE („Directiva asupra confidențialității și comunicațiilor electronice”) (și propunerea de regulament asupra confidențialității și comunicațiilor electronice) protejează integritatea echipamentelor terminale ale utilizatorului în ceea ce privește utilizarea capacităților de prelucrare și stocare și colectarea de informații. Echipamentele din internetul obiectelor sunt considerate echipamente terminale dacă sunt conectate direct sau indirect la o rețea publică de comunicații.
(33) Pentru a se preveni exploatarea utilizatorilor, destinatarii datelor cărora le-au fost puse la dispoziție date la cererea utilizatorului ar trebui să prelucreze datele numai în scopurile convenite cu utilizatorul și nu ar trebui să le partajeze cu o altă parte terță fără să informeze în mod clar și din timp utilizatorulși fără să obțină acordul explicital acestuia de partajare a datelor în cauză.
(34) Destinatarii datelor ar trebui să acceseze numai informațiile suplimentare care sunt necesare pentru furnizarea serviciului solicitat de utilizator. După ce a primit acces la date, destinatarul datelor ar trebui să le prelucreze exclusiv în scopurile convenite cu utilizatorul, fără amestec din partea deținătorului datelor. Pentru utilizator ar trebui să fie la fel de ușor să refuze sau să întrerupă accesul destinatarului datelor la date precum este să autorizeze accesul. Un destinatar al datelor sau un deținător de datenu ar trebui să îngreuneze în mod necuvenit exercitarea drepturilor sau posibilitatea de alegere a utilizatorilor, inclusiv oferindu-le utilizatorilor alegeri într-un mod care nu este neutruși nu ar trebui nici să constrângă, să înșele sau să manipuleze utilizatorul în niciun fel, cu atât mai puțin subminând sau slăbind autonomia, procesul decizional sau alegerile utilizatorului, inclusiv prin intermediul unei interfețe digitale sau printr-o parte a sa, cum ar fi prin structura, proiectarea, funcția sau modul său de operare cu utilizatorul. În acest context, părțile terțe sau deținătorii de date nu ar trebui să recurgă la așa-numite dark patterns (elemente de design manipulator) când își proiectează interfețele digitale. Elementele de design manipulator sunt tehnici de design prin care consumatorii sunt împinși sau înșelați să ia decizii care au consecințe negative pentru ei. Aceste tehnici de manipulare pot fi utilizate pentru convingerea utilizatorilor, în special a consumatorilor vulnerabili, să se angajeze în comportamente nedorite, pentru înșelarea utilizatorilor, prin împingerea lor să ia decizii privind tranzacțiile de divulgare a datelor, sau pentru influențarea nerezonabilă a procesului decizional al utilizatorilor serviciului, într-un mod care le subminează și slăbește autonomia, procesul decizional și posibilitatea de alegere. Practicile comerciale des întâlnite și legitime care sunt conforme cu dreptul Uniunii nu ar trebui considerate, în sine, drept elemente de design manipulator (dark patterns). Părțile terțe și deținătorii de date ar trebui să își respecte obligațiile care le revin în temeiul actelor legislative relevante ale Uniunii, inclusiv cerințele prevăzute în Directiva 2005/29/CE, Directiva 2011/83/UE, Directiva 2000/31/CE și Directiva 98/6/CE.
(35) Deținătorii de date și destinatarii datelor ar trebui, de asemenea, să se abțină de la utilizarea datelor pentru stabilirea profilului persoanelor fizice, cu excepția cazului în care aceste activități de prelucrare sunt strict necesare pentru furnizarea serviciului solicitat de utilizator. Cerința ca datele cu caracter personal să fie șterse când nu mai sunt necesare pentru scopul convenit cu utilizatorul completează dreptul la ștergerea datelor pe care îl are persoana vizată în temeiul articolului 17 din Regulamentul (UE) 2016/679. În cazul în care un destinatar al datelor este furnizorul unui serviciu de intermediere de date în înțelesul Regulamentului (UE) 2022/868, se aplică garanțiile pentru persoana vizată prevăzute în regulamentul respectiv. Partea terță poate utiliza datele pentru a dezvolta un produs sau un serviciu conex nou și inovator, dar nu pentru a dezvolta un produs concurent.
(36) Întreprinderile nou-înființate, IMM-urile și întreprinderile din sectoarele tradiționale ale căror capacități digitale sunt mai puțin dezvoltate întâmpină dificultăți în a obține acces la date relevante. Prin prezentul regulament se urmărește facilitarea accesului la date pentru aceste entități, asigurându-se, în același timp, că obligațiile corespunzătoare au un domeniu de aplicare cât mai proporțional posibil, pentru a se evita excesul de acoperire. În același timp, au apărut câteva întreprinderi foarte mari a căror putere economică este considerabilă în economia digitală, ca urmare a acumulării și agregării unor volume mari de date și a infrastructurii tehnologice pentru monetizarea acestora. Din aceste întreprinderi fac parte furnizori de servicii de platformă esențiale care controlează întregi ecosisteme de platformă în economia digitală și care nu pot fi confruntați sau contestați de operatorii de piață existenți sau noi. Prin Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului (18) se urmărește remedierea acestor ineficiențe și dezechilibre, permițându-i-se Comisiei să desemneze un furnizor drept „gatekeeper”, și se impun o serie de obligații pentru acești gatekeeperi desemnați, inclusiv interdicția de a combina anumite date fără consimțământ și obligația de a asigura dreptul efectiv la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din Regulamentul (UE) 2016/679. În concordanță cu ▌Regulamentul (UE) 2022/1925 și având în vedere capacitatea incontestabilă a acestor întreprinderi de a obține date, includerea unor astfel de întreprinderi-gatekeeper ca beneficiari ai dreptului de acces la date nu ar fi necesară pentru atingerea obiectivului prezentului regulament și, prin urmare, ar fi disproporționată în raport cu deținătorii de date cărora li s-au impus astfel de obligații. Cu alte cuvinte, o întreprindere care furnizează servicii de platformă esențiale și care a fost desemnată drept gatekeeper nu poate să solicite sau să primească acces la datele utilizatorilor generate prin utilizarea unui produs sau a unui serviciu conex ori de un asistent virtual pe baza dispozițiilor capitolului II din prezentul regulament. O întreprindere care furnizează servicii de platformă esențiale și care a fost desemnată drept gatekeeper în temeiul Regulamentului(UE) 2022/1925 ar trebui înțeleasă în sensul că include toate entitățile juridice ale unui grup de întreprinderi în care o singură entitate juridică furnizează un serviciu de platformă esențial. În plus, părțile terțe cărora le sunt puse la dispoziție date la cererea utilizatorului nu pot pune datele la dispoziția unui gatekeeper desemnat. De exemplu, partea terță nu îi poate subcontracta unui gatekeeper furnizarea serviciului. Cu toate acestea, părțile terțe nu sunt împiedicate astfel să utilizeze serviciile de prelucrare a datelor oferite de un gatekeeper desemnat. Această excludere a gatekeeperilor desemnați din domeniul de aplicare al dreptului de acces prevăzut în prezentul regulament nu împiedică aceste întreprinderi să obțină date prin alte mijloace legale.
(37) Microîntreprinderile și întreprinderile mici ar trebui să fie scutite de la obligațiile prevăzute în capitolul II. Acest caracter împovărător nu este valabil însă atunci când pentru fabricarea sau proiectarea unui produs a fost subcontractată o microîntreprindere sau întreprindere mică. În astfel de situații, întreprinderea care a subcontractat microîntreprinderea sau întreprinderea mică este în măsură să compenseze subcontractantul în mod corespunzător. O microîntreprindere sau o întreprindere mică poate totuși să fie supusă cerințelor stabilite în prezentul regulament în calitate de deținător de date, în cazul în care nu este fabricantul produsului sau furnizorul de servicii conexe.
(38) Prezentul regulament conține norme ▌pentru orice situație în care un deținător de date este obligat prin lege să pună date la dispoziția unui destinatar al datelor. Un astfel de acces ar trebui să se bazeze pe condiții echitabile, rezonabile, nediscriminatorii și transparente, pentru a se asigura coerența practicilor de partajare de date pe piața internă, inclusiv între sectoare, și pentru a se încuraja și promova practici echitabile de partajare de date, chiar și în domeniile în care nu se oferă un astfel de drept de acces la date. Aceste norme generale de acces nu se aplică în cazul obligațiilor de punere la dispoziție a datelor prevăzute în Regulamentul (UE) 2016/679. Partajarea voluntară de date rămâne neatinsă de aceste norme.
(39) Pe baza principiului libertății contractuale, părțile ar trebui să își păstreze libertatea de a negocia, în contractele lor, condițiile precise de punere la dispoziție a datelor, în cadrul normelor generale de acces pentru punerea la dispoziție a datelor.
(40) Pentru a se asigura echitatea condițiilor de acces obligatoriu la date pentru ambele părți, normele generale privind drepturile de acces la date ar trebui să conțină o trimitere la norma de evitare a clauzelor contractuale abuzive.
(41) Niciun acord încheiat pentru punerea la dispoziție a datelor nu ar trebui să facă discriminări între categorii comparabile de destinatari ai datelor, indiferent dacă sunt întreprinderi mari, microîntreprinderi ori întreprinderi mici sau mijlocii. Pentru compensarea lipsei de informații cu privire la condițiile diferitelor contracte, din cauza căreia destinatarului datelor îi este greu să evalueze caracterul nediscriminatoriu al condițiilor de punere la dispoziție a datelor, responsabilitatea de a demonstra că o clauză contractuală nu este discriminatorie ar trebui să le revină deținătorilor datelor. Comisia, cu implicarea tuturor părților interesate afectate, ar trebui să stabilească orientări practice cu privire la ceea ce constituie condiții nediscriminatorii. Nu este considerată discriminare ilegală situația în care un deținător de date utilizează clauze contractuale diferite pentru punerea la dispoziție de date ▌, dacă aceste diferențe sunt justificate de motive obiective. Aceste obligații nu aduc atingere Regulamentului (UE) 2016/679.
(42) Pentru stimularea investițiilor continue în generarea de date valoroase și în punerea lor la dispoziție, inclusiv a investițiilor în instrumente tehnice relevante, prezentul regulament conține principiul potrivit căruia deținătorii de date pot solicita o compensație rezonabilă pentru cazurile în care sunt obligați legal să pună date la dispoziția destinatarului datelor în relațiile dintre întreprinderi. Aceste dispoziții nu ar trebui înțelese în sensul că se plătește pentru datele în sine, ci că li se oferă deținătorilor de date posibilitatea de a beneficia de o compensație rezonabilă pentru punerea la dispoziție a datelor sau, în cazul microîntreprinderilor, al întreprinderilor mici sau mijlocii și al organizațiilor de cercetare care folosesc datele fără scop lucrativ, pentru costurile directe suportate și investițiile necesare pentru punerea la dispoziție a datelor. Comisia ar trebui să elaboreze orientări care să detalieze ceea ce se califică drept compensație rezonabilă în economia datelor.
(42a) O astfel de compensație rezonabilă poate include, în primul rând, costurile suportate și, mai puțin pentru microîntreprinderi și pentru întreprinderile mici, investițiile necesare pentru punerea la dispoziție a datelor. Costurile respective pot fi tehnice, cum ar fi cele necesare pentru reproducerea datelor, difuzarea acestora prin mijloace electronice și stocarea lor, dar nu și pentru colectarea sau producerea lor. Astfel de costuri tehnice ar putea cuprinde, de asemenea, costurile de prelucrare necesare pentru punerea la dispoziție a datelor. Costurile legate de punerea la dispoziție a datelor pot cuprinde, de asemenea, costurile de facilitare a cererilor concrete de schimb de date. Totodată, ele pot varia în funcție de modalitățile de punere la dispoziție a datelor. Înțelegerile pe termen lung dintre deținătorii de date și destinatarii datelor, de exemplu prin intermediul unui model de abonament sau prin utilizarea contractelor inteligente, ar putea reduce costurile în tranzacțiile periodice sau repetitive din cadrul unei relații de afaceri. Costurile legate de punerea la dispoziție a datelor sunt fie specifice unei anumite cereri, fie partajate cu alte cereri. În acest din urmă caz, un singur destinatar al datelor nu ar trebui să suporte toate costurile de punere la dispoziție a datelor. O compensație rezonabilă poate include, în al doilea rând, o marjă, mai puțin în cazul microîntreprinderilor și al întreprinderilor mici. Această marjă poate varia în funcție de factori legați de datele în sine, cum ar fi volumul, formatul sau natura datelor, ori de oferta și cererea de date. Ea poate lua în considerare costurile de colectare a datelor. Prin urmare, marja poate scădea în cazul în care deținătorul de date a colectat datele pentru propria sa activitate fără investiții semnificative sau poate crește în cazul în care investițiile în colectarea datelor în scopul activității deținătorului de date sunt ridicate. Marja poate depinde, de asemenea, de utilizarea ulterioară a datelor de către destinatarul datelor. Ea poate fi limitată sau chiar exclusă în situațiile în care utilizarea datelor de către destinatarul datelor nu afectează propriile activități ale deținătorului de date. Faptul că datele sunt cogenerate de un produs conex deținut de utilizator ar putea, în plus, să reducă cuantumul compensației în comparație cu alte situații în care datele sunt generate de deținătorul de date, cum ar fi în timpul furnizării serviciului conex.
(43) În cazuri justificate corespunzător, inclusiv când este necesar să se protejeze participarea consumatorilor și concurența sau să se promoveze inovarea pe anumite piețe, se pot prevedea, în dreptul Uniunii sau în legislația națională de punere în aplicare a dreptului Uniunii, compensații reglementate pentru punerea la dispoziție a anumitor tipuri de date.
(44) Pentru protejarea microîntreprinderilor și a întreprinderilor mici și mijlocii de sarcinile economice excesive, ca urmare a cărora le-ar fi greu din punct de vedere comercial să dezvolte și să gestioneze modele de afaceri inovatoare, compensația pentru punerea la dispoziție a datelor care urmează să fie plătită de acestea nu ar trebui să depășească costul direct al punerii la dispoziție a datelor și ar trebui să fie nediscriminatorie. Același regim ar trebui să se aplice organizațiilor de cercetare care utilizează datele fără scop lucrativ.
(45) Costurile directe pentru punerea la dispoziție a datelor sunt costurile necesare pentru reproducerea datelor, difuzarea acestora prin mijloace electronice și stocarea lor, dar nu și pentru colectarea sau producerea lor. Costurile directe pentru punerea la dispoziție a datelor ar trebui să se limiteze la partea care poate fi atribuită cererilor individuale, ținându-se seama de faptul că interfețele tehnice necesare sau software-ul și conectivitatea aferente vor trebui asigurate permanent de către deținătorul datelor. Înțelegerile pe termen lung dintre deținătorii de date și destinatarii datelor, de exemplu prin intermediul unui model de abonament, ar putea reduce costurile legate de punerea la dispoziție a datelor în tranzacțiile periodice sau repetitive din cadrul unei relații de afaceri. Deținătorul de date, dacă nu este un IMM, ar trebui să furnizeze în mod activ calculul care arată că prețul său se bazează pe costuri, atunci când știe sau ar fi trebuit să știe că are drept contraparte un IMM. În orice caz, ar trebui să declare că este obligat să pună datele la dispoziția unui IMM la prețul de cost și că este obligat să pună la dispoziție informații detaliate atunci când i se solicită acest lucru.
(46) În cazul partajării de date între întreprinderi mari sau în cazul în care deținătorul datelor este o întreprindere mică sau mijlocie, iar destinatarul datelor este o întreprindere mare, nu este necesar să se intervină. În astfel de cazuri, se consideră că întreprinderile sunt capabile să negocieze orice compensație rezonabilă, ținând seama de factori precum volumul, formatul, natura, oferta sau cererea de date, precum și de costurile pentru colectarea datelor și punerea lor la dispoziția destinatarului datelor. În cazul utilizării abuzive sau al divulgării datelor, destinatarul datelor ar trebui să răspundă pentru daunele cauzate părții prejudiciate și ar trebui să se conformeze fără întârzieri nejustificate solicitărilor formulate de deținătorul de date.
(47) Transparența este un principiu important pentru a se asigura că respectiva compensație solicitată de un deținător de date este rezonabilă sau, dacă destinatarul datelor este un IMM, că respectiva compensație nu depășește costurile legate direct de punerea datelor la dispoziția destinatarului datelor și că ea poate fi atribuită cererii individuale. Pentru a le permite destinatarilor datelor să evalueze și să verifice dacă respectiva compensație este conformă cu cerințele prezentului regulament, deținătorul de date ar trebui să furnizeze destinatarului datelor informațiile necesare pentru calcularea compensației cu un grad suficient de detaliere.
(48) Asigurarea accesului la modalități alternative de soluționare a litigiilor naționale și transfrontaliere care apar în legătură cu punerea la dispoziție a datelor ar trebui să fie în beneficiul deținătorilor de date și al destinatarilor datelor și, prin urmare, să consolideze încrederea în schimbul de date. În cazurile în care părțile nu pot conveni asupra unor condiții echitabile, rezonabile și nediscriminatorii de punere la dispoziție a datelor, organismele de soluționare a litigiilor ar trebui să ofere părților o soluție simplă, rapidă și necostisitoare.
(49) Pentru a evita sesizarea a două sau mai multe organisme de soluționare a litigiilor pentru același litigiu, în special în context transfrontalier, ar trebui ca un organism de soluționare a litigiilor să poată respinge o cerere de soluționare a unui litigiu dacă aceasta a fost deja introdusă în fața unui alt organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.
(50) Părțile la procedurile de soluționare a litigiilor nu ar trebui să fie împiedicate să își exercite drepturile fundamentale la o cale de atac eficientă și la un proces echitabil. Prin urmare, părțile care decid să sesizeze un organism de soluționare a litigiilor nu ar trebui să fie private de dreptul de a introduce o cale de atac în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru. Organismele de soluționare a litigiilor ar trebui să pună la dispoziția publicului rapoarte anuale de activitate.
(51) În cazul în care una dintre părți se află într-o poziție de negociere mai puternică, există riscul ca partea respectivă să profite de o astfel de poziție în detrimentul celeilalte părți contractante atunci când negociază accesul la date și să facă accesul la date mai puțin viabil din punct de vedere comercial și uneori prohibitiv din punct de vedere economic. Astfel de dezechilibre contractuale dăunează ▌întreprinderilor ▌care nu dispun de o capacitate semnificativă de a negocia condițiile de acces la date, fiind posibil ca acestea să nu aibă altă opțiune, în afară de cea de a accepta clauzele contractuale sau de a renunța la contract. Prin urmare, clauzele contractuale abuzive care reglementează accesul la date și utilizarea acestora sau răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date nu ar trebui să fie obligatorii pentru microîntreprinderi și întreprinderile mici și mijlocii atunci când le-au fost impuse în mod unilateral acestora.
(52) În normele referitoare la clauzele contractuale ar trebui să se țină seama de principiul libertății contractuale, un concept esențial în relațiile dintre întreprinderi. ▌ . Sunt vizate situațiile în care singura opțiune este între a accepta clauze contractuale sau a renunța la contract, situații în care una dintre părți oferă o anumită clauză contractuală, iar cealaltă întreprindere nu poate influența conținutul clauzei respective, în pofida încercării de a o negocia. O clauză contractuală care este pur și simplu oferită de una dintre părți și acceptată de cealaltă întreprindere sau o clauză care este negociată și asupra căreia părțile contractante convin ulterior după aducerea unor modificări nu ar trebui considerată ca fiind impusă unilateral. Toate acordurile contractuale ar trebui să fie în conformitate cu principiile FRAND (condiții echitabile, rezonabile și nediscriminatorii).
(53) În plus, normele privind clauzele contractuale abuzive ar trebui să se aplice numai elementelor unui contract care sunt legate de punerea la dispoziție a datelor, și anume clauzelor contractuale referitoare la accesul la date și la utilizarea acestora, precum și la răspunderea sau măsurile reparatorii pentru încălcarea și încetarea obligațiilor legate de date. Alte părți ale aceluiași contract, care nu au legătură cu punerea la dispoziție a datelor, nu ar trebui să facă obiectul testului privind caracterul abuziv prevăzut în prezentul regulament.
(54) Criteriile de identificare a clauzelor contractuale abuzive ar trebui să se aplice numai clauzelor contractuale excesive, în cazul cărora se abuzează de o poziție de negociere mai puternică. Marea majoritate a clauzelor contractuale care sunt mai avantajoase din punct de vedere comercial pentru o parte decât pentru cealaltă parte, inclusiv cele care sunt normale în contractele dintre întreprinderi, reprezintă o expresie normală a principiului libertății contractuale și continuă să se aplice.
(55) Dacă o clauză contractuală nu este inclusă în lista clauzelor care sunt întotdeauna considerate abuzive sau care sunt prezumate a fi abuzive, se aplică dispoziția generală privind caracterul abuziv. În această privință, clauzele din lista clauzelor abuzive ar trebui să servească drept etalon pentru interpretarea dispoziției generale privind caracterul abuziv. În sfârșit, modelele de clauze contractuale pentru contractele de partajare de date între întreprinderi, care urmează să fie elaborate și recomandate de Comisie, pot fi de asemenea utile pentru părțile comerciale atunci când acestea negociază contracte.
(56) În situații de nevoie excepțională, ar putea fi necesar ca organismele din sectorul public ori instituțiile, agențiile sau organele Uniunii să utilizeze date deținute de o întreprindere sau date pe care o întreprindere le colectează în prezent ori pe care le-a obținut, colectat sau generat în alt mod în trecut și pe care încă le deține la momentul solicitării în cadrul unui răspuns la situații de urgență publică sau în alte cazuri excepționale. Organizațiile care desfășoară activități de cercetare și organizațiile care finanțează activități de cercetare ar putea fi, de asemenea, organizate ca organisme din sectorul public sau organisme reglementate de drept public. În vederea limitării sarcinii pentru întreprinderi, microîntreprinderile și întreprinderile mici ar trebui să fie scutite de obligația de a furniza date organismelor din sectorul public și instituțiilor, agențiilor sau organelor Uniunii în situații de nevoie excepțională.
(57) În cazul urgențelor publice, cum ar fi urgențele de sănătate publică, urgențele rezultate din degradarea mediului și dezastrele naturale majore, inclusiv cele agravate de schimbările climatice, precum și dezastrele majore antropogene, cum ar fi incidentele majore de securitate cibernetică, interesul public care rezultă din utilizarea datelor va prevala asupra intereselor deținătorilor de date de a dispune liber de datele pe care le dețin. Într-un astfel de caz, deținătorii de date ar trebui să fie obligați să pună datele la dispoziția organismelor din sectorul public sau a instituțiilor, agențiilor sau organelor Uniunii, la cererea acestora și sub rezerva condițiilor și a altor garanții prevăzute în prezentul regulament sau în alte reglementări ale Uniunii sau ale statelor membre. Existența unei urgențe publice este determinată în conformitate cu procedurile respective din statele membre sau cu procedurile organizațiilor internaționale relevante.
(58) O nevoie excepțională poate decurge din situații care nu reprezintă urgențe, atunci când un organism din sectorul public poate demonstra că datele sunt necesare pentru a îndeplini o sarcină specifică în interesul public, sarcină care a fost prevăzută și definită în mod explicit în dreptul intern, cum ar fi prevenirea unei situații de urgență publică sau sprijinirea redresării în urma unei astfel de situații. O astfel de solicitare poate fi formulată numai atunci când ▌organismul din sectorul public ori instituția, agenția sau organul Uniunii a identificat anumite date care nu sunt disponibile și numai dacă a epuizat toate celelalte trei mijloace următoare de obținere a datelor: solicitarea datelor prin acorduri voluntare, achiziționarea datelor de pe piață sau valorificarea obligațiilor existente de a pune la dispoziție datele.
(59) Prezentul regulament nu ar trebui să se aplice în cazul înțelegerilor voluntare de schimb de date fără caracter personal între entități private și publice și nici să împiedice astfel de înțelegeri. ▌Prezentul regulament nu ar trebui să aducă atingere nici cerințelor de acces la date pentru verificarea conformității cu normele aplicabile, inclusiv în cazurile în care organismele din sectorul public atribuie sarcina de verificare a conformității altor entități decât organismele din sectorul public.
(60) Pentru exercitarea atribuțiilor care le revin în domeniul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor și contravențiilor, al executării pedepselor și sancțiunilor administrative, precum și al colectării de date în scopuri fiscale sau vamale, organismele din sectorul public și instituțiile, agențiile și organele Uniunii ar trebui să se bazeze pe competențele prevăzute în legislația sectorială. În consecință, prezentul regulament nu aduce atingere instrumentelor de partajare, accesare și utilizare a datelor în respectivele domenii.
(61) Este necesar un cadru proporțional, limitat și previzibil la nivelul Uniunii pentru punerea datelor de către deținătorii de date, în cazul unor nevoi excepționale, la dispoziția organismelor din sectorul public și a instituțiilor, agențiilor sau organelor Uniunii, atât pentru a se asigura securitatea juridică, cât și pentru a se reduce la minimum sarcinile administrative pentru întreprinderi. În acest scop, cererile de date pe care organismele din sectorul public și instituțiile, agențiile și organele Uniunii le adresează deținătorilor de date ar trebui să se bazeze pe dreptul Uniunii sau al statelor membre și ar trebui să fie concrete, transparente și proporționale în ceea ce privește obiectul și granularitatea lor. Scopul cererii și utilizarea preconizată a datelor solicitate ar trebui să fie specifice și explicate în mod clar, acordându-se în același timp entității solicitante flexibilitatea necesară pentru a-și putea îndeplini sarcinile în interesul public. Cererea ar trebui, de asemenea, să respecte interesele legitime ale întreprinderilor cărora li se adresează cererea. Sarcina pentru deținătorii de date ar trebui să fie redusă la minimum, prin obligarea entităților solicitante să respecte principiul înregistrării unice, care împiedică solicitarea de mai multe ori a acelorași date de către mai multe organisme din sectorul public ori instituții, agenții sau organe ale Uniunii în cazul în care datele respective sunt necesare pentru răspunsul la o urgență publică. Pentru a asigura transparența și o coordonare adecvată, cererile de date formulate de organismele din sectorul public și de instituțiile, agențiile sau organele Uniunii ar trebui comunicate fără întârzieri nejustificate de către entitatea care solicită datele către coordonatorul de date din statul membru respectiv, care va asigura că cererile respective urmează să fie incluse pe o listă publică online a tuturor cererilor justificate de o nevoie excepțională.
(62) Obiectivul obligației de a furniza datele este de a se asigura că organismele din sectorul public și instituțiile, agențiile sau organele Uniunii dispun de cunoștințele necesare pentru a răspunde la urgențele publice, a preveni astfel de urgențe sau a se redresa în urma acestora ori pentru a menține capacitatea de îndeplinire a unor sarcini specifice prevăzute în mod explicit de lege. Este posibil ca datele obținute de respectivele entități să fie sensibile din punct de vedere comercial. Prin urmare, datele puse la dispoziție în temeiul prezentului regulament nu ar trebui să intre în domeniul de aplicare al Regulamentului (UE) 2022/868 și nici al Directivei (UE) 2019/1024 a Parlamentului European și a Consiliului(19) și nu ar trebui considerate date deschise disponibile pentru reutilizare de către părți terțe. Nu ar trebui să se aducă însă atingere aplicabilității Directivei (UE) 2019/1024 în cazul reutilizării statisticilor oficiale pentru efectuarea cărora au fost utilizate datele obținute în temeiul prezentului regulament, cu condiția ca reutilizarea să nu includă datele subiacente. Nu ar trebui să se aducă atingere nici posibilității de partajare a datelor pentru elaborarea de statistici oficiale, sub rezerva îndeplinirii condițiilor prevăzute în prezentul regulament. Dacă dreptul Uniunii sau cel al statelor membre permite acest lucru, organismele din sectorul public ar trebui, de asemenea, să poată partaja date obținute în temeiul prezentului regulament cu alte organisme din sectorul public pentru abordarea nevoilor excepționale pentru care au fost solicitate datele, cu condiția ca deținătorul de date să fie informat la timp și toate organismele să respecte aceleași norme de transparență pe care le aplică solicitantul inițial al datelor și să se asigure protecția secretelor comerciale și a altor drepturi de proprietate intelectuală.
(63) Deținătorii de date ar trebui să aibă posibilitatea de a solicita modificarea cererii formulate de un organism din sectorul public ori de o instituție, agenție sau organ al Uniunii ori anularea acesteia într-o perioadă de cinci sau 15 zile lucrătoare, în funcție de natura nevoii excepționale invocate în cerere. În cazul cererilor motivate de o urgență publică, ar trebui să existe motive justificate pentru nepunerea la dispoziție a datelor dacă se poate demonstra că cererea este similară sau identică cu o cerere depusă anterior în același scop de către un alt organism din sectorul public ori de către o altă instituție, altă agenție sau alt organ al Uniunii sau dacă deținătorul de date nu colectează în prezent ori nu a colectat, nu a obținut sau nu a generat în alt mod în trecut datele solicitate și nu le păstrează în momentul în care se depune cererea. Dacă un deținător de date respinge cererea sau solicită modificarea acesteia, respectivul deținător de date ar trebui să comunice organismului din sectorul public ori instituției, agenției sau organului Uniunii care solicită datele justificarea care stă la baza respingerii cererii. În cazul în care drepturile sui generis privind bazele de date prevăzute în Directiva 96/9/CE a Parlamentului European și a Consiliului(20) se aplică în legătură cu seturile de date solicitate, deținătorii de date ar trebui să își exercite drepturile într-un mod care să nu împiedice organismul din sectorul public și instituțiile, agențiile sau organele Uniunii să obțină datele ori să le partajeze în conformitate cu prezentul regulament.
▌
(65) Datele puse la dispoziția organismelor din sectorul public și a instituțiilor, agențiilor și organelor Uniunii pe baza unei nevoi excepționale ar trebui utilizate numai în scopul pentru care au fost solicitate ▌. Datele ar trebui distruse când nu mai sunt necesare în scopul declarat în cerere, cu excepția cazului în care se convine altfel, iar deținătorul datelor ar trebui să fie informat în acest sens. Organismele din sectorul public și instituțiile, agențiile și organele Uniunii ar trebui să se asigure, inclusiv prin aplicarea unor măsuri de securitate proporționale, dacă este cazul în conformitate cu dreptul Uniunii și cu dreptul intern, că se păstrează eventualul caracter protejat al datelor și se evită accesul neautorizat la ele.
(66) Când reutilizează date furnizate de către deținătorii de date, organismele din sectorul public și instituțiile, agențiile sau organele Uniunii ar trebui să respecte atât legislația aplicabilă existentă, cât și obligațiile contractuale care îi revin deținătorului de date. În cazul în care, pentru îndeplinirea scopului în care au fost solicitate datele, este strict necesar ca organismelor din sectorul public ori instituțiilor, agențiilor sau organelor Uniunii să le fie divulgate secrete comerciale ale deținătorului de date, acestuia ar trebui să i se asigure în avans confidențialitatea divulgării respective, inclusiv, după caz, prin utilizarea de modele de clauze contractuale și de standarde tehnice și prin aplicarea unor coduri de conduită. În cazurile în care organismul din sectorul public sau instituția, agenția sau organul Uniunii ori părțile terțe care au primit datele pentru a îndeplini sarcinile care le-au fost externalizate nu pun în aplicare măsurile respective sau subminează confidențialitatea secretelor comerciale, deținătorul de date ar trebui să poată suspenda schimbul de date identificate drept secrete comerciale. O astfel de decizie de suspendare a schimbului de date ar putea fi contestată de organismul din sectorul public sau de instituția, agenția sau organul Uniunii ori de părțile terțe cărora le-au fost transmise datele și ar putea face obiectul examinării de către coordonatorul de date al statului membru.
(67) Când scopul este protejarea unui bun public semnificativ, cum ar fi în cazul răspunsului la urgențele publice, organismul din sectorul public ori instituția, agenția sau organul Uniunii nu ar trebui să aibă sarcina de a compensa întreprinderile pentru datele obținute, cu condiția ca cererea să fie limitată în timp și ca amploare, proporțional cu natura urgenței publice. Urgențele publice sunt evenimente rare și nu toate urgențele de acest fel necesită utilizarea de date deținute de întreprinderi. Este puțin probabil, așadar, ca activitățile comerciale ale deținătorilor de date să fie influențate în mod negativ ca urmare a faptului că organismele din sectorul public ori instituțiile, agențiile sau organele Uniunii recurg la prezentul regulament. Cu toate acestea, întrucât cazurile de nevoie excepțională, alta decât răspunsul la o urgență publică, ar putea fi mai frecvente, cum ar fi cazurile de prevenire a unei urgențe publice sau de redresare în urma unei urgențe publice, deținătorii de date ar trebui să aibă dreptul, în astfel de cazuri, la o compensație rezonabilă. Prezentul regulament nu ar trebui să afecteze acordurile existente la nivelul Uniunii sau la nivel național prin care datele sunt partajate gratuit, și nici să împiedice organismele din sectorul public, instituțiile, agențiile sau organele Uniunii și deținătorii de date să încheie acorduri voluntare de partajare a datelor în mod gratuit.
(68) Organismul din sectorul public ori instituția, agenția sau organul Uniunii poate să partajeze datele pe care le-a obținut în urma cererii cu alte entități sau persoane, atunci când acest lucru este necesar pentru desfășurarea de activități de cercetare științifică sau de activități analitice pe care nu le poate efectua el însuși, cu condiția ca activitățile respective să fie strict necesare pentru a se putea răspunde nevoii generate de situația de urgență. Acesta ar trebui să informeze deținătorul de date în timp util cu privire la partajare. Astfel de date pot, de asemenea, să fie partajate, în aceleași condiții, cu institutele naționale de statistică și cu Eurostat, în vederea compilării de statistici oficiale. Astfel de activități de cercetare ar trebui să fie compatibile însă cu scopul în care au fost solicitate datele, iar deținătorul datelor ar trebui să fie informat cu privire la partajarea ulterioară a datelor pe care le-a furnizat. Persoanele fizice care desfășoară activități de cercetare sau organizațiile de cercetare cu care aceste date ar putea fi partajate ar trebui să acționeze fie fără scop lucrativ, fie în contextul unei misiuni de interes public recunoscute de stat. Organizațiile asupra cărora societățile comerciale sau publice au o influență decisivă care permite societăților comerciale să exercite controlul datorită situațiilor structurale, ceea ce ar putea determina accesul preferențial al acestora la rezultatele cercetării, nu ar trebui să fie considerate organizații de cercetare în sensul prezentului regulament.
(69) Capacitatea clienților serviciilor de prelucrare a datelor, inclusiv a serviciilor de cloud și de edge, de a trece de la un serviciu de prelucrare a datelor la altul, evitând în același timp indisponibilitatea serviciilor, sau de a utiliza serviciile mai multor furnizori simultan, fără costuri nejustificate de transfer de date, este o condiție esențială pentru o piață mai competitivă, cu bariere mai coborâte la intrarea pe piață pentru noii furnizori de servicii, și pentru a asigura o mai mare reziliență pentru utilizatorii acestor servicii. Garanțiile pentru trecerea efectivă la alt furnizor ar trebui să includă și clienții care beneficiază de oferte gratuite ample, astfel încât să nu conducă la o situație de client captiv. Facilitarea unei abordări multi-cloud pentru clienții serviciilor de prelucrare a datelor poate contribui și la creșterea rezilienței lor operaționale digitale, astfel cum se recunoaște pentru instituțiile de servicii financiare în Actul legislativ privind reziliența operațională digitală (DORA).
(69a) Taxele de trecere la alt furnizor sunt taxe impuse de furnizorii de servicii de cloud computing clienților lor pentru procesul de trecere la alt furnizor. În mod obișnuit, aceste taxe sunt destinate să transfere costurile pe care furnizorul de origine le poate suporta ca urmare a procesului de trecere la alt furnizor asupra clientului care dorește să schimbe furnizorul. Exemple de taxe obișnuite de trecere la alt furnizor sunt costurile legate de transferul datelor de la un furnizor la altul sau către un sistem de la fața locului („taxe de ieșire”) sau costurile suportate pentru acțiuni de sprijin specifice în timpul procesului de trecere la alt furnizor. Taxele de ieșire inutil de ridicate și alte taxe nejustificate care nu au legătură cu costurile reale de schimbare a furnizorului, inhibă intenția clienților de a schimba furnizorul, restricționează libera circulație a datelor, au potențialul de a restrânge concurența și de a produce situații de client captiv pentru clienții serviciilor de prelucrare a datelor, prin reducerea stimulentelor de a alege un furnizor de servicii diferit sau suplimentar. Ca urmare a noilor obligații prevăzute în prezentul regulament, furnizorul de servicii de prelucrare a datelor de origine ar putea să externalizeze anumite sarcini și să remunereze entități terțe pentru a se conforma obligațiilor respective. Clientul nu ar trebui să suporte costurile care decurg din externalizarea serviciilor încheiată de furnizorul de servicii de prelucrare a datelor de origine în timpul procesului de schimbare a furnizorului, iar aceste costuri ar trebui considerate nejustificate. Nicio dispoziție din Actul privind datele nu poate împiedica un client să remunereze entități terțe pentru sprijin în procesul de migrare. Furnizorii de servicii de procesare a datelor de origine percep clienților taxe de ieșire atunci când aceștia doresc să își retragă datele din rețeaua unui furnizor de servicii de cloud către un amplasament extern, în special la trecerea de la un furnizor la unul sau mai mulți furnizori de destinație, să își mute datele dintr-un amplasament în altul în timp ce recurg la același furnizor de servicii de cloud. Prin urmare, pentru a stimula competiția, retragerea treptată a taxelor asociate trecerii de la un serviciu de prelucrare a datelor la altul ar trebui să includă în mod specific retragerea „taxelor de ieșire” percepute unui client de serviciul de prelucrare a datelor.
(70) Prin Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului, furnizorii de servicii de prelucrare a datelor sunt încurajați să redacteze și să aplice efectiv coduri de conduită în scop de autoreglementare care să cuprindă bune practici pentru, printre altele, facilitarea trecerii la alți furnizori de servicii de prelucrare a datelor și portarea datelor. Date fiind adoptarea limitată a cadrelor de autoreglementare redactate ca răspuns și indisponibilitatea generală a unor standarde și interfețe deschise, este necesar să se adopte un set de obligații minime de reglementare pentru furnizorii de servicii de prelucrare a datelor pentru a elimina barierele contractuale, comerciale, organizaționale, economice și tehnice, printre care limitarea vitezei de transfer a datelor în momentul în care clientul reziliază contractul, ceea ce împiedică trecerea efectivă de la un serviciu de prelucrare a datelor la altul.
(71) Serviciile de prelucrare a datelor ar trebui să acopere serviciile care permit, la cerere, accesul ubicuu în rețea la un bazin comun configurabil, redimensionabil și elastic de resurse informatice care pot fi ▌distribuite. Astfel de resurse informatice includ resurse precum rețelele, serverele ori alte infrastructuri virtuale sau fizice, ▌software-urile, inclusiv instrumentele de dezvoltare de software, stocarea, aplicațiile și serviciile. Modelele de implementare a serviciilor de prelucrare a datelor ar trebui să includă cloudul privat și public. Astfel de servicii și modele de implementare ar trebui să fie aceleași cu cele definite în standardele internaționale. Capacitatea clientului serviciului de prelucrare a datelor de a furniza în mod unilateral capacități de calcul autonome, cum ar fi ora serverului sau stocarea în rețea, fără nicio interacțiune umană din partea furnizorului de servicii de prelucrare a datelor ar putea fi descrisă ca necesitând un efort minim de administrare și o interacțiune minimă între furnizor și client. Termenul „ubicuu” este utilizat pentru a descrie faptul că aceste capacități de calcul sunt furnizate prin rețea și accesate prin mecanisme care promovează utilizarea unor platforme eterogene, subțiri sau groase, pentru clienți (de la navigatoare web până la dispozitive mobile și stații de lucru). Termenul „redimensionabil” se referă la resursele informatice care se alocă flexibil de către furnizorul de servicii de prelucrare a datelor, indiferent de poziția geografică a resurselor, în vederea administrării fluctuațiilor de cerere. Termenul „▌elastic” se referă la resursele informatice care sunt atribuite și transferate în funcție de cerere, în vederea înmulțirii sau reducerii rapide a resurselor disponibile în conformitate cu volumul de lucru. Sintagma „bazin comun” descrie resursele informatice care sunt furnizate mai multor utilizatori care au acces comun la serviciu, dar prelucrarea se efectuează separat pentru fiecare utilizator, deși serviciul este furnizat de același echipament electronic. Termenul „distribuit” se referă la resursele informatice care sunt situate pe diferite calculatoare sau dispozitive în rețea și care comunică și se coordonează între ele prin transmiterea de mesaje. Sintagma „foarte distribuit” se referă la serviciile de prelucrare a datelor care implică prelucrarea datelor mai aproape de locul în care sunt generate sau colectate datele, de exemplu într-un dispozitiv conectat de prelucrare a datelor. Se așteaptă ca tehnica de calcul la margine (edge computing), care este o astfel de formă de prelucrare foarte distribuită a datelor, să genereze noi modele de afaceri și modele de furnizare a serviciilor de cloud, care ar trebui să fie deschise și interoperabile de la bun început. Serviciile digitale considerate drept o platformă online, în conformitate cu definiția de la articolul 3 litera (i) din [Regulamentul privind serviciile digitale] și un serviciu de conținut online așa cum este definit la articolul 2 alineatul (5) din Regulamentul (UE) 2017/1128 al Parlamentului European și al Consiliului(21) nu ar trebui considerate „servicii de prelucrare a datelor” în sensul prezentului regulament.
(71a) Serviciile de prelucrare a datelor se încadrează în unul sau mai multe dintre următoarele trei modele de furnizare de servicii de prelucrare a datelor: IaaS (infrastructură ca serviciu), PaaS (platformă ca serviciu) și SaaS (software ca serviciu). Aceste modele de furnizare a serviciilor reprezintă o combinație specifică, la pachet, de resurse informatice oferite de un furnizor de servicii de prelucrare a datelor. Aceste trei modele de bază de furnizare a serviciilor de cloud sunt completate de diverse alte combinații distincte de resurse informatice, cum ar fi stocarea ca serviciu și baza de date ca serviciu. În sensul prezentului regulament, serviciile de prelucrare a datelor pot fi clasificate într-o multitudine mai detaliată și neexhaustivă de diferite „servicii echivalente”, însemnând seturi de servicii de prelucrare a datelor care au același obiectiv principal și funcționalități principale, precum și același tip de modele de prelucrare a datelor, care nu sunt legate de caracteristicile operaționale ale serviciului. De exemplu, două baze de date ar putea părea să aibă același obiectiv principal, dar, după analizarea modelului lor de prelucrare a datelor, a modelului lor de distribuție și a cazurilor de utilizare specifice, cele două baze de date ar trebui să se încadreze într-o subcategorie mai detaliată de servicii echivalente. Serviciile echivalente pot avea caracteristici diferite și concurente, cum ar fi performanța, securitatea, reziliența și calitatea serviciului.
(71b) Extragerea datelor care aparțin clientului de la furnizorul de servicii de prelucrare a datelor de origine rămâne una dintre problemele care împiedică restabilirea funcționalităților serviciului în infrastructura furnizorului de destinație. Pentru a planifica cum trebuie strategia de ieșire, pentru a evita sarcinile inutile și împovărătoare și pentru a se asigura că clientul nu își pierde datele în procesul de schimbare a furnizorului, furnizorul de prelucrare a datelor de origine ar trebui să prevadă în contract informațiile obligatorii privind tipurile de date care pot fi exportate de client dacă decide să treacă la un alt serviciu, la alt furnizor de servicii de prelucrare a datelor sau la infrastructura TIC la fața locului. Printre tipurile de date exportabile ar trebui să se numere și datele de intrare și de ieșire, inclusiv formatele de date, structurile de date și metadatele relevante generate sau cogenerate direct sau indirect prin utilizarea de către client a serviciului de prelucrare a datelor și care pot fi atribuite în mod clar clientului. Datele exportabile ar trebui să excludă orice serviciu de prelucrare a datelor sau activele ori datele unei părți terțe protejate de drepturi de proprietate intelectuală sau care constituie un secret comercial sau informații confidențiale, cum ar fi datele legate de integritatea și securitatea serviciului furnizat de serviciul de prelucrare a datelor, și ar trebui totodată să excludă datele necesare furnizorului pentru operarea, întreținerea și îmbunătățirea serviciului.
(72) Prin prezentul regulament se urmărește facilitarea trecerii de la un serviciu de prelucrare a datelor la altul, ceea ce cuprinde toate condițiile relevante și acțiunile necesare pentru ca un client să rezilieze un acord contractual având ca obiect un serviciu de prelucrare a datelor, să încheie unul sau mai multe contracte noi cu diferiți furnizori de servicii de prelucrare a datelor, să își porteze toate activele digitale, inclusiv datele, la ceilalți furnizori în cauză și să continue să le utilizeze în noul mediu și să beneficieze de echivalența funcțională. Ar trebui remarcat faptul că serviciile de prelucrare a datelor care intră în domeniul de aplicare sunt cele în care serviciul de prelucrare a datelor, astfel cum este definit în prezentul regulament, face parte din activitatea principală a unui furnizor. Activele digitale se referă la elemente în format digital pentru care clientul are dreptul de utilizare, inclusiv date, aplicații, mașini virtuale și alte manifestări ale tehnologiilor de virtualizare, cum ar fi containerele. Trecerea la alt furnizor este o operațiune inițiată de client, care constă în trei etape principale, și anume (i) extragerea datelor, mai exact descărcarea datelor din ecosistemul furnizorului de origine; (ii) transformarea lor, dacă datele sunt structurate într-un mod care nu corespunde schemei amplasamentului de destinație; și (iii) încărcarea datelor într-un nou amplasament de destinație. Într-o situație specifică descrisă în prezentul regulament, segregarea unui anumit serviciu din contract și trecerea acestuia la un alt furnizor ar trebui să fie considerată, de asemenea, drept schimbare. Procesul de schimbare a furnizorului este uneori gestionat în numele clientului de către o entitate terță. În consecință, toate drepturile și obligațiile clientului stabilite prin prezentul regulament, inclusiv obligația de a colabora cu bună-credință, ar trebui înțelese ca fiind aplicabile unei astfel de entități terțe în cazul descris. Furnizorii de servicii de cloud și clienții au niveluri diferite de responsabilități, în funcție de etapele respective ale procesului. De exemplu, furnizorul de servicii de prelucrare a datelor de origine este responsabil pentru extragerea datelor într-un format care poate fi citit automat, dar clientul și furnizorul de destinație sunt cei care vor încărca datele în noul mediu, cu excepția cazului în care a fost obținut un serviciu specific de tranziție profesională. Obstacolele în calea trecerii sunt de natură diferită, în funcție de etapa respectivă a procesului de trecere la alt furnizor. Echivalență funcțională înseamnă posibilitatea de a restabili, pe baza datelor clientului, un nivel minim de funcționalitate a unui serviciu în mediul unui nou serviciu de prelucrare a datelor după trecerea la alt furnizor, în cazul în care serviciul de destinație furnizează rezultate comparabile ca răspuns la aceleași date de intrare pentru funcționalitatea partajată furnizată clientului în baza acordului contractual. Diferitele servicii pot atinge echivalența funcțională pentru funcționalitățile de bază partajate numai în cazul în care atât furnizorii de servicii de origine, cât și cei de destinație oferă în mod independent aceleași funcționalități esențiale. Prezentul regulament nu prevede obligația de a facilita echivalența funcțională pentru serviciile de prelucrare a datelor din modelul de furnizare PaaS sau SaaS. Metadatele aferente generate de utilizarea de către client a unui serviciu ar trebui, de asemenea, să fie portabile în temeiul dispozițiilor din prezentul regulament referitoare la trecerea la alt furnizor și intră în definiția datelor exportabile. Serviciile de prelucrare a datelor sunt utilizate de la un sector la altul și variază în ceea ce privește complexitatea și tipul de servicii. Acesta este un aspect important pentru procesul de schimbare a furnizorului și pentru timpul necesar.
(72a) Este necesară o abordare normativă ambițioasă a interoperabilității, care să inspire inovarea, pentru a depăși dependența de furnizor, care subminează concurența și dezvoltarea de noi servicii. Interoperabilitatea dintre serviciile de procesare a datelor echivalente implică interfețe și niveluri multiple de infrastructură și software și este rareori limitată la un test binar a ceea ce este realizabil sau nu. În schimb, construirea unei astfel de interoperabilități face obiectul unei analize a rentabilității care este necesară pentru a stabili dacă este util să se urmărească obținerea unor rezultate previzibile în mod rezonabil. ISO/IEC 19941:2017 este o referință importantă pentru realizarea obiectivelor prezentului regulament, deoarece conține considerații tehnice care clarifică complexitatea unui astfel de proces.
(73) În cazul în care utilizează la rândul lor, în calitate de clienți, servicii de prelucrare a datelor furnizate de o parte terță, furnizorii de servicii de prelucrare a datelor vor beneficia ei înșiși de o mai mare eficacitate a trecerii la alt furnizor, fiind în același timp supuși invariabil obligațiilor din prezentul regulament în ceea ce privește propriile oferte de servicii.
(74) Furnizorii de servicii de prelucrare a datelor ar trebui să aibă obligația de a nu impune obstacole, respectiv de a elimina toate obstacolele aferente și de a oferi toată asistența și tot sprijinul în limita capacității lor și proporțional cu obligațiile care le revin pentru realizarea reușită, sigură și efectivă a procesului de trecere la alt furnizor. Prezentul regulament nu impune furnizorilor de servicii de prelucrare a datelor ▌să dezvolte noi categorii de servicii de prelucrare a datelor,inclusiv în cadrul sau pe baza infrastructurii informatice a diferiților furnizori de servicii de prelucrare a datelor, pentru a garanta echivalența funcțională într-un mediu diferit de sistemele proprii. Dat fiind că furnizorul de servicii de prelucrare a datelor de origine nu are acces la mediul furnizorului de servicii de prelucrare a datelor de destinație și nu dispune de informații cu privire la acest mediu, acesta nu ar trebui să fie obligat să restabilească serviciul clientului, în conformitate cu cerințele de echivalență funcțională, în cadrul infrastructurii furnizorului de destinație. În schimb, furnizorul de origine ar trebui să ia toate măsurile rezonabile la nivelul său pentru a facilita echivalența funcțională, furnizând capacități, informații, documentație, asistență tehnică adecvate și, după caz, instrumentele necesare. Informațiile care trebuie furnizate clientului de către furnizorii de servicii de prelucrare a datelor ar trebui să îl sprijine în dezvoltarea unei strategii de trecere la un alt furnizor și ar trebui să cuprindă proceduri pentru inițierea trecerii de la serviciul de cloud computing, formatele de date care pot fi citite automat către care pot fi exportate datele utilizatorului, instrumentele, cum ar fi o interfață standard și cu acces liber de portabilitate a datelor, concepute special pentru exportul de date, informații privind restricțiile și limitările tehnice cunoscute care ar putea avea un impact asupra procesului de schimbare a furnizorului și timpul estimat necesar pentru finalizarea procesului de schimbare a furnizorului. Contractul scris care stabilește drepturile clientului și obligațiile furnizorului de servicii de cloud computing ar trebui să acopere numai informațiile disponibile furnizorului de servicii de prelucrare a datelor în momentul încheierii contractului. Nu ar trebui să se aducă atingere drepturilor existente referitoare la rezilierea contractelor, cum ar fi cele introduse prin Regulamentul (UE) 2016/679 și Directiva (UE) 2019/770 a Parlamentului European și a Consiliului(22). Nicio perioadă obligatorie stabilită prin prezentul regulament nu ar trebui să afecteze respectarea altor termene specificate în legislația sectorială. Capitolul VI din prezentul regulament nu ar trebui interpretat ca piedică pentru un furnizor de servicii de prelucrare a datelor în a furniza clienților săi servicii, caracteristici și funcționalități noi și îmbunătățite sau în a concura cu alți furnizori de servicii de prelucrare a datelor pe această bază.
(75) Pentru a facilita trecerea de la un serviciu de prelucrare a datelor la altul, furnizorii de servicii de prelucrare a datelor ar trebui să ia în considerare utilizarea unor instrumente de punere în aplicare și/sau de conformare, în special a celor publicate de Comisie sub forma unui cadru de reglementare referitor la serviciile de cloud. Mai precis, clauzele contractuale standard sunt benefice pentru sporirea încrederii în serviciile de prelucrare a datelor, pentru crearea unei relații mai echilibrate între utilizatori și furnizorii de servicii de prelucrare a datelor și pentru îmbunătățirea securității juridice în ceea ce privește condițiile care se aplică în cazul trecerii la alte servicii de prelucrare a datelor. În acest sens, utilizatorii și furnizorii de servicii de prelucrare a datelor ar trebui să ia în considerare utilizarea unor clauze contractuale standard elaborate de organismele sau grupurile de experți relevante instituite în temeiul dreptului Uniunii.
(75a) Pentru a facilita trecerea de la un serviciu de cloud computing la altul, toate părțile implicate, inclusiv furnizorii de servicii de prelucrare a datelor atât la sursă, cât și la destinație, ar trebui să colaboreze cu bună credință pentru a permite un proces eficace de schimbare a furnizorului și transferul sigur și la timp al datelor necesare într-un format utilizat în mod curent, care poate fi citit automat și printr-o interfață standard deschisă de portabilitate a datelor, evitând perturbările la nivelul serviciilor oferite.
(75b) Serviciile de prelucrare a datelor care se referă la servicii modificate în mod substanțial pentru a fi adaptate nevoilor unui anumit client (servicii personalizate) sau serviciile de prelucrare a datelor care au loc cu titlu de probă sau doar pentru un serviciu de testare și evaluare pentru ofertele de produse comerciale ar trebui să fie exceptate de la unele dintre obligațiile aplicabile schimbării furnizorului de servicii de prelucrare a datelor.
(75c) Fără a aduce atingere dreptului lor de a introduce o acțiune în justiție, clienții ar trebui să aibă acces la organisme certificate de soluționare a litigiilor pentru a soluționa litigiile legate de schimbarea furnizorilor de servicii de prelucrare a datelor.
(76) Specificațiile și standardele deschise de interoperabilitate șiportabilitate elaborate în conformitate cu punctele 3 și 4 din anexa II la Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului(23) în domeniul interoperabilității și al portabilității permit un mediu ▌de cloud cu furnizori multipli, care constituie o cerință esențială pentru inovarea deschisă în economia europeană a datelor. Dat fiind că procesele de piață nu au demonstrat capacitatea de a stabili specificații sau standarde tehnice care să faciliteze o interoperabilitate și o portabilitate eficace în cloud la nivelurile PaaS ▌și SaaS ▌, Comisia ar trebui să fie în măsură, în cazul în care este tehnic posibil, pe baza prezentului regulament și în conformitate cu Regulamentul (UE) nr. 1025/2012, să solicite organismelor europene de standardizare să elaboreze astfel de standarde pentru servicii echivalente pentru care nu există încă astfel de standarde. În plus, Comisia va încuraja părțile de pe piață să elaboreze specificații deschise de interoperabilitate și portabilitate relevante. În urma consultării cu părțile interesate și respectând standardele internaționale și europene aplicabile și inițiativele de autoreglementare, Comisia poate, prin intermediul actelor delegate, să impună utilizarea unor standarde europene de interoperabilitate și portabilitate sau a unor specificații deschise de interoperabilitate și portabilitate pentru servicii echivalente specifice printr-o trimitere inclusă într-un registru central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor. Furnizorii de servicii de prelucrare a datelor ar trebui să asigure compatibilitatea cu respectivele standarde de interoperabilitate și specificații de portabilitate, ținând seama de natura, securitatea și integritatea datelor pe care le găzduiesc. Se va face trimitere numai la standardele europene pentru interoperabilitatea și portabilitatea serviciilor de prelucrare a datelor și specificațiile deschise de interoperabilitate care respectă criteriile precizate în prezentul regulament, criterii care au același înțeles precum cerințele de la punctele 3 și 4 din anexa II la Regulamentul (UE) nr. 1025/2021 și aspectele de interoperabilitate definite în ISO/IEC 19941:2017.
(77) Este posibil ca țările terțe să adopte acte cu putere de lege, norme administrative și alte acte juridice care vizează transferul direct de date fără caracter personal situate în afara granițelor lor, inclusiv în Uniune, și acordarea unui acces direct la acestea pentru administrațiile publice. Hotărârile instanțelor judecătorești sau ale tribunalelor ori deciziile altor autorități judiciare sau administrative, inclusiv ale autorităților de aplicare a legii, din țări terțe, prin care se solicită transferul de date fără caracter personal sau accesul la astfel de date ar trebui să fie executorii atunci când se bazează pe un acord internațional, cum ar fi un tratat de asistență juridică reciprocă în vigoare între țara terță solicitantă și Uniune sau un stat membru. Pot apărea însă și situații în care o cerere de transfer de date fără caracter personal sau de acces la astfel de date care decurge din legislația unei țări terțe intră în conflict cu o obligație de a proteja aceste date în temeiul dreptului Uniunii sau al dreptului intern, în special în ceea ce privește protecția drepturilor fundamentale ale persoanei fizice, cum ar fi dreptul la securitate și dreptul la o cale de atac eficientă, sau interesele fundamentale ale unui stat membru legate de securitatea sau apărarea națională, precum și protecția datelor sensibile din punct de vedere comercial, inclusiv protecția secretelor comerciale, și protecția drepturilor de proprietate intelectuală, inclusiv angajamentele sale contractuale privind confidențialitatea în conformitate cu această legislație. În absența unor acorduri internaționale care să reglementeze astfel de chestiuni, transferul sau accesul ar trebui să se permită numai după ce s-a verificat dacă sistemul juridic al țării terțe prevede stabilirea motivelor și proporționalității deciziei, dacă hotărârea judecătorească sau decizia are caracter specific și dacă obiecția motivată a destinatarului este supusă unei revizuiri de către o instanță competentă din țara terță, care este împuternicită să ia în considerare în mod corespunzător interesele juridice relevante ale furnizorului datelor în chestiune. Ori de câte ori condițiile cererii de acces la date a autorității țării terțe o permit, furnizorul de servicii de prelucrare a datelor ar trebui să poată informa consumatorul ale cărui date sunt solicitate pentru a verifica dacă există un potențial conflict între accesul respectiv și normele Uniunii sau normele naționale, cum ar fi cele referitoare la protecția datelor sensibile din punct de vedere comercial, inclusiv protecția secretelor comerciale, a drepturilor de proprietate intelectuală și a angajamentelor contractuale privind confidențialitatea.
(78) Pentru promovarea unei mai mari încrederi în date, este important să fie puse în aplicare, în măsura posibilă pentru asigurarea controlului asupra datelor, garanții în ceea ce privește cetățenii, sectorul public și întreprinderile din Uniune. În plus, ar trebui să fie respectate dreptul, valorile și standardele Uniunii în ceea ce privește securitatea, protecția datelor și a vieții private și protecția consumatorilor (dar nu numai). În vederea prevenirii accesului ilegal la date fără caracter personal, furnizorii de servicii de prelucrare a datelor care intră sub incidența prezentului instrument, cum ar fi serviciile de cloud și de edge, ar trebui să ia toate măsurile rezonabile pentru a preveni accesul la sistemele în care sunt stocate date fără caracter personal, inclusiv, când este relevant, prin criptarea datelor, supunerea frecventă la audituri, respectarea verificată a unor sisteme relevante de certificare a securității și modificarea politicilor de întreprindere.
(79) Standardizarea și interoperabilitatea semantică și sintactică ar trebui să joace un rol esențial în furnizarea de soluții tehnice pentru a permite portabilitatea și interoperabilitatea. Pentru a se facilita conformitatea cu cerințele de interoperabilitate în spațiile europene comune ale datelor, care sunt specifice unui anumit scop sau sector sau transsectoriale, ar trebui dezvoltate cadre interoperabile de standarde și practici comune pentru partajarea sau prelucrarea în comun a datelor, vizând dezvoltarea de noi produse și servicii, cercetarea științifică sau inițiative ale societății civile, printre altele. Prezentul regulament stabilește anumite cerințe esențiale privind interoperabilitatea. Participanții din spațiile de date, care sunt entități ce facilitează sau desfășoară schimburi de date în cadrul spațiilor europene comune ale datelor, inclusiv deținătorii de date, ar trebui să respecte cerințele respective. Respectarea normelor respective poate avea loc prin îndeplinirea cerințelor stabilite în prezentul regulament sau prin adaptarea la standardele deja existente prin intermediul unei prezumții de conformitate. Pentru a se facilita conformitatea cu cerințele de interoperabilitate, este necesar să se prevadă prezumția de conformitate în cazul soluțiilor de interoperabilitate care îndeplinesc standarde armonizate sau părți din acestea în conformitate cu Regulamentul (UE) nr. 1025/2012 ▌. Standardele ar trebui elaborate într-un mod deschis, neutru din punct de vedere tehnologic și incluziv, în conformitate cu capitolul II din Regulamentul (UE) nr. 1025/2012. Ținând seama, după caz, de pozițiile adoptate de Comitetul european pentru inovare în domeniul datelor în conformitate cu articolul 30 litera (f) din Regulamentul (UE) 2022/868, Comisia ar trebui să adopte specificații comune în domeniile în care nu există standarde armonizate sau în care standardele existente nu sunt suficiente pentru îmbunătățirea într-o mai mare măsură a interoperabilității în ceea ce privește spațiile europene comune ale datelor, interfețele de programare a aplicațiilor, trecerea la cloud și contractele inteligente. În plus, ar putea rămâne să fie adoptate specificații comune în diferitele sectoare, în conformitate cu dreptul Uniunii sau cu dreptul sectorial național, pe baza nevoilor specifice ale sectoarelor respective. Specificațiile tehnice de interoperabilitate semantică ar putea să cuprindă, de asemenea, structuri și modele de date reutilizabile (sub formă de vocabulare de bază), ontologii, profil de aplicare a metadatelor, date de referință sub formă de vocabular de bază, taxonomii, liste de coduri, tabele de referințe citate, tezaure. În plus, în urma consultării cu părțile interesate și respectând standardele internaționale și europene aplicabile și inițiativele de autoreglementare și, după caz, de pozițiile adoptate de Comitetul european pentru inovare în domeniul datelor, astfel cum se menționează la articolul 30 litera (f) din Regulamentul (UE) 2022/868, Comisia ar trebui să aibă posibilitatea să adoptespecificații comune în domeniile în care nu există standarde armonizateși să mandateze elaborarea unor standarde armonizate de portabilitate și de interoperabilitate a serviciilor de prelucrare a datelor. Comitetul european pentru inovare în domeniul datelor ar trebui să se bazeze pe inițiativele europene și mondiale existente privind interoperabilitatea transsectorială a datelor. În special, Comitetul european pentru inovare în domeniul datelor ar trebui să analizeze, în acest scop, potențialul cadrului privind identitatea digitală a obiectelor, instituit prin Regulamentul (UE) nr. 910/2014, și al sistemelor de identificare a entităților juridice, cum ar fi GLEIF.
(79a) Pentru a îmbunătăți și mai mult coordonarea în procesul de asigurare a respectării prezentului regulament, Comitetul european pentru inovare în domeniul datelor ar trebui să încurajeze schimbul reciproc de informații între autoritățile competente, precum și să acorde Comisiei consiliere și asistență în chestiunile care intră sub incidența prezentului regulament și a articolului 30 din Regulamentul (UE) 2022/868. Un subgrup pentru implicarea părților interesate menționat la articolul 29 alineatul (2) litera (c) din regulamentul respectiv ar trebui să participe la consultare în mod permanent.
(80) Pentru a se promova interoperabilitatea contractelor inteligente în aplicațiile de partajare de date, poate fi necesar să se stabilească cerințe esențiale referitoare la contractele inteligente pentru profesioniștii care creează contracte inteligente pentru alții sau care integrează astfel de contracte inteligente în aplicații care sprijină punerea în aplicare a acordurilor de partajare de date. De exemplu, contractele inteligente ar trebui să garanteze respectarea condițiilor pentru schimbul de date. Ar trebui prevăzute programe de formare specifice privind contractele inteligente pentru întreprinderi, în special pentru IMM-uri.
(81) Pentru a asigura punerea în aplicare eficientă a prezentului regulament, statele membre ar trebui să desemneze una sau mai multe autorități competente și să le aloce resurse suficiente. Dacă un stat membru desemnează mai multe autorități competente, statul membru respectiv ar trebui să desemneze și o autoritate competentă coordonatoare. Autoritățile competente ar trebui să coopereze între ele la timp și în mod eficace, în conformitate cu principiile bunei administrări și asistenței reciproce, pentru a asigura punerea în aplicare efectivă și respectarea prezentului regulament. Autoritățile responsabile cu supravegherea respectării protecției datelor și autoritățile competente desemnate în temeiul legislației sectoriale ar trebui să aibă responsabilitatea de aplicare a prezentului regulament în domeniile lor de competență. Autoritățile competente ar trebui să coopereze la cererea autorităților din cadrul Comitetului european pentru protecția datelor și al Comitetului european pentru inovare în domeniul datelor.
(81a) Pentru a îmbunătăți și mai mult coordonarea în procesul de asigurare a respectării prezentului regulament, Comitetul european pentru inovare în domeniul datelor ar trebui să încurajeze schimbul reciproc de informații între autoritățile competente, precum și să acorde Comisiei consiliere și asistență în chestiunile care intră sub incidența prezentului regulament, cu accent pe aspectele care intră în sfera de competență a comitetului, în conformitate cu articolul 30 din Regulamentul (UE) 2022/868.
(82) Pentru a-și exercita drepturile prevăzute în prezentul regulament, persoanele fizice și juridice ar trebui să aibă dreptul de a introduce o cale de atac în cazul în care le sunt încălcate drepturile prevăzute în prezentul regulament, prin depunerea de plângeri la coordonatorul de date, la alte autorități competente relevante și la instanțelejudecătorești. Respectivele autorități ar trebui să fie obligate să coopereze pentru a asigura că plângerile sunt tratate ▌ în mod corespunzător și soluționate rapid și eficient. Pentru a se putea recurge la mecanismul rețelei de cooperare în materie de protecție a consumatorilor și pentru a se crea posibilitatea unor acțiuni în reprezentare, prin prezentul regulament se modifică anexele la Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului(24) și Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului(25).
(83) Autoritățile competente ale statelor membre ar trebui să se asigure că încălcările obligațiilor prevăzute în prezentul regulament se sancționează. În acest sens, autoritățile ar trebui să țină seama de natura, gravitatea, recurența și durata încălcării, având în vedere interesul public în cauză, raza de acțiune și tipul activităților desfășurate, precum și capacitatea economică a autorului încălcării. Autoritățile ar trebui să țină seama de caracterul sistematic sau recurent al neîndeplinirii de către autorul încălcării a obligațiilor care îi revin în temeiul prezentului regulament. Pentru a ajuta întreprinderile să redacteze și să negocieze contracte, Comisia ar trebui să elaboreze și să recomande modele de clauze contractuale neobligatorii pentru contractele de partajare de date între întreprinderi, ținând seama, când este necesar, de condițiile din diferitele sectoare și de practicile existente în materie de mecanisme voluntare de partajare de date. Aceste modele de clauze contractuale ar trebui să constituie, în primul rând, un instrument practic care să ajute în special întreprinderile mai mici să încheie un contract. Când sunt utilizate pe scară largă și în mod integrat, aceste modele de clauze contractuale ar trebui să aibă și efectul benefic de a influența modul în care sunt concepute contractele de acces la date și de utilizare a acestora și, prin urmare, să conducă, în sens mai larg, la relații contractuale mai echitabile atunci când se accesează și se partajează date.
(84) Pentru a se elimina riscul ca deținătorii bazelor de date care conțin date obținute sau generate prin intermediul unor componente fizice, cum ar fi senzorii, ale unui produs conectat și ale unui serviciu conex, și anume datele generate automat, să invoce dreptul sui generis prevăzut la articolul 7 din Directiva 96/9/CE, prezentul regulament clarifică faptul că dreptul sui generis nu se aplică în cazul unor astfel de baze de date, deoarece nu ar fi îndeplinite cerințele de protecție a unei investiții substanțiale pentru obținerea, verificarea sau prezentarea datelor, astfel cum se prevede la articolul 7 alineatul (1) din Directiva 96/9/CE. Acest lucru nu afectează aplicarea posibilă a dreptului sui generis în temeiul articolului 7 din Directiva 96/9/CE pentru bazele de date care conțin date ce nu intră în domeniul de aplicare al prezentului regulament, cu condiția ca cerințele de protecție în conformitate cu articolul 7 alineatul (1) din directiva respectivă să fie îndeplinite.
(85) Pentru a se ține seama de aspectele tehnice ale serviciilor de prelucrare a datelor, ar trebui să se delege Comisiei competența de a adopta, în conformitate cu articolul 290 din TFUE, acte de completare a prezentului regulament în vederea introducerii unui mecanism de monitorizare a taxelor de trecere la alt furnizor impuse pe piață de furnizorii de servicii de prelucrare a datelor, în vederea detalierii cerințelor esențiale de interoperabilitate pentru participanții spațiilor de date care oferă date sau servicii de date altor participanți și furnizorii de servicii de prelucrare a datelor și în vederea publicării trimiterii la specificații deschise de interoperabilitate și la standarde europene de interoperabilitate a serviciilor de prelucrare a datelor. Este deosebit de important ca, în cadrul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare(26). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.
(86) Pentru a se asigura condiții uniforme de punere în aplicare a prezentului regulament, ar trebui să se confere Comisiei competențe de executare în ceea ce privește completarea prezentului regulament pentru adoptarea de specificații comune în ceea ce privește interoperabilitatea spațiilor europene comune ale datelor și a partajării de date, trecerea de la un serviciu de prelucrare a datelor la altul, interoperabilitatea contractelor inteligente, precum și mijloacele tehnice, cum ar fi interfețele de programare a aplicațiilor, astfel încât să se permită transmiterea de date între părți, inclusiv în mod continuu sau în timp real, și pentru vocabularele de bază ale interoperabilității semantice, și pentru adoptarea de specificații comune în ceea ce privește contractele inteligente. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului(27).
(87) Prezentul regulament nu ar trebui să aducă atingere dispozițiilor specifice ale actelor Uniunii din domeniul partajării de date între întreprinderi, între întreprinderi și consumatori și între întreprinderi și organismele din sectorul public, care au fost adoptate înainte de data adoptării prezentului regulament. Pentru a asigura coerența și funcționarea armonioasă a pieței interne, Comisia ar trebui, când este relevant, să evalueze situația în ceea ce privește relația dintre prezentul regulament și actele care au fost adoptate înainte de data adoptării prezentului regulament și care reglementează partajarea de date, analizând necesitatea alinierii respectivelor dispoziții specifice la prezentul regulament. Prezentul regulament nu ar trebui să aducă atingere normelor care abordează nevoi specifice sectoarelor individuale sau domeniilor de interes public. Astfel de norme pot include cerințe suplimentare privind aspectele tehnice ale accesului la date, cum ar fi interfețele pentru accesul la date, sau modul în care ar putea fi asigurat accesul la date, de exemplu direct din produs sau prin intermediul serviciilor de intermediere de date. Astfel de norme pot include, de asemenea, limite ale drepturilor deținătorilor de date de a accesa sau utiliza datele utilizatorilor sau alte aspecte care depășesc sfera accesului la date și a utilizării acestora, cum ar fi aspectele de guvernanță. Prezentul regulament nu ar trebui să aducă atingere niciunor eventuale norme mai specifice în contextul dezvoltării spațiilor europene comune ale datelor.
(88) Prezentul regulament nu ar trebui să aducă atingere aplicării normelor în materie de concurență, în special articolelor 101 și 102 din tratat. Măsurile prevăzute în prezentul regulament nu ar trebui să fie utilizate pentru restrângerea concurenței într-un mod contrar tratatului.
(89) Pentru a se permite actorilor economici să se adapteze la noile norme prevăzute în prezentul regulament și să ia măsurile tehnice necesare, acestea ar trebui să se aplice după 18 luni de la intrarea în vigoare a regulamentului. Obligațiile legate de furnizarea serviciilor conexe furnizate pentru produsele conectate deja introduse pe piață în decursul ultimilor cinci ani de la intrarea în vigoare a prezentului regulament ar trebui să se aplice retroactiv numai în cazul în care deținătorul de date și producătorul sunt aceeași entitate. Aceste obligații ar trebui îndeplinite numai atunci când furnizorul de servicii conexe este în măsură să desfășoare de la distanță mecanisme pentru a asigura îndeplinirea cerințelor de la articolul 1 și numai atunci când utilizarea unor astfel de mecanisme nu ar impune o sarcină disproporționată pentru producător.
(90) Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor au fost consultate în conformitate cu articolul 42 din Regulamentul (UE) 2018/1725 și au emis un aviz comun la [XX XX 2022],
ADOPTĂ PREZENTUL REGULAMENT:
CAPITOLUL I
DISPOZIȚII GENERALE
Articolul 1
Obiect și domeniu de aplicare
(1) În prezentul regulament sunt stabilite norme armonizate privind:
(a) proiectarea de produse conectate pentru a permite accesul la date generate de un produs conectat sau generate în timpul furnizării unor servicii conexe către utilizatorul produsului respectiv;
(b) punerea la dispoziție de către deținătorii de date a datelor la care au avut acces dintr-un produs conectat sau generate în timpul furnizării unui serviciu conex către persoanele vizate, utilizatorii sau destinatarii datelor, la cererea utilizatorului sau a persoanei vizate;
(c) condiții contractuale echitabile pentru contractele legate de schimbul de date;
(d) punerea de date la dispoziția organismelor din sectorul public ori a instituțiilor, agențiilor sau organelor Uniunii, în cazul în care există o nevoie excepțională pentru îndeplinirea unei sarcini de interes public;
(e) facilitarea trecerii de la un serviciu de prelucrare a datelor la altul;
(f) introducerea unor garanții împotriva accesului internațional ilegal al guvernelor la date fără caracter personal; și
(g) dispoziții legate de elaborarea de standarde de interoperabilitate și de specificații comune pentru datele care urmează să fie transferate și utilizate.
(1a) Prezentul regulament reglementează datele cu caracter personal și datele fără caracter personal, inclusiv următoarele tipuri de date sau în următoarele contexte:
(a) Capitolul II se aplică datelor accesibile obținute, colectate sau generate în alt mod de produse conectate sau generate în timpul furnizării serviciilor conexe;
(b) Capitolul III se aplică tuturor datelor din sectorul privat care fac obiectul obligațiilor statutare privind partajarea de date;
(c) Capitolul IV se aplică tuturor datelor din sectorul privat accesate și utilizate pe baza unor acorduri contractuale între întreprinderi;
(d) Capitolul V se aplică tuturor datelor fără caracter personal din sectorul privat;
(e) Capitolul VI se aplică tuturor datelor și serviciilor prelucrate de serviciile de prelucrare a datelor;
(f) Capitolul VII se aplică tuturor datelor fără caracter personal deținute în Uniune de către furnizorii de servicii de prelucrare a datelor.
(2) Prezentul regulament se aplică:
(a) fabricanților de produse conectate și furnizorilor de servicii conexe introduse pe piață în Uniune, indiferent de locul lor de stabilire,și utilizatorilor unor astfel de produse conectate sau servicii conexe sau, în cazul datelor cu caracter personal, persoanelor fizice identificate sau identificabile la care se referă datele obținute, colectate sau generate de utilizarea unor astfel de produse sau servicii;
(b) utilizatorilor de produse conectate sau servicii conexe în Uniune și deținătorilor de date, indiferent de locul lor de stabilire, care pun date la dispoziția destinatarilor datelor din Uniune sau, în cazul datelor cu caracter personal, persoanelor fizice identificate sau identificabile la care se referă datele obținute, colectate sau generate de utilizarea unor astfel de produse sau servicii;
(c) destinatarilor datelor din Uniune cărora le sunt puse la dispoziție date;
(d) organismelor din sectorul public dintr-un stat membru și instituțiilor, agențiilor sau organelor Uniunii care înaintează deținătorilor de date o cerere de punere la dispoziție de date în cazul în care există o nevoie excepțională de datele respective pentru îndeplinirea unei sarcini specifice de interes public și deținătorilor de date care furnizează datele respective ca răspuns la o astfel de cerere;
(e) furnizorilor de servicii de prelucrare a datelor, indiferent de locul lor de stabilire, care oferă astfel de servicii clienților din Uniune.
(3) În cazul oricăror date cu caracter personal prelucrate în legătură cu drepturile și obligațiile stabilite în prezentul regulament se aplică dreptul Uniunii privind protecția datelor cu caracter personal, a vieții private și a confidențialității comunicațiilor și a integrității echipamentelor terminale. Obținerea, colectarea sau generarea de date cu caracter personal prin utilizarea unui produs sau a unui serviciu conex necesită un temei juridic în conformitate cu legislația privind protecția datelor aplicabilă. Prezentul regulament nu constituie un temei juridic pentru prelucrarea datelor cu caracter personal. Prezentul regulament nu aduce atingere ▌dreptului Uniunii privind protecția datelor cu caracter personal și a vieții private, în special ▌Regulamentului (UE) 2016/679, Regulamentului (UE) 2018/1725 și ▌Directivei 2002/58/CE, nici normelor privind atribuțiile și competențele autorităților de supraveghere. În caz de conflict între prezentul regulament și dreptul Uniunii privind protecția datelor cu caracter personal sau a vieții private sau dreptul intern adoptat în conformitate cu dreptul respectiv al Uniunii, prevalează dreptul Uniunii sau dreptul intern relevant privind protecția datelor cu caracter personal sau a vieții private. În măsura în care sunt vizate drepturile stabilite în capitolul II din prezentul regulament și în cazul în care utilizatorii sunt persoanele vizate ale datelor cu caracter personal cărora li se aplică drepturile și obligațiile prevăzute în capitolul respectiv, dispozițiile prezentului regulament completează și detaliază dreptul la portabilitatea datelor prevăzut la articolul 20 din Regulamentul (UE) 2016/679. Nicio dispoziție a prezentului regulament nu este aplicată sau interpretată în sensul diminuării sau limitării dreptului la protecția datelor cu caracter personal sau a dreptului la viață privată și la confidențialitatea comunicațiilor.
(4) Prezentul regulament nu aduce atingere actelor juridice ale Uniunii și actelor juridice naționale care prevăd partajarea, accesarea și utilizarea de date în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau a contravențiilor, ori al executării pedepselor sau a sancțiunilor administrative, printre care Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului(28) și propunerile privind probele electronice [COM(2018)0225 și 0226], după adoptare, și nici cooperării internaționale în domeniul respectiv. Prezentul regulament nu aduce atingere activităților de colectare de date, partajare de date, acces la date și utilizare de date, desfășurate în temeiul Directivei (UE) 2015/849 a Parlamentului European și a Consiliului privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului și al Regulamentului (UE) 2015/847 al Parlamentului European și al Consiliului privind informațiile care însoțesc transferurile de fonduri. Prezentul regulament nu aduce atingere competențelor pe care le au statele membre, în conformitate cu dreptul Uniunii, în ceea ce privește activitățile legate de siguranța publică, apărare, securitatea națională, administrația vamală și fiscală și sănătatea publică și siguranța cetățenilor. Prezentul regulament nu se aplică datelor colectate sau generate în contextul activităților din domeniul apărării sau de produse sau servicii din domeniul apărării sau de produse sau servicii desfășurate și utilizate în scopuri de apărare.
(4a) Prezentul regulament completează și nu afectează aplicabilitatea dreptului Uniunii care vizează promovarea intereselor consumatorilor și asigurarea unui nivel ridicat de protecție a consumatorilor, pentru protejarea sănătății, siguranței și intereselor economice ale acestora, inclusiv Directivele 2005/29/CE, 2011/83/UE și 93/13/CEE.
(4b) Deținătorii de date nu sunt obligați să ofere acces la date niciunei persoane fizice sau juridice, entități sau organism din afara Uniunii, cu excepția cazului în care utilizatorul solicită acest lucru sau se prevede altfel în dreptul Uniunii sau în legislația națională de punere în aplicare a dreptului Uniunii.
(4c) Obligațiile prevăzute în regulament nu împiedică schimbul voluntar legal de date fără caracter personal între utilizatori, deținătorii de date și destinatarii datelor, convenit prin contracte.
Articolul 2
Definiții
În sensul prezentului regulament, se aplică următoarele definiții:
1. „date” înseamnă orice reprezentare digitală a unor acte, fapte sau informații și orice compilație a unor astfel de acte, fapte sau informații, inclusiv sub forma unei înregistrări audio, video sau audiovizuale; conținutul sau datele obținute, generate sau colectate de produsul conectat sau transmise acestuia în numele altor persoane în scopul stocării sau prelucrării nu intră sub incidența prezentului regulament.
1a. „date cu caracter personal” înseamnă date cu caracter personal astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;
1b. „date fără caracter personal” înseamnă alte date decât datele cu caracter personal;
1c. „consimțământ” înseamnă consimțământ astfel cum este definit la articolul 4 punctul 11 din Regulamentul (UE) 2016/679;
1d. „persoană vizată” înseamnă persoană vizată astfel cum este definită la articolul 1 punctul 4 din Regulamentul (UE) 2016/679;
1e. „utilizator de date” înseamnă o persoană fizică sau juridică care are acces legal la anumite date cu sau fără caracter personal și care are dreptul să utilizeze datele respective în scopuri comerciale sau necomerciale;
2. „produs conectat” înseamnă un bun ▌care obține, generează sau colectează date accesibile privind utilizarea sau mediul său, care are capacitatea de a comunica date prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui acces fizic la dispozitiv și a cărui funcție principală nu este stocarea, prelucrarea sau transmiterea datelor în numele altor persoane;
3. „serviciu conex” înseamnă un serviciu digital, inclusiv un software, dar excluzând serviciile de comunicații electronice,care este astfel ▌interconectat cu un produs încât absența sa ar împiedica produsul să își îndeplinească una sau mai multe dintre funcții și care implică accesarea datelor din produsul conectat de către furnizor sau de către serviciu;
4. „asistenți virtuali” înseamnă software-uri care pot prelucra cereri, sarcini sau întrebări, exprimate inclusiv în formă audio, prin text, prin gesturi sau prin mișcări, și care, pe baza respectivelor cereri, sarcini sau întrebări, oferă acces la alte servicii ▌sau control asupra funcțiilor produselor;
4a. „consumator” înseamnă orice persoană fizică ce acționează în scopuri care nu se încadrează în activitatea comercială, economică, meșteșugărească sau liberală a respectivei persoane;
5. „utilizator” înseamnă o persoană fizică sau juridică care deține un produs conectat sau primește un serviciu conexsau căreia proprietarul produsului conectat i-a transferat, pe baza unui contract de închiriere sau de leasing, drepturi temporare de a utiliza produsul conectat sau de a primi servicii conexe și, în cazul în care produsul conectat sau serviciul conex implică prelucrarea de date cu caracter personal, persoana vizată;
6. „deținător de date” înseamnă o persoană fizică sau juridică care a accesat date din produsul conectat sau a generat date în timpul furnizării unui serviciu conex și care are dreptul convenit prin contract de a utiliza astfel de date, precum și obligația, în conformitate cu prezentul regulament, cu dreptul aplicabil al Uniunii sau cu legislația națională de punere în aplicare a dreptului Uniunii de a pune anumite date la dispoziția utilizatorului sau a destinatarului datelor;
7. „destinatar al datelor” înseamnă o persoană fizică sau juridică, care este diferită de utilizatorul unui produs conectat sau al unui serviciu conex ▌și căreia un deținător de date îi pune la dispoziție date accesate dintr-un produs conectat sau generate în timpul furnizării unui serviciu conex în urma unei cereri explicite primite de la utilizator sau în conformitate cu o obligație juridică prevăzută în dreptul Uniunii sau în legislația națională de punere în aplicare a dreptului Uniunii;
8. „întreprindere” înseamnă o persoană fizică sau juridică acționând, în cadrul contractelor și practicilor care intră în domeniul de aplicare al prezentului regulament, în scopuri care au legătură cu activitatea sa comercială, economică, artizanală sau profesională;
9. „organism din sectorul public” înseamnă autoritățile naționale, regionale sau locale ale statelor membre și organismele de drept public ale statelor membre sau asociațiile formate din una sau mai multe astfel de autorități ori din unul sau mai multe astfel de organisme;
10. „urgență publică” înseamnă o situație excepțională, limitată în timp, cum ar fi urgențele de sănătate publică, urgențele cauzate de dezastre naturale, precum și de dezastre majore provocate de om, inclusiv incidente majore de securitate cibernetică, care are efecte negative asupra populației Uniunii, a unui stat membru sau a unei părți a acestuia, cu un risc de repercusiuni grave și de durată asupra condițiilor de viață sau a stabilității economice, a stabilității financiare ori de degradare substanțială și imediată a activelor economice din Uniune ori din statul sau statele membre relevante, și care este stabilită și declarată în mod oficial în conformitate cu procedurile relevante în temeiul dreptului Uniunii sau al dreptului intern;
10a. „statistici oficiale” înseamnă statistici europene în sensul Regulamentului (CE) nr. 223/2009(29);
11. „prelucrare” înseamnă orice operațiune sau serie de operațiuni efectuate asupra datelor sau a seturilor de date în format electronic, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
12. „serviciu de prelucrare a datelor” înseamnă un serviciu digital, diferit de un serviciu de conținut online astfel cum este definit la articolul 2 punctul 5 din Regulamentul (UE) 2017/1128, care este furnizat unui client și permite administrarea la cerere și accesul larg de la distanță la un bazin redimensionabil și elastic de resurse informatice care pot fi puse în comun, cu un caracter centralizat, distribuit sau foarte distribuit;
13. „tip de servicii” înseamnă un set de servicii de prelucrare a datelor care au același obiectiv principal și același model de bază de serviciu de prelucrare a datelor;
14. „echivalență funcțională” înseamnă menținerea, după procesul de trecere la alt furnizor, a unui nivel minim de funcționalitate în mediul noului serviciu de prelucrare a datelor, astfel încât, în urma unei acțiuni inițiate de utilizator asupra unor elemente centrale ale serviciului, serviciul de destinație să asigure același răspuns la aceeași performanță și la același nivel de securitate, reziliență operațională și calitate a serviciului ca serviciul de origine în momentul rezilierii contractului;
15. „standarde deschise ▌” înseamnă specificații tehnice ▌care sunt orientate spre performanța interoperabilității serviciilor de prelucrare a datelor și care sunt adoptate printr-un proces incluziv, colaborativ, bazat pe consens și transparent, din care nu pot fi excluse părțile afectate în mod semnificativ și părțile interesate;
▌
18. „specificații comune” înseamnă un document, diferit de un standard, ce conține soluții tehnice care oferă un mijloc de respectare a anumitor cerințe și obligații stabilite în prezentul regulament;
19. „interoperabilitate” înseamnă capacitatea a două sau mai multe servicii bazate pe date, inclusiv spații de date sau rețele de comunicații, sisteme, produse, aplicații sau componente de a prelucra, de a schimba și de a utiliza date în vederea îndeplinirii funcțiilor lor în mod exact, eficace și consecvent;
19a. „portabilitate” înseamnă capacitatea unui client de a transfera date importate sau generate direct care pot fi atribuite în mod clar clientului între propriul sistem și propriile servicii de cloud, precum și între serviciile de cloud ale unor diferiți furnizori de servicii de cloud;
20. „standard armonizat” înseamnă un standard armonizat astfel cum este definit la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012;
20a. „spații europene comune ale datelor” înseamnă cadre interoperabile specifice scopului sau sectorului sau transsectoriale de standarde și practici comune pentru a partaja sau a prelucra în comun date, printre altele pentru dezvoltarea de noi produse și servicii, pentru cercetarea științifică sau pentru inițiative ale societății civile;
20b. „metadate” înseamnă o descriere structurată a conținutului utilizării datelor care facilitează descoperirea sau utilizarea acestor date;
20c. „serviciu de intermediere de date” înseamnă un serviciu de intermediere de date astfel cum este menționat la articolul 2 punctul 8 din Regulamentul (UE) 2022/868;
20d. „altruism în materie de date” înseamnă partajarea voluntară de date conform definiției de la articolul 2 punctul 16 din Regulamentul (UE) 2022/868;
20e. „secret comercial” înseamnă informațiile care îndeplinesc toate cerințele prevăzute la articolul 2 punctul 1 din Directiva (UE) 2016/943;
20f. „deținătorul secretului comercial” ar trebui înțeles în sensul articolului 2 punctul 2 din Directiva (UE) 2016/943.
CAPITOLUL II
PARTAJAREA DE DATE ÎNTRE ÎNTREPRINDERI ȘI CONSUMATORI ȘI ÎNTRE ÎNTREPRINDERI
Articolul 3
Obligația de asigura caracterul accesibil pentru utilizator al datelor accesate din produsele conectate sau generate în timpul furnizării serviciilor conexe
(1) Produsele conectate se proiectează și se fabrică astfel încât datele pe care le colectează, le generează sau le obțin în alt mod și care sunt accesibile deținătorilor de date sau destinatarilor datelor să fie, în mod implicit, gratuite pentru utilizatorși accesibile acestuia cu ușurință, în mod securizat și, când este relevant și fezabil din punct de vedere tehnic, în mod direct, într-un format cuprinzător, structurat, utilizat în mod curent și care poate fi citit automat. Datele sunt disponibile în forma în care au fost colectate, obținute sau generate de produsul conectat, numai cu adaptările minime necesare pentru ca acestea să poată fi utilizate de o parte terță, inclusiv metadatele aferente necesare pentru interpretarea și utilizarea datelor. Informațiile derivate sau deduse din aceste date prin intermediul unor algoritmi brevetați complecși, în special atunci când combină rezultatul mai multor senzori din produsul conectat, nu se încadrează în sfera de aplicare a obligației deținătorului de date de a partaja date cu utilizatorii sau destinatarii datelor, cu excepția cazului în care utilizatorul și deținătorul de date convin altfel. În cazul în care utilizatorul este o persoană vizată, produsele conectate oferă posibilități de exercitare directă a drepturilor persoanelor vizate, atunci când este fezabil tehnic. Produsele conectate se proiectează și se fabrică astfel încât unei persoane vizate, indiferent de drepturile sale legale asupra produsului conectat, să i se ofere posibilitatea de a utiliza produsele care intră sub incidența prezentului regulament în mod cât mai puțin invaziv asupra vieții private. Cerințele prevăzute la primul paragraf se îndeplinesc fără a inhiba funcționalitatea produsului conectat și a serviciilor conexe și în conformitate cu cerințele de securitate a datelor prevăzute în dreptul Uniunii.
(1a) Deținătorii de date pot să respingă o cerere de obținere a datelor dacă accesul la datele în cauză este interzis de dreptul Uniunii sau de dreptul intern.
(2) Înainte de încheierea unui contract de cumpărare a unui produs conectat, producătorul sau, după caz, vânzătorulfurnizeazăutilizatorului într-un format simplu, clar și inteligibil, cel puțin următoarele informații:
(a) tipul datelor, formatul, frecvența de eșantionare, capacitatea de stocare în dispozitiv și volumul estimat al datelor accesibile pe care produsul conectat este capabil să le colecteze, să le genereze sau să le obțină în alt mod;
(b) dacă produsul conectat este capabil să genereze date în mod continuu și în timp real;
(ba) dacă datele vor fi stocate pe dispozitiv sau pe un server la distanță, inclusiv perioada în care vor fi stocate;
(c) modul în care utilizatorul poate accesa gratuit și, dacă este cazul, extrage și solicita ștergerea datelor respective;
(ca) mijloacele tehnice de acces la date, cum ar fi kiturile de dezvoltare de software sau interfețele de programare a aplicațiilor, și condițiile de utilizare și calitatea serviciului sunt descrise suficient pentru a permite dezvoltarea unor astfel de mijloace de acces;
(cb) dacă deținătorul de date este deținătorul unor secrete comerciale sau al altor drepturi de proprietate intelectuală conținute în datele care ar putea fi accesate din produsul conectat sau generate în timpul furnizării serviciului conex și, în caz contrar, identitatea deținătorului secretului comercial, cum ar fi denumirea sa comercială și adresa geografică la care este stabilit.
▌
(2a) Serviciile conexe sunt furnizate astfel încât datele generate în timpul furnizării lor, care reprezintă digitalizarea acțiunilor sau evenimentelor utilizatorilor, să fie gratuite pentru utilizator și, implicit, accesibile acestuia cu ușurință, în mod securizat și, când este relevant și fezabil din punct de vedere tehnic, în mod direct, într-un format structurat, utilizat în mod curent și care poate fi cititautomat, împreună cu metadatele relevante necesare pentru interpretarea și utilizarea lor.
(2b) Înainte ca utilizatorul să încheie un acord cu un furnizor de servicii conexe care implică accesul furnizorului la date din produsul conectat în timpul furnizării acestor servicii, în conformitate cu articolul 4 alineatul (6) din prezentul regulament, acordul abordează:
(a) natura, volumul, frecvența colectării și formatul datelor accesate de furnizorul de servicii conexe din produsul conectat și, atunci când este cazul, modalitățile prin care utilizatorul poate accesa sau extrage astfel de date, inclusiv perioada în care acestea sunt stocate;
(b) natura și volumul estimat al datelor generate în timpul furnizării serviciului conex, precum și modalitățile prin care utilizatorul poate accesa sau extrage astfel de date;
(c) opțiunile de consimțământ granulare și semnificative pentru prelucrarea datelor, în sensul articolului 4 punctul 11 din Regulamentul (UE) 2016/679;
(d) dacă furnizorul de servicii care furnizează serviciul conex, în calitatea sa de deținător de date, intenționează să utilizeze datele accesate din produsul conectat însuși sau să permită uneia sau mai multor părți terțe să utilizeze datele în scopurile convenite cu utilizatorul;
(e) denumirea comercială a furnizorului serviciului conex, identificatorul entității juridice, datele de contact și adresa geografică la care este stabilit; și, după caz, alte părți implicate în prelucrarea datelor;
(f) atunci când este cazul, mijloacele de comunicare prin care utilizatorul poate să contacteze rapid furnizorul și să comunice eficient cu personalul acestuia;
(g) modul în care utilizatorul poate solicita ca datele să fie partajate cu un destinatar al datelor și, dacă este cazul, să retragă consimțământul pentru partajarea datelor;
(h) dacă deținătorul de date este deținătorul unor secrete comerciale sau al altor drepturi de proprietate intelectuală conținute în datele care ar putea fi accesate din produsul conectat sau generate în timpul furnizării serviciului conex și, în caz contrar, identitatea deținătorului secretului comercial, cum ar fi denumirea sa comercială, identificatorul entității juridice și adresa geografică la care este stabilit;
(i) modul în care utilizatorul poate să gestioneze permisiunile pentru a permite utilizarea datelor, dacă este posibil cu opțiuni de permisiuni granulare și inclusiv opțiunea de a retrage permisiunile unui deținător de date pentru utilizarea datelor utilizatorului, precum și părților terțe desemnate de un deținător de date sau de a exclude adrese geografice;
(j) durata acordului dintre utilizator și furnizorul serviciului conex, precum și modalitățile de reziliere anticipată a unui astfel de acord; precum și perioada minimă pentru care serviciul conex are garanția că va primi actualizări de securitate și funcționalitate;
(k) dreptul utilizatorului de a depune o plângere privind încălcarea dispozițiilor prezentului capitol la coordonatorul de date menționat la articolul 31.
Articolul 3a
Competența în materie de date
(1) La punerea în aplicare a prezentului regulament, Uniunea și statele membre promovează măsuri și instrumente pentru dezvoltarea competenței în materie de date, în toate sectoarele și ținând seama de nevoile diferite ale grupurilor de utilizatori, consumatori și întreprinderi, inclusiv prin programe de educație și formare, calificare și recalificare, și asigurând în același timp un echilibru adecvat de gen și de vârstă, cu scopul de a permite o societate echitabilă bazată pe date și o piață echitabilă a datelor.
Articolul 4
Drepturile și obligațiile utilizatorilor și ale deținătorilor de date de a accesa, de a utiliza și de a pune la dispoziție datele accesate din produsele conectatesau generate în timpul furnizării serviciilor conexe
(1) În cazul în care datele nu pot fi accesate direct de către utilizator din produs, deținătorii dedate pun la dispoziția utilizatorului orice date accesate de ei dintr-un produs conectat sau generate în timpul furnizării unui serviciu conex, fără întârzieri nejustificate, într-un mod ușor de utilizat, securizat, într-un format cuprinzător, structurat, utilizat curent și care poate fi cititautomat, gratuit și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real, inclusiv punând la dispoziția unei persoane vizate orice date cu caracter personal derivate din aceste date în temeiul articolului 15 din Regulamentul (UE) 2016/679, însoțite de metadate relevante. Datele se furnizează sub forma în care au fost accesate din produsul conectat sau generate de serviciul conex, numai cu adaptările minime necesare pentru ca acestea să poată fi utilizate de o parte terță, inclusiv metadatele aferente necesare pentru a interpreta și utiliza datele. Informațiile derivate sau deduse din aceste date prin intermediul unor algoritmi brevetați complecși, în special atunci când combină rezultatul mai multor senzori din produsul conectat, nu se încadrează în sfera de aplicare a obligației deținătorului de date de a partaja date cu utilizatorii sau destinatarii datelor, cu excepția cazului în care utilizatorul și deținătorul de date convin altfel. Orice cerere de acces la date adresată unui deținător de date ar trebui să fie realizată pe baza unei simple cereri formulate prin mijloace electronice, în cazul în care acest lucru este fezabil din punct de vedere tehnic, și, după caz, să indice tipul, natura sau sfera datelor solicitate.
(1a) Deținătorii de date pot să respingă o cerere de obținere a datelor dacă accesul la datele în cauză este interzis de dreptul Uniunii sau de dreptul intern.
(1b) Utilizatorii și deținătorii de date pot conveni prin contract asupra restricționării sau interzicerii accesului, utilizării sau partajării ulterioare a datelor, ceea ce ar putea submina securitatea produsului, astfel cum este prevăzută de lege. Fiecare parte poate înainta cazul coordonatorului de date, pentru a evalua dacă o astfel de restricție este justificată, în special având în vedere efectele negative grave asupra sănătății, siguranței sau securității ființelor umane. Autoritățile sectoriale competente vor avea posibilitatea de a furniza expertiză tehnică în acest context.
(1c) În cazul în care, în conformitate cu toate dispozițiile stabilite în prezentul regulament și cu termenele și condițiile convenite în acordul contractual dintre părți, un deținător de date nu este răspunzător față de utilizator pentru niciun prejudiciu care decurge din datele puse la dispoziție, cu condiția ca deținătorul de date să fi prelucrat datele în mod legal în conformitate cu dreptul Uniunii și cu dreptul intern și să fi respectat cerințele relevante în materie de securitate cibernetică și, după caz, măsurile tehnice și organizatorice de păstrare a confidențialității datelor partajate. Atunci când se conformează prezentului regulament, un utilizator care pune la dispoziție unui terț în mod legal date accesate de la produsul conectat sau primite în urma unei cereri în temeiul articolului 4 alineatul (1) sau un destinatar al datelor care partajează în mod legal cu un terț datele care i-au fost puse la dispoziție de către un deținător de date nu este răspunzător pentru prejudiciile care decurg din partajarea acestor date, cu condiția ca utilizatorul sau destinatarul datelor să fi prelucrat datele în conformitate cu dreptul intern și cu cel al Uniunii și să fi respectat cerința relevantă în materie de securitate cibernetică și, după caz, măsurile tehnice și organizatorice de păstrare a confidențialității datelor partajate.
(1d) Deținătorii de date nu pot să îngreuneze excesiv exercitarea drepturilor sau posibilitatea de alegere a utilizatorilor, inclusiv oferind utilizatorilor posibilitatea de alegere într-o manieră care nu este neutră sau subminând ori slăbind autonomia, procesul decizional sau posibilitățile de alegere liberă ale utilizatorului, prin structura, proiectarea, funcția sau modul de operare al interfeței cu utilizatorul sau al unei părți a acesteia.
(2) Deținătorii de date nu pot să solicite utilizatorului să furnizeze alte informații în plus față de cele necesare pentru verificarea calității de utilizator în temeiul alineatului (1). Deținătorii de date nu pot să păstreze nicio informație privind accesul utilizatorului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a utilizatorului și pentru securitatea și întreținerea infrastructurii de date. În cazul în care identificarea este juridic obligatorie, deținătorii de date le permit utilizatorilor să se identifice și să se autentifice prin intermediul portofelelor europene pentru identitatea digitală, în temeiul Regulamentului (UE) nr. 910/2014.
(3) Secretele comerciale sunt protejate și se divulgă numai dacă se iau înainte toate măsurile specifice necesare în temeiul Directivei (UE) 2016/943 pentru păstrarea confidențialității acestora, în special în ceea ce privește părțile terțe. Deținătorul de date sau deținătorul secretului comercial, dacă acesta nu este și deținătorul de date, identifică datele care sunt protejate ca secrete comerciale și poate să convină cu utilizatorul asupra oricăror măsuri tehnice și organizatorice de păstrarea confidențialității datelor partajate, în special în ceea ce privește părțile terțe, precum și asupra dispozițiilor privind răspunderea. Astfel de măsuri tehnice și organizatorice includ, după caz, modele de clauze contractuale, acorduri confidențiale, protocoale stricte de acces, standarde tehnice și aplicarea codurilor de conduită. În cazurile în care utilizatorul nu pune în aplicare măsurile respective sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate să suspende schimbul de date identificate drept secrete comerciale. În astfel de cazuri, deținătorul de date trebuie să notifice imediat coordonatorului de date din statul membru în care este stabilit, în temeiul articolului 31 din prezentul regulament, faptul că a suspendat partajarea datelor și să identifice măsurile care nu au fost puse în aplicare sau secretele comerciale cărora le-a fost subminată confidențialitatea. În cazul în care utilizatorul dorește să conteste decizia deținătorului de date de a suspenda schimbul de date, coordonatorul de date ar trebui să decidă, într-un termen rezonabil, dacă schimbul de date se reia sau nu și, în caz afirmativ, să indice în ce condiții.
(4) Utilizatorul nu poate să utilizeze datele obținute în urma unei cereri menționate la alineatul (1) pentru dezvoltarea unui produs care concurează direct cu produsul de la care provin datele și nu utilizează aceste date pentru a deriva informații despre situația economică, activele și metodele de producție ale producătorului.
(4a) Utilizatorul nu poate să recurgă, în vederea obținerii accesului la date, la mijloace coercitive sau să abuzeze de lacune din infrastructura tehnică a unui deținător de date destinată să protejeze datele.
(4b) Utilizatorii au dreptul de a partaja, fie direct, prin intermediul unui deținător de date, fie prin intermediul furnizorilor de servicii de intermediere de date, astfel cum se prevede în Regulamentul (UE) 2022/868, datele fără caracter personal accesate de la produsul conectat sau obținute în urma unei cereri menționate la alineatul (1) către orice destinatar de date în scopuri comerciale sau necomerciale. Schimbul de date între un utilizator și un destinatar al datelor se realizează prin acorduri contractuale; dispozițiile capitolului IV privind condiții echitabile, rezonabile și nediscriminatorii se aplică mutatis mutandis acordurilor contractuale dintre utilizatori și destinatarii datelor.
(5) În cazul în care utilizatorul nu este o persoană vizată, eventualele date cu caracter personal generate prin utilizarea unui produs sau a unui serviciu conex se pun la dispoziția utilizatorului de către deținătorul datelor numai dacă sunt respectate toate condițiile și normele prevăzute de legislația aplicabilă privind protecția datelor, în special dacă există un temei juridic valabil în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din Regulamentul (UE) 2016/679 și la articolul 5 alineatul (3) din Directiva 2002/58/CE.
(6) Deținătorii de date pot să utilizeze eventualele date fără caracter personal accesate de la un produs conectat sau generate în timpul furnizării unui serviciu conex numai pe baza unui acord contractual cu utilizatorul. Deținătorul de date nu condiționează utilizarea produsului sau a serviciului conex de faptul că utilizatorul îi permite să prelucreze date care nu sunt necesare pentru funcționalitatea produsului sau pentru furnizarea serviciului conex. Deținătorul de date șterge datele când acestea nu mai sunt necesare în scopul convenit prin contract. Deținătorii de date și utilizatorii nu pot să utilizeze astfel de date obținute, colectate sau generate prin utilizarea produsului sau a serviciului conex pentru a deriva, în legătură cu situația economică, activele sau metodele de producție ale celeilalte părți ori cu utilizarea produsului sau a serviciului conex de către cealaltă parte, informații care ar putea submina poziția comercială a celeilalte părți pe piețele pe care acesta își desfășoară activitatea.
(6a) Deținătorii de date nu pun la dispoziția părților terțe date fără caracter personal accesate de aceștia de la produsul conectat menționat la articolul 3 alineatul (2) litera (a), în scopuri comerciale sau necomerciale altele decât îndeplinirea obligațiilor lor contractuale față de utilizator. Dacă este cazul, deținătorii de date obligă prin contract părțile terțe să nu partajeze ulterior datele primite de la aceștia.
(6b) În cazul în care acordul contractual dintre utilizator și un deținător de date permite utilizarea datelor fără caracter personal accesate de acesta de la produsul conectat, menționat la articolul 3 alineatul (2a) litera (a), deținătorul de date este în măsură să utilizeze datele respective în oricare dintre următoarele scopuri:
(a) îmbunătățirea funcționării produsului conectat sau a serviciilor conexe;
(b) dezvoltarea de noi produse sau servicii;
(c) îmbogățirea, manipularea sau agregarea acestuia cu alte date, inclusiv cu scopul de a pune la dispoziția unor părți terțe setul de date rezultat, atât timp cât un astfel de set de date derivate nu permite identificarea elementelor de date specifice transmise deținătorului de date de la produsul conectat sau nu permite unei părți terțe să deducă elementele de date respective din setul de date.
(6c) Utilizatorii, în relațiile dintre întreprinderi, au dreptul de a pune datele la dispoziția destinatarilor de date sau a deținătorilor de date în temeiul oricărei condiții contractuale legale, inclusiv de a fi de acord cu a limita sau a restricționa partajarea ulterioară a unor astfel de date, și de a fi compensați proporțional în schimbul renunțării la dreptul lor de a utiliza sau de a partaja astfel de date în mod legal. Destinatarii datelor sau deținătorii de date nu pot condiționa oferta de servicii conexe sau condițiile sale comerciale, inclusiv tarifarea, de un astfel de acord al utilizatorului, nici nu pot constrânge, înșela sau manipula în vreun fel utilizatorul pentru a pune la dispoziție date în temeiul unor astfel de condiții contractuale.
Articolul 5
Dreptul utilizatorului de a partaja date cu părți terțe
(1) La cererea unui utilizator sau a unei părți care acționează în numele unui utilizator, precum un serviciu autorizat de intermediere de date în sensul Regulamentului (UE) 2022/868, deținătorii de date pun datele accesate de aceștia de la un produs conectat sau generate în timpul furnizării unui serviciu conex la dispoziția unei părți terțe, fără întârzieri nejustificate, ușor, sigur, într-un format inteligibil, structurat, utilizat în mod curent și care poate fi citit automat, fără taxe pentru utilizator, la aceeași calitate precum cea de care dispune deținătorul de date și, când este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. În cazul în care utilizatorul este o persoană vizată, datele cu caracter personal sunt prelucrate în scopurile specificate de persoana vizată, cum ar fi:
(a) furnizarea de servicii post-vânzare, cum ar fi serviciile de reparare sau de întreținere a produsului, inclusiv de servicii post-vânzare concurente cu un produs sau cu un serviciu conectat furnizat de un deținător de date;
(b) punerea la dispoziția utilizatorului a posibilității de a actualiza software-ul produsului sau al serviciilor conexe, în special pentru a remedia problemele de securitate și de utilizare;
(c) servicii specifice de intermediere de date recunoscute în Uniune sau servicii specifice furnizate de organizații de promovare a altruismului în materie de date recunoscute în Uniune în condițiile și cerințele prevăzute în capitolele III și IV din Regulamentul (UE) 2022/868;
Datele se furnizează în forma în care au fost accesate de la produs, numai cu adaptările minime necesare pentru ca acestea să poată fi utilizate de o parte terță, inclusiv metadatele aferente necesare pentru a interpreta și utiliza datele. Informațiile derivate sau deduse din aceste date prin intermediul unor algoritmi brevetați complecși, în special atunci când combină rezultatul mai multor senzori din produsul conectat, nu se încadrează în sfera de aplicare a obligației deținătorului de date de a partaja date cu utilizatorii sau destinatarii datelor, cu excepția cazului în care utilizatorul și deținătorul de date convin altfel.
(1a) Dreptul prevăzut la alineatul (1) nu se aplică datelor care rezultă din utilizarea unui produs sau a unui serviciu conex în contextul testării altor produse, substanțe sau procese noi care nu sunt încă introduse pe piață, cu excepția cazului în care utilizarea de către un terț este permisă de acordul încheiat cu întreprinderea cu care utilizatorul a convenit să utilizeze unul dintre produsele sale pentru testarea altor produse, substanțe sau procese noi.
(2) O întreprindere care furnizează servicii de platformă esențiale pentru care unul sau mai multe astfel de servicii au fost desemnate drept gatekeeper, în temeiul articolului [...] din ▌Regulamentul (UE) 2022/1925, nu poate fi un destinatar de date eligibil în temeiul prezentului articol și, prin urmare, nu poate:
(a) să solicite sau să ofere stimulente comerciale unui utilizator în vreun mod, cum ar fi prin acordarea de compensații pecuniare sau de orice altă natură, pentru a pune la dispoziția unuia dintre serviciile sale datele pe care utilizatorul le-a obținut în urma unei cereri formulate în temeiul articolului 4 alineatul (1);
(b) să solicite sau să ofere stimulente comerciale unui utilizator pentru ca acesta să adreseze deținătorului de date o cerere de punere de date la dispoziția unuia dintre serviciile sale, în temeiul alineatului (1) din prezentul articol;
(c) să primească de la un utilizator date pe care acesta le-a obținut în urma unei cereri formulate în temeiul articolului 4 alineatul (1).
(3) Utilizatorul sau destinatarul datelor nu poate avea obligația de a furniza informații în plus față de cele necesare pentru verificarea calității de utilizator sau de destinatar al datelor în temeiul alineatului (1). Deținătorii de date nu pot să păstreze nicio informație privind accesul destinatarului datelor la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a destinatarului datelor și pentru securitatea și întreținerea infrastructurii de date.
(4) Destinatarul datelor nu poate să recurgă, în vederea obținerii accesului la date, la mijloace coercitive sau să abuzeze de lacune ▌ din infrastructura tehnică a unui deținător de date destinată să protejeze datele.
(5) Deținătorul de date nu poate să utilizeze niciun fel de date fără caracter personal obținute, colectate sau generate prin utilizarea produsului sau a serviciului conex pentru a deriva, în legătură cu situația economică, activele sau metodele de producție ale părții terțe ori cu utilizarea de către partea terță, informații care ar putea submina poziția comercială a părții terțe pe piețele pe care aceasta își desfășoară activitatea, cu excepția cazului în care partea terță și-a dat consimțământul în mod expres pentru o astfel de utilizare și are posibilitatea tehnică de a-și retrage cu ușurință consimțământul în orice moment.
(6) În cazul unei persoane vizate, care nu este utilizatorul care solicită acces, eventualele date cu caracter personal obținute, colectate sau generate prin utilizarea de către aceasta a unui produs sau a unui serviciu conex, precum și datele derivate și deduse din utilizarea respectivă se pun la dispoziția părții terțe de către deținătorul de date numai dacă există un temei juridic valabil în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din Regulamentul (UE) 2016/679 și la articolul 5 alineatul (3) din Directiva 2002/58/CE.
(7) Faptul că deținătorul datelor și partea terță nu reușesc să convină asupra unor modalități de transmitere a datelor nu poate să împiedice, să prevină sau să perturbe exercitarea drepturilor persoanei vizate, astfel cum sunt prevăzute în Regulamentul (UE) 2016/679, și, în special, a dreptului la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din regulamentul menționat.
(8) Secretele comerciale se divulgă părților terțe numai în măsura în care ele sunt strict necesare pentru îndeplinirea scopului cererii convenit între utilizator și partea terță, și partea terță ia, înaintea divulgării, toate măsurile specifice necesare convenite între deținătorul datelor sau deținătorul secretelor comerciale, dacă nu este în același timp și deținătorul datelor, și partea terță pentru a păstra confidențialitatea secretului comercial. Într-un astfel de caz, deținătorul de date sau deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale și măsurile tehnice și organizatorice de păstrare a confidențialității acestora, precum și dispozițiile privind răspunderea. Astfel de măsuri tehnice și organizatorice se specifică în acordul dintre deținătorul datelor sau al secretului comercial și partea terță, inclusiv, după caz, prin modele de clauze contractuale, protocoale stricte de acces, acorduri confidențiale, standarde tehnice și aplicarea codurilor de conduită. În cazurile în care partea terță nu pune în aplicare măsurile respective sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate să suspende schimbul de date identificate drept secrete comerciale. În astfel de cazuri, deținătorul de date trebuie să notifice imediat coordonatorului de date din statul membru în care este stabilit, în temeiul articolului 31 din prezentul regulament, faptul că a suspendat partajarea datelor și să identifice măsurile care nu au fost puse în aplicare sau secretele comerciale cărora le-a fost subminată confidențialitatea. În cazul în care partea terță dorește să conteste decizia deținătorului de date de a suspenda schimbul de date, coordonatorul de date ar trebui să decidă, într-un termen rezonabil, dacă schimbul de date se reia sau nu și, în caz afirmativ, să indice în ce condiții.
(9) Dreptul menționat la alineatul (1) nu poate să producă efecte negative asupra drepturilor altor persoane vizate în temeiul legislației aplicabile privind protecția datelor.
Articolul 6
Obligațiile destinatarilor datelor care primesc date la cererea utilizatorului
(1) Un destinatar al datelor prelucrează datele care îi sunt puse la dispoziție în temeiul articolului 5 numai în scopurile și în condițiile convenite cu utilizatorul și în cazul în care sunt respectate toate condițiile și normele prevăzute de legislația aplicabilă privind protecția datelor, în special în cazul în care există un temei juridic valabil în temeiul articolului 6 alineatul (1) din Regulamentul (UE) 2016/679, și, când este relevant, în cazul în care sunt îndeplinite condițiile prevăzute la articolul 9 din Regulamentul (UE) 2016/679 și la articolul 5 alineatul (3) din Directiva 2002/58/CE, și sub rezerva drepturilor persoanei vizate dacă datele în chestiune sunt date cu caracter personal. Destinatarul datelor șterge datele când acestea nu mai sunt necesare pentru scopul convenit, cu excepția cazului în care nu s-a convenit altfel cu utilizatorul.
(2) Destinatarul datelor nu poate:
(a) să îngreuneze excesiv exercitarea drepturilor sau posibilitatea de alegere a utilizatorilor, inclusiv oferind utilizatorilor posibilitatea de alegere într-o manieră care nu este neutră ori să constrângă, să înșele sau să manipuleze utilizatorul în vreun fel sau subminând sau slăbind autonomia, procesul decizional sau posibilitatea de alegere a utilizatorului, cum ar fi prin intermediul unei interfețe digitale cu utilizatorul sau printr-o parte a acesteia, inclusiv prin structura, proiectarea, funcția sau modul de operare al acesteia;
(b) să utilizeze datele pe care le primește pentru crearea de profiluri ale persoanelor fizice în înțelesul articolului 4 punctul 4 din Regulamentul (UE) 2016/679, în alt mod neconform cu regulamentul respectiv;
(c) să pună la dispoziția altei părți terțe datele pe care le primește fără a informa utilizatorul într-un mod clar și ușor accesibil și fără a solicita acordul contractual explicit al utilizatorului;
(d) să pună datele pe care la primește la dispoziția unei întreprinderi care furnizează servicii de platformă esențiale pentru care unul sau mai multe astfel de servicii au fost desemnate drept gatekeeper, în temeiul articolului 3 din Regulamentul (UE) 2022/1925 (Actul legislativ privind piețele digitale);
(e) să utilizeze datele pe care le primește pentru dezvoltarea unui produs care concurează cu produsul din care provin datele accesate sau pentru partajarea datelor cu altă parte terță în scopul respectiv; să utilizeze niciun fel de date fără caracter personal generate prin utilizarea produsului sau a serviciului conex pentru a deriva, în legătură cu situația economică, activele sau metodele de producție ale deținătorului de date ori cu utilizarea de către deținătorul de date, informații care ar putea submina poziția comercială a deținătorului de date pe piețele pe care acesta își desfășoară activitatea;
(ea) să folosească datele pe care le primește într-un mod care să aibă un impact negativ asupra securității produsului sau a serviciului (serviciilor) conex(e);
(eb) să ignore, după caz, măsurile specifice pe care le-a convenit cu un deținător de date sau cu deținătorul de secrete comerciale în temeiul articolului 5 alineatul (8) din prezentul regulament și să încalce confidențialitatea secretelor comerciale;
(ec) să utilizeze datele pentru a perturba informații sensibile privind protecția infrastructurilor critice în sensul articolului 2 litera (d) din Directiva 2008/114/CE.
▌
(2a) Partea terță are responsabilitatea de a asigura securitatea și protecția datelor pe care le primește de la un deținător de date.
Articolul 7
Domeniul de aplicare al obligațiilor de partajare de date între întreprinderi și consumatori și între întreprinderi
(1) Obligațiile din prezentul capitol nu se aplică în cazul ▌ întreprinderilor care îndeplinesc criteriile pentru a fi considerate microîntreprinderi sau întreprinderi mici, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE, cu condiția ca respectivele întreprinderi să nu aibă întreprinderi partenere sau întreprinderi afiliate, astfel cum sunt definite la articolul 3 din anexa la Recomandarea 2003/361/CE, care nu îndeplinesc criteriile pentru a fi considerate microîntreprinderi sau întreprinderi mici și atunci când o microîntreprindere sau o întreprindere mică nu este subcontractată pentru a fabrica sau a proiecta un produs sau pentru a furniza un serviciu conex.
(2) Referirile la produse sau servicii conexe din prezentul regulament se înțeleg ca incluzând și asistenții virtuali, în măsura în care aceștia sunt utilizați pentru a se accesa sau controla un produs sau un serviciu conex.
CAPITOLUL III
OBLIGAȚIILE DEȚINĂTORILOR DE DATE CARE AU OBLIGAȚIA JURIDICĂ DE A PUNE DATE LA DISPOZIȚIE
Articolul 8
Condițiile în care deținătorii de date pun date la dispoziția destinatarilor datelor
(1) În cazul în care un deținător de date este obligat să pună date la dispoziția unui destinatar al datelor în temeiul articolului 5 sau în temeiul altor acte din dreptul Uniunii sau din legislația națională de punere în aplicare a dreptului Uniunii, respectivul deținător de date convine cu destinatarul datelor modalitățile de punere la dispoziție a datelor și face acest lucru în condiții echitabile, rezonabile și nediscriminatorii și într-un mod transparent, în conformitate cu dispozițiile prezentului capitol și ale capitolului IV.
(2) ▌ O clauză contractuală care se referă la accesul la date și la utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date nu poate să fie obligatorie dacă îndeplinește condițiile prevăzute la articolul 13 sau dacă exclude aplicarea drepturilor utilizatorului prevăzute în capitolul II, derogă de la respectivele drepturi sau modifică efectul acestora.
(3) Un deținător de date nu poate să discrimineze, în ceea ce privește modalitățile de punere la dispoziție a datelor, între categorii comparabile de destinatari ai datelor, cum ar fi întreprinderi partenere sau întreprinderi afiliate, astfel cum sunt definite la articolul 3 din anexa la Recomandarea 2003/361/CE, ale deținătorului de date, când pune la dispoziție date. În cazul în care un destinatar al datelor are îndoieli întemeiate că condițiile în care i-au fost puse la dispoziție datele sunt discriminatorii, deținătorul de date furnizează fără întârziere destinatarului datelor dovada care să demonstreze că nu a existat nicio discriminare.
▌
(5) Deținătorii de date și destinatarii datelor nu au obligația de a furniza informații în plus față de cele necesare pentru verificarea respectării clauzelor contractuale convenite pentru punerea la dispoziție a datelor sau a obligațiilor care le revin în temeiul prezentului regulament sau al altor acte aplicabile din dreptul Uniunii sau din legislația națională de punere în aplicare a dreptului Uniunii.
(5a) Deținătorii de date și destinatarii datelor iau toate măsurile juridice, organizatorice și tehnice necesare pentru a asigura securitatea și integritatea transferurilor de date.
(6) Cu excepția cazului în care se prevede altfel în dreptul Uniunii, inclusiv la articolul 4 alineatul (3), articolul 5 alineatul (8) și articolul 6 din prezentul regulament, sau în legislația națională de punere în aplicare a dreptului Uniunii, obligația de a pune date la dispoziția unui destinatar al datelor nu include obligația de divulgare a unor secrete comerciale în înțelesul Directivei (UE) 2016/943.
Articolul 9
Compensație pentru punerea de date la dispoziție
(1) Orice compensație convenită între un deținător de date și un destinatar al datelor pentru punerea de date la dispoziție în relațiile dintre întreprinderi trebuie să fie nediscriminatorie și rezonabilă. Un deținător de date, un destinatar al datelor sau o parte terță nu poate percepe direct sau indirect consumatorilor sau persoanelor vizate o taxă, o compensație sau costuri pentru partajarea de date sau pentru accesarea acestora.
(2) În cazul în care destinatarul datelor este o organizație de cercetare non-profit sau un IMM, astfel cum se definesc la articolul 2 din anexa la Recomandarea 2003/361/CE, cu condiția ca întreprinderile respective să nu aibă întreprinderi partenere sau întreprinderi afiliate, astfel cum sunt definite la articolul 3 din anexa la Recomandarea 2003/361/CE și care nu îndeplinesc criteriile pentru a fi considerate IMM-uri, eventuala compensație convenită nu poate depăși costurile care sunt legate direct de punerea datelor la dispoziția destinatarului datelor și care pot fi atribuite cererii. Articolul 8 alineatul (3) se aplică în consecință. În cazul unui IMM, deținătorul de date informează în mod activ cu privire la obligația de a furniza datele, de preferință în funcție de un model bazat pe costuri.
(2a) Comisia elaborează orientări pentru a stabili criteriile pentru categoriile de costuri legate de punerea la dispoziție a datelor, care vor constitui baza pentru acordarea compensației în temeiul alineatului (1).
(3) Prezentul articol nu poate să împiedice excluderea compensației sau stabilirea unei compensații mai mici în temeiul altor acte din dreptul Uniunii sau din legislația națională de punere în aplicare a dreptului Uniunii.
(4) Deținătorul de date trebuie să furnizeze destinatarului datelor informații suficient de detaliate cu privire la baza de calculare a compensației, astfel încât destinatarul datelor să poată verifica dacă sunt îndeplinite cerințele de la alineatul (1) și, când este cazul, cerințele de la alineatul (2).
Articolul 10
Soluționarea litigiilor
(1) Utilizatorii, deținătorii de date și destinatarii datelor trebuie să aibă acces la organisme de soluționare a litigiilor, certificate în conformitate cu alineatul (2) din prezentul articol, pentru a soluționa litigiile în legătură cu îndeplinirea obligației deținătorului de date de a pune date la dispoziția destinatarului datelor, la cererea utilizatorului, și cu stabilirea unor condiții echitabile, rezonabile și nediscriminatorii și a unui mod transparent de punere la dispoziție a datelor, în conformitate cu articolele 8, 9 și 13.
(2) Statul membru în care este stabilit organismul de soluționare a litigiilor certifică organismul, la cererea organismului respectiv, în cazul în care organismul a demonstrat că îndeplinește toate condițiile următoare:
(a) este imparțial și independent și își va emite deciziile în conformitate cu norme de procedură clare și echitabile;
(b) dispune de cunoștințele de specialitate necesare în legătură cu stabilirea unor condiții echitabile, rezonabile și nediscriminatorii și a unui mod transparent de punere la dispoziție a datelor, ceea ce îi permite să stabilească în mod eficace condițiile respective;
(c) este ușor de accesat prin intermediul tehnologiei comunicațiilor electronice;
(d) are capacitatea de a soluționa litigiul într-un mod rapid, eficace și eficient din punctul de vedere al costurilor și în cel puțin o limbă oficială a statului membru în care este stabilit organismul.
Dacă într-un stat membru nu este certificat niciun organism de soluționare a litigiilor la [data aplicării regulamentului], statul membru respectiv instituie și certifică un organism de soluționare a litigiilor care îndeplinește condițiile prevăzute la literele (a)-(d) din prezentul alineat.
(3) Organismele de soluționare a litigiilor certificate sunt notificate Comisiei de către statele membre în conformitate cu alineatul (2). Comisia publică pe un site specializat o listă a organismelor respective, pe care o actualizează în permanență.
(4) Organismele de soluționare a litigiilor aduc taxele sau mecanismele utilizate pentru stabilirea taxelor la cunoștința părților în cauză înainte ca părțile respective să solicite emiterea unei decizii.
(5) Organismele de soluționare a litigiilor refuză să trateze o cerere de soluționare a unui litigiu dacă pentru același litigiu s-a introdus deja o cerere în fața altui organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.
(6) Organismele de soluționare a litigiilor acordă părților, într-un termen rezonabil, posibilitatea de a-și exprima punctul de vedere asupra chestiunilor pe care părțile respective le-au introdus în fața organismelor respective. În contextul respectiv, organismele de soluționare a litigiilor furnizează părții în cauză revendicările celeilalte părți și eventualele declarații ale experților. Organismele respective acordă părților posibilitatea de a prezenta observații cu privire la revendicările și declarațiile respective.
(7) Organismele de soluționare a litigiilor emit o decizie cu privire la chestiunile care le sunt prezentate în termen de cel mult 90 de zile de la data la care a fost formulată cererea de emitere a unei decizii. Deciziile respective se iau în scris sau pe un suport durabil și sunt însoțite de o expunere de motive în sprijinul deciziei.
(7a) Organismele de soluționare a litigiilor pun la dispoziția publicului rapoarte anuale de activitate. Fiecare raport anual include, în special, următoarele informații:
(a) numărul de litigii primite;
(b) rezultatele agregate ale acelor litigii;
(c) durata medie de soluționare a litigiilor;
(d) motivele cele mai frecvente care dau naștere unor litigii între părți.
(7b) Pentru facilitarea schimbului de informații și de bune practici, organismul public de soluționare a litigiilor poate decide să includă recomandări privind modul în care problemele respective pot fi evitate sau soluționate.
(8) Decizia organismului de soluționare a litigiilor este obligatorie pentru părți numai dacă părțile și-au dat consimțământul explicit cu privire la caracterul său obligatoriu înainte de începerea procedurii de soluționare a litigiilor.
(9) Prezentul articol nu aduce atingere dreptului părților de a introduce o cale de atac eficientă în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.
Articolul 11
Măsuri tehnice de protecție și dispoziții privind utilizarea sau divulgarea neautorizată de date
(1) Deținătorul de date poate să aplice măsuri tehnice de protecție corespunzătoare, inclusiv contracte inteligente și mijloace de criptare, pentru a preveni divulgarea neautorizată a datelor și accesul neautorizat la date, inclusiv la metadate, și pentru a asigura respectarea articolelor 4, 5, 6, 8, 9 și 10, precum și a clauzelor contractuale convenite pentru punerea la dispoziție a datelor. Aceste măsuri tehnice de protecție nu discriminează diferiții destinatari ai datelor, și nici nu obstrucționează dreptul utilizatorului de a obține efectiv o copie a datelor ori de a extrage, utiliza sau accesa datele sau de a furniza ▌date unor părți terțe în temeiul articolului 5 sau orice drept al unei părți terțe prevăzut în dreptul Uniunii sau în legislația națională de punere în aplicare a dreptului Uniunii, astfel cum se menționează la articolul 8 alineatul (1). În cazul în care un utilizator sau un deținător de date prezintă dovezi concrete și pertinente privind utilizarea ilegală sau divulgarea neautorizată de către destinatarul datelor unui terț, destinatarul datelor prezintă, la cererea utilizatorului sau a deținătorului de date, informații cu privire la modul în care datele au fost utilizate sau cui au fost comunicate.
(2) În cazul în care un destinatar al datelor care, în scopul obținerii de date, a furnizat deținătorului de date informații ▌false, a utilizat mijloace înșelătoare sau coercitive sau a abuzat de lacune evidente din infrastructura tehnică a deținătorului de date destinată să protejeze datele, a utilizat datele puse la dispoziție în scopuri neautorizate, inclusiv dezvoltarea unui produs concurent în sensul articolului 6 alineatul (2) litera (e), sau a divulgat în mod ilegal datele ▌altei părți, destinatarul datelor răspunde pentru prejudiciile aduse părții afectate de utilizarea abuzivă sau de divulgarea datelor și dă curs fără întârzieri nejustificate solicitărilor deținătorului de date sau ale deținătorului secretului comercial, dacă este vorba despre persoane juridice diferite, efectuând următoarele:
(a) șterge datele puse la dispoziție ▌și toate copiile acestora;
(b) încetează producerea, oferirea, introducerea pe piață sau utilizarea bunurilor, a datelor derivate sau a serviciilor produse pe baza cunoștințelor obținute prin intermediul unor astfel de date ori importul, exportul sau depozitarea de bunuri care încalcă drepturile prevăzute în scopurile respective și distruge eventualele bunuri care încalcă drepturile respective;
(ba) informează utilizatorul cu privire la utilizarea sau divulgarea neautorizată a datelor și la măsurile luate pentru a pune capăt utilizării sau divulgării neautorizate a datelor;
(bb) informează deținătorul de date cu privire la divulgarea datelor respective.
(2a) Utilizatorul de date beneficiază de aceleași prerogative ca și deținătorul de date, iar destinatarul datelor este supus acelorași obligații ca cele menționate la alineatul (2) atunci când destinatarul datelor a încălcat articolul 6 alineatul (2) literele (a) și (b).
▌
Articolul 12
Domeniul de aplicare al obligațiilor deținătorilor de date care au obligația juridică de a pune date la dispoziție
(1) Prezentul capitol se aplică în cazul în care un deținător de date este obligat, în temeiul articolului 5 ori în temeiul dreptului Uniunii sau al legislației naționale de punere în aplicare a dreptului Uniunii, să pună date la dispoziția unui destinatar al datelor.
(2) Orice clauză contractuală dintr-un acord de partajare de date care, în detrimentul uneia dintre părți sau, când este cazul, în detrimentul utilizatorului, exclude aplicarea prezentului capitol, derogă de la acesta sau îi modifică efectele este lovită de nulitate.
(2a) Orice clauză contractuală dintr-un acord de partajare de date între deținătorii de date și destinatarii datelor care subminează, în detrimentul persoanelor vizate, aplicarea drepturilor lor la viață privată și la protecția datelor, derogă de la aceasta sau îi modifică efectul este lovită de nulitate.
(3) Prezentul capitol se aplică numai în legătură cu obligațiile de a pune date la dispoziție în temeiul dreptului Uniunii sau al legislației naționale de punere în aplicare a dreptului Uniunii care intră în vigoare după [data aplicării regulamentului].
CAPITOLUL IV
CLAUZELE ABUZIVE REFERITOARE LA ACCESAREA ȘI UTILIZAREA DE DATE ÎNTRE ÎNTREPRINDERI
Articolul 13
Clauze contractuale abuzive impuse unilateral unei ▌întreprinderi ▌
(1) O clauză contractuală, referitoare la accesul la date și utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date, care a fost impusă unilateral de o întreprindere unei alte întreprinderi ▌, ▌nu poate fi obligatorie pentru aceasta din urmă, respectiv pentru destinatarul datelor sau utilizatorul datelor, dacă este abuzivă.
(1a) O clauză contractuală nu este considerată abuzivă în cazul în care decurge din dreptul aplicabil al Uniunii.
(2) O clauză contractuală este abuzivă dacă prezintă caracteristici ca urmare a cărora afectează în mod obiectiv capacitatea părții căreia clauza i-a fost impusă în mod unilateral de a-și proteja interesul comercial legitim în ceea ce privește datele în cauză sau dacă utilizarea sa deviază în mod flagrant de la bunele practici comerciale în ceea ce privește accesarea și utilizarea de date, contrar bunei-credințe și corectitudinii, sau creează un dezechilibru semnificativ între drepturile și obligațiile părților la contract.
(3) O clauză contractuală este abuzivă în sensul prezentului articol dacă are ca obiect sau ca efect:
(a) excluderea sau limitarea răspunderii părții care a impus-o unilateral pentru acte intenționate sau neglijență gravă;
(b) excluderea măsurilor reparatorii de care dispune partea căreia i-a fost impusă unilateral în cazul neexecutării obligațiilor contractuale sau excluderea răspunderii părții care a impus-o unilateral în cazul încălcării respectivelor obligații;
(c) acordarea către partea care a impus-o unilateral a dreptului exclusiv de a stabili dacă datele furnizate sunt conforme cu contractul sau de a interpreta orice clauză a contractului.
(4) O clauză contractuală este prezumată a fi abuzivă în sensul prezentului articol dacă are ca obiect sau ca efect:
(a) limitarea în mod necorespunzător a măsurilor reparatorii în caz de neexecutare a obligațiilor contractuale sau limitarea răspunderii în caz de încălcare a respectivelor obligații;
(b) crearea pentru partea care a impus-o unilateral a posibilității de accesare și utilizare a datelor celeilalte părți contractante într-un mod care prejudiciază în mod semnificativ interesele legitime ale celeilalte părți contractante, inclusiv în cazul în care datele respective conțin date sensibile din punct de vedere comercial sau sunt protejate de secrete comerciale ori drepturi de proprietate intelectuală, fără consimțământul prealabil al părților vizate;
(c) împiedicarea părții căreia i-a fost impusă unilateral să utilizeze datele furnizate sau generate de partea respectivă pe durata contractului sau limitarea utilizării unor astfel de date în așa măsură încât partea respectivă nu are dreptul să utilizeze, să înregistreze, să acceseze sau să controleze astfel de date sau să exploateze valoarea unor astfel de date în mod proporțional;
(ca) impunerea alegerii unilaterale a jurisdicției competente sau a plății costurilor aferente procedurii;
(cb) împiedicarea părții căreia i-a fost impusă unilateral clauza să rezilieze acordul într-o perioadă de timp rezonabilă;
(d) împiedicarea părții căreia i-a fost impusă unilateral să obțină o copie a datelor furnizate sau generate de partea respectivă pe durata contractului sau într-un termen rezonabil de la încetarea acestuia;
(e) crearea pentru partea care a impus unilateral clauza a posibilității de a modifica substanțial prețul inițial care trebuie plătit în temeiul contractului sau orice altă condiție substanțială privind datele care urmează să fie partajate, fără dreptul celeilalte părți de a rezilia contractul, sau crearea pentru partea care a impus-o unilateral a posibilității de a rezilia contractul cu un preaviz nejustificat de scurt, luându-se în considerare posibilitățile rezonabile ale celeilalte părți contractante de a trece la un serviciu alternativ și comparabil, precum și prejudiciul financiar cauzat de o astfel de reziliere, cu excepția cazului în care există motive serioase în acest sens.
(5) Se consideră că o clauză contractuală este impusă unilateral în înțelesul prezentului articol dacă a fost oferită de o parte contractantă, fără ca cealaltă parte contractantă să fi fost în măsură să îi influențeze conținutul, în ciuda încercării de a o negocia. Sarcina de a dovedi că o clauză nu a fost impusă unilateral îi revine părții contractante care a oferit clauza contractuală respectivă.
(6) În cazul în care clauza contractuală abuzivă poate fi disociată de celelalte clauze ale contractului, acestea din urmă rămân obligatorii.
(6a) Partea care a inclus clauza contestată nu poate invoca caracterul abuziv al clauzei respective.
(7) Prezentul articol nu se aplică în privința clauzelor contractuale în care este definit obiectul principal al contractului și nu afectează libertatea părților de a negocia prețul de plătit.
(8) Părțile la un contract care intră în domeniul de aplicare al alineatului (1) nu exclud aplicarea prezentului articol, nu derogă de la acesta și nu îi modifică efectele.
(8a) Prezentul articol se aplică tuturor contractelor noi încheiate după ... [data intrării în vigoare a prezentului regulament]. Întreprinderile au la dispoziție trei ani de la această dată pentru a revizui obligațiile contractuale existente care fac obiectul prezentului regulament.
(8b) Având în vedere rapiditatea cu care apar inovații pe piețe, lista clauzelor contractuale abuzive prevăzută la articolul 13 este revizuită periodic de către Comisie și adaptată la noile practici comerciale, dacă este necesar.
CAPITOLUL V
PUNEREA DE DATE LA DISPOZIȚIA ORGANISMELOR DIN SECTORUL PUBLIC ȘI A INSTITUȚIILOR, AGENȚIILOR SAU ORGANELOR UNIUNII PE BAZA UNEI NEVOI EXCEPȚIONALE
Articolul 14
Obligația de a pune date la dispoziție pe baza unei nevoi excepționale
(1) Pe baza unei cereri justificate corespunzător și limitate în timp și ca amploare, deținătorul de date care este persoană juridică pune date fără caracter personal, care sunt disponibile la momentul cererii, inclusiv metadate, la dispoziția unui organism din sectorul public ori a unei instituții, a unei agenții sau a unui organ al Uniunii care demonstrează că există o nevoie excepțională de utilizare a datelor solicitate.
(2) Prezentul capitol nu se aplică întreprinderilor mici și microîntreprinderilor, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE.
(2a) Prezentul capitol nu împiedică acordurile voluntare între întreprinderi și organismele din sectorul public și instituțiile, agențiile sau organismele Uniunii privind schimbul de date în scopul prestării serviciilor publice, inclusiv pentru nevoi excepționale, dacă contractele acestora prevăd acest lucru.
Articolul 15
Nevoia excepțională de utilizare a datelor
▌O nevoie excepțională de utilizare a datelor fără caracter personal, în înțelesul prezentului capitol, este limitată în timp și ca amploare și nu se consideră că există decât în următoarele circumstanțe:
(a) când datele solicitate sunt necesare pentru răspunsul la o urgență publică;
(b) în situațiile care nu reprezintă o urgență, când organismul din sectorul public ori instituția, agenția sau organul Uniunii acționează în temeiul dreptului Uniunii sau al dreptului intern și identifică date concrete care nu îi sunt disponibile, dar care sunt necesare pentru îndeplinirea unei sarcini concrete de interes public prevăzute în mod explicit în lege, cum ar fi prevenirea unei urgențe publice sau redresarea în urma unei astfel de urgențe, iar organismul din sectorul public ori instituția, agenția sau organul Uniunii nu sunt în măsură să le obțină prin următoarele mijloace: acordurile voluntare; prin achiziționarea datelor pe piață sau valorificând obligațiile existente de a pune la dispoziție datele.
▌
Articolul 15a
Punct unic de soluționare a solicitărilor organismelor din sectorul public
(1) Coordonatorul de date desemnat în temeiul articolului 31 este responsabil de coordonarea cererilor depuse în temeiul articolului 14 alineatul (1) de către organismele sectoriale ale statului membru în cauză, asigurându-se că cererile îndeplinesc cerința prevăzută în prezentul capitol, și le transmite deținătorului de date. Aceasta evită cererile multiple din partea diferitelor organisme din sectorul public de pe teritoriul respectiv, adresate aceluiași deținător de date.
(2) Statele membre informează periodic Comisia cu privire la cererile depuse în temeiul articolului 14 alineatul (1).
(3) În cazul în care organismele din sectorul public sau instituțiile, agențiile sau organele Uniunii solicită date de la același deținător de date în mai multe state membre, pe baza unei necesități excepționale, în temeiul articolului 14 alineatul (1), autoritățile competente ale statelor membre cooperează în conformitate cu articolul 22 pentru a-și coordona cererile, în cazul în care este necesar să se reducă la minimum sarcina administrativă suportată de deținătorii de date.
(4) Comisia elaborează un șablon pentru cererile depuse în temeiul articolului 17.
Articolul 16
Relația cu alte obligații de punere de date la dispoziția organismelor din sectorul public și a instituțiilor, agențiilor și organelor Uniunii
(1) Prezentul capitol nu poate să aducă atingere obligațiilor prevăzute în dreptul Uniunii sau în dreptul național în scopul raportării, al respectării cererilor de informații ori al demonstrării sau verificării respectării obligațiilor legale.
(2) Prezentul capitol nu se aplică organismelor din sectorul public și instituțiilor, agențiilor și organelor Uniunii care desfășoară activități pentru prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau contravențiilor ori pentru executarea pedepselor, și nici administrației vamale și fiscale. Prezentul capitol nu aduce atingere dreptului Uniunii și dreptului național aplicabil în materie de prevenire, depistare, investigare sau urmărire penală a infracțiunilor sau contravențiilor ori de executare a pedepselor sau a sancțiunilor administrative ori în materie de administrare vamală sau fiscală.
(2a) Întreprinderile care intră sub incidența prezentului capitol își informează utilizatorii cu privire la posibilitatea partajării datelor în cazul unor circumstanțe excepționale.
Articolul 17
Cereri de punere de date la dispoziție
(1) În solicitările de date în temeiul articolului 14 alineatul (1), un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii:
(a) cere date în limita sferei sale de competență și precizează ce seturi dedate sunt solicitate;
(b) demonstrează existența unei nevoi excepționale pentru care se solicită datele și respectarea condițiilor menționate la articolul 15;
(c) explică scopul cererii, utilizarea preconizată a datelor solicitate și durata utilizării respective;
(ca) precizează, dacă este posibil, momentul în care se preconizează că datele vor fi șterse de către toate părțile care au acces la acestea;
(cb) justifică alegerea deținătorului de date căruia îi este adresată cererea;
(cc) menționează celelalte organisme din sectorul public, instituțiile, agențiile sau organele Uniunii și părțile terțe cărora le vor fi puse la dispoziție datele solicitate;
(cd) precizează identitatea părții terțe menționate la alineatul (4) de la prezentul articol și la articolul 21 din prezentul regulament;
(ce) aplică toate măsurile de securitate TIC necesare pentru transferul și stocarea datelor;
(d) indică temeiul juridic pentru solicitarea datelor;
(da) precizează limitele geografice care se aplică solicitării de date;
(e) precizează data-limită până la care datele trebuie puse la dispoziție și termenul în care deținătorul datelor poate solicita organismului din sectorul public ori instituției, agenției sau organului Uniunii să modifice sau să retragă cererea;
(ea) depune o declarație privind prelucrarea legală și în condiții de siguranță a datelor solicitate, inclusiv confidențialitatea secretelor comerciale;
(eb) se asigură că punerea la dispoziție a datelor nu pune deținătorul de date într-o situație care încalcă dreptul Uniunii sau dreptul intern și nici nu îi atribuie deținătorului de date răspunderea pentru eventualele încălcări sau prejudicii ce pot rezulta din accesul la datele pe care un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii le-a solicitat.
(2) O cerere de date formulată în temeiul alineatului (1) din prezentul articol trebuie:
(a) să fie întocmită în scris și exprimată într-un limbaj clar, concis și simplu, ușor de înțeles de către deținătorul datelor;
(aa) să fie transmisă prin intermediul autorității competente;
(ab) să precizeze tipul de date solicitate și să corespundă datelor pe care deținătorul de date le are la dispoziție la momentul cererii;
(b) să fie justificată și proporțională cu nevoia excepțională, în ceea ce privește granularitatea și volumul datelor solicitate și frecvența accesului la datele solicitate;
(c) să respecte obiectivele legitime ale deținătorului datelor, ținând seama de protecția secretelor comerciale și de costurile și eforturile necesare pentru punerea la dispoziție a datelor. Dacă este cazul, să precizeze măsurile care trebuie luate în temeiul articolului 19 alineatul (2) pentru a păstra confidențialitatea secretelor comerciale, inclusiv, după caz, prin folosirea de modele de clauze contractuale, standarde tehnice și coduri de conduită;
(d) să se refere numai la date fără caracter personal;
(e) să informeze deținătorul datelor cu privire la sancțiunile impuse în temeiul articolului 33 de către un coordonator de date menționat la articolul 31 în cazul nerespectării cererii;
(f) să fie transmisă coordonatorului de date menționat la articolul 31, care pune cererea la dispoziția publicului online, fără întârzieri nejustificate; coordonatorul de date poate să informeze organismul din sectorul public ori instituția, agenția sau organul Uniunii dacă deținătorul de date a furnizat deja datele solicitate ca răspuns la o cerere depusă anterior în același scop de către un alt organism din sectorul public ori de către o altă instituție, o altă agenție sau un alt organ al Uniunii.
(3) Un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii nu poate să pună la dispoziție datele obținute în temeiul prezentului capitol în vederea reutilizării în înțelesul Directivei (UE) 2019/1024 și al Regulamentului (UE) 2022/868. Directiva (UE) 2019/1024 și Regulamentul (UE) 2022/868 nu se aplică în cazul datelor deținute de organisme din sectorul public și obținute în temeiul prezentului capitol.
(4) Alineatul (3) nu împiedică un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii să facă schimb de date obținute în temeiul prezentului capitol cu alt organism din sectorul public ori cu altă instituție, altă agenție sau alt organ al Uniunii, cu scopul îndeplinirii sarcinilor prevăzute la articolul 15, fapt inclus în cerere în conformitate cu alineatul (1) litera (cc), sau să pună datele la dispoziția unei părți terțe căreia i-au fost externalizate, prin intermediul unui acord aflat la dispoziția publicului, sarcina de efectuare a inspecțiilor tehnice sau alte funcții. Partea terță are obligația contractuală de a nu utiliza datele în alte scopuri și de a nu le partaja altor părți terțe. În cazul în care un organism din sectorul public sau o instituție, o agenție sau un organ al Uniunii transmite sau pune la dispoziție date în temeiul prezentului alineat, acesta notifică fără întârzieri nejustificate deținătorul de date de la care au fost primite datele. În termen de cinci zile lucrătoare de la notificarea respectivă, deținătorul de date are dreptul să depună o obiecție motivată la transmiterea sau punerea la dispoziție a datelor. În cazul respingerii obiecției motivate de către organismul din sectorul public sau de o instituție, agenție sau organ ale Uniunii, deținătorul de date poate prezenta chestiunea coordonatorului de date menționat la articolul 31. Organismele din sectorul public, instituțiile, agențiile sau organele Uniunii destinatareși părțile terțe trebuie să respecteobligațiile prevăzute la articolul 19 ▌ .
Datele obținute în temeiul prezentului capitol sunt utilizate numai în scopurile specificate în cerere. Organismele din sectorul public, instituțiile, agențiile sau organele Uniunii obligă prin contract terții cu care au convenit să facă schimb de date în temeiul alineatului (4) să nu utilizeze datele în niciun alt scop și să nu le partajeze cu alte părți.
Articolul 18
Îndeplinirea cererilor de date
(1) Un deținător de date care primește o cerere de acces la date în temeiul prezentului capitol pune datele, fără întârzieri nejustificate, la dispoziția organismului din sectorul public ori a instituției, agenției sau organului Uniunii care a formulat cererea, ținând seama de timpul necesar și de măsurile tehnice, organizatorice și legale.
(2) Fără a aduce atingere nevoilor specifice în ceea ce privește disponibilitatea datelor definite în legislația sectorială, deținătorul de date poate să refuze cererea sau să solicite modificarea acesteia în termen de cinci zile lucrătoare de la primirea unei cereri de date necesare pentru răspunsul la o urgență publică și în termen de 30 de zile lucrătoare în alte cazuri de nevoie excepțională, din oricare dintre următoarele motive:
(a) datele nu sunt puse la dispoziția deținătorului de date la momentul cererii;
(aa) dacă măsurile de securitate privind transferul, stocarea și menținerea confidențialității sunt insuficiente;
(ab) o cerere similară în același scop a fost depusă anterior de un alt organism din sectorul public sau de o altă instituție, agenție sau organ al Uniunii, iar deținătorul de date nu a fost notificat cu privire la distrugerea datelor în temeiul articolului 19 alineatul (1) litera (c);
(b) cererea nu îndeplinește condițiile prevăzute la articolul 17 alineatele (1) și (2).
▌
(4) Dacă decide să refuze cererea sau să solicite modificarea acesteia în conformitate cu alineatul (3), deținătorul datelor face cunoscută identitatea organismului din sectorul public ori a instituției, agenției sau organului Uniunii care a depus anterior o cerere în același scop.
(5) În cazul în care îndeplinirea cererii de punere de date la dispoziția unui organism din sectorul public ori a unei instituții, a unei agenții sau a unui organ al Uniunii presupune divulgarea de date cu caracter personal, deținătorul datelor ▌ pseudonimizează datele cu caracter personal care trebuie puse la dispoziție.
(6) În cazul în care organismul din sectorul public ori instituția, agenția sau organul Uniunii dorește să conteste refuzul unui deținător de date de a furniza datele solicitate sau de a solicita modificarea cererii sau în cazul în care deținătorul de date dorește să conteste cererea, chestiunea se înaintează spre soluționare coordonatorului de date menționat la articolul 31, fără a aduce atingere dreptului de a sesiza o instanță civilă sau administrativă, în conformitate cu dreptul Uniunii sau cu dreptul intern.
Articolul 19
Obligațiile organismelor din sectorul public și ale instituțiilor, agențiilor și organelor Uniunii
(1) Un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii care a primit date în urma unei cereri formulate în temeiul articolului 14 și organizațiile de statistică sau de cercetare care primesc date în urma unei cereri formulate în temeiul articolului 21 alineatul (1):
▌
(b) pune în aplicare, în cazul în care este necesară prelucrarea de date cu caracter personal, măsuri tehnice și organizatorice care să protejeze drepturile și libertățile persoanelor vizate și garantează un nivel ridicat de securitate, precum și previne divulgarea neautorizată a datelor;
(ba) pune în aplicare măsurile tehnice și organizatorice necesare pentru gestionarea riscului cibernetic care ar putea afecta confidențialitatea, integritatea sau disponibilitatea datelor solicitate;
(bb) notifică deținătorului de date de la care a primit datele orice incident de securitate cibernetică care afectează confidențialitatea, integritatea sau disponibilitatea datelor primite cât mai curând posibil, dar nu mai târziu de 72 de ore de la stabilirea faptului că incidentul a avut loc fără a aduce atingere obligațiilor de raportare în temeiul Regulamentului (UE) XXX/XXXX (EUIBAL) și al Directivei (UE) 2022/2555. Entitățile respective sunt răspunzătoare pentru daunele cauzate de o încălcare a securității cibernetice dacă nu au instituit măsurile în temeiul alineatului (1) litera (ba);
(c) șterge datele de îndată ce acestea nu mai sunt necesare în scopul declarat și informează, fără întârzieri nejustificate, deținătorul datelor că datele au fost șterse.
(1a) Un organism din sectorul public, o instituție, o agenție, un organ al Uniunii sau o parte terță care primește date în temeiul prezentului capitol:
(a) folosește datele pentru a dezvolta un produs sau un serviciu care concurează cu produsul sau serviciul sau îmbunătățește un produs sau serviciu existent de la care provin datele accesate;
(b) obține informații cu privire la situația economică, activele și metodele de producție sau de operare ale deținătorului de date sau partajează datele cu o altă parte terță în acest scop; sau
(c) partajează datele cu o altă parte terță în oricare dintre aceste scopuri.
(2) Divulgarea de secrete comerciale ▌ către un organism din sectorul public ori către o instituție, o agenție sau un organ al Uniunii este obligatorie numai dacă ea este strict necesară pentru atingerea scopului unei cereri depuse în temeiul articolului 15. Într-un astfel de caz, deținătorul datelor identifică datele care sunt protejate ca secrete comerciale. Organismul din sectorul public ori instituția, agenția sau organul Uniunii ia, în prealabil, toate măsurile tehnice și organizatorice corespunzătoare și necesare, convenite cu deținătorul de date sau cu deținătorul secretelor comerciale, dacă acesta nu este simultan aceeași persoană juridică, pentru a păstra confidențialitatea respectivelor secrete comerciale, inclusiv, după caz, prin utilizarea de modele de clauze contractuale și de standarde tehnice și prin aplicarea de coduri de conduită.
(2a) În cazul în care un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii transmite date sau pune date la dispoziția unor părți terțe în vederea îndeplinirii sarcinilor care i-au fost externalizate ca urmare a externalizării inspecțiilor tehnice sau a altor funcții în temeiul articolului 17 alineatul (4), secretele comerciale, astfel cum au fost identificate de deținătorul datelor, sunt divulgate numai în măsura în care acestea sunt strict necesare pentru ca partea terță să îndeplinească sarcinile care au fost externalizate și cu condiția ca toate măsurile specifice necesare convenite între deținătorul datelor și partea terță să fie luate în prealabil, inclusiv măsurile tehnice și organizatorice pentru a păstra confidențialitatea respectivelor secrete comerciale, inclusiv, după caz, prin utilizarea unor modele de clauze contractuale și a unor standarde tehnice și prin aplicarea codurilor de conduită.
(2b) În cazurile în care organismul din sectorul public ori o instituție, o agenție sau un organ al Uniunii care a depus cererea de date sau partea terță căreia i-au fost puse la dispoziție date în temeiul articolului 17 alineatul (4) nu pune în aplicare măsurile respective sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate suspenda partajarea datelor identificate ca secrete comerciale. În astfel de cazuri, deținătorul de date notifică imediat coordonatorului de date din statul membru în care este stabilit, în temeiul articolului 31, faptul că a suspendat partajarea datelor și identifică măsurile care nu au fost puse în aplicare sau secretele comerciale cărora le-a fost subminată confidențialitatea. În cazul în care organismul din sectorul public ori instituția, agenția sau organul Uniunii sau partea terță dorește să conteste decizia deținătorului de date de a suspenda partajarea datelor, coordonatorul de date decide, într-un termen rezonabil, dacă schimbul de date ar trebui reluat sau nu și, în caz afirmativ, indică în ce condiții.
(2c) Un organism din sectorul public sau o instituție, o agenție sau un organ al Uniunii este responsabil de securitatea datelor pe care le primește.
(2d) Un organism din sectorul public sau o instituție, o agenție sau un organ al Uniunii notifică deținătorul de date în cazul unei încălcări a securității cât mai curând posibil, dar nu mai târziu de 48 de ore.
Articolul 20
Compensație în cazuri de nevoie excepțională
(1) Dacă nu se specifică altfel în dreptul Uniunii sau în dreptul intern, datele puse la dispoziție pentru răspunsul la o urgență publică în temeiul articolului 15 litera (a) se furnizează fără taxe. Organismul din sectorul public sau instituția, agenția sau organul Uniunii care a primit date îi acordă recunoaștere publică deținătorului de date dacă acesta o solicită.
(2) ▌Deținătorul de date are dreptul la o remunerație corectă pentru punerea la dispoziție a datelor în conformitate cu o cerere formulată în temeiul articolului 15 litera (b); compensația respectivă acoperă cel puțin costurile tehnice și organizatorice suportate pentru îndeplinirea cererii, inclusiv, când este aplicabil, costurile anonimizării și ale adaptării tehnice, plus o marjă rezonabilă. La cererea organismului din sectorul public ori a instituției, agenției sau organului Uniunii care solicită datele, deținătorul de date furnizează informații cu privire la baza de calculare a costurilor și a marjei rezonabile.
(2a) În cazul în care organismul din sectorul public sau instituția, agenția sau organul Uniunii dorește să conteste nivelul remunerației solicitate de deținătorul de date, chestiunea este adusă în atenția coordonatorului de date menționat la articolul 31 din statul membru în care este stabilit deținătorul de date.
Articolul 21
Contribuția organizațiilor de cercetare sau a organismelor statistice în contextul unor nevoi excepționale
(1) Un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii are dreptul de a partaja datele primite în temeiul prezentului capitol cu persoane fizice sau organizații în vederea desfășurării unor activități de cercetare științifică sau de analiză necesare pentru a atinge scopul în care au fost solicitate datele sau cu institute naționale de statistică, membrii Sistemului European al Băncilor Centrale și cu Eurostat pentru elaborarea de statistici oficiale.
(2) Persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) trebuie să acționeze exclusiv fără scop lucrativ sau în contextul unei misiuni de interes public recunoscute în dreptul Uniunii sau în dreptul unui stat membru. Nu sunt incluse organizațiile în cadrul cărora influența exercitată de întreprinderi comerciale este semnificativ, ceea ce ar putea determina un acces preferențial la rezultatele cercetării.
(3) Persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) se supun dispozițiilor articolului 17 alineatul (3) și ale articolului 19.
(4) În cazul în care intenționează să transmită sau să pună la dispoziție date în temeiul alineatului (1), organismul din sectorul public ori instituția, agenția sau organul Uniunii notifică acest lucru deținătorului de date de la care au fost primite datele. Notificarea respectivă include identitatea și datele de contact ale persoanelor sau organizațiilor care primesc datele, scopul transmiterii sau al punerii la dispoziție a datelor și perioada pentru care vor fi utilizate datele de către entitatea care le primește. În termen de cinci zile lucrătoare de la notificarea menționată la primul paragraf din prezentul alineat, deținătorul de date are dreptul să depună o obiecție motivată la transmiterea sau punerea la dispoziție a datelor sale. În cazul respingerii obiecției de către organismul din sectorul public sau de o instituție, agenție sau organ ale Uniunii, deținătorul de date poate prezenta obiecția motivată coordonatorului de date menționat la articolul 31.
Articolul 22
Asistență reciprocă și cooperare transfrontalieră
(1) Organismele din sectorul public și instituțiile, agențiile și organele Uniunii cooperează și se asistă reciproc pentru a pune în aplicare prezentul capitol în mod consecvent.
(2) Datele care fac obiectul unui schimb realizat în contextul asistenței solicitate și furnizate în temeiul alineatului (1) nu se utilizează într-un mod incompatibil cu scopul în care au fost solicitate.
(3) În cazul în care un organism din sectorul public intenționează să solicite date de la un deținător de date stabilit în alt stat membru, organismul respectiv notifică mai întâi intenția în chestiune coordonatorului de date al statului membru respectiv, astfel cum se menționează la articolul 31. Această cerință se aplică și în cazul cererilor formulate de instituții, agenții și organe ale Uniunii. Cererea este evaluată de către autoritatea competentă a statului membru în care este stabilit deținătorul de date.
(4) După ce a fost notificat în conformitate cu alineatul (3), coordonatorul de date pune în vedere organismului solicitant din sectorul public că ar putea fi necesar ca acesta să coopereze cu organisme din sectorul public din statul membru în care este stabilit deținătorul de date, în scopul reducerii sarcinii administrative suportate de către deținătorul de date pentru îndeplinirea cererii. Organismul solicitant din sectorul public ține seama de avertizarea coordonatorului de date.
CAPITOLUL VI
TRECEREA DE LA UN SERVICIU DE PRELUCRARE A DATELOR LA ALTUL
Articolul 22a
Definiții
În sensul prezentului capitol, se aplică următoarele definiții:
1. „serviciu de prelucrare a datelor” înseamnă un serviciu digital care permite accesul din orice loc și la cerere în cadrul rețelei la o rezervă comună de resurse informatice configurabile, redimensionabile și elastice cu un caracter centralizat, distribuit sau foarte distribuit, prestat unui client, care poate fi rapid atribuit și lansat cu un efort minim de gestionare sau de interacțiune a prestatorului de servicii;
2. „de la fața locului” înseamnă o infrastructură TIC și resurse informatice închiriate sau deținute de client, situate în propriul centru de date și exploatate de client sau de o parte terță;
3. „serviciu echivalent” înseamnă un set de servicii de prelucrare a datelor care au același obiectiv principal și același model de serviciu de prelucrare a datelor;
4. „portabilitatea datelor serviciului de prelucrare a datelor” înseamnă capacitatea serviciului de cloud de a deplasa și de a-și adapta datele exportabile între serviciile de prelucrare a datelor ale clientului, inclusiv în diferite modele de implementare;
5. „trecerea la alt furnizor” înseamnă procesul prin care un client al unui serviciu de prelucrare a datelor trece de la utilizarea unui serviciu de prelucrare a datelor la utilizarea unui al doilea serviciu echivalent sau a altui serviciu oferit de un furnizor diferit de servicii de prelucrare a datelor, inclusiv prin extragerea, transformarea și încărcarea datelor, implicând furnizorul serviciilor de prelucrare a datelor de origine, clientul și furnizorul de servicii de prelucrare a datelor de destinație;
6. „date exportabile” înseamnă datele de intrare și de ieșire, inclusiv metadatele, generate direct sau indirect sau cogenerate, prin utilizarea de către client a serviciului de prelucrare a datelor, cu excepția activelor sau a datelor furnizorului de servicii de prelucrare a datelor sau ale terților, protejate de drepturile de proprietate intelectuală sau care constituie secrete comerciale sau informații confidențiale;
7. „echivalență funcțională” înseamnă posibilitatea de a restabili, pe baza datelor clientului, un nivel minim de funcționalitate în mediul unui nou serviciu de prelucrare a datelor după procesul de trecere la alt furnizor, în cazul în care serviciul de destinație furnizează rezultate comparabile ca răspuns la aceleași date de intrare pentru funcționalitatea partajată furnizată clientului în baza acordului contractual;
8. „taxe de ieșire” se referă la taxele de transfer de date percepute clienților unui furnizor de servicii de prelucrare a datelor pentru extragerea datelor lor prin intermediul rețelei din infrastructura TIC a unui furnizor de servicii de prelucrare a datelor.
Articolul 23
Eliminarea obstacolelor din calea trecerii efective de la un furnizor de servicii de prelucrare a datelor la altul
(1) Furnizorii unui serviciu de prelucrare a datelor, în limitele capacității lor, iau măsurile prevăzute la articolele 24, 24a, 24b, 25 și 26 pentru a le permite clienților să treacă la un alt serviciu de prelucrare a datelor, care acoperă ▌servicii echivalente și care este furnizat de alt furnizor de servicii de prelucrare a datelor, sau, dacă este cazul, să utilizeze mai mulți furnizori de servicii de prelucrare a datelor în același timp. Mai precis, furnizorii unui serviciu de prelucrare a datelor nu impun și elimină obstacolele comerciale, tehnice, contractuale și organizatorice care nu le permit clienților:
(a) să rezilieze, după un preaviz de maximum 60 de zile calendaristice, acordul contractual având ca obiect serviciul, cu excepția cazului în care clientul și furnizorul își acordă reciproc și explicit o perioadă alternativă de notificare, în care ambele părți pot influența în mod egal conținutul acordului contractual;
(b) să încheie noi acorduri contractuale cu un furnizor diferit de servicii de prelucrare a datelor care acoperă ▌un serviciu echivalent;
(c) să își porteze datele exportabile ale clientului, aplicațiile și alte active digitale la un alt furnizor de servicii de prelucrare a datelor sau la o infrastructură TIC de la fața locului, inclusiv după ce a beneficiat de o ofertă gratuită;
(d) să realizeze echivalența funcțională în utilizarea noului serviciu în mediul informatic al celuilalt furnizor sau al celorlalți furnizori de servicii de prelucrare a datelor care acoperă ▌servicii echivalente, în conformitate cu articolul 26.
(2) Alineatul (1) se aplică numai în cazul obstacolelor care au legătură cu serviciile, acordurile contractuale sau practicile comerciale asigurate de furnizorul serviciilor de prelucrare a datelor de origine.
Articolul 24
Clauze contractuale referitoare la trecerea de la un furnizor de servicii de prelucrare a datelor la altul
(1) Drepturile clientului și obligațiile furnizorului unui serviciu de prelucrare a datelor în ceea ce privește trecerea la alt furnizor de astfel de servicii sau, dacă este cazul, la o infrastructură TIC de la fața locului se stabilesc în mod clar într-un contract scris care este pus la dispoziția clientului într-un mod ușor de utilizat înainte de semnarea contractului. Fără a aduce atingere Directivei (UE) 2019/770, furnizorul de servicii de prelucrare a datelor garantează cărespectivul contract include cel puțin următoarele:
(a) clauze care îi permit clientului, la cerere, să treacă la un serviciu de prelucrare a datelor oferit de alt furnizor de servicii de prelucrare a datelor sau să porteze toate datele exportabile, aplicațiile și activele digitale ▌la o infrastructură TICde la fața locului, fără întârzieri nejustificate și, în orice caz, nu mai târziu de o perioadă de tranziție maximă obligatorie 90 de zile calendaristice, în cursul căreia furnizorul de servicii de prelucrare a datelor:
(i) sprijină în mod rezonabil și facilitează procesul de trecere la alt furnizor;
(ii) acționează cu atenția cuvenită pentru a menține continuitatea activității și securitatea serviciului la un nivel ridicat și, ținând seama de progresele înregistrate în procesul de trecere la alt furnizor, asigură, în cea mai mare măsură posibilă, continuitatea furnizării funcțiilor sau serviciilor relevanteîn cadrul capacității furnizorului de servicii de prelucrare a datelor de origine și în conformitate cu obligațiile contractuale;
(iia) furnizează informații clare despre riscurile cunoscute legate de continuitatea în furnizarea funcțiilor sau serviciilor respective din partea furnizorului de servicii de prelucrare a datelor de origine;
(aa) o listă de servicii suplimentare pe care clienții le pot obține pentru a facilita procesul de trecere la alt furnizor, cum ar fi testarea procesului de trecere la alt furnizor;
(ab) obligația furnizorului de servicii de prelucrare a datelor de a sprijini dezvoltarea strategiei de ieșire a clientului relevantă pentru serviciile contractate, inclusiv prin furnizarea tuturor informațiilor pertinente;
(b) o listă detaliată a tuturor categoriilor de date și aplicații care pot fi portate în cursul procesului de trecere la alt furnizor, inclusiv, cel puțin, toate datele exportabile;
(c) o perioadă minimă de extragere a datelor de cel puțin 30 de zile calendaristice, începând cu sfârșitul perioadei de tranziție convenite între client și furnizorul de serviciide prelucrare a datelor, în conformitate cu alineatul (1) litera (a) și cu alineatul (2);
(ca) obligația furnizorului de servicii de prelucrare a datelor de a șterge toate datele exportabile ale fostului client după expirarea perioadei prevăzute la alineatul (1) litera (c) de la prezentul articol;
(2) În cazul în care perioada de tranziție obligatorie, astfel cum este definită la alineatul (1) literele (a) și (c) din prezentul articol, nu este fezabilă din punct de vedere tehnic, furnizorul de servicii de prelucrare a datelor informează clientul în termen de 14 zile lucrătoare de la depunerea cererii de trecere la alt furnizor, motivează în mod corespunzător lipsa de fezabilitate tehnică și indică o perioadă de tranziție alternativă, care nu poate depăși nouă luni. În conformitate cu alineatul (1) din prezentul articol, se asigură continuitatea ▌serviciului pe toată perioada de tranziție alternativă la taxe reduse, astfel cum sunt menționate la articolul 25 alineatul (2). Clientul își păstrează dreptul de a prelungi acest termen, dacă este necesar, înainte sau în timpul procesului de trecere la alt furnizor.
Articolul 24a
Obligația de informare a furnizorilor de servicii de prelucrare a datelor de destinație
Furnizorul de servicii de prelucrare a datelor de destinație furnizează clientului informații despre procedurile disponibile pentru trecerea la alt furnizor și portarea către serviciul de prelucrare a datelor atunci când acesta este o destinație portabilă, inclusiv informații privind metodele și formatele de portare disponibile, precum și restricțiile și limitările tehnice care sunt cunoscute de furnizorul de servicii de prelucrare a datelor de destinație.
Articolul 24b
Obligația de a acționa cu bună-credință
Toate părțile implicate, inclusiv furnizorii de servicii de prelucrare a datelor de destinație, colaborează cu bună-credință pentru a asigura eficacitatea procesului de trecere la alt furnizor, pentru a permite transferul în timp util al datelor necesare și pentru a menține continuitatea serviciului.
Articolul 25
Retragerea treptată a taxelor de trecere la alt furnizor
(1) De la [data intrării în vigoare a prezentului regulament], furnizorii de servicii de prelucrare a datelor nu impun niciun fel de taxe clienților care sunt clienți pentru procesul de trecere la alt furnizor.
(2) De la [data X, data intrării în vigoare a prezentului regulament] până la [data X + trei ani], furnizorii de servicii de prelucrare a datelor pot să impună taxe reduse clienților în contextul relațiilor între întreprinderi pentru procesul de trecere la alt furnizor, în special taxe de ieșire.
(2a) De la [trei ani după data intrării în vigoare a prezentului regulament], furnizorii de servicii de prelucrare a datelor nu impun niciun fel de taxe pentru procesul de trecere la alt furnizor.
(3) Taxele menționate la alineatul (2) nu pot depăși costurile pe care le suportă furnizorul de servicii de prelucrare a datelor și care sunt direct legate de procesul în cauză de trecere la alt furnizor și sunt corelate cu operațiunile obligatorii pe care furnizorii de servicii de prelucrare a datelor trebuie să le efectueze în cadrul procesului de trecere la alt furnizor.
(3a) Abonamentele sau taxele standard pentru serviciile profesionale de tranziție efectuate de furnizorul de servicii de prelucrare a datelor la cererea clientului pentru a sprijini procesul de trecere la alt furnizor nu sunt considerate taxe de trecere a alt furnizor în sensul prezentului articol.
(3b) Înainte de a încheia un acord contractual cu un client, furnizorul de servicii de prelucrare a datelor oferă clientului informații clare care descriu taxele impuse clientului pentru procesul de trecere la alt furnizor în conformitate cu alineatul (2), precum și cu taxele și tarifele menționate la alineatul (3a) și, după caz, oferă informații despre serviciile care presupun o trecere foarte complexă sau costisitoare la alt furnizor sau imposibilitatea de a trece la alt furnizorul fără interferențe semnificative în arhitectura datelor, a aplicației ori a serviciului. După caz, furnizorul de servicii de prelucrare a datelor pune aceste informații la dispoziția clienților printr-o secțiune dedicată a website-ului său sau în orice alt mod ușor accesibil.
(4) Comisia este împuternicită să adopte, în conformitate cu articolul 38, acte delegate de completare a prezentului regulament în vederea introducerii unui mecanism de monitorizare, prin care Comisia să monitorizeze taxele de trecere la alt furnizor impuse de furnizorii de servicii de prelucrare a datelor de pe piață, pentru a se asigura că retragerea și reducerea taxelor de trecere la alt furnizor, astfel cum se descrie la alineatul (1) și la alineatul (2) din prezentul articol, se realizează în termenul prevăzut la alineatele respective.
Articolul 26
Aspecte tehnice ale trecerii la alt furnizor
(1) Furnizorii de servicii de prelucrare a datelor care se referă la resurse informatice redimensionabile și elastice care se limitează la elemente de infrastructură, cum ar fi serverele, rețelele și resursele virtuale necesare pentru exploatarea infrastructurii, dar care nu oferă acces la serviciile, software-urile și aplicațiile de operare care sunt stocate, prelucrate în alt mod sau instalate pe respectivele elemente de infrastructură, iau măsuri rezonabile în limitele posibilităților lor pentru a facilita ca, după trecerea la un serviciu care acoperă același tip de servicii și este oferit de un alt furnizor de servicii de prelucrare a datelor, clientul să obțină echivalență funcțională în utilizarea noului serviciu, cu condiția ca echivalența funcțională să fie stabilită de furnizorul serviciilor de prelucrare a datelor de destinație. Furnizorul de servicii de prelucrare a datelor facilitează procesul furnizând capacități, informații adecvate, documentație, asistență tehnică și, după caz, instrumentele necesare.
(2) Furnizorii de servicii de prelucrare a datelor ▌ , inclusiv furnizorii de servicii de prelucrare a datelor de destinație, asigură interfețe deschise accesibile publicului și fără taxe pentru a facilita trecerea între aceste servicii și portabilitatea și interoperabilitatea datelor. În conformitate cu alineatul (1) din prezentul articol, serviciile respective permit, de asemenea, ca un serviciu specific, dacă nu există obstacole majore, să poată fi separat dintr-un contract și pus la dispoziție pentru trecerea la alt furnizor într-un mod interoperabil.
(3) ▌Furnizorii de servicii de prelucrare a datelor asigură compatibilitatea cu specificațiile deschise de interoperabilitate și portabilitate sau cu standardele europene de interoperabilitate care sunt identificate în conformitate cu articolul 29 alineatul (5) ▌.
(3a) Furnizorii de servicii de prelucrare a datelor pentru care a fost publicată în registrul menționat la articolul 29 alineatul (5) o nouă specificație deschisă de interoperabilitate și portabilitate sau un standard european au dreptul la o tranziție de un an pentru a se conforma obligației menționate la alineatul (3) din prezentul articol.
(4) În cazul în care specificațiile deschise sau standardele europene de interoperabilitate și portabilitate menționate la alineatul (3) din prezentul articol nu există pentru ▌serviciile echivalente în cauză, furnizorul de servicii de prelucrare a datelor exportă, la cererea clientului, atunci când acest lucru este fezabil din punct de vedere tehnic, toate datele exportabile, într-un format structurat, utilizat în mod curent și care poate fi citit automat, așa cum este indicat clientului în conformitate cu strategia de ieșire prevăzută la articolul 24 alineatul (1) litera (ab), cu excepția cazului în care clientul acceptă alt format.
(4a) Furnizorii de servicii de prelucrare a datelor nu sunt obligați să dezvolte noi tehnologii sau servicii, să comunice sau să transfere date sau tehnologii proprietare ori confidențiale către un client sau către un alt furnizor de servicii de prelucrare a datelor sau să compromită securitatea și integritatea serviciului clientului sau furnizorului;
Articolul 26a
Derogări pentru anumite servicii de prelucrare a datelor
(1) Obligațiile prevăzute la articolul 23 alineatul (1) litera (d) și la articolele 25 și 26 nu se aplică serviciilor de prelucrare a datelor care au fost concepute pe măsură.
(2) Obligațiile prevăzute în prezentul capitol nu se aplică serviciilor de prelucrare a datelor furnizate gratuit, care funcționează cu titlu experimental sau care furnizează doar un serviciu de testare și evaluare pentru ofertele de produse comerciale.
Articolul 26b
Soluționarea litigiilor
(1) Clienții au acces la organismele de soluționare a litigiilor, certificate în conformitate cu articolul 10 alineatul (2), pentru a soluționa litigiile legate de încălcarea drepturilor clienților și a obligațiilor furnizorului de servicii de prelucrarea a datelor în ce privește trecerea de la un furnizor de astfel de servicii la altul. Clientul are dreptul de a permite unei părți terțe să introducă acțiuni legale în numele său.
(2) Articolul 10 alineatele (3)-(9) se aplică soluționării litigiilor dintre clienți și furnizorii de servicii de procesare a datelor în legătură cu trecerea de la un furnizor de astfel de servicii la altul.
CAPITOLUL VII
GARANȚIILE PRIVIND DATELE FĂRĂ CARACTER PERSONAL ÎN CONTEXTE INTERNAȚIONALE
Articolul 27
Accesul și transferul internațional
(1) Furnizorii de servicii de prelucrare a datelor iau, fără a aduce atingere alineatului (2) sau (3), toate măsurile tehnice, juridice și organizatorice ▌, inclusiv de ordin contractual, pentru a preveni transferul internațional de date fără caracter personal deținute în Uniune și accesul administrațiilor publice din țări terțe la astfel de date în cazul în care un astfel de transfer sau acces ar contraveni dreptului Uniunii sau dreptului intern al statului membru în cauză.
(2) Orice decizie sau hotărâre a unei instanțe judecătorești sau a unui tribunal și orice decizie a unei autorități administrative a unei țări terțe prin care se solicită unui furnizor de servicii de prelucrare a datelor să transfere date fără caracter personal intrând în domeniul de aplicare al prezentului regulament și deținute în Uniune sau să acorde acces la astfel de date este recunoscută sau executabilă în orice mod doar dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență judiciară reciprocă, în vigoare între țara terță solicitantă și Uniune sau pe orice alt asemenea acord între țara terță solicitantă și un stat membru.
(3) În absența unui astfel de acord internațional, în cazul în care un furnizor de servicii de prelucrare a datelor este destinatarul deciziei unei instanțe judecătorești sau a unui tribunal ori al deciziei unei autorități administrative dintr-o țară terță care prevede transferul de date fără caracter personal intrând în domeniul de aplicare al prezentului regulament și deținute în Uniune sau acordarea accesului la astfel de date și, prin respectarea unei astfel de decizii, riscă să intre în conflict cu dreptul Uniunii sau cu dreptul intern al statului membru în cauză, transferul către autoritatea din țara terță sau accesul acesteia la astfel de date poate avea loc numai în urma examinării de către organismele sau autoritățile competente relevante, în temeiul prezentului regulament, a îndeplinirii sau nu, în plus față de prevederile oricărui act legislativ relevant național sau al Uniunii, a următoarelor condiții:
(a) când sistemul țării terțe în cauză prevede obligativitatea expunerii motivelor și a proporționalității deciziei sau a hotărârii judecătorești și prevede că decizia sau hotărârea judecătorească, după caz, trebuie să aibă un caracter specific, de exemplu prin stabilirea unei legături suficiente cu anumite persoane suspectate sau cu încălcări;
(b) când obiecția motivată a destinatarului este supusă controlului unei instanțe judecătorești competente sau unui tribunal competent din țara terță și
(c) când instanța judecătorească competentă sau tribunalul competent care emite decizia sau hotărârea judecătorească ori care revizuiește decizia unei autorități administrative are, în temeiul legislației țării respective, împuternicirea de a ține seama în mod corespunzător de interesele juridice relevante ale furnizorului de date protejate de dreptul Uniunii sau de dreptul intern al statului membru în cauză.
Destinatarul deciziei poate solicita avizul Comisiei, al coordonatorului de date în temeiul prezentului regulament, ori al organismelor sau autorităților competente relevante, pentru a stabili dacă aceste condiții sunt îndeplinite, în special atunci când consideră că decizia se poate referi la secrete comerciale și la alte date sensibile din punct de vedere comercial, precum și la conținuturi protejate de drepturile de proprietate intelectuală, sau poate afecta interesele Uniunii sau ale statelor membre ale acesteia în materie de securitate sau apărare națională. În cazul în care destinatarul nu a primit un răspuns în termen de o lună sau în care avizul autorităților competente concluzionează că nu sunt îndeplinite condițiile, destinatarul refuză cererea de transfer sau de acces din aceste motive.
Comitetul european pentru inovare în domeniul datelor, instituit în temeiul Regulamentului (UE) 2022/868 și menționat la articolul 31a din prezentul regulament, consiliază și asistă Comisia în elaborarea de orientări cu privire la evaluarea îndeplinirii acestor condiții.
(4) Dacă sunt îndeplinite condițiile prevăzute la alineatul (2) sau (3), furnizorul de servicii de prelucrare a datelor furnizează volumul minim de date permis ca răspuns la o cerere, pe baza unei interpretări rezonabile a acesteia de către organismul sau autoritatea competente relevante.
(4a) În cazul în care furnizorul de servicii de prelucrare a datelor are motive să creadă că transferul de date fără caracter personal sau accesul la acestea poate conduce la riscul de reidentificare a datelor fără caracter personal sau a datelor anonimizate, furnizorul solicită o autorizație din partea organismelor sau autorităților relevante competente în temeiul legislației aplicabile privind protecția datelor înainte de a transfera sau de a acorda accesul la date.
(5) Furnizorul de servicii de prelucrare a datelor îl informează pe deținătorul datelor cu privire la existența unei cereri din partea unei autorități administrative dintr-o țară terță de a i se acorda accesul la datele sale înainte de a da curs cererii, cu excepția cazurilor în care cererea servește unor scopuri de asigurare a respectării legii și atât timp cât acest lucru este necesar pentru a se menține eficacitatea activității de asigurare a respectării legii.
CAPITOLUL VIII
INTEROPERABILITATEA
Articolul 28
Cerințe esențiale privind interoperabilitatea spațiilor de date
(1) Participanții la spațiile de date care oferă date sau servicii bazate pe date altor participanți trebuie să respecte următoarele cerințe esențiale pentru a facilita interoperabilitatea datelor, a mecanismelor de partajare a datelor și a serviciilor:
(a) conținutul setului de date, restricțiile de utilizare, licențele, metodologia de colectare a datelor, calitatea datelor și incertitudinea datelor trebuie să fie descrise suficient, într-un format care poate fi citit automat, pentru a i se permite destinatarului să găsească, să acceseze și să utilizeze datele;
(b) structurile de date, formatele de date, vocabularele, sistemele de clasificare, taxonomiile și listele de coduri trebuie să fie descrise într-un mod accesibil publicului și consecvent;
(c) mijloacele tehnice de accesare a datelor, cum ar fi interfețele de programare a aplicațiilor, precum și condițiile de utilizare a acestora și calitatea serviciului trebuie să fie descrise suficient pentru a se permite accesarea și transmiterea automată a datelor între părți, inclusiv în mod continuu sau în timp real, într-un format care poate fi citit automat, atunci când acest lucru este necesar pentru buna funcționare a produsului sau a serviciului și este fezabil din punct de vedere tehnic;
(d) se furnizează mijloacele care permit interoperabilitatea contractelor ▌ pentru partajarea datelor în cadrul serviciilor și activităților lor.
Aceste cerințe pot avea un caracter generic sau pot viza anumite sectoare, ținându-se în același timp seama pe deplin de interconectarea lor cu cerințele care decurg din alte acte legislative sectoriale ale Uniunii sau naționale.
(2) Comisia este împuternicită să adopte acte delegate, după consultarea Comitetului european pentru inovare în domeniul datelor, în temeiul articolului 29 și al articolului 30 literele (f) și (h) din Regulamentul (UE) 2022/868 și în conformitate cu articolul 38 din prezentul regulament, pentru a completa prezentul regulament cu precizări suplimentare în ceea ce privește cerințele esențiale menționate la alineatul (1) din prezentul articol.
(3) Participanții la spațiile de date care oferă date sau servicii bazate pe date altor participanți la spațiile de date care îndeplinesc standardele armonizate sau părți ale acestora publicate prin trimitere în Jurnalul Oficial al Uniunii Europene sunt prezumați a îndeplini cerințele esențiale menționate la alineatul (1) ▌, în măsura în care standardele respective au ca obiect cerințele respective.
(3a) Participanții din cadrul unui anumit spațiu de date convin asupra normelor prin care sunt definite responsabilitățile privind respectivele cerințe între participanți.
(4) Comisia poate, în conformitate cu articolul 10 din Regulamentul (UE) nr. 1025/2012, să solicite uneia sau mai multor organizații de standardizare europene să redacteze standarde armonizate care să conțină cerințele esențiale prevăzute la alineatul (1) din prezentul articol, dezvoltate într-un mod deschis, transparent, neutru din punct de vedere tehnologic, coordonat de industrie și incluziv, conform capitolului II din Regulamentul (UE) nr. 1025/2012, luând în considerare, acolo unde este cazul, standardele internaționale existente, bunele practici, normele, specificațiile tehnice și normele relevante privind open source, precum și nevoile IMM-urilor.
(5) Comisia poate, prin intermediul unor acte de punere în aplicare, să adopte specificații comune, în cazul în care nu există standarde armonizate, astfel cum sunt menționate la alineatul (4) din prezentul articol, sau dacă consideră că standardele armonizate relevante nu sunt suficiente pentru a asigura îndeplinirea cerințelor esențiale prevăzute la alineatul (1) din prezentul articol, când este necesar. Înainte de a adopta respectivele acte de punere în aplicare, Comisia solicită consiliere și ține seama de pozițiile relevante adoptate de Comitetul european pentru inovare în domeniul datelor, astfel cum se menționează la articolul 30 litera (f) din Regulamentul (UE) 2022/868, și ele se adoptă în conformitate cu procedura de examinare menționată la articolul 39 alineatul (2).
(6) Comisia poate adopta orientări propuse de Comitetul european pentru inovare în domeniul datelor, în conformitate cu articolul 30 litera (h) din Regulamentul (UE) 2022/868, în care sunt stabilite specificații de interoperabilitate pentru funcționarea spațiilor europene comune ale datelor, cum ar fi modelele arhitecturale și standardele tehnice de punere în aplicare a normelor și acordurilor juridice dintre părți care promovează partajarea de date, cum ar fi în ceea ce privește drepturile de acces și traducerea tehnică a consimțământului sau a permisiunii.
Articolul 29
Interoperabilitatea și portabilitatea serviciilor de prelucrare a datelor
(1) Specificațiile deschise de interoperabilitate și portabilitate și standardele europene de interoperabilitate și portabilitate a serviciilor de prelucrare a datelor trebuie:
(a) atunci când este fezabil din punct de vedere tehnic, să fie orientate spre performanța interoperabilității și portabilității între diferite servicii de prelucrare a datelor care acoperă servicii echivalente;
(b) să îmbunătățească portabilitatea activelor digitale între diferite servicii de prelucrare a datelor care acoperă servicii echivalente;
(c) să faciliteze, când este fezabil din punct de vedere tehnic, echivalența funcțională între diferitele servicii de prelucrare a datelor menționate la articolul 26 alineatul (1) care acoperă servicii echivalente;
(ca) să nu aibă un impact negativ asupra securității și integrității serviciilor și datelor;
(cb) să fie concepute astfel încât să permită progresele tehnice și includerea de noi funcții și inovații în domeniul serviciilor de prelucrare a datelor.
(2) Specificațiile deschise de interoperabilitate și portabilitate și standardele europene de interoperabilitate și portabilitate a serviciilor de prelucrare a datelor abordează:
(a) aspectele de interoperabilitate în cloud, și anume interoperabilitatea transporturilor, interoperabilitatea sintactică, interoperabilitatea datelor semantice, interoperabilitatea comportamentală și interoperabilitatea politicilor;
(b) aspectele de portabilitate a datelor în cloud, și anume portabilitatea sintactică a datelor, portabilitatea semantică a datelor și portabilitatea politicilor de date;
(c) aspectele de aplicații în cloud, și anume portabilitatea sintactică a aplicațiilor, portabilitatea instrucțiunilor aplicațiilor, portabilitatea metadatelor aplicațiilor, portabilitatea comportamentului aplicațiilor și portabilitatea politicilor de aplicații.
(3) Specificațiile deschise de interoperabilitate și portabilitate trebuie să respecte punctele 3 și 4 din anexa II la Regulamentul (UE) nr. 1025/2012.
(3a) Specificațiile deschise de interoperabilitate și portabilitate și standardele europene nu denaturează piața serviciilor de prelucrare a datelor și nu limitează dezvoltarea de noi tehnologii sau soluții inovatoare și concurente sau de tehnologii sau soluții bazate pe acestea.
(4) După ce ia în considerare standardele internaționale și europene relevante și inițiativele de autoreglementare, Comisia poate, în conformitate cu articolul 10 din Regulamentul (UE) nr. 1025/2012, să solicite uneia sau mai multor organizații de standardizare europene să redacteze standarde europene aplicabile serviciilor echivalente de prelucrare a datelor. Standardizarea ține cont de necesitățile IMM-urilor.
(5) În sensul articolului 26 alineatul (3) din prezentul regulament, Comisia, după consultarea Comitetului european pentru inovare în domeniul datelor în temeiul articolului 29 și al articolului 30 literele (f) și (h) din Regulamentul (UE) 2022/868, este împuternicită să adopte acte delegate care completează prezentul regulament, în conformitate cu articolul 38 din prezentul regulament, pentru a publica trimiterea la ▌standarde europene deschise de interoperabilitate și portabilitate a serviciilor de prelucrare a datelor în registrul central de standarde al Uniunii pentru interoperabilitatea și portabilitatea serviciilor de prelucrare a datelor dezvoltat de organizațiile de standardizare relevante sau de organizațiile menționate la punctul 3 din anexa II la Regulamentul (UE) nr. 1025/2012, în cazul în care acestea îndeplinesc criteriile specificate la alineatele (1) și (2) de la prezentul articol.
Articolul 30
Cerințe esențiale privind contractele inteligente de partajare de date
Partea care oferă contracte inteligente ▌în contextul unui acord de punere de date la dispoziție respectă următoarele cerințe esențiale:
(a) robustețe și controlul accesului – asigurarea faptului că, prin modul în care a fost conceput, contractul inteligent oferă mecanisme riguroase de control al accesului și un grad foarte ridicat de robustețe, prevenind erorile funcționale și rezistând la manipularea de către părți terțe;
(b) încetare și întrerupere în siguranță – asigurarea existenței unui mecanism de încetare a executării continue a tranzacțiilor: contractul inteligent trebuie să includă funcții interne care să poată reseta sau instrui contractul să oprească sau să întrerupă operația pentru evitarea unor execuții (accidentale) viitoare; în acest sens, ar trebui definite în mod clar și transparent condițiile în care un contract inteligent ar putea fi reinițializat sau întrerupt sau s-ar putea cere o oprire a contractului inteligent. În special, ar trebui să se evalueze condițiile în care ar trebui să fie permisă încetarea sau întreruperea neconsensuală;
(ba) echivalență – un contract inteligent oferă același nivel de protecție și securitate juridică ca orice alt contract generat prin mijloace diferite;
(bb) protecția confidențialității secretelor comerciale – asigurarea faptului că contractul inteligent a fost conceput astfel încât să asigure confidențialitatea secretelor comerciale, în conformitate cu prezentul regulament.
▌
CAPITOLUL IX
PUNEREA ÎN APLICARE ȘI ASIGURAREA RESPECTĂRII
Articolul 31
Coordonatorul de date
(1) Fiecare stat membru desemnează o autoritate de coordonare competentă independentă („coordonatorul de date”) care este responsabilă cu aplicarea și asigurarea respectării prezentului regulament și cu coordonarea activităților încredințate statului membru respectiv, acționează ca punct unic de contact cu Comisia în ceea ce privește punerea în aplicare a prezentului regulament și reprezintă statul membru la Comitetul european pentru inovare în domeniul datelor, astfel cum se menționează la articolul 31a.
(1a) Autoritățile de supraveghere independente care sunt responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 sunt responsabile cu monitorizarea aplicării prezentului regulament în ceea ce privește protecția datelor cu caracter personal. Se aplică mutatis mutandis capitolele VI și VII din Regulamentul (UE) 2016/679. Autoritatea Europeană pentru Protecția Datelor este responsabilă cu monitorizarea aplicării prezentului regulament în ceea ce privește instituțiile, organele, oficiile și agențiile Uniunii. După caz, se aplică mutatis mutandis articolul 62 din Regulamentul (UE) 2018/1725. Sarcinile și competențele autorităților de supraveghere se exercită în ceea ce privește prelucrarea datelor cu caracter personal.
(2) Fără a aduce atingere alineatului (1) de la prezentul articol, coordonatorul asigură cooperarea între autoritățile naționale competente care sunt responsabile cu monitorizarea altor acte juridice naționale sau ale Uniunii în domeniul datelor și al serviciilor de comunicații electronice, și anume:
▌
(b) în ceea ce privește aspectele specifice sectoriale ale accesului la date, aspecte care au legătură cu punerea în aplicare a prezentului regulament, se respectă competența autorităților sectoriale fără a se aduce atingere normelor privind conflictele de competențe;
(c) autoritatea națională competentă responsabilă cu aplicarea și asigurarea respectării capitolului VI din prezentul regulament trebuie să aibă experiență în domeniul serviciilor de date și de comunicații electronice.
(3) Statele membre se asigură că sarcinile și competențele coordonatorului de date sunt clar definite și includ:
(a) promovarea sensibilizării utilizatorilor și entităților care intră sub incidența prezentului regulament cu privire la drepturile și obligațiile care le revin în temeiul prezentului regulament;
(b) tratarea plângerilor având ca obiect presupuse încălcări ale prezentului regulament și luarea de hotărâri cu privire la acestea, investigarea, în măsura adecvată, a obiectului plângerii și informarea cu regularitate a reclamantului cu privire la evoluția și rezultatul investigației, într-un termen rezonabil, în special dacă este necesară efectuarea unei investigații mai amănunțite sau coordonarea cu o altă autoritate competentă;
(c) desfășurarea de investigații în chestiuni care privesc aplicarea prezentului regulament, inclusiv pe baza unor informații primite de la o altă autoritate competentă sau de la o altă autoritate publică;
(d) impunerea de sancțiuni financiare eficace, proporționale și disuasive, care pot include penalități cu titlu cominatoriu și penalități cu efect retroactiv, sau deschiderea de proceduri judiciare pentru impunerea de amenzi;
(e) monitorizarea evoluțiilor tehnologice și comerciale cu relevanță pentru punerea la dispoziție și utilizarea de date în vederea unei mai bune asigurări a respectării prezentului regulament;
(f) cooperarea cu coordonatorii de date ai altor state membre pentru asigurarea unei aplicări consecvente, rapide și eficace a prezentului regulament, inclusiv transmiterea reciprocă a tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate;
(fa) cooperarea cu toate autoritățile competente relevante în temeiul altor acte legislative ale Uniunii și cu Comitetul european pentru protecția datelor și Comitetul european pentru inovare în domeniul datelor pentru a veghea ca obligațiile prevăzute în prezentul regulament să fie puse în aplicare într-un mod care să asigure coerența cu alte acte legislative ale Uniunii;
(g) asigurarea disponibilității publice online a cererilor de acces la date formulate de organismele din sectorul public în cazul unor urgențe publice în temeiul capitolului V;
(h) cooperarea cu toate autoritățile competente relevante pentru asigurarea faptului că obligațiile prevăzute în capitolul VI sunt puse în aplicare în conformitate cu alte acte legislative ale Uniunii și norme de autoreglementare aplicabile furnizorilor de servicii de prelucrare a datelor;
(i) asigurarea faptului că taxele pentru trecerea de la un furnizor de servicii de prelucrare a datelor la altul sunt retrase în conformitate cu articolul 25.
(4) În cazul în care un stat membru desemnează mai multe autorități competente, coordonatorii de date cooperează, în exercitarea sarcinilor și competențelor care le-au fost atribuite în temeiul alineatului (3) din prezentul articol, între ei și cu Comitetul european pentru inovare în domeniul datelor, inclusiv, după caz, cu autoritatea de supraveghere responsabilă cu monitorizarea aplicării Regulamentului (UE) 2016/679 și cu Autoritatea Europeană pentru Protecția Datelor, pentru a asigura aplicarea consecventă a prezentului regulament. În astfel de cazuri, statele membre relevante desemnează o autoritate competentă coordonatoare.
(5) Statele membre aduc la cunoștința Comisiei și a Comitetului european pentru inovare în domeniul datelor denumirile coordonatorilor de date, sarcinile și competențele respective ale acestora și, când este cazul, denumirea autorității competente coordonatoare. Comisia ține un registru public al acestor autorități.
(6) Când își îndeplinesc sarcinile și își exercită competențele în conformitate cu prezentul regulament, coordonatorii de date acționează independent și imparțial și rămân liberi de orice influență externă, directă sau indirectă și nu pot să solicite sau să accepte instrucțiuni de la nicio altă autoritate publică și de la nicio parte privată.
(7) Statele membre se asigură că coordonatorului de date i se pun la dispoziție suficiente resurse umane și tehnice, expertiza, sediul și infrastructuranecesare pentru îndeplinirea efectivă și adecvată a sarcinilor în conformitate cu prezentul regulament.
(7a) Entitățile care intră în domeniul de aplicare al prezentului regulament se supun jurisdicției statului membru în care este stabilită entitatea.
(7b) Un utilizator, un deținător de date sau un destinatar al datelor care este persoană juridică și nu este stabilit în Uniune, dar care face obiectul unor obligații în temeiul prezentului regulament, desemnează un reprezentant legal într-unul din statele membre în care sunt stabiliți omologii săi relevanți.
(7c) Autoritățile competente în temeiul prezentului regulament au competența de a solicita utilizatorilor, deținătorilor de date sau destinatarilor datelor care sunt persoane juridice sau reprezentanților lor legali toate informațiile necesare pentru verificarea respectării cerințelor prevăzute în prezentul regulament. Orice cerere de informații este proporțională cu îndeplinirea sarcinii și se motivează.
(7d) În cazul în care un utilizator, un deținător de date sau un destinatar al datelor care este o persoană juridică și nu este stabilit în Uniune nu desemnează un reprezentant legal sau reprezentantul legal nu furnizează, la cererea autorității competente, informațiile necesare care demonstrează în mod cuprinzător conformitatea cu prezentul regulament, autoritatea competentă are competența de a amâna începerea sau de a suspenda furnizarea de servicii conexe de către deținătorii de date sau cererile de acces la date ale deținătorilor de date din partea utilizatorilor sau a destinatarilor datelor, care sunt persoane juridice, până la desemnarea reprezentantului legal sau până la furnizarea informațiilor necesare.
Articolul 31a
Asistență reciprocă
(1) Coordonatorii de date și Comisia cooperează strâns și își oferă reciproc asistență în vederea aplicării prezentului regulament în mod coerent și eficient. Asistența reciprocă include, în special, schimbul prin mijloace electronice al tuturor informațiilor în conformitate cu prezentul articol și datoria coordonatorului de date din statul membru în cauză de a informa toate autoritățile competente și Comisia cu privire la deschiderea unei investigații.
(2) În scopul unei investigații, coordonatorul de date din țara de stabilire poate solicita altor coordonatori de date să furnizeze informații specifice pe care le dețin sau să își exercite competențele de investigare cu privire la anumite informații aflate în statul lor membru. După caz, coordonatorul de date care primește cererea poate implica alte autorități competente sau alte autorități publice ale statului membru în cauză.
(3) Coordonatorul de date care primește cererea în temeiul alineatului (2) se conformează acestei cereri și informează autoritatea competentă din statul membru în cauză cu privire la măsurile luate, fără întârzieri nejustificate.
(4) Comitetul european pentru inovare în domeniul datelor încurajează schimbul reciproc de informații între autoritățile competente și consiliază și asistă Comisia în ceea ce privește toate chestiunile din domeniul de aplicare al prezentului regulament care intră în sfera de competență a Comitetului, în conformitate cu articolul 30 din Regulamentul (UE) 2022/868. Coordonatorii de date reprezintă statele membre la Comitetul european pentru inovare în domeniul datelor înființat în temeiul Regulamentului (UE) 2022/868.
Articolul 32
Dreptul de a depune o plângere la coordonatorul de date
(1) Fără a se aduce atingere altor eventuale căi de atac administrative sau judiciare, persoanele fizice și juridice au dreptul de a depune o plângere, în mod individual sau ▌colectiv, la coordonatorul de date din statul membru în care își au reședința obișnuită, locul de muncă sau locul de stabilire, în cazul în care consideră că le-au fost încălcate drepturile prevăzute în prezentul regulament. O astfel de plângere poate decurge din suspendarea partajării unor date identificate drept secrete comerciale, după primirea notificării din partea deținătorului de date în temeiul articolului 4 alineatul (3), al articolului 5 alineatul (8) sau al articolului 19 alineatul (2b).
(2) Coordonatorul de date la care s-a depus plângerea îl informează pe reclamant, în conformitate cu dreptul intern, despre evoluția procedurii și despre decizia luată.
(3) Autoritățile competente cooperează de la începutul procesului pentru tratarea și soluționarea plângerilor în mod eficace și în timp util, inclusiv prin stabilirea unor termene rezonabile pentru adoptarea deciziilor oficiale, prin asigurarea egalității părților, prin asigurarea dreptului reclamanților de a fi ascultați și a accesului la dosar pe toată durata procesului și prin transmiterea reciprocă a tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate. Această cooperare nu poate să aducă atingere mecanismului specific de cooperare prevăzut în capitolele VI și VII din Regulamentul (UE) 2016/679.
Articolul 32a
Reprezentare
(1) Fără a aduce atingere Directivei (UE) 2020/1828 sau oricărui alt tip de reprezentare în temeiul dreptului intern, utilizatorii, deținătorii de date și destinatarii datelor au cel puțin dreptul de a mandata un organism, o organizație sau o asociație să exercite în numele lor drepturile care le sunt conferite de prezentul regulament, cu condiția ca organismul, organizația sau asociația să îndeplinească toate condițiile următoare:
(a) își desfășoară activitatea fără scop lucrativ;
(b) a fost constituit(ă) în mod corespunzător, în conformitate cu legislația unui stat membru;
(c) printre obiectivele sale statutare se numără un interes legitim de a asigura respectarea prezentului regulament.
Articolul 32b
Dreptul la o cale de atac judiciară eficientă împotriva unei autorități competente
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare utilizator, deținător de date și destinatar al datelor are dreptul la o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități competente care îl vizează.
(2) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare utilizator are dreptul la o cale de atac eficientă în cazul în care autoritatea competentă nu tratează rapid o plângere sau nu informează utilizatorul, deținătorul de date sau destinatarul datelor în termen de trei luni cu privire la progresele sau la rezultatul plângerii depuse în temeiul articolului 32.
(3) Acțiunile împotriva unei autorități competente se introduc în fața instanțelor din statul membru în care se află reședința obișnuită, locul de muncă sau sediul utilizatorului sau al organizației care îl reprezintă.
(4) În cazul în care acțiunile sunt introduse împotriva unei decizii a unei autorități competente care a fost precedată de un aviz sau de o decizie a Comitetului în cadrul mecanismului pentru asigurarea coerenței, autoritatea de supraveghere transmite instanței avizul respectiv sau decizia respectivă.
Articolul 32c
Dreptul la o cale de atac eficientă
(1) Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv în temeiul Directivei (UE) 2020/1828 și al dreptului de a depune o plângere la o autoritate competentă în temeiul articolului 32b, utilizatorul, deținătorul de date și destinatarul datelor au dreptul la o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a nerespectării prezentului regulament.
(2) Acțiunile împotriva unui deținător de date, a unei părți terțe sau a unui destinatar al datelor sunt introduse în fața instanțelor din statul membru în care utilizatorul își are reședința obișnuită, locul de muncă sau sediul.
Articolul 33
Sancțiuni
(1) Statele membre adoptă regimul sancțiunilor aplicabil în cazul nerespectării dispozițiilor prezentului regulament și iau toate măsurile necesare pentru a asigura aplicarea acestuia. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive.
(1a) Statele membre iau în considerare următoarele criterii neexhaustive pentru impunerea de sancțiuni pentru încălcarea prezentului regulament:
(a) natura, gravitatea, amploarea și durata încălcării;
(b) orice acțiune întreprinsă de contravenient pentru a atenua sau a remedia prejudiciul cauzat de încălcare;
(c) încălcările anterioare de către contravenient;
(d) beneficiile financiare obținute sau pierderile evitate de contravenient ca urmare a încălcării, în măsura în care aceste beneficii sau pierderi pot fi stabilite în mod fiabil;
(e) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului.
(2) Statele membre informează Comisia, Comitetul european pentru protecția datelor și Comitetul european pentru inovare în domeniul datelor, până la [data aplicării regulamentului], cu privire la respectivul regim și la măsurile aferente și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. Comisia actualizează periodic și ține un registru public ușor accesibil al acestor măsuri.
(3) Pentru încălcările obligațiilor stabilite în capitolele II, III și V din prezentul regulament, autoritățile de supraveghere menționate la articolul 51 din Regulamentul (UE) 2016/679 pot impune, în limitele domeniului lor de competență, amenzi administrative în concordanță cu articolul 83 din Regulamentul (UE) 2016/679 până la concurența sumei menționate la articolul 83 alineatul (5) din regulamentul respectiv.
(4) Pentru încălcările obligațiilor stabilite în capitolul V din prezentul regulament, autoritatea de supraveghere menționată la articolul 52 din Regulamentul (UE) 2018/1725 poate impune, în limitele domeniului său de competență, amenzi administrative în conformitate cu articolul 66 din Regulamentul (UE) 2018/1725 până la concurența sumei menționate la articolul 66 alineatul (3) din regulamentul respectiv.
Articolul 34
Modele de clauze contractuale
Comisia elaborează și recomandă modele de clauze contractuale neobligatorii privind accesarea și utilizarea de date și clauze contractuale standard pentru contractele de cloud computing, pe baza principiilor privind condițiile echitabile, rezonabile și nediscriminatorii , care să ajute părțile să redacteze și să negocieze contracte cu drepturi și obligații contractuale echilibrate. Astfel de modele de clauze contractuale trebuie să abordeze cel puțin următoarele elemente:
(a) dreptul la rezilierea anticipată a contractului și condițiile de despăgubire în cazul rezilierii anticipate;
(b) politici privind păstrarea și stocarea datelor;
(c) lizibilitatea datelor pentru utilizator, inclusiv a informațiilor privind metadatele și decriptarea;
(d) protecția și păstrarea confidențialității secretelor comerciale în conformitate cu prezentul regulament.
Modelele de clauze contractuale prevăzute la primul paragraf se publică și sunt disponibile gratuit în format electronic ușor de utilizat.
CAPITOLUL X
INAPLICABILITATEA DREPTULUISUI GENERIS PREVĂZUT ÎN DIRECTIVA 96/9/CE LA BAZELE DE DATE CARE CONȚIN ANUMITE DATE
Articolul 35
Baze de date care conțin anumite date
Dreptul sui generis prevăzut la articolul 7 din Directiva 96/9/CE nu se aplică în cazul bazelor de date care conțin date obținute din utilizarea unui produs sau a unui serviciu conex ori generate prin aceasta, care intră sub incidența prezentului regulament.
CAPITOLUL XI
DISPOZIȚII FINALE
Articolul 36
Modificare adusă Regulamentului (UE) 2017/2394
În anexa la Regulamentul (UE) 2017/2394 se adaugă următorul punct:"
„29. {Regulamentul (UE) XXX al Parlamentului European și al Consiliului [Legea privind datele]}.”
"
Articolul 37
Modificare adusă Directivei (UE) 2020/1828
În anexa la Directiva (UE) 2020/1828 se adaugă următorul punct:"
„67. {Regulamentul (UE) XXX al Parlamentului European și al Consiliului [Legea privind datele]}.”
"
Articolul 38
Exercitarea delegării
(1) Competența de a adopta acte delegate se conferă Comisiei în condițiile prevăzute la prezentul articol.
(2) Competența de a adopta acte delegate, menționată la articolul 25 alineatul (4), la articolul 28 alineatul (2) și la articolul 29 alineatul (5), se conferă Comisiei pentru o perioadă nedeterminată, începând cu […].
(3) Delegarea de competențe menționată la articolul 25 alineatul (4), la articolul 28 alineatul (2) și la articolul 29 alineatul (5) poate fi revocată în orice moment de către Parlamentul European sau de către Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua următoare datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.
(4) Înainte de adoptarea unui act delegat, Comisia îi consultă pe experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional privind o mai bună legiferare din 13 aprilie 2016.
(5) De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.
(6) Un act delegat adoptat în temeiul articolului 25 alineatul (4), al articolului 28 alineatul (2) sau al articolului 29 alineatul (5) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecțiuni în termen de trei luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecțiuni. Termenul respectiv se prelungește cu trei luni la inițiativa Parlamentului European sau a Consiliului.
Articolul 39
Procedura comitetului
(1) Comisia este asistată de un comitet. Comitetul respectiv trebuie să fie un comitet în înțelesul Regulamentului (UE) nr. 182/2011.
(2) Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.
Articolul 40
Alte acte juridice ale Uniunii care reglementează drepturile și obligațiile privind accesarea și utilizarea de date
(1) Rămân neatinse obligațiile specifice privind punerea de date la dispoziție între întreprinderi, între întreprinderi și consumatori și, în mod excepțional, între întreprinderi și organisme publice, stabilite în acte juridice ale Uniunii care au intrat în vigoare la sau înainte de [xx XXX xxx] și în actele delegate sau de punere în aplicare întemeiate pe acestea.
(2) Prezentul regulament nu aduce atingere actelor legislative ale Uniunii în care sunt precizate, având în vedere nevoile unui sector, ale unui spațiu european comun al datelor sau ale unui domeniu de interes public, cerințe suplimentare, în special în ceea ce privește:
(a) aspecte tehnice ale accesului la date;
(b) limite ale drepturilor deținătorilor de date de a accesa sau utiliza anumite date furnizate de utilizatori;
(c) aspecte care depășesc sfera accesării și a utilizării de date.
Articolul 41
Evaluare și reexaminare
(1) Până la [doi ani de la data aplicării prezentului regulament], Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cu principalele sale constatări Parlamentului European și Consiliului, precum și Comitetului Economic și Social European. În cadrul evaluării se analizează în special:
(-a) utilizarea datelor de către utilizatori, deținători de date, destinatari ai datelor și terți, dezvoltarea practicilor de monetizare ale economiei europene a datelor, precum și dezvoltarea acordurilor de partajare a datelor, inclusiv dinamica concurențială în spațiile de date și în serviciile de intermediere de date;
(-aa) efectele obligațiilor tehnice și administrative de respectare a prezentului regulament, în special a capitolului II, asupra participanților din industrie, având în vedere, de asemenea, derogările pentru IMM-uri;
(a) alte categorii sau tipuri de date la care trebuie să se acorde acces;
(b) excluderea anumitor categorii de întreprinderi de la calitatea de beneficiar în temeiul articolului 5;
(ba) dacă dispozițiile prezentului regulament legate de secretele comerciale asigură respectarea secretelor comerciale, fără să împiedice în același timp accesul la date și partajarea acestora; în cadrul evaluării se analizează în special dacă și modul în care se asigură, în practică, confidențialitatea secretelor comerciale, în ciuda divulgării lor atât în contextul partajării de date cu terți, cât și în contextul partajării lor între întreprinderi și administrațiile publice. Această evaluare se efectuează în strânsă legătură cu raportul de evaluare privind Directiva (UE) 2016/943, care se preconizează că va fi prezentat până la 9 iunie 2026, în temeiul articolului 18 alineatul (3) din prezenta directivă;
(c) alte situații care trebuie considerate nevoi excepționale în sensul articolului 15;
(d) schimbările survenite în practicile contractuale ale furnizorilor de servicii de prelucrare a datelor și dacă schimbările respective permit respectarea într-o măsură suficientă a articolului 24;
(e) diminuarea taxelor impuse de furnizorii de servicii de prelucrare a datelor pentru procesul de trecere la alt furnizor, în concordanță cu obligația de retragere treptată a taxelor de trecere la alt furnizor, prevăzută la articolul 25;
(ea) interacțiunea dintre prezentul regulament și dreptul relevant al Uniunii pentru a evalua eventualele contradicții în materie de reglementare, suprareglementarea sau lacunele legislative;
(eb) contribuția prezentului regulament la asigurarea atractivității economice a colectării și utilizării de către întreprinderile europene a seturilor de date de înaltă calitate;
(ec) contribuția prezentului regulament la inovare și la promovarea dezvoltării întreprinderilor nou-înființate și a IMM-urilor de înaltă tehnologie, precum și la facilitarea accesului utilizatorilor europeni la servicii informatice de ultimă generație;
(ed) aplicarea și funcționarea articolului 27 privind accesul și transferul internațional de date.
(1a) Pe baza raportului respectiv, Comisia prezintă Parlamentului și Consiliului, după caz, o propunere legislativă de modificare a prezentului regulament.
Articolul 42
Intrare în vigoare și aplicare
Prezentul regulament intră în vigoare în a douăzecea zi de la publicarea în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament se aplică începând cu 18 luni de la data intrării în vigoare a prezentului regulament ▌.
Obligațiile care rezultă din articolul 4 alineatul (1) se aplică serviciilor conexe introduse pe piață în termen de cinci ani înainte de intrarea în vigoare a prezentului regulament, și numai în cazul în care furnizorul de servicii conexe este în măsură să implementeze de la distanță mecanisme pentru a asigura îndeplinirea cerințelor prevăzute la articolul 4 alineatul (1) și atunci când implementarea unor astfel de mecanisme nu ar impune o sarcină disproporționată pentru producătorul sau furnizorul de servicii conexe.
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).
Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).
3 Directiva 2005/29/CE a Parlamentului European și a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piața internă față de consumatori și de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE și 2002/65/CE ale Parlamentului European și ale Consiliului și a Regulamentului (CE) nr. 2006/2004 al Parlamentului European și al Consiliului („Directiva privind practicile comerciale neloiale”) (JO L 149, 11.6.2005, p. 22).
4 Directiva 2011/83/UE a Parlamentului European și a Consiliului din 25 octombrie 2011 privind drepturile consumatorilor, de modificare a Directivei 93/13/CEE a Consiliului și a Directivei 1999/44/CE a Parlamentului European și a Consiliului și de abrogare a Directivei 85/577/CEE a Consiliului și a Directivei 97/7/CE a Parlamentului European și a Consiliului.
5 Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii. Directiva (UE) 2019/2161 a Parlamentului European și a Consiliului din 27 noiembrie 2019 de modificare a Directivei 93/13/CEE a Consiliului și a Directivelor 98/6/CE, 2005/29/CE și 2011/83/UE ale Parlamentului European și ale Consiliului în ceea ce privește o mai bună asigurare a respectării normelor Uniunii în materie de protecție a consumatorilor și modernizarea acestor norme.
6 Directiva (UE) 2019/882 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind cerințele de accesibilitate aplicabile produselor și serviciilor (JO L 151, 7.6.2019, p. 70).
Directiva 2001/29/CE a Parlamentului European și a Consiliului din 22 mai 2001 privind armonizarea anumitor aspecte ale dreptului de autor și drepturilor conexe în societatea informațională (JO L 167, 22.6.2001, p. 10).
Directiva 2004/48/CE a Parlamentului European și a Consiliului din 29 aprilie 2004 privind respectarea drepturilor de proprietate intelectuală (JO L 157, 30.4.2004, p. 45).
Directiva (UE) 2019/790 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind dreptul de autor și drepturile conexe pe piața unică digitală și de modificare a Directivelor 96/9/CE și 2001/29/CE (JO L 130, 17.5.2019, p. 92).
Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.2014, p. 73).
Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului din 30 mai 2022 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor) (JO L 152, 3.6.2022, p. 1).
Directiva 2009/24/CE a Parlamentului European și a Consiliului din 23 aprilie 2009 privind protecția juridică a programelor pentru calculator (JO L 111, 5.5.2009, p. 16).
Directiva (UE) 2016/943 a Parlamentului European și a Consiliului din 8 iunie 2016 privind protecția know-how-ului și a informațiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării și divulgării ilegale (JO L 157, 15.6.2016, p. 1).
Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului din 14 septembrie 2022 privind piețe contestabile și echitabile în sectorul digital și de modificare a Directivelor (UE) 2019/1937 și (UE) 2020/1828 (Regulamentul privind piețele digitale) (JO L 265, 12.10.2022, p. 1).
9 Directiva (UE) 2019/1024 a Parlamentului European și a Consiliului din 20 iunie 2019 privind datele deschise și reutilizarea informațiilor din sectorul public (JO L 172, 26.6.2019, p. 56).
10 Directiva 96/9/CE a Parlamentului European și a Consiliului din 11 martie 1996 privind protecția juridică a bazelor de date (JO L 77, 27.3.1996, p. 20).
Regulamentul (UE) 2017/1128 al Parlamentului European și al Consiliului din 14 iunie 2017 privind portabilitatea transfrontalieră a serviciilor de conținut online în cadrul pieței interne (JO L 168, 30.6.2017, p. 1).
11 Directiva (UE) 2019/770 a Parlamentului European și a Consiliului din 20 mai 2019 privind anumite aspecte legate de contractele de furnizare de conținut digital și de servicii digitale (JO L 136, 22.5.2019, p. 1).
Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului (JO L 316, 14.11.2012, p. 12).
12 Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului din 12 decembrie 2017 privind cooperarea dintre autoritățile naționale însărcinate să asigure respectarea legislației în materie de protecție a consumatorului și de abrogare a Regulamentului (CE) nr. 2006/2004 (JO L 345, 27.12.2017, p. 1).
13 Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1).
15 Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
16 Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului din 29 aprilie 2021 privind prevenirea diseminării conținutului online cu caracter terorist (JO L 172, 17.5.2021, p. 79).
Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11 martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităților Europene (JO L 87, 31.3.2009, p. 164).