Делегований Регламент Комісії (ЄС) 2018/573 від 15 грудня 2017 року про ключові елементи договорів про зберігання даних, які укладають у рамках системи відстеження тютюнових виробів

ЄВРОПЕЙСЬКА КОМІСІЯ,

Беручи до уваги Договір про функціонування Європейського Союзу,

Беручи до уваги Директиву Європейського Парламенту і Ради 2014/40/ЄС від 03 квітня 2014 року про наближення законів, підзаконних нормативно-правових актів та адміністративних положень держав-членів щодо виробництва, представлення та продажу тютюнових виробів і супутніх виробів та про скасування Директиви 2001/37/ЄС (- 1), зокрема її статтю 15(12),

Оскільки:

(1) Стаття 15(8) Директиви 2014/40/ЄС встановлює вимогу до кожного виробника та імпортера в рамках системи відстеження тютюнових виробів, додатково визначеної в Імплементаційному регламенті Комісії (ЄС) 2018/574 (- 2), укладати договір із незалежним надавачем послуг як із третьою стороною з метою зберігання інформації, пов'язаної з його тютюновими виробами. Стаття 15(12) Директиви 2014/40/ЄС надає Комісії повноваження визначати ключові елементи таких договорів.

(2) Для забезпечення ефективного функціонування системи відстеження тютюнових виробів загалом та взаємодійності системи репозиторіїв зокрема доцільно визначити ключові елементи договорів про зберігання даних, включити до них специфікації стосовно придатності, доступності та ефективності послуг, які надають надавачі послуг зі зберігання даних. Для ефективного та безперервного функціонування системи відстеження та системи зберігання даних, яка входить до неї, необхідно, щоб надавачі послуг визначали чіткі вимоги щодо мобільності даних для випадків, коли виробник або імпортер вирішує змінити надавача послуг. Для цього до договору повинні входити положення, що встановлюють вимоги щодо використання вже наявних на ринку та широко використовуваних у секторі технологій, з метою гарантування ефективного та безперебійного передавання даних між поточним та наступним надавачами послуг.

(3) Для забезпечення необхідного рівня гнучкості необхідна наявність можливості звертатися до надавача послуг зі зберігання даних із запитом щодо надання на платній основі допоміжних послуг, пов'язаних із функціонуванням первинного репозиторію. наприклад, розширення оперативної функціональності інтерфейсів користувача за умови, що такі додаткові послуги сприяють належному функціонуванню систем репозиторіїв та не порушують жодних вимог, встановлених Імплементаційним регламентом (ЄС) 2018/574 . Таким чином, така можливість повинна бути передбачена в договорі.

(4) Для забезпечення постійного захисту незалежного функціонування систем відстеження Комісія повинна мати змогу скасовувати затвердження вже найнятого надавача послуг зі зберігання даних у випадках, коли результати оцінювання або повторного оцінювання технічної спроможності або незалежності такого надавача послуг свідчать про його невідповідність.

(5) Для забезпечення ефективної організації регулярного функціонування системи, надавачі послуг, пов'язаних із первинними репозиторіями. повинні співпрацювати один із одним, а також із компетентними органами держав-членів та Комісією.

УХВАЛИЛА ЦЕЙ РЕГЛАМЕНТ:

Цей Регламент визначає ключові елементи, які необхідно включати до договорів про зберігання даних, згаданих у статті 15(8) Директиви 2014/40/ЄС.

Для цілей цього Регламенту, окрім термінів і означень, встановлених у Директиві 2014/40/ЄС та Імплементаційному регламенті (ЄС) 2018/574 , застосовують такі терміни та означення:

(1) "договір" означає договірну угоду між виробником або імпортером тютюнових виробів та надавачем послуг, пов’язаних із системами зберігання даних відповідно до статті 15(8) Директиви 2014/40/ЄС та Імплементаційного регламенту (ЄС) 2018/574 ;

(2) "надавач послуг" означає будь-яку юридичну особу, яку наймає виробник або імпортер тютюнових виробів для створення його первинного репозиторію та керування ним, а також надання пов'язаних послуг;

(3) "мобільність даних" означає можливість передавання даних між різними репозиторіями з використанням технологій, які доступні на ринку та широко використовуються у галузі.

1. У договорі повинні бути зазначені ключові послуги, які надаватиме надавач послуг, а саме:

(1) створення та забезпечення функціонування первинного репозиторію відповідно до статті 26 Імплементаційного регламенту (ЄС) 2018/574;

(2) у випадку, якщо оператора первинного репозиторію призначено надавачем послуг, пов’язаних із вторинним репозиторієм, створення та забезпечення функціонування вторинного репозиторію та маршрутизатора відповідно до статей 27, 28 та 29 Імплементаційного регламенту (ЄС) 2018/574;

(3) надання на вимогу інших допоміжних технічних послуг, пов’язаних із функціонуванням первинного репозиторію, які сприяють належному функціонуванню системи репозиторіїв.

2. При визначенні ключових послуг, згаданих у пунктах (1) та (2) параграфа 1, договір повинен містити специфікації стосовно відповідності придатності, доступності та ефективності таких послуг мінімальним вимогам, визначеним у цьому Регламенті та закріпленим у главі V Імплементаційного регламенту (ЄС) 2018/574 .

Договір повинен встановлювати вимогу для надавачів послуг щодо надання виробникам або імпортерам письмової декларації про те, що вони володіють технічними або оперативними експертними знаннями, необхідними для надання послуг, згаданих у статті 3, або мають такі знання у своєму розпорядженні, а також передбачати вимогу щодо дотримання вимог, встановлених у главі V Імплементаційного регламенту (ЄС) 2018/574 .

1. Договір повинен встановлювати гарантований щомісячний час роботи та доступності на рівні 99,5 % для первинного репозиторію.

2. Договір повинен встановлювати вимоги щодо застосування надавачем послуг належних резервних механізмів для запобігання будь-яким втратам даних у процесі їх зберігання, отримання чи передавання у разі недоступності первинного репозиторію.

Договір повинен визначати вимоги щодо надання національним адміністраторам держав-членів, Комісії та призначеним зовнішнім аудиторам фізичного та віртуального доступу до первинного репозиторію на рівні сервера та бази даних відповідно до статті 25 Імплементаційного регламенту (ЄС) 2018/574.

1. У випадках, коли договір встановлює, що надавач послуг може передавати деякі свої обов'язки за договором у субпідряд, такий договір повинен містити положення з уточненням про те, що такий субпідряд не впливає на головні обов'язки надавача послуг щодо виконання умов договору.

2. Окрім цього, зазначений договір повинен містити вимоги до надавача послуг щодо:

(a) гарантування наявності у запропонованого субпідрядника необхідних технічних експертних знань та виконання ним вимог щодо незалежності, встановлених у статті 35 Імплементаційного регламенту (ЄС) 2018/574.

(b) надання Комісії копії декларації, згаданої у статті 8 цього Регламенту, підписаної відповідним субпідрядником (субпідрядниками).

Договір повинен встановлювати вимогу для надавачів послуг та, у застосовних випадках, для їх субпідрядників стосовно надання виробникам або імпортерам разом із договором про зберігання даних письмової декларації їх відповідності вимогам щодо правової та фінансової незалежності, як встановлено у статті 35 Імплементаційного регламенту (ЄС) 2018/574.

1. Договір повинен передбачати вживання надавачем послуг усіх належних заходів, необхідних для забезпечення конфіденційності, цілісності та доступності усіх даних, які зберігають у рамках виконання такого договору. Такі заходи повинні передбачати адміністративний та технічний контроль, а також контроль фізичної безпеки та захисту даних.

2. Договір повинен встановлювати вимогу щодо опрацювання персональних даних, на які поширюється його дія, згідно з положеннями Директиви Європейського Парламенту і Ради 95/46/ЄС (- 3).

Договір повинен встановлювати вимогу для надавачів послуг стосовно декларування відповідності управління первинним репозиторієм та, у застосовних випадках, другорядним репозиторієм відповідно до стандартів управління інформаційною безпекою, визнаних на міжнародному рівні. Надавачів послуг, сертифікованих відповідно до стандарту ISO/IEC 27001:2013, необхідно вважати такими, що відповідають таким стандартам.

Договір повинен встановлювати вимоги щодо справедливості та розсудливості витрат, що стягуються надавачем послуг із виробників та імпортерів, відповідно до статті 30 Імплементаційного регламенту (ЄС) 2018/574, а також їх пропорційності до:

(a) послуг, які надають; та

(b) кількості унікальних ідентифікаторів, щодо яких упродовж певного періоду часу здійснює запит виробник або імпортер.

1. Договір повинен встановлювати для надавача послуг вимогу стосовно участі у створенні системи вторинного репозиторію (у випадках, коли вторинна система ще не була створена на час укладення договору), відповідно до вимог, які можуть бути встановлені згідно з правилами, передбаченими главою 5 Імплементаційного регламенту (ЄС) 2018/574 .

2. Договір повинен містити положення, які дають надавачам послуг змогу отримувати від виробників та імпортерів тютюнових виробів компенсацію витрат, що вникають у зв’язку зі створенням, забезпеченням функціонування та технічним обслуговуванням вторинного репозиторію та маршрутизатора, згаданих у главі V Імплементаційного регламенту (ЄС) 2018/574 .

Строк дії договору повинен складати щонайменше п’ять років із можливістю його подовження за угодою сторін та за умови безперервного дотримання надавачем послуг вимог Директиви 2014/40/ЄС та Імплементаційного регламенту (ЄС) 2018/574 .

Договір повинен встановлювати вимоги щодо співпраці надавачів послуг один із одним та з компетентними органами держав-членів тією мірою, яка необхідна для забезпечення ефективної організації регулярного функціонування системи репозиторіїв.

1. Договір повинен визначати умови проведення планових та позапланових аудитів затвердженими Комісією зовнішніми аудиторами відповідно до статті 15(8) Директиви 2014/40/ЄС щодо первинного репозиторію та, у застосовних випадках, вторинного репозиторію, зокрема оцінювання виконання надавачем послуг та, у застосовних випадках, його субпідрядниками відповідних законодавчих вимог.

2. Договір повинен визначати, що зовнішнім аудиторам надається необмежений фізичний та віртуальний доступ до первинного репозиторію та. у застосовних випадках, вторинного репозиторію та пов’язаних із ними послуг упродовж аудиту.

Договір повинен визначати детальні умови щодо відповідальності сторін, зокрема стосовно прямих та непрямих збитків, які можуть виникати за договором, відповідно до застосовного права. Без обмеження застосовного права, договір також повинен визначати відсутність будь-яких обмежень відповідальності в разі порушення конфіденційності або порушення правил захисту даних.

1. Договір повинен визначати умови щодо його припинення відповідно до застосовного права. У разі припинення, договір повинен встановлювати вимогу до сторони, з ініціативи якої відбувається припинення договору, повідомляти Комісію відповідно до процедурних вимог, встановлених у додатку І до Імплементаційного регламенту (ЄС) 2018/574 .

2. Договір повинен встановлювати вимоги до сторін щодо визначення мінімального строку попередження про припинення договору за 5 місяців.

Як відступ від першого підпараграфа. договір повинен встановлювати вимогу до виробників та імпортерів припиняти договір негайно:

(a) у разі серйозного порушення надавачем послуг його обов’язків за договором,

(b) у випадку, якщо надавач послуг стає або неминуче ризикує стати неплатоспроможним відповідно до застосовного права.

3. Для цілей параграфа 2(a) під серйозним порушенням необхідно розуміти:

(a) неспроможність надавача послуг виконувати обов’язки або надавати послуги, передбачені договором, які є необхідними для ефективного функціонування системи відстеження, зокрема неспроможність виконувати вимоги, встановлені у главі V Імплементаційного регламенту (ЄС) 2018/574 ,

(b) випадки, коли надавач послуг припиняє відповідати вимогам щодо правової та фінансової незалежності, встановленим у статті 35(2) Імплементаційного регламенту (ЄС) 2018/574, а також випадки, коли відповідність таким вимогам не було встановлено після завершення періоду часу, згаданого у статті 35(6) Імплементаційного регламенту (ЄС) 2018/574.

Договір повинен визначати заборону на тимчасове зупинення надання послуг у разі затримки виробником або імпортером платежів надавачу послуг, за умови, якщо затримка не перевищує термін остаточного платежу на тридцять днів або більше.

1. Договір повинен встановлювати для надавачів послуг вимогу щодо повної мобільності даних у випадках, коли виробник або імпортер наймає нового надавача послуг для забезпечення функціонування його первинного репозиторію. Поточний надавач послуг повинен до дати припинення договору передати новому надавачу послуг оновлену копію усіх даних, які зберігаються у первинному репозиторії. Будь-які оновлення даних після такого передавання необхідно без невиправданої затримки передавати новому надавачу послуг.

2. Для забезпечення безперервності діяльності договір повинен містити відповідний план виходу, який визначає процедуру, обов’язкову для дотримання у випадках припинення договору та наймання виробником або імпортером нового надавача послуг. Такий план повинен містити вимогу для поточного надавача послуг щодо продовження надання послуг доти, доки наступний надавач послуг розпочне роботу.

3. Договір повинен містити положення, що забезпечують відсутність у поточного надавача послуг будь-яких прав на утримання будь-яких даних, інформації або інших необхідних матеріалів, пов'язаних із первинним репозиторієм, після їх передання новому надавачу послуг.

1. Договір регулюється законами однієї з держав-членів Європейського Союзу за угодою сторін договору.

2. Договір підпорядковується юрисдикції однієї з держав-членів Європейського Союзу за угодою сторін договору.

Цей Регламент набуває чинності на двадцятий день після його опублікування в Офіційному віснику Європейського Союзу.

Цей Регламент обов'язковий у повному обсязі та підлягає прямому застосуванню у всіх державах-членах.