Rozporządzenie delegowane 2018/573 w sprawie głównych elementów umów w sprawie przechowywania danych zawieranych w ramach systemu identyfikowalności wyrobów tytoniowych

Dzienniki UE

Dz.U.UE.L.2018.96.1

Akt obowiązujący
Wersja od: 16 kwietnia 2018 r.

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2018/573
z dnia 15 grudnia 2017 r.
w sprawie głównych elementów umów w sprawie przechowywania danych zawieranych w ramach systemu identyfikowalności wyrobów tytoniowych
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając dyrektywę Parlamentu Europejskiego i Rady 2014/40/UE z dnia 3 kwietnia 2014 r. w sprawie zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich w sprawie produkcji, prezentowania i sprzedaży wyrobów tytoniowych i powiązanych wyrobów oraz uchylającą dyrektywę 2001/37/WE 1 , w szczególności jej art. 15 ust. 12,

a także mając na uwadze, co następuje:

(1) Art. 15 ust. 8 dyrektywy 2014/40/UE zobowiązuje każdego producenta i importera do zawarcia - w ramach systemu identyfikowalności wyrobów tytoniowych bardziej szczegółowo określonego w rozporządzeniu wykonawczym Komisji (UE) 2018/574 2  - umowy z niezależną stroną trzecią z myślą o przechowywaniu informacji związanych z wyrobami tytoniowymi. Art. 15 ust. 12 dyrektywy 2014/40/UE upoważnia Komisję do określenia głównych elementów tych umów.

(2) Aby zapewnić efektywne funkcjonowanie systemu identyfikowalności wyrobów tytoniowych w ogólności oraz interoperacyjność systemu repozytoriów w szczególności, należy określić główne elementy umów w sprawie przechowywania danych, tak aby obejmowały one specyfikacje odnoszące się do operacyjności, dostępności i świadczenia usług przez dostawców systemów przechowywania danych. Aby zagwarantować skuteczne i ciągłe funkcjonowanie systemu identyfikowalności i ujętego w nim systemu przechowywania danych, niezbędne jest określenie przez dostawców jasnych wymogów dotyczących możliwości przenoszenia danych, na wypadek gdyby producent lub importer zdecydował się na zmianę dostawcy. W związku z tym umowy powinny zawierać postanowienia nakładające obowiązek stosowania technologii, która jest łatwo dostępna na rynku i powszechnie stosowana w sektorze, co pozwoli zapewnić skuteczny i nieprzerwany transfer danych między dotychczasowymi a nowymi dostawcami.

(3) W celu zapewnienia niezbędnego poziomu elastyczności należy umożliwić zwracanie się do dostawcy systemu przechowywania danych o świadczenie, za opłatą, pomocniczych usług technicznych związanych z obsługą repozytorium pierwotnego, takich jak rozbudowa funkcjonalności operacyjnej interfejsów użytkownika, pod warunkiem że dodatkowe usługi przyczyniają się do właściwego funkcjonowania systemu repozytoriów i nie naruszają wymogów określonych w rozporządzeniu wykonawczym (UE) 2018/574. W związku z tym umowa powinna przewidywać taką możliwość.

(4) Aby zapewnić ciągłą niezależność obsługi systemu identyfikowalności, Komisja powinna mieć możliwość cofnięcia zatwierdzenia dostawcy systemu przechowywania danych, z którym już zawarto umowę, w przypadku gdy ocena lub ponowna ocena jego zdolności technicznych lub niezależności prowadzi do negatywnych ustaleń w odniesieniu do jego odpowiedniości.

(5) Z myślą o zagwarantowaniu skutecznej organizacji bieżącego funkcjonowania systemu dostawcy repozytoriów pierwotnych powinni współpracować ze sobą, a także z właściwymi organami państw członkowskich i Komisją,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

Przedmiot

Niniejsze rozporządzenie określa główne elementy, które mają być włączone do umów w sprawie przechowywania danych, o których to umowach mowa w art. 15 ust. 8 dyrektywy 2014/40/UE.

Artykuł  2

Definicje

Do celów niniejszego rozporządzenia, poza definicjami określonymi w dyrektywie 2014/40/UE i w rozporządzeniu wykonawczym (UE) 2018/574, stosuje się następujące definicje:

1)
"umowa" oznacza porozumienie umowne między producentem lub importerem wyrobów tytoniowych a dostawcą systemów przechowywania danych zgodnie z art. 15 ust. 8 dyrektywy 2014/40/UE oraz rozporządzeniem wykonawczym (UE) 2018/574;
2)
"dostawca" oznacza dowolną osobę prawną, z którą producent lub importer wyrobów tytoniowych zawiera umowę w celu utworzenia i prowadzenia jego repozytorium pierwotnego oraz świadczenia usług powiązanych;
3)
"możliwość przenoszenia danych" oznacza zdolność przenoszenia danych między różnymi repozytoriami z wykorzystaniem technologii, która jest łatwo dostępna na rynku i stosowana powszechnie w sektorze.
Artykuł  3

Główne obowiązki wynikające z umowy

1. 
W umowie określa się podstawowe usługi świadczone przez dostawcę, które obejmują:
1)
utworzenie i prowadzenie repozytorium pierwotnego zgodnie z art. 26 rozporządzenia wykonawczego (UE) 2018/574;
2)
w przypadku gdy operator repozytorium pierwotnego jest wyznaczony jako dostawca repozytorium wtórnego - utworzenie i prowadzenie repozytorium wtórnego oraz instalacja i obsługa routera zgodnie z art. 27, 28 i 29 rozporządzenia wykonawczego (UE) 2018/574;
3)
świadczenie, na żądanie, innych pomocniczych usług technicznych związanych z obsługą repozytorium pierwotnego, które to usługi przyczyniają się do prawidłowego funkcjonowania systemu repozytoriów.
2. 
Jeśli chodzi o określenie podstawowych usług, o których mowa w ust. 1 pkt 1 i 2, umowa zawiera specyfikacje odnoszące się do operacyjności, dostępności i świadczenia usług spełniających minimalne wymogi określone w niniejszym rozporządzeniu i ustanowione w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.
Artykuł  4

Specjalistyczna wiedza techniczna

Umowa wymaga od dostawców wydania producentowi lub importerowi pisemnego oświadczenia, że dostawcy posiadają lub mają do dyspozycji specjalistyczną wiedzę techniczną i operacyjną niezbędną do świadczenia usług, o których mowa w art. 3, oraz do spełnienia wymogów ustanowionych w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.

Artykuł  5

Dostępność repozytorium pierwotnego

1. 
W umowie określa się gwarantowany miesięczny nieprzerwany czas działania i dostępność repozytorium pierwotnego na poziomie 99,5 %.
2. 
Umowa wymaga od dostawcy stosowania odpowiednich mechanizmów zabezpieczających w celu uniemożliwienia jakiejkolwiek utraty danych przechowywanych, otrzymywanych lub przekazywanych w momencie, gdy repozytorium pierwotne staje się niedostępne.
Artykuł  6

Prawa dostępu

Umowa określa wymogi w zakresie fizycznego i wirtualnego dostępu do repozytorium pierwotnego przyznawanego - na poziomie serwera i bazy danych - administratorom krajowym z państw członkowskich, Komisji i wyznaczonym audytorom zewnętrznym zgodnie z art. 25 rozporządzenia wykonawczego (UE) 2018/574.

Artykuł  7

Podwykonawstwo

1. 
W przypadku gdy umowa przewiduje, że dostawca może zlecić podwykonawstwo niektórych obowiązków wynikających z umowy, zawiera ona postanowienie wyjaśniające, że podwykonawstwo nie wpływa na główną odpowiedzialność dostawcy za wykonanie umowy.
2. 
Ponadto w umowie wymaga się od dostawcy:
a)
zapewnienia, aby proponowany podwykonawca posiadał niezbędną specjalistyczną wiedzę techniczną i spełniał wymogi niezależności określone w art. 35 rozporządzenia wykonawczego (UE) 2018/574.
b)
przedłożenia Komisji kopii oświadczenia, o którym mowa w art. 8 niniejszego rozporządzenia, podpisanego przez danego podwykonawcę (danych podwykonawców).
Artykuł  8

Niezależność prawna i finansowa

Umowa wymaga, aby dostawcy i - w stosownych przypadkach - ich podwykonawcy przedkładali producentowi lub importerowi, wraz z umową w sprawie przechowywania danych, pisemne oświadczenie, że spełniają oni wymogi niezależności prawnej i finansowej określone w art. 35 rozporządzenia wykonawczego (UE) 2018/574.

Artykuł  9

Ochrona i poufność danych

1. 
Umowa przewiduje, że dostawcy wprowadzają wszelkie właściwe środki niezbędne do zapewnienia poufności, integralności i dostępności wszystkich danych przechowywanych w ramach wykonywanej umowy. Środki te obejmują kontrole bezpieczeństwa administracyjnego, technicznego i fizycznego.
2. 
Umowa wymaga, aby dane osobowe gromadzone w ramach jej wykonywania były przetwarzane zgodnie z dyrektywą 95/46/WE Parlamentu Europejskiego i Rady 3 .
Artykuł  10

Zarządzanie bezpieczeństwem informacji

Umowa zobowiązuje dostawców do oświadczenia, że repozytorium pierwotne i - w stosownych przypadkach - repozytorium wtórne są zarządzane zgodnie z międzynarodowo uznanymi normami zarządzania bezpieczeństwem informacji. Uznaje się, że dostawcy, którzy uzyskali certyfikat ISO/IEC 27001:2013, spełniają te normy.

Artykuł  11

Koszty

W umowie wymaga się, aby dostawcy naliczali koszty, które mają ponieść producenci lub importerzy zgodnie z art. 30 rozporządzenia wykonawczego (UE) 2018/574, w sposób sprawiedliwy, uzasadniony i proporcjonalny do:

a)
świadczonych usług; oraz
b)
liczby niepowtarzalnych identyfikatorów, o które dany producent lub importer wystąpił w danym okresie.
Artykuł  12

Uczestnictwo w systemie repozytoriów wtórnych

1. 
Umowa zobowiązuje dostawcę do uczestniczenia w tworzeniu systemu repozytoriów wtórnych (w przypadku gdy w dniu zawarcia umowy system repozytoriów wtórnych nie został jeszcze utworzony), jeżeli wymagają tego przepisy rozdziału V rozporządzenia wykonawczego (UE) 2018/574.
2. 
Umowa zawiera postanowienie, które umożliwia dostawcom uzyskanie od producentów i importerów wyrobów tytoniowych zwrotu kosztów poniesionych w związku z utworzeniem, prowadzeniem i utrzymywaniem repozytorium wtórnego oraz instalacją, obsługą i konserwacją routera, o których mowa w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.
Artykuł  13

Czas trwania umowy

Czas trwania umowy ustala się na okres co najmniej pięciu lat z możliwością odnowienia, z zastrzeżeniem zgody stron i pod warunkiem, że dostawca wciąż spełnia wymogi dyrektywy 2014/40/UE oraz rozporządzenia wykonawczego (UE) 2018/574.

Artykuł  14

Komunikacja z innymi stronami

Umowa zobowiązuje dostawców do wzajemnej współpracy oraz współpracy z właściwymi organami państw członkowskich w zakresie niezbędnym do zapewnienia skutecznej organizacji bieżącego funkcjonowania systemu repozytoriów.

Artykuł  15

Audyty

1. 
Umowa określa warunki umożliwiające audytorom zewnętrznym, którzy zostali zatwierdzeni przez Komisję zgodnie z art. 15 ust. 8 dyrektywy 2014/40/UE, przeprowadzanie zapowiedzianych i niezapowiedzianych audytów w odniesieniu do repozytorium pierwotnego oraz - w stosownych przypadkach - repozytorium wtórnego, w tym ocenę, czy dostawca i - w stosownych przypadkach - jego podwykonawcy spełniają odpowiednie wymogi prawne.
2. 
Umowa stanowi, że audytorzy zewnętrzni mają nieograniczony fizyczny i wirtualny dostęp do repozytorium pierwotnego i - w stosownych przypadkach - repozytorium wtórnego oraz powiązanych z nimi usług przez cały czas trwania audytu.
Artykuł  16

Odpowiedzialność

Zgodnie z przepisami prawa właściwego w umowie ustanawia się warunki określające odpowiedzialność stron, w tym w odniesieniu do bezpośrednich i pośrednich szkód, które mogą powstać w związku z wykonywaniem umowy. Nie naruszając przepisów prawa właściwego, umowa określa, że nie ma ograniczenia odpowiedzialności w przypadku naruszenia poufności lub naruszenia przepisów w zakresie ochrony danych.

Artykuł  17

Rozwiązanie umowy

1. 
Zgodnie z prawem właściwym umowa określa warunki dotyczące rozwiązania umowy. W przypadku rozwiązania umowy umowa nakłada na stronę, która ją rozwiązuje, obowiązek powiadomienia Komisji, zgodnie z wymogami proceduralnymi określonymi w załączniku I do rozporządzenia wykonawczego (UE) 2018/574.
2. 
Umowa zobowiązuje strony do zapewnienia minimalnego okresu wypowiedzenia wynoszącego pięć miesięcy przed rozwiązaniem umowy.

Na zasadzie odstępstwa od przepisów akapitu pierwszego umowa nakłada na producentów i importerów obowiązek natychmiastowego rozwiązania umowy:

a)
w razie poważnego naruszenia przez dostawcę jego obowiązków wynikających z umowy;
b)
w przypadku gdy dostawca staje się niewypłacalny lub istnieje bezpośrednie ryzyko, że stanie się niewypłacalny zgodnie z przepisami prawa właściwego.
3. 
Do celów ust. 2 lit. a) poważne naruszenie ma miejsce, gdy:
a)
dostawca nie wypełnia zobowiązań lub nie świadczy usług przewidzianych w umowie, które mają zasadnicze znaczenie dla skutecznego funkcjonowania systemu identyfikowalności, w tym - w szczególności - nie spełnia wymogów określonych w rozdziale V rozporządzenia wykonawczego (UE) 2018/574;
b)
dostawca przestaje spełniać wymogi niezależności prawnej i finansowej określone w art. 35 ust. 2 rozporządzenia wykonawczego (UE) 2018/574 oraz w przypadku, gdy przed upływem terminu, o którym mowa w art. 35 ust. 6 rozporządzenia wykonawczego (UE) 2018/574, niemożliwe było przywrócenie zgodności z wymogami.
Artykuł  18

Zawieszenie usług

W umowie określa się, że zawieszenie usług w przypadku opóźnienia w płatności przez producenta lub importera na rzecz dostawcy jest zabronione, chyba że opóźnienie przekracza ostateczny termin płatności o trzydzieści dni lub więcej.

Artykuł  19

Możliwość przenoszenia danych

1. 
Umowa wymaga od dostawców zapewnienia pełnej możliwości przenoszenia danych w przypadkach, gdy producent lub importer zawiera umowę w sprawie prowadzenia jego repozytorium pierwotnego z nowym dostawcą. Dotychczasowy dostawca dostarcza nowemu dostawcy przed datą rozwiązania umowy aktualną kopię wszystkich danych przechowywanych w repozytorium pierwotnym. Wszelkie aktualizacje danych po takim dostarczeniu podlegają migracji do nowego dostawcy bez zbędnej zwłoki.
2. 
W celu zapewnienia ciągłości działań umowa obejmuje stosowny plan odstąpienia od umowy określający procedurę, której należy przestrzegać w przypadku, gdy umowa jest rozwiązywana, a producent lub importer zawiera umowę z nowym dostawcą. Plan zawiera wymóg, aby dotychczasowy dostawca w dalszym ciągu świadczył swoje usługi aż do momentu, w którym nowy dostawca będzie w pełni operacyjny.
3. 
Umowa zawiera postanowienia gwarantujące, by dotychczasowy dostawca nie miał prawa zatrzymywania żadnych danych, informacji ani innych niezbędnych materiałów związanych z repozytorium pierwotnym po ich dostarczeniu do nowego dostawcy.
Artykuł  20

Prawo właściwe i jurysdykcja

1. 
Umowa podlega przepisom prawa jednego z państw członkowskich Unii Europejskiej zgodnie z ustaleniami stron.
2. 
Umowa podlega jurysdykcji jednego z państw członkowskich Unii Europejskiej zgodnie z ustaleniami stron.
Artykuł  21

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 15 grudnia 2017 r.
W imieniu Komisji
Jean-Claude JUNCKER
Przewodniczący
1 Dz.U. L 127 z 29.4.2014, s. 1.
2 Rozporządzenie wykonawcze Komisji (UE) 2018/574 z dnia 15 grudnia 2017 r. w sprawie norm technicznych dotyczących ustanowienia i funkcjonowania systemu identyfikowalności wyrobów tytoniowych (zob. s. 7 niniejszego Dziennika Urzędowego).
3 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .