keyboard_tab Digital Governance Act 2022/0868 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolul 1 Obiect și domeniu de aplicare
- 1 Articolul 2 Definiții
- 1 Articolul 3 Categorii de date
- 1 Articolul 4 Interzicerea acordurilor de exclusivitate
- 1 Articolul 6 Taxe
- 3 Articolul 7 Organisme competente
- 2 Articolul 10 Servicii de intermediere de date
- 1 Articolul 12 Condiții pentru furnizarea serviciilor de intermediere de date
- 2 Articolul 14 Monitorizarea conformării
- 1 Articolul 21 Cerințe specifice pentru protejarea drepturilor și a intereselor persoanelor vizate și ale deținătorilor de date cu privire la datele lor
CAPITOLUL I
Dispoziții generale
CAPITOLUL II
Reutilizarea anumitor categorii de date protejate deținute de organisme din sectorul public
CAPITOLUL III
Cerințe aplicabile serviciilor de intermediere de date
CAPITOLUL IV
Altruismul în materie de date
CAPITOLUL V
Autorități competente și dispoziții procedurale
CAPITOLUL VI
Comitetul european pentru inovare în domeniul datelor
CAPITOLUL VII
Accesul internațional și transferul
CAPITOLUL VIII
Delegarea și procedura comitetului
CAPITOLUL IX
Dispoziții finale și tranzitorii
- date 174
- care 103
- pentru 98
- intermediere 78
- datelor 61
- servicii 49
- public 38
- caracter 33
- serviciile 31
- sectorul 30
- personal 30
- dreptul 26
- articolul 25
- datele 24
- vizate 24
- inclusiv 22
- astfel 22
- fără 22
- uniunii 22
- înseamnă 21
- competente 20
- sunt 20
- cazul 20
- unei 19
- dreptului 19
- materie 17
- alte 17
- este 17
- intern 17
- organisme 16
- privește 16
- furnizarea 16
- către 15
- unui 15
- furnizorul 15
- persoanelor 15
- dispoziție 15
- ue / 15
- ceea 15
- regulament 14
- prin 14
- prelucrarea 13
- menționate 13
- temeiul 13
- organismele 13
- altruismului 13
- alineatul 12
- prelucrare 12
- prezentul 12
- privire 11
Articolul 1
Obiect și domeniu de aplicare
(1) Prezentul regulament stabilește:
| (a) | condițiile de reutilizare, în cadrul Uniunii, a anumitor categorii de date deținute de organismele din sectorul public; |
| (b) | un cadru de notificare și de supraveghere pentru furnizarea de servicii de intermediere de date; |
| (c) | un cadru pentru înregistrarea voluntară a entităților care colectează și prelucrează date puse la dispoziție în scopuri altruiste; și |
| (d) | un cadru pentru înființarea unui Comitet european pentru inovare în materie de date. |
(2) Prezentul regulament nu creează nicio obligație pentru organismele din sectorul public de a permite reutilizarea datelor și nici nu exonerează organismele din sectorul public de obligațiile de confidențialitate care le revin în temeiul dreptului Uniunii sau al dreptului intern.
Prezentul regulament nu aduce atingere:
| (a) | dispozițiilor specifice din dreptul Uniunii sau din dreptul intern în ceea ce privește accesul la anumite categorii de date sau reutilizarea acestora, în special în ceea ce privește acordarea accesului la documente oficiale și divulgarea acestora; și |
| (b) | obligațiilor organismelor din sectorul public în temeiul dreptului Uniunii sau al dreptului intern de a permite reutilizarea datelor sau cerințelor legate de prelucrarea datelor fără caracter personal. |
În cazul în care dreptul sectorial al Uniunii sau dreptul intern impune organismelor din sectorul public, furnizorilor de servicii de intermediere de date sau organizațiilor recunoscute de promovare a altruismului în materie de date să respecte cerințe tehnice, administrative sau organizatorice suplimentare specifice, inclusiv printr-un regim de autorizare sau de certificare, se aplică, de asemenea, dispozițiile respective din dreptul sectorial al Uniunii sau din dreptul intern în cauză. Orice astfel de cerințe suplimentare specifice sunt nediscriminatorii, proporționale și justificate în mod obiectiv.
(3) Dreptul Uniunii și dreptul intern privind protecția datelor cu caracter personal se aplică oricăror date cu caracter personal prelucrate în legătură cu prezentul regulament. Prezentul regulament nu aduce atingere în special Regulamentelor (UE) 2016/679 și (UE) 2018/1725 și Directivelor 2002/58/CE și (UE) 2016/680, inclusiv în ceea ce privește atribuțiile și competențele autorităților de supraveghere. În caz de divergență între prezentul regulament și dreptul Uniunii privind protecția datelor cu caracter personal sau dreptul intern adoptat în conformitate cu dreptul respectiv al Uniunii, prevalează dreptul Uniunii sau dreptul intern privind protecția datelor cu caracter personal relevant. Prezentul regulament nu creează un temei juridic pentru prelucrarea datelor cu caracter personal și nu afectează niciun drept și nicio obligație prevăzute în Regulamentele (UE) 2016/679 sau (UE) 2018/1725 sau în Directivele 2002/58/CE sau (UE) 2016/680.
(4) Prezentul regulament nu aduce atingere aplicării dreptului în materie de concurență.
(5) Prezentul regulament nu aduce atingere competențelor statelor membre în ceea ce privește activitățile lor legate de siguranța publică, apărare și securitatea națională.
Articolul 2
Definiții
În sensul prezentului regulament, se aplică următoarele definiții:
| 1. | „date” înseamnă orice reprezentare digitală a unor acte, fapte sau informații și orice compilație a unor astfel de acte, fapte sau informații, inclusiv sub forma unei înregistrări audio, video sau audiovizuale; |
| 2. | „reutilizare” înseamnă utilizarea, de către persoane fizice sau juridice, a datelor deținute de către organisme din sectorul public, în scopuri comerciale sau necomerciale diferite de scopul inițial pentru care au fost produse datele respective, scop care decurge din misiunea lor de serviciu public, cu excepția schimbului de date care are loc între organismele din sectorul public strict în contextul îndeplinirii misiunii lor de serviciu public; |
| 3. | „date cu caracter personal” înseamnă date cu caracter personal în sensul definiției de la articolul 4 punctul 1 din Regulamentul (UE) 2016/679; |
| 4. | „date fără caracter personal” înseamnă alte date decât datele cu caracter personal; |
| 5. | „consimțământ” înseamnă consimțământ în sensul definiției de la articolul 4 punctul 11 din Regulamentul (UE) 2016/679; |
| 6. | „permisiune” înseamnă acordarea utilizatorilor de date a dreptului la prelucrarea datelor fără caracter personal; |
| 7. | „persoană vizată” înseamnă persoană vizată în sensul definiției de la articolul 4 punctul 1 din Regulamentul (UE) 2016/679; |
| 8. | „deținător de date” înseamnă o persoană juridică, inclusiv organisme din sectorul public și organizații internaționale, sau o persoană fizică care nu este vizată în ceea ce privește datele specifice în cauză, care, în conformitate cu dreptul aplicabil al Uniunii sau cu dreptul intern aplicabil, are dreptul de a acorda acces la anumite date cu caracter personal sau fără caracter personal; |
| 9. | „utilizator de date” înseamnă o persoană fizică sau juridică care are acces legal la anumite date cu sau fără caracter personal și care are dreptul, inclusiv în temeiul Regulamentului (UE) 2016/679 în cazul datelor cu caracter personal, să utilizeze datele respective în scopuri comerciale sau necomerciale; |
| 10. | „partajare de date” înseamnă furnizarea de date de către o persoană vizată sau un deținător de date către un utilizator de date în scopul utilizării în comun sau individuale a unor astfel de date, pe baza unor acorduri voluntare sau a dreptului Uniunii sau a dreptului intern, direct sau printr-un intermediar, de exemplu în baza unor licențe deschise sau comerciale, contra unei taxe sau gratuit; |
| 11. | „serviciu de intermediere de date” înseamnă un serviciu care vizează stabilirea de relații comerciale în scopul partajării de date între un număr nedeterminat de persoane vizate și deținători de date, pe de o parte, și utilizatorii de date, pe de altă parte, prin mijloace tehnice, juridice sau de altă natură, inclusiv în scopul exercitării drepturilor persoanelor vizate în ceea ce privește datele cu caracter personal, excluzând cel puțin următoarele:
|
| 12. | „prelucrare” înseamnă prelucrare în sensul definiției de la articolul 4 punctul 2 din Regulamentul (UE) 2016/679 în ceea ce privește datele cu caracter personal sau la articolul 3 punctul 2 din Regulamentul (UE) 2018/1807 în ceea ce privește datele fără caracter personal; |
| 13. | „acces” înseamnă utilizarea datelor, în conformitate cu cerințe tehnice, juridice sau organizatorice specifice, fără a implica neapărat transmiterea sau descărcarea datelor; |
| 14. | „sediu principal” al unei persoane juridice înseamnă locul în care se află administrația centrală a acesteia în Uniune; |
| 15. | „servicii ale cooperativelor de date” înseamnă servicii de intermediere de date oferite de o structură organizațională constituită din persoane vizate, întreprinderi unipersonale sau IMM-uri, care sunt membre ale structurii respective, având ca obiective principale sprijinirea membrilor săi în exercitarea drepturilor lor cu privire la anumite date, inclusiv în ceea ce privește luarea de decizii în cunoștință de cauză înainte ca aceștia să consimtă la prelucrarea datelor, schimbul de opinii cu privire la scopurile și condițiile de prelucrare a datelor care ar reprezenta cel mai bine interesele membrilor săi în ceea ce privește datele lor și negocierea clauzelor și condițiilor pentru prelucrarea datelor în numele membrilor săi, înainte de acordarea permisiunii de a prelucra datele fără caracter personal sau înainte de acordarea consimțământului pentru prelucrarea datelor personale; |
| 16. | „altruism în materie de date” înseamnă partajarea voluntară de date pe baza consimțământului acordat de persoanele vizate în vederea prelucrării datelor cu caracter personal care le privesc sau a permisiunilor acordate de deținătorii de date de a li se utiliza datele fără caracter personal fără a cere sau a primi ceva în contrapartidă, care să depășească o compensație legată de costurile pe care le suportă aceștia pentru punerea la dispoziție a datelor lor pentru obiective de interes general, astfel cum sunt prevăzute în dreptul intern, după caz, cum ar fi asistența medicală, combaterea schimbărilor climatice, îmbunătățirea mobilității, facilitarea dezvoltării, elaborării și difuzării de statistici oficiale, îmbunătățirea furnizării de servicii publice, elaborarea politicilor publice sau scopurile de cercetare științifică în interesul general; |
| 17. | „organism din sectorul public” înseamnă statul, autoritățile regionale sau locale, organismele de drept public sau asociațiile formate din una sau mai multe astfel de autorități sau din unul sau mai multe astfel de organisme de drept public; |
| 18. | „organisme de drept public” înseamnă organisme care au următoarele caracteristici:
|
| 19. | „întreprindere publică” înseamnă orice întreprindere asupra căreia organismele din sectorul public pot exercita, direct sau indirect, o influență dominantă în virtutea dreptului de proprietate asupra acesteia, a participării financiare la aceasta sau al normelor care o guvernează; în sensul acestei definiții, se prezumă că există o influență dominantă din partea organismelor din sectorul public în oricare dintre cazurile următoare în care aceste organisme, în mod direct sau indirect:
|
| 20. | „mediu de prelucrare securizat” înseamnă mediul fizic sau virtual și mijloacele organizatorice necesare pentru a asigura conformitatea cu dreptul Uniunii, cum ar fi Regulamentul (UE) 2016/679, în special cu privire la drepturile persoanelor vizate, drepturile de proprietate intelectuală și confidențialitatea comercială și cea a datelor statistice, integritatea și accesibilitatea, precum și cu dreptul intern aplicabil și a permite entității care furnizează mediul de prelucrare securizat să stabilească și să supravegheze toate acțiunile de prelucrare a datelor, inclusiv cele de afișare, stocare, descărcare și exportare a datelor și de calculare a datelor derivate cu ajutorul algoritmilor computaționali; |
| 21. | „reprezentant legal” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în mod explicit să acționeze în numele unui furnizor de servicii de intermediere de date sau al unei entități care colectează, pentru obiective de interes general, date puse la dispoziție de persoane fizice sau juridice în conformitate cu principiul altruismului în materie de date, care nu este stabilită în Uniune, care poate fi abordată de autoritățile competente pentru serviciile de intermediere de date și de autoritățile competente pentru înregistrarea organizațiilor recunoscute de promovare a altruismului în materie de date în plus sau în locul furnizorului de servicii de intermediere de date sau al entității în legătură cu obligațiile care le revin în temeiul prezentului regulament, inclusiv cu privire la inițiere unei proceduri de asigurare a respectării legii împotriva unui furnizor de servicii de intermediere de date sau a unei entități care nu se conformează prevederilor legale și care nu este stabilită în Uniune. |
CAPITOLUL II
Reutilizarea anumitor categorii de date protejate deținute de organisme din sectorul public
Articolul 3
Categorii de date
(1) Prezentul capitol se aplică datelor deținute de organisme din sectorul public care sunt protejate din motive legate de:
| (a) | confidențialitatea comercială, inclusiv secretele de afaceri, profesionale sau de întreprindere; |
| (b) | confidențialitatea datelor statistice; |
| (c) | protecția drepturilor de proprietate intelectuală ale terților; sau |
| (d) | protecția datelor cu caracter personal, în măsura în care aceste date nu intră în domeniul de aplicare al Directivei (UE) 2019/1024. |
(2) Prezentul capitolul nu se aplică:
| (a) | datelor deținute de întreprinderile publice; |
| (b) | datelor deținute de radiodifuziunile publice și de filialele acestora, precum și de alte organisme sau filiale ale acestora pentru furnizarea unui serviciu public de radiodifuziune; |
| (c) | datelor deținute de instituțiile culturale și de învățământ; |
| (d) | datelor deținute de organisme din sectorul public care sunt protejate din motive de siguranță publică, apărare sau securitate națională; sau |
| (e) | datelor a căror furnizare constituie o activitate care nu face obiectul misiunii de serviciu public a organismelor în cauză din sectorul public, astfel cum sunt definite prin lege sau prin alte norme obligatorii din statul membru în cauză, sau, în lipsa unor astfel de norme, astfel cum sunt definite în conformitate cu practica administrativă curentă din statul membru în cauză, cu condiția ca obiectul misiunii de serviciu public să fie transparent și să facă obiectul unui control. |
(3) Prezentul capitol nu aduce atingere:
| (a) | dreptului Uniunii și dreptului intern și nici acordurilor internaționale, la care Uniunea sau statele membre sunt părți, privind protecția categoriilor de date menționate la alineatul (1); și |
| (b) | dreptului Uniunii și dreptului intern în ceea ce privește accesul la documente. |
Articolul 4
Interzicerea acordurilor de exclusivitate
(1) Sunt interzise acordurile sau alte practici referitoare la reutilizarea datelor deținute de organisme din sectorul public, conținând categoriile de date menționate la articolul 3 alineatul (1), care acordă drepturi exclusive sau care au ca obiectiv sau ca efect acordarea unor astfel de drepturi exclusive sau restricționarea disponibilității datelor pentru reutilizare de către alte entități decât părțile la astfel de acorduri sau alte practici.
(2) Prin derogare de la alineatul (1), se poate acorda un drept exclusiv de reutilizare a datelor menționate la alineatul respectiv în măsura necesară pentru furnizarea unui serviciu sau a unui produs de interes general, care altfel nu ar fi posibilă.
(3) Un drept exclusiv astfel cum se menționează la alineatul (2) se acordă prin intermediul unui act administrativ sau al unei înțelegeri contractuale, în conformitate cu dreptul aplicabil al Uniunii sau cu dreptul intern aplicabil și cu respectarea principiilor transparenței, egalității de tratament și nediscriminării.
(4) Durata unui drept exclusiv de reutilizare a datelor nu depășește 12 luni. În cazul în care se încheie un contract, durata contractului este aceeași cu durata dreptului exclusiv.
(5) Acordarea unui drept exclusiv în temeiul alineatelor (2), (3) și (4), inclusiv motivele pentru care este necesar să se acorde un astfel de drept, sunt transparente și puse la dispoziția publicului online, sub o formă care respectă dreptul relevant al Uniunii privind achizițiile publice.
(6) Acordurile sau alte practici care fac obiectul interdicției prevăzute la alineatul (1), care nu îndeplinesc condițiile prevăzute la alineatele (2) și (3) și care au fost încheiate înainte de 23 iunie 2022 încetează la sfârșitul contractului în cauză și, în orice caz, la 24 decembrie 2024.
Articolul 6
Taxe
(1) Organismele din sectorul public care permit reutilizarea categoriilor de date menționate la articolul 3 alineatul (1) pot percepe taxe pentru autorizarea reutilizării acestor date.
(2) Taxele percepute în temeiul alineatului (1) sunt transparente, nediscriminatorii, proporționale și justificate în mod obiectiv și nu restrâng concurența.
(3) Organismele din sectorul public se asigură că taxele pot fi plătite și online prin intermediul serviciilor de plăți transfrontaliere disponibile pe scară largă, fără discriminare în funcție de locul în care se află sediul furnizorului de servicii de plată, locul emiterii instrumentului de plată sau locul în care se află contul de plăți în Uniune.
(4) În cazul în care organismele din sectorul public aplică taxe, acestea iau măsuri pentru a încuraja reutilizarea categoriilor de date menționate la articolul 3 alineatul (1) în scopuri necomerciale, cum ar fi în scopul cercetării științifice, și de către IMM-uri și întreprinderile nou-înființate, în conformitate cu normele privind ajutoarele de stat. În această privință, organismele din sectorul public pot, de asemenea, să pună la dispoziție datele în schimbul unei taxe reduse sau gratuit, în special IMM-urilor și întreprinderilor nou-înființate, societății civile, precum și instituțiilor de învățământ. În acest scop, organismele din sectorul public pot stabili o listă de categorii de reutilizatori cărora le sunt puse la dispoziție date pentru reutilizare contra unei taxe reduse sau gratuit. Lista respectivă, împreună cu criteriile utilizate pentru stabilirea acesteia, se fac publice.
(5) Taxele se calculează pe baza costurilor legate de desfășurarea procedurii pentru cererile de reutilizare a categoriilor de date menționate la articolul 3 alineatul (1) și se limitează la costurile necesare în legătură cu:
| (a) | reproducerea, furnizarea și difuzarea datelor; |
| (b) | autorizarea drepturilor; |
| (c) | anonimizarea sau alte forme de pregătire a datelor cu caracter personal și a datelor comerciale confidențiale, astfel cum se prevede la articolul 5 alineatul (3); |
| (d) | întreținerea mediului de prelucrare securizat; |
| (e) | obținerea dreptului de a permite reutilizarea în conformitate cu prezentul capitol de către terți din afara sectorului public; și |
| (f) | acordarea de asistență reutilizatorilor pentru a solicita consimțământul persoanelor vizate și permisiunea deținătorilor de date ale căror drepturi și interese pot fi afectate de reutilizare. |
(6) Criteriile și metodologia de calculare a taxelor se stabilesc de statele membre și se publică. Organismul din sectorul public publică o descriere a principalelor categorii de costuri și a regulilor utilizate pentru repartizarea costurilor.
Articolul 7
Organisme competente
(1) În vederea îndeplinirii sarcinilor menționate la prezentul articol, fiecare stat membru desemnează unul sau mai multe organisme competente, care pot fi competente pentru anumite sectoare, pentru a asista organismele din sectorul public care acordă sau refuză accesul pentru reutilizarea categoriilor de date menționate la articolul 3 alineatul (1). Statele membre pot fie să înființeze unul sau mai multe organisme competente noi, fie să se bazeze pe organismele din sectorul public existente sau pe serviciile interne ale organismelor din sectorul public care îndeplinesc condițiile prevăzute în prezentul regulament.
(2) Organismele competente pot fi împuternicite să acorde accesul pentru reutilizarea categoriilor de date menționate la articolul 3 alineatul (1) în temeiul dreptului Uniunii sau al dreptului intern care prevede acordarea unui astfel de acces. Atunci când acordă sau refuză accesul în vederea reutilizării, respectivelor organisme competente li se aplică articolele 4, 5, 6 și 9.
(3) Organismele competente dispun de resursele juridice, financiare, tehnice și umane pentru îndeplinirea sarcinilor care le sunt atribuite, inclusiv cunoștințele tehnice necesare pentru a fi în măsură să respecte dreptul relevant al Uniunii sau dreptul național relevant privind regimurile de acces pentru categoriile de date menționate la articolul 3 alineatul (1).
(4) Asistența prevăzută la alineatul (1) include, după caz:
| (a) | furnizarea de asistență tehnică prin punerea la dispoziție a unui mediu de prelucrare securizat pentru furnizarea accesului în vederea reutilizării datelor; |
| (b) | oferirea de orientări și de asistență tehnică în legătură cu modul optim de structurare și de stocare a datelor pentru a face respectivele date ușor accesibile; |
| (c) | furnizarea de asistență tehnică pentru pseudonimizare și asigurarea prelucrării datelor într-un mod care protejează efectiv caracterul privat, confidențialitatea, integritatea și accesibilitatea informațiilor conținute în datele a căror reutilizare este autorizată, inclusiv a tehnicilor de anonimizare, generalizare, eliminare și randomizare a datelor cu caracter personal sau a altor metode de protecție a confidențialității de ultimă generație, precum și de ștergere a informațiilor comerciale confidențiale, inclusiv a secretelor comerciale sau a conținutului protejat de drepturi de proprietate intelectuală; |
| (d) | ajutarea organismelor din sectorul public, după caz, să acorde asistență reutilizatorilor în ce privește cererea consimțământului pentru reutilizare din partea persoanelor vizate sau a permisiunii din partea deținătorilor de date, în concordanță cu deciziile lor specifice, inclusiv cu privire la jurisdicția în care se preconizează că va avea loc prelucrarea datelor și acordarea de asistență organismelor din sectorul public în ce privește crearea de mecanisme tehnice care permit transmiterea de cereri de acordare a consimțământului sau a permisiunii din partea reutilizatorilor, acolo unde este fezabil în practică; |
| (e) | acordarea de asistență organismelor din sectorul public în ceea ce privește evaluarea caracterului adecvat al angajamentelor asumate prin contracte de un reutilizator în temeiul articolului 5 alineatul (10). |
(5) Fiecare stat membru notifică Comisiei identitatea organismelor competente desemnate în temeiul alineatului (1) până la 24 septembrie 2023. De asemenea, fiecare stat membru notifică Comisiei orice modificare ulterioară a identității organismelor competente respective.
Articolul 10
Servicii de intermediere de date
furnizarea următoarelor servicii de intermediere de date respectă articolul 12 și face obiectul unei proceduri de notificare:
| (a) | serviciile de intermediere între deținătorii de date și utilizatorii de date potențiali, inclusiv punerea la dispoziție a mijloacelor tehnice sau de altă natură care permit furnizarea unor astfel de servicii; aceste servicii pot include schimburi bilaterale sau multilaterale de date sau crearea de platforme sau de baze de date care permit schimbul sau utilizarea în comun a datelor, precum și instituirea altor infrastructuri specifice pentru punerea în legătură a deținătorilor de date cu utilizatorii de date; |
| (b) | serviciile de intermediere între persoanele vizate care doresc să își pună la dispoziție datele cu caracter personal sau persoanele fizice care doresc să pună la dispoziție datele fără caracter personal și utilizatorii de date potențiali, inclusiv punerea la dispoziție a mijloacelor tehnice sau de altă natură care permit furnizarea unor astfel de servicii, și în special facilitarea exercitării drepturilor persoanelor vizate prevăzute în Regulamentul (UE) 2016/679; |
| (c) | serviciile cooperativelor de date. |
Articolul 12
Condiții pentru furnizarea serviciilor de intermediere de date
furnizarea serviciilor de intermediere de date menționate la articolul 10 este supusă următoarelor condiții:
| (a) | furnizorul de servicii de intermediere de date nu poate utiliza datele pentru care furnizează servicii de intermediere de date în alte scopuri decât pentru a le pune la dispoziția utilizatorilor de date, iar serviciile de intermediere de date sunt prestate printr-o persoană juridică distinctă; |
| (b) | clauzele comerciale, inclusiv stabilirea prețurilor, pentru prestarea serviciilor de intermediere de date către un deținător de date sau un utilizator de date nu pot depinde de utilizarea de către deținătorul de date sau utilizatorul de date a altor servicii prestate de același furnizor de servicii de intermediere de date sau de o entitate conexă sau de măsura în care deținătorul de date sau utilizatorul de date utilizează astfel de servicii; |
| (c) | datele colectate cu privire la orice activitate a unei persoane fizice sau juridice în scopurile furnizării serviciului de intermediere de date, inclusiv data, ora și datele de geolocalizare, durata activității și conexiunile stabilite cu alte persoane fizice sau juridice de persoana care utilizează serviciul de intermediere de date, pot fi utilizate numai pentru dezvoltarea serviciului de intermediere de date respectiv, ceea ce poate implica utilizarea datelor pentru detectarea fraudelor sau pentru securitatea cibernetică, și se pun la dispoziția deținătorilor de date la cerere; |
| (d) | furnizorul de servicii de intermediere de date facilitează schimbul de date în formatul în care le primește de la persoana vizată sau de la deținătorul de date, convertește datele în formate specifice numai pentru a spori interoperabilitatea în cadrul sectoarelor și între sectoare sau dacă utilizatorul datelor solicită acest lucru ori dacă acest lucru este prevăzut de dreptul Uniunii sau pentru a asigura armonizarea cu standardele internaționale sau europene în materie de date și le oferă persoanelor vizate sau deținătorilor de date o posibilitate de neparticipare în ceea ce privește conversiile respective, cu excepția cazului în care conversia este impusă de dreptul Uniunii; |
| (e) | serviciile de intermediere de date pot include oferirea de instrumente și servicii specifice suplimentare deținătorilor de date sau persoanelor vizate în scopul specific al facilitării schimbului de date, cum ar fi stocarea temporară, organizarea, conversia, anonimizarea și pseudonimizarea; astfel de instrumente fiind utilizate numai la cererea explicită sau cu aprobarea explicită a deținătorului de date sau a persoanei vizate, iar instrumentele terților oferite în acest context nu sunt utilizate în alte scopuri; |
| (f) | furnizorul de servicii de intermediere de date se asigură că procedura de acces la serviciul său este echitabilă, transparentă și nediscriminatorie atât pentru persoanele vizate și deținătorii de date, cât și pentru utilizatorii de date, inclusiv cu privire la prețurile și condițiile serviciilor; |
| (g) | furnizorul de servicii de intermediere de date are proceduri adecvate pentru a împiedica practicile frauduloase sau abuzive în ceea ce privește părțile care solicită acces prin intermediul serviciilor sale de intermediere de date; |
| (h) | furnizorul de servicii de intermediere de date, în cazul în care intră în insolvență, asigură o continuitate rezonabilă a furnizării serviciilor sale de intermediere de date și în cazul în care serviciile de intermediere de date respective asigură stocarea datelor, acesta dispune de mecanisme pentru a permite deținătorilor și utilizatorilor de date să obțină acces la datele lor, să le transfere sau să le recupereze și, în cazul în care respectivele servicii de intermediere de date sunt furnizate între persoanele vizate și utilizatorii de date, pentru a permite persoanelor vizate să își exercite drepturile; |
| (i) | furnizorul de servicii de intermediere de date ia măsurile corespunzătoare pentru a asigura interoperabilitatea cu alte servicii de intermediere de date, printre altele, prin intermediul unor standarde deschise utilizate în comun în sectorul în care își desfășoară activitatea furnizorul de servicii de intermediere de date; |
| (j) | furnizorul de servicii de intermediere de date instituie măsuri tehnice, juridice și organizatorice adecvate pentru a împiedica transferul de date fără caracter personal sau accesul la acestea în cazul în care transferul sau accesul respectiv este ilegal în temeiul dreptului Uniunii sau al dreptului intern al statului membru relevant; |
| (k) | furnizorul de servicii de intermediere de date informează fără întârziere deținătorii de date în cazul unui transfer neautorizat, al unui acces neautorizat sau al unei utilizări neautorizate a datelor fără caracter personal pe care le-a partajat; |
| (l) | furnizorul de servicii de intermediere de date ia măsurile necesare pentru a asigura un nivel adecvat de securitate pentru stocarea, prelucrarea și transmiterea datelor fără caracter personal, iar furnizorul de servicii de intermediere de date asigură în plus cel mai înalt nivel de securitate pentru stocarea și transmiterea de informații sensibile din punct de vedere concurențial; |
| (m) | furnizorul de servicii de intermediere de date care oferă servicii persoanelor vizate acționează în interesul acestora atunci când facilitează exercitarea drepturilor lor, în special prin informarea și, după caz, consilierea persoanelor vizate într-o manieră concisă, transparentă, inteligibilă și ușor accesibilă cu privire la utilizările preconizate ale datelor de către utilizatorii de date și la clauzele și condițiile standard aferente acestor utilizări înainte ca persoanele vizate să își dea consimțământul; |
| (n) | în cazul în care un furnizor de servicii de intermediere de date oferă instrumente pentru obținerea consimțământului persoanelor vizate sau a permisiunilor de prelucrare a datelor puse la dispoziție de deținătorii de date, acesta precizează, după caz, jurisdicția țării terțe în care se preconizează că va avea loc utilizarea datelor și oferă persoanelor vizate instrumente pentru a-și da și retrage consimțământul, iar deținătorilor de date li se oferă instrumente pentru acordarea și retragerea permisiunilor de prelucrare a datelor; |
| (o) | furnizorul de servicii de intermediere de date păstrează o evidență a activității de intermediere de date. |
Articolul 14
Monitorizarea conformării
(1) Autoritățile competente pentru serviciile de intermediere de date monitorizează și supraveghează respectarea cerințelor prevăzute în prezentul capitol de către furnizorii de servicii de intermediere de date. Autoritățile competente pentru serviciile de intermediere de date pot, de asemenea, să monitorizeze și să supravegheze conformarea furnizorilor de servicii de intermediere de date pe baza unei cereri din partea unei persoane fizice sau juridice.
(2) Autoritățile competente pentru serviciile de intermediere de date au competența de a solicita furnizorilor de servicii de intermediere de date sau reprezentanților lor legali toate informațiile necesare pentru verificarea îndeplinirii cerințelor prevăzute în prezentul capitol. Orice cerere de informații este proporțională cu îndeplinirea sarcinii și se motivează.
(3) În cazul în care autoritatea competentă pentru serviciile de intermediere de date constată că un furnizor de servicii de intermediere de date nu respectă una sau mai multe dintre cerințele prevăzute în prezentul capitol, aceasta îi notifică furnizorului de servicii de intermediere de date în cauză constatările respective și îi oferă posibilitatea de a-și exprima punctul de vedere în termen de 30 de zile de la primirea notificării.
(4) Autoritatea competentă pentru serviciile de intermediere de date are competența de a solicita încetarea încălcării menționate la alineatul (3) într-un termen rezonabil sau imediat, în cazul unei încălcări grave, și adoptă măsuri corespunzătoare și proporționale pentru a asigura respectarea cerințelor. În acest sens, după caz, autoritățile competente pentru serviciile de intermediere de date au competența de a:
| (a) | impune, prin proceduri administrative, sancțiuni financiare cu efect de descurajare, care pot include penalități cu titlu cominatoriu și penalități cu efect retroactiv, de a iniția proceduri judiciare pentru impunerea de amenzi, sau ambele; |
| (b) | solicita o amânare a începerii sau o suspendare a furnizării serviciului de intermediere de date până la efectuarea oricăror modificări ale condițiilor solicitate de autoritatea competentă pentru serviciile de intermediere de date; sau |
| (c) | solicita încetarea furnizării serviciului de intermediere de date, în cazul în care încălcările grave sau repetate nu au fost remediate în pofida notificării prealabile în conformitate cu alineatul (3). |
Autoritatea competentă pentru serviciile de intermediere de date solicită Comisiei să elimine furnizorul de servicii de intermediere de date din registrul furnizorilor de servicii de intermediere de date de îndată ce a dispus încetarea furnizării serviciului de intermediere de date în conformitate cu primul paragraf litera (c).
În cazul în care un furnizor de servicii de intermediere de date remediază încălcările, respectivul furnizor de servicii de intermediere de date notifică din nou autoritatea competentă pentru serviciile de intermediere de date. Autoritatea competentă pentru serviciile de intermediere de date notifică Comisiei fiecare nouă notificare.
(5) În cazul în care un furnizor de servicii de intermediere de date care nu este stabilit în Uniune nu desemnează un reprezentant legal sau dacă reprezentantul său legal nu furnizează, la cererea autorității competente pentru serviciile de intermediere de date, informațiile necesare care demonstrează în mod cuprinzător respectarea prezentului regulament, autoritatea competentă pentru serviciile de intermediere de date are competența de a amâna începerea sau de a suspenda furnizarea serviciului de intermediere de date până la desemnarea reprezentantului legal sau până la furnizarea informației necesare.
(6) Autoritățile competente pentru serviciile de intermediere de date notifică fără întârziere furnizorului de servicii de intermediere de date în cauză măsurile impuse în temeiul alineatelor (4) și (5), motivele pe care se bazează acestea, precum și măsurile necesare care trebuie luate pentru a remedia deficiențele relevante și stabilesc un termen rezonabil, de maximum 30 de zile, în care furnizorul de servicii de intermediere de date să se conformeze măsurilor respective.
(7) Dacă un furnizor de servicii de intermediere de date își are sediul principal sau reprezentantul legal într-un stat membru, dar furnizează servicii în alte state membre, autoritatea competentă pentru serviciile de intermediere de date a statului membru în care se află sediul principal sau reprezentantul legal și autoritățile competente pentru serviciile de intermediere de date ale acestor alte state membre cooperează și își oferă asistență reciprocă. Această asistență și cooperare poate cuprinde schimburi de informații între autoritățile competente pentru serviciile de intermediere de date în cauză în vederea îndeplinirii sarcinilor acestora în temeiul prezentului regulament și solicitări motivate de a se lua măsurile menționate în prezentul articolul.
În cazul în care o autoritate competentă pentru serviciile de intermediere de date dintr-un stat membru solicită asistență din partea unei autorități competente pentru serviciile de intermediere de date dintr-un alt stat membru, aceasta prezintă o cerere motivată. La primirea unei astfel de cereri, autoritatea competentă pentru serviciile de intermediere de date furnizează un răspuns, fără întârziere și într-un interval de timp proporțional cu urgența cererii.
Orice informație transmisă în contextul asistenței solicitate și furnizată în temeiul prezentului articol se utilizează numai în scopul pentru care a fost solicitată.
Articolul 21
Cerințe specifice pentru protejarea drepturilor și a intereselor persoanelor vizate și ale deținătorilor de date cu privire la datele lor
(1) O organizație recunoscută de promovare a altruismului în materie de date informează persoanele vizate sau deținătorii de date înainte de orice prelucrare a datelor lor, într-un mod clar și ușor de înțeles, cu privire la:
| (a) | obiectivele de interes general și, dacă este cazul, cu privire la scopul specificat, explicit și legitim pentru care urmează să fie prelucrate datele cu caracter personal și pentru care permite prelucrarea datelor acestora de către un utilizator de date; |
| (b) | localizarea oricărei prelucrări efectuate într-o țară terță și obiectivele de interes general pentru care permite această prelucrare, în cazul în care prelucrarea este efectuată de organizația recunoscută de promovare a altruismului în materie de date. |
(2) Organizația recunoscută de promovare a altruismului în materie de date nu utilizează datele pentru alte obiective decât cele de interes general pentru care persoana vizată sau deținătorul de date permite prelucrarea. Organizația recunoscută de promovare a altruismului în materie de date nu folosește practici comerciale înșelătoare pentru a solicita furnizări de date.
(3) Organizația recunoscută de promovare a altruismului în materie de date pune la dispoziție instrumente pentru a obține consimțământul persoanelor vizate sau permisiunea de prelucrare a datelor puse la dispoziție de către deținătorii de date. Organizația recunoscută de promovare a altruismului în materie de date pune la dispoziție și instrumente pentru retragerea cu ușurință a unui astfel de consimțământ sau a unei astfel de permisiuni.
(4) Organizația recunoscută de promovare a altruismului în materie de date ia măsuri pentru a asigura un nivel adecvat de securitate pentru stocarea și prelucrarea datelor fără caracter personal pe care le-a colectat pe baza altruismului în materie de date.
(5) Organizația recunoscută de promovare a altruismului în materie de date informează fără întârziere deținătorii de date în cazul transferului neautorizat, al accesului neautorizat sau al utilizării neautorizate a datelor fără caracter personal pe care le-a partajat.
(6) În cazul în care organizația recunoscută de promovare a altruismului în materie de date facilitează prelucrarea datelor de către terți, inclusiv prin furnizarea instrumentelor care permit obținerea consimțământului persoanelor vizate sau a permisiunilor de a prelucra datele puse la dispoziție de deținătorii de date, aceasta specifică, după caz, jurisdicția țării terțe în care se preconizează că va avea loc utilizarea datelor.
whereas