32018R0573[1]

A Bizottság (EU) 2018/573 felhatalmazáson alapuló rendelete (2017. december 15.) a dohánytermékek nyomonkövethetőségi rendszerének részeként kötendő adattárolási szerződések kulcsfontosságú elemeiről (EGT-vonatkozású szöveg. )

A BIZOTTSÁG (EU) 2018/573 FELHATALMAZÁSON ALAPULÓ RENDELETE

(2017. december 15.)

a dohánytermékek nyomonkövethetőségi rendszerének részeként kötendő adattárolási szerződések kulcsfontosságú elemeiről

(EGT-vonatkozású szöveg)

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a tagállamoknak a dohánytermékek és kapcsolódó termékek gyártására, kiszerelésére és értékesítésére vonatkozó törvényi, rendeleti és közigazgatási rendelkezései közelítéséről és a 2001/37/EK irányelv hatályon kívül helyezéséről szóló, 2014. április 3-i 2014/40/EU európai parlamenti és tanácsi irányelvre (1) és különösen annak 15. cikke (12) bekezdésére,

mivel:

(1) A 2014/40/EU irányelv 15. cikkének (8) bekezdése előírja a gyártók és az importőrök számára, hogy az (EU) 2018/574 bizottsági végrehajtási rendeletben (2) részletesen meghatározott, dohánytermékekre vonatkozó nyomonkövethetőségi rendszer részeként egy független, harmadik félnek számító szolgáltatóval kössenek szerződést a dohánytermékekkel kapcsolatos információk tárolása céljából. A 2014/40/EU irányelv 15. cikkének (12) bekezdése felhatalmazza a Bizottságot e szerződések kulcsfontosságú elemeinek meghatározására.

(2) A dohánytermékek általános nyomonkövethetőségét szolgáló rendszer hatékony működésének és különösen az adattároló rendszer kölcsönös átjárhatóságának biztosítása érdekében meg kell határozni az adattárolási szerződések legfontosabb elemeit, ideértve az adattár-szolgáltatók által nyújtandó szolgáltatások működőképességére, rendelkezésre állására és teljesítményére vonatkozó előírásokat is. A nyomonkövethetőségi rendszer és az abban foglalt adattároló rendszer hatékony és folyamatos működése szükségessé teszi, hogy a szolgáltatók egyértelmű adathordozhatósági követelményeket írjanak elő az olyan esetekre vonatkozóan, amikor a gyártó vagy az importőr úgy dönt, hogy szolgáltatót vált. Ezért a szerződéseknek olyan rendelkezéseket kell tartalmazniuk, amelyek a piacon könnyen hozzáférhető és az ágazatban széles körben használt technológia alkalmazását írják elő a jelenlegi és az új szolgáltatók közötti hatékony és megszakítás nélküli adattovábbítás biztosítása érdekében.

(3) A rugalmasság szükséges szintjének biztosítása érdekében lehetővé kell tenni, hogy az adattár-szolgáltatótól - díjazás ellenében - kiegészítő műszaki szolgáltatások elvégzését lehessen kérni az elsődleges adattár működtetésével - például a felhasználói felületek működési funkcióinak kiterjesztésével - kapcsolatban, feltéve, hogy a kiegészítő szolgáltatások hozzájárulnak az adattároló rendszer megfelelő működéséhez, és nem sértik az (EU) 2018/574 bizottsági végrehajtási rendeletben meghatározott követelményeket. Ezért a szerződésnek biztosítania kell ezt a lehetőséget.

(4) A nyomonkövethetőségi rendszer független működésének megőrzése érdekében a Bizottság számára lehetővé kell tenni, hogy visszavonja egy már megbízott adattár-szolgáltatóra vonatkozó jóváhagyását, amennyiben a szolgáltató műszaki kapacitásának vagy függetlenségének értékelése vagy újbóli értékelése annak alkalmassága szempontjából kedvezőtlen eredménnyel zárul.

(5) A rendszer napi működésének hatékony megszervezése érdekében az elsődleges adattárak szolgáltatóinak együtt kell működniük egymással, valamint a tagállamok illetékes hatóságaival és a Bizottsággal,

ELFOGADTA EZT A RENDELETET:

1. cikk

Tárgy

Ez a rendelet meghatározza azokat a kulcsfontosságú elemeket, amelyeket a 2014/40/EU irányelv 15. cikkének (8) bekezdésében említett adattárolási szerződéseknek tartalmazniuk kell.

2. cikk

Fogalommeghatározások

A 2014/40/EU irányelvben és az (EU) 2018/574 végrehajtási rendeletben megállapított fogalommeghatározásokon túl e rendelet alkalmazásában a következő fogalommeghatározások alkalmazandók:

1. "szerződés": a dohánytermékek gyártója vagy importőre és egy adattároló rendszer szolgáltatója közötti, a 2014/40/EU irányelv 15. cikkének (8) bekezdése és az (EU) 2018/574 végrehajtási rendelet szerinti szerződéses megállapodás;

2. "szolgáltató": az elsődleges adattár és a kapcsolódó szolgáltatások létrehozása és működtetése céljából a dohánytermékek gyártója vagy importőre által megbízott jogi személy;

3. "adathordozhatóság": az adatok különböző adattárak közötti, a piacon könnyen elérhető és az ágazatban széles körben használt technológia alkalmazásával történő átvitelének képessége.

3. cikk

A szerződés alapján fennálló kulcsfontosságú felelősségi körök

(1) A szerződés meghatározza a szolgáltató által nyújtandó kulcsfontosságú szolgáltatásokat, amelyek a következőket foglalják magukban:

1. az elsődleges adattár létrehozása és működtetése az (EU) 2018/574 végrehajtási rendelet 26. cikkének megfelelően;

2. amennyiben az elsődleges adattár működtetőjét jelölik ki a másodlagos adattár szolgáltatójaként, a másodlagos adattár és az útválasztó létrehozása és működtetése az (EU) 2018/574 végrehajtási rendelet 27., 28. és 29. cikkének megfelelően;

3. az adattároló rendszer megfelelő működéséhez hozzájáruló, az elsődleges adattár működtetésével kapcsolatos egyéb kiegészítő műszaki szolgáltatások kérésre történő biztosítása.

(2) Az (1) bekezdés 1. és 2. pontjában említett kulcsfontosságú szolgáltatások meghatározásakor a szerződésnek tartalmaznia kell az e rendeletben meghatározott minimumkövetelményeknek megfelelő és az (EU) 2018/574 végrehajtási rendelet V. fejezetében meghatározott szolgáltatások működőképességére, rendelkezésre állására és teljesítményére vonatkozó előírásokat.

4. cikk

Műszaki szakértők

A szerződés előírja a szolgáltatók számára, hogy a gyártó vagy az importőr részére írásbeli nyilatkozatot adjanak ki arról, hogy birtokában vannak a 3. cikkben említett szolgáltatások teljesítéséhez és az (EU) 2018/574 végrehajtási rendelet V. fejezetében megállapított követelményeknek való megfeleléshez szükséges műszaki és üzemeltetési szakértelemnek, illetve az a rendelkezésükre áll.

5. cikk

Az elsődleges adattár elérhetősége

(1) A szerződés meghatározza a garantált havi üzemidőt és az elsődleges adattár 99,5 %-os elérhetőségét.

(2) A szerződés előírja, hogy a szolgáltatónak megfelelő biztonsági mechanizmusokat kell bevezetnie annak érdekében, hogy megakadályozza a tárolt, fogadott vagy továbbított adatok elvesztését, amikor az elsődleges adattár nem hozzáférhető.

6. cikk

Hozzáférési jogok

A szerződés az (EU) 2018/574 végrehajtási rendelet 25. cikkével összhangban meghatározza az elsődleges adattárhoz való, a tagállamok nemzeti rendszergazdái, a Bizottság és a kijelölt külső ellenőrök számára nyújtandó fizikai és virtuális hozzáférés követelményeit.

7. cikk

Alvállalkozói szerződéskötés

(1) Amennyiben a szerződés úgy rendelkezik, hogy a szolgáltató bizonyos szerződés szerinti kötelezettségeket alvállalkozásba adhat, akkor tartalmaznia kell egy olyan rendelkezést, amely egyértelművé teszi, hogy az alvállalkozói szerződés nem érinti a szolgáltató elsődleges felelősségét a szerződés teljesítéséért.

(2) A szerződés továbbá előírja a szolgáltató számára:

a) hogy biztosítsa, hogy a javasolt alvállalkozó rendelkezzen a szükséges műszaki szakértelemmel, és eleget tegyen az (EU) 2018/574 végrehajtási rendelet 35. cikkében előírt függetlenségi követelményeknek;

b) hogy nyújtsa be a Bizottságnak az e rendelet 8. cikkében említett, az érintett alvállalkozó(k) által aláírt nyilatkozat másolatát.

8. cikk

Jogi és pénzügyi függetlenség

A szerződés előírja a szolgáltatók és adott esetben az alvállalkozóik számára, hogy a gyártó vagy az importőr részére az adattárolási szerződés mellett írásbeli nyilatkozatot adjanak ki arról, hogy megfelelnek az (EU) 2018/574 végrehajtási rendelet 35. cikkében meghatározott jogi és pénzügyi függetlenség követelményeinek.

9. cikk

Adatvédelem és bizalmas adatkezelés

(1) A szerződés meghatározza, hogy a szolgáltatónak minden megfelelő intézkedést meg kell tennie annak érdekében, hogy biztosítsa a szerződés teljesítése során tárolt valamennyi adat bizalmas kezelését, sértetlenségét és elérhetőségét. Ezen intézkedések magukban foglalják az adminisztratív, műszaki és fizikai biztonsági és védelmi ellenőrzéseket.

(2) A szerződés előírja, hogy a szerződés alapján kezelt személyes adatokat a 95/46/EK európai parlamenti és tanácsi irányelvnek (3) megfelelően kell feldolgozni.

10. cikk

Információbiztonsági irányítás

A szerződés előírja a szolgáltatók számára annak kijelentését, hogy az elsődleges adattárat és adott esetben a másodlagos adattárat a nemzetközileg elismert információbiztonsági szabványokkal összhangban kezelik. Az ISO/IEC 27001:2013 szabvány szerint tanúsított szolgáltatók esetében vélelmezni kell, hogy megfelelnek az említett szabványoknak.

11. cikk

Költségek

A szerződés előírja, hogy a szolgáltatók által a gyártóknak vagy importőröknek az (EU) 2018/574 végrehajtási rendelet 30. cikkével összhangban felszámított költségek méltányosak, észszerűek és a következőkkel arányosak legyenek:

a) a teljesített szolgáltatások; valamint

b) az adott időszakban az érintett gyártó vagy importőr által igényelt egyedi azonosítók száma.

12. cikk

Részvétel a másodlagos adattároló rendszerben

(1) A szerződés előírja a szolgáltató számára, hogy az (EU) 2018/574 végrehajtási rendelet V. fejezetében előírt szabályoknak megfelelően szükség szerint részt vegyen a másodlagos adattároló rendszer létrehozásában (amennyiben a másodlagos rendszer még nem jött létre a szerződés megkötésének napján).

(2) A szerződés olyan rendelkezést tartalmaz, amely lehetővé teszi a szolgáltatók számára, hogy megtéríttessék a dohánytermékek gyártóival és importőreivel az (EU) 2018/574 végrehajtási rendelet V. fejezetében említett másodlagos adattár és az útválasztó létrehozásával, működtetésével és karbantartásával kapcsolatban felmerülő költségeket.

13. cikk

Időtartam

A szerződés időtartamát legalább öt évre kell meghatározni a megújítás lehetőségével a felek egyetértése esetén, és amennyiben a szolgáltató folyamatosan megfelel a 2014/40/EU irányelv és az (EU) 2018/574 végrehajtási rendelet követelményeinek.

14. cikk

Kommunikáció más felekkel

A szerződés előírja a szolgáltatók számára, hogy egymással, valamint a tagállamok illetékes hatóságaival az adattároló rendszer napi működésének hatékony megszervezéséhez szükséges mértékben együttműködjenek.

15. cikk

Ellenőrzések

(1) A szerződés meghatározza azokat a feltételeket, amelyek a 2014/40/EU irányelv 15. cikkének (8) bekezdésével összhangban lehetővé teszik a Bizottság által jóváhagyott külső ellenőrök számára, hogy bejelentett és be nem jelentett ellenőrzéseket hajtsanak végre az elsődleges adattár és adott esetben a másodlagos adattár vonatkozásában, beleértve annak értékelését, hogy a szolgáltató és adott esetben az alvállalkozói megfelelnek-e a vonatkozó jogszabályi követelményeknek.

(2) A szerződés meghatározza, hogy a külső ellenőrök az ellenőrzés időtartamára korlátlan fizikai és virtuális hozzáférést kapnak az elsődleges adattárhoz és adott esetben a másodlagos adattárhoz, valamint a kapcsolódó szolgáltatásokhoz.

16. cikk

Felelősség

A szerződés meghatározza a felek felelősségét részletező feltételeket, többek között a szerződés alapján esetlegesen felmerülő közvetlen és közvetett károk tekintetében, az alkalmazandó jognak megfelelően. Az alkalmazandó jog sérelme nélkül a szerződés tovább pontosítja, hogy a titoktartási kötelezettség megsértése vagy az adatvédelmi szabályok megsértése esetén nem áll fenn a felelősség korlátozása.

17. cikk

A szerződés megszüntetése

(1) A szerződés meghatározza a szerződés megszüntetésének feltételeit, az alkalmazandó jognak megfelelően. A szerződés megszüntetése esetén a szerződés előírja a megszüntető fél számára, hogy az (EU) 2018/574 végrehajtási rendelet I. mellékletében megállapított eljárási követelményekkel összhangban értesítse a Bizottságot.

(2) A szerződés előírja a felek számára, hogy a szerződés megszüntetésére vonatkozóan legalább öt hónapos felmondási időt biztosítsanak.

Az első albekezdéstől eltérően a szerződés előírja a gyártók és az importőrök számára a szerződés azonnali megszüntetését:

a) abban az esetben, ha a szolgáltató súlyosan megsérti a szerződésből eredő kötelezettségeit;

b) amennyiben a szolgáltató az alkalmazandó jog alapján fizetésképtelenné válik, vagy a közeljövőben fennáll annak a veszélye, hogy fizetésképtelenné válik.

(3) A (2) bekezdés a) pontjának alkalmazásában a súlyos jogsértés a következőket foglalja magában:

a) a szolgáltató nem képes a nyomonkövethetőségi rendszer hatékony működése szempontjából kritikus fontosságú, a szerződésben előírt kötelezettségek vagy szolgáltatások teljesítésére, ideértve különösen az (EU) 2018/574 végrehajtási rendelet V. fejezetében foglalt követelmények be nem tartását;

b) amennyiben a szolgáltató már nem felel meg az (EU) 2018/574 végrehajtási rendelet 35. cikkének (2) bekezdésében megállapított jogi és pénzügyi függetlenség követelményeinek és amennyiben az (EU) 2018/574 végrehajtási rendelet 35. cikkének (6) bekezdésében említett időszak lejártáig a követelményeknek való megfelelés nem megvalósítható.

18. cikk

Szolgáltatások felfüggesztése

A szerződés meghatározza, hogy tilos a szolgáltatásoknak a gyártó vagy az importőr részéről történő késedelmes kifizetés miatti felfüggesztése, kivéve, ha a késedelem harminc vagy több nappal meghaladja az utolsó fizetési határidőt.

19. cikk

Adathordozhatóság

(1) A szerződés előírja a szolgáltatók számára, hogy biztosítsák a teljeskörű adathordozhatóságot azokban az esetekben, amikor a gyártó vagy az importőr új szolgáltatóval köt szerződést az elsődleges adattár működtetésére. A jelenlegi szolgáltató a szerződés megszüntetése előtt átadja az új szolgáltatónak az elsődleges adattárban tárolt összes adat naprakész változatát. Az adatoknak bármely, ezen átadást követő frissítését indokolatlan késedelem nélkül el kell juttatni az új szolgáltatóhoz.

(2) Az üzletmenet folytonosságának biztosítása érdekében a szerződésnek tartalmaznia kell egy alkalmazandó kilépési tervet, amely meghatározza a szerződés megszüntetése esetén követendő eljárást, emellett pedig a gyártónak vagy az importőrnek új szolgáltatóval kell szerződést kötnie. A tervnek tartalmaznia kell azt a követelményt, hogy a jelenlegi szolgáltató az új szolgáltató működésbe lépéséig továbbra is nyújtson szolgáltatást.

(3) A szerződésnek olyan rendelkezéseket kell tartalmaznia, amelyek biztosítják, hogy a jelenlegi szolgáltató az új szolgáltató részére történő átadást követően ne rendelkezzen az elsődleges adattárral kapcsolatos adatok, információk vagy egyéb szükséges anyagok megőrzésének jogával.

20. cikk

Alkalmazandó jog és joghatóság

(1) A szerződésre az Európai Unió egyik tagállamának jogszabályai az irányadók, a szerződés szerződő feleinek megállapodása szerint.

(2) A szerződésre az Európai Unió egyik tagállamának a joghatósága az irányadó, a szerződés szerződő feleinek megállapodása szerint.

21. cikk

Hatálybalépés

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2017. december 15-én.

a Bizottság részéről

az elnök

Jean-Claude JUNCKER

(1) HL L 127., 2014.4.29., 1. o.

(2) A Bizottság (EU) 2018/574 végrehajtási rendelete (2017. december 15.) a dohánytermékek nyomonkövethetőségi rendszerének létrehozására és működtetésére vonatkozó műszaki előírásokról - (lásd e Hivatalos Lap 7. oldalát).

(3) Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).