Regulamentul 2050/01-iul-2025 de completare a Regulamentului (UE) 2022/2065 al Parlamentului European şi al Consiliului prin stabilirea condiţiilor tehnice şi a procedurilor pentru efectuarea schimbului de date de către furnizorii de platforme online foarte mari şi de motoare de căutare online foarte mari cu cercetătorii agreaţi
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 9 Octombrie 2025
Regulamentul 2050/01-iul-2025 de completare a Regulamentului (UE) 2022/2065 al Parlamentului European şi al Consiliului prin stabilirea condiţiilor tehnice şi a procedurilor pentru efectuarea schimbului de date de către furnizorii de platforme online foarte mari şi de motoare de căutare online foarte mari cu cercetătorii agreaţi
Dată act: 1-iul-2025
Emitent: Comisia Europeana
(Text cu relevanţă pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) 2022/2065 al Parlamentului European şi al Consiliului din 19 octombrie 2022 privind o piaţă unică pentru serviciile digitale şi de modificare a Directivei 2000/31/CE(1), în special articolul 40 alineatul (13),
(1)JO L 277, 27.10.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.
Întrucât:
(1)Articolul 40 din Regulamentul (UE) 2022/2065 stabileşte norme privind accesul la date care trebuie acordat de furnizorii de platforme online foarte mari şi de motoare de căutare online foarte mari. În special, aceasta permite cercetătorilor care au finalizat un proces să demonstreze că îndeplinesc condiţiile prevăzute la alineatul (8) de la articolul respectiv ("cercetători agreaţi") pentru a li se oferi un astfel de acces.
(2)În temeiul articolului 40 alineatul (4) din Regulamentul (UE) 2022/2065, cercetătorilor agreaţi trebuie să li se ofere acces la date pentru a-i ajuta să studieze riscurile sistemice din cadrul Uniunii şi să evalueze eficacitatea măsurilor de atenuare a riscurilor respective. Constatările acestora pot constitui o contribuţie valoroasă la asigurarea respectării Regulamentului (UE) 2022/2065 şi pot promova responsabilitatea furnizorilor de platforme online foarte mari şi de motoare de căutare online foarte mari. Scopul prezentului regulament este de a stabili condiţiile tehnice şi procedurile necesare pentru a permite un astfel de acces, într-un mod sigur şi eficient, coerent la nivelul tuturor coordonatorilor serviciilor digitale şi într-un mod care să asigure egalitatea de tratament pentru cercetători şi furnizorii de date.
(3)Pentru a se asigura că procesul de acces la date este consecvent la nivelul tuturor coordonatorilor serviciilor digitale şi pentru ca acest proces să fie clar şi transparent pentru toţi, este necesar să se creeze o infrastructură digitală specifică ("portalul pentru accesul la datele aferente DSA"). Portalul pentru accesul la datele aferente DSA ar trebui să le permită cercetătorilor, furnizorilor de date şi coordonatorilor serviciilor digitale să participe la procesul de acces la date, să aibă acces la informaţii relevante şi să le disemineze, cum ar fi detaliile privind punctele de contact dedicate, şi să comunice între ei. Portalul pentru accesul la datele aferente DSA nu ar trebui considerat drept una dintre modalităţile de acces care trebuie utilizate pentru furnizarea accesului la date în urma unei cereri motivate.
(4)Furnizorii de date şi cercetătorii care doresc să participe la procesul de acces la date ar trebui să creeze un cont pe portalul pentru accesul la datele aferente DSA în acest scop. Pentru a se asigura că coordonatorii serviciilor digitale pot accesa informaţiile transmise prin intermediul portalului pentru accesul la datele aferente DSA fără a fi necesară crearea un cont separat pe portal, portalul pentru accesul la datele aferente DSA ar trebui să fie interoperabil cu sistemul de schimb de informaţii AGORA instituit prin regulamentul de punere în aplicare (UE) 2024/607 al Comisiei (2).
(2)Regulamentul de punere în aplicare (UE) 2024/607 al Comisiei din 15 februarie 2024 de stabilire a modalităţilor practice şi operaţionale de funcţionare a sistemului de schimb de informaţii în temeiul Regulamentului (UE) 2022/2065 al Parlamentului European şi al Consiliului (Regulamentul privind serviciile digitale) (JO L, 2024/607, 16.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/607/oj).
(5)Pentru asigurarea transparenţei procesului de acces la date pentru toate părţile implicate şi monitorizarea eficacităţii şi a eficienţei procesului de acces la date şi respectarea articolului 40 alineatul (4) din Regulamentul (UE) 2022/2065 şi a prezentului regulament, portalul pentru accesul la datele aferente DSA ar trebui să genereze notificări automate în legătură cu diferite etape şi actualizări ale procesului.
(6)Pentru a oferi cercetătorilor informaţii consecvente cu privire la procesul de acces la date, coordonatorii serviciilor digitale ar trebui să pună la dispoziţie pe interfeţele lor online informaţii privind procesul de acces la date şi să faciliteze accesul la acestea, inclusiv prin linkuri către portalul pentru accesul la datele aferente DSA. Pentru evitarea creării unei sarcini administrative inutile, sporirea eficienţei şi facilitarea comunicării între toate părţile implicate în procesul de acces la date, coordonatorii serviciilor digitale sunt încurajaţi să faciliteze gestionarea informaţiilor legate de procesul de acces la date, inclusiv din punct de vedere lingvistic.
(7)Pentru a permite cercetătorilor să identifice datele relevante în scopurile prevăzute la articolul 40 alineatul (4) din Regulamentul (UE) 2022/2065, furnizorii de date ar trebui să pună la dispoziţie cataloage de date în temeiul DSA pentru serviciile lor. Aceste cataloage ar trebui să fie uşor de găsit şi de accesat pe interfeţele online ale furnizorilor de date şi ar trebui să descrie activele de date disponibile, structura datelor şi metadatele acestora, la care se poate solicita accesul în temeiul articolului 40 alineatul (4) din Regulamentul (UE) 2022/2065. Atunci când pun la dispoziţie cataloagele de date în temeiul DSA, furnizorii de date ar trebui să aibă în vedere riscurile privind confidenţialitatea, securitatea datelor sau protecţia datelor cu caracter personal care ar putea decurge din punerea la dispoziţia publicului a unor astfel de informaţii.
(8)Pentru a contribui la dezvoltarea proiectelor de cercetare relevante în scopurile prevăzute la articolul 40 alineatul (4) din Regulamentul (UE) 2022/2065, cataloagele de date în temeiul DSA ar trebui să includă în special date referitoare la riscurile sistemice din cadrul Uniunii pe care furnizorii de date le-au identificat în evaluările lor anuale ale riscurilor în temeiul articolului 34 din regulamentul respectiv, precum şi date referitoare la orice măsuri de atenuare a riscurilor menţionate la articolul 35 din regulamentul respectiv. Pentru a asigura relevanţa şi actualitatea cataloagelor de date în temeiul DSA, cataloagele respective ar trebui să fie actualizate periodic, ţinând seama în mod corespunzător de riscurile sistemice nou identificate şi de evoluţia riscurilor sistemice. De exemplu, acestea ar trebui să reflecte riscurile emergente identificate în urma unei evaluări ad-hoc a riscurilor în temeiul articolului 34 din Regulamentul (UE) 2022/2065 sau în urma unui raport de audit în temeiul articolului 37 din regulamentul respectiv. Pentru a reduce la minimum sarcina procedurală pentru furnizorii de date, după caz, astfel de cataloage se pot baza pe resursele existente de documentare a datelor utilizate în alte scopuri şi pentru alte categorii de public, cum ar fi publicitatea, crearea de conţinut sau dezvoltarea de aplicaţii de către terţi. Cataloagele de date în temeiul DSA nu ar trebui să fie exhaustive şi, prin urmare, nu ar trebui să-i oblige sau să-i limiteze pe cercetătorii solicitanţi în cererile lor de acces la date.
(9)Pentru a facilita stabilirea modalităţilor de acces de către coordonatorul serviciilor digitale din ţara de stabilire şi a reduce sarcina generală a procesului de acces la date pentru toţi actorii implicaţi, furnizorii de date ar trebui să îşi publice modalităţile de acces sugerate pentru date descrise în cataloagele de date în temeiul DSA. Aceste modalităţi de acces sugerate ar trebui să fie proporţionale cu sensibilitatea datelor şi să includă informaţii privind posibilele condiţii tehnice, organizatorice şi juridice luate în considerare de furnizorii de date ca fiind adecvate pentru a permite furnizarea datelor. Modalităţile de acces sugerate de furnizorii de date nu ar trebui să fie obligatorii pentru coordonatorii serviciilor digitale din ţara de stabilire, care ar trebui să rămână competenţi pentru a stabili modalităţile de acces adecvate.
(10)Pentru a se asigura un tratament egal al cererilor de acces la date, independent de coordonatorul serviciilor digitale căruia i se transmite cererea de acces la date sau de la care provine cererea motivată, ar trebui specificat termenul pentru formularea cererilor motivate, pentru a se asigura coerenţa între toţi coordonatorii serviciilor digitale. În cazul în care formularea cererii motivate necesită timp suplimentar, coordonatorul serviciilor digitale din ţara de stabilire ar trebui să-l informeze pe cercetătorul principal, indicând motivele întârzierii. Astfel de motive pot include necesitatea unor verificări suplimentare din partea coordonatorului serviciilor digitale al organizaţiei de cercetare sau din ţara de stabilire, de exemplu în cazul în care cererile de acces la date implică transferuri internaţionale de date sau în cazul în care coordonatorul serviciilor digitale din ţara de stabilire a identificat riscuri potenţiale pentru securitatea Uniunii în cazul în care datele ar urma să fie partajate. În vederea alinierii, de asemenea, a etapelor procesului de acces la date care precedă formularea cererilor motivate, inclusiv evaluarea cererilor de acces la date şi acordarea statutului de cercetător agreat, coordonatorii serviciilor digitale sunt încurajaţi să dezvolte un mod de lucru coerent şi coordonat, inclusiv criterii operaţionale comune, în cadrul Comitetului european pentru servicii digitale.
(11)Pentru a simplifica procedurile de formulare a cererilor motivate, toţi coordonatorii serviciilor digitale din ţara de stabilire ar trebui să aibă obligaţia de a verifica dacă anumite elemente comune ale procesului de acces la date au fost acoperite în mod corespunzător în cererile de acces la date. În acest scop, coordonatorii serviciilor digitale din ţara de stabilire ar trebui să verifice dacă toţi cercetătorii solicitanţi care sunt menţionaţi în cererea de acces la date şi-au demonstrat afilierea la o organizaţie de cercetare, de exemplu prin furnizarea de documente justificative privind contractele de muncă sau orice altă formă de asociere legală cu organizaţia de cercetare. Coordonatorii serviciilor digitale din ţara de stabilire ar trebui, de asemenea, să verifice dacă cercetătorii solicitanţi şi-au demonstrat independenţa faţă de interesele comerciale, de exemplu printr-o declaraţie în acest sens.
(12)Coordonatorul serviciilor digitale din ţara de stabilire ar trebui să verifice dacă finanţarea proiectului de cercetare pentru care se solicită datele este divulgată în cererea de acces la date. Informaţiile furnizate de cercetătorii solicitanţi ar trebui să includă detalii privind contribuţiile, cum ar fi entitatea finanţatoare, cuantumul, natura şi durata contribuţiei, inclusiv dacă finanţarea a fost deja acordată sau dacă o cerere de finanţare este încă în curs de evaluare, precum şi, după caz, trimiteri relevante la proiectele finanţate de Uniune. În cazul în care este disponibilă, cererea de acces la date ar trebui să includă, de asemenea, rezultatele evaluărilor efectuate de entitatea sau entităţile care furnizează finanţarea.
(13)Coordonatorul serviciilor digitale din ţara de stabilire ar trebui să verifice dacă cererea de acces la date descrie modul în care sunt selectate datele şi formatul datelor, făcând trimitere la cerinţele privind necesitatea scopului cercetării avute în vedere şi proporţionalitatea cu acesta. În cazul în care datele solicitate sunt disponibile şi din alte surse, coordonatorul serviciilor digitale din ţara de stabilire ar trebui să evalueze dacă solicitarea datelor din cererea de acces la date este justificată în mod corespunzător, având în vedere informaţiile din cererea de acces la date. Printre justificările posibile se pot număra dovezile privind calitatea slabă sau lipsa de fiabilitate a unor astfel de date provenite din alte surse sau inadecvarea formatului în care astfel de date pot fi extrase din alte surse în scopul proiectului de cercetare, ceea ce ar împiedica realizarea proiectului de cercetare. Datele care pot fi solicitate pentru studierea riscurilor sistemice sau atenuarea acestora în Uniune pot evolua în viitor. Printre exemplele actuale de astfel de date se numără datele referitoare la utilizatorii serviciilor, cum ar fi informaţiile privind profilul, reţelele de relaţii, expunerea la conţinut la nivel individual şi istoricul implicării; datele privind interacţiunea, cum ar fi observaţii sau alte implicări; datele referitoare la recomandările privind conţinutul, inclusiv datele utilizate pentru personalizarea recomandărilor; datele referitoare la direcţionarea publicităţii şi crearea de profiluri, inclusiv date privind costul per clic şi alte măsuri ale preţurilor de publicitate; datele referitoare la testarea noilor caracteristici înainte de implementarea lor, inclusiv rezultatele testelor A/B; datele referitoare la moderarea şi guvernanţa conţinutului, cum ar fi datele privind sistemele şi procesele algoritmice sau alte sisteme şi procese de moderare a conţinutului, inclusiv jurnale ale modificărilor, arhive sau registre care documentează conţinutul moderat, inclusiv conturile, precum şi datele referitoare la preţurile, cantităţile şi caracteristicile bunurilor sau serviciilor furnizate sau intermediate de furnizorul de date.
(14)Coordonatorul serviciilor digitale din ţara de stabilire ar trebui să verifice dacă cererea de acces la date oferă suficiente informaţii care demonstrează că cercetătorul este capabil să îndeplinească cerinţele specifice de confidenţialitate, securitate şi protecţie a datelor cu caracter personal în ceea ce priveşte datele solicitate, identifică posibilele riscuri care decurg din accesarea şi prelucrarea acestor date în scopul cercetării şi documentează orice modalităţi de acces propuse, inclusiv condiţiile juridice, organizatorice şi tehnice care vor fi instituite pentru a reduce la minimum riscurile identificate, de exemplu printr-o scrisoare de angajament din partea organizaţiei de cercetare care confirmă accesul la mijloace care pot constitui garanţii relevante sau prin alte documente justificative.
(15)În cazul în care se solicită date cu caracter personal, coordonatorul serviciilor digitale din ţara de stabilire ar trebui să verifice dacă cererea de acces la date include informaţii privind temeiul juridic pentru prelucrarea datelor cu caracter personal, inclusiv categoriile speciale de date cu caracter personal, după caz, şi dacă un astfel de temei juridic este în conformitate cu articolul 6 alineatul (1) litera (e) sau (f) şi, după caz, cu articolul 9 alineatul (2) litera (g) sau (j) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (3). În plus, coordonatorul serviciilor digitale din ţara de stabilire ar trebui să verifice dacă cererea de acces la date conţine suficiente indicii că cercetătorii au evaluat riscurile privind protecţia datelor cu caracter personal. De exemplu, acest lucru ar putea fi demonstrat printr-o evaluare a impactului asupra protecţiei datelor în sensul articolului 35 din regulamentul respectiv. Pentru a se asigura că datele cu caracter personal pot fi accesate în conformitate cu Regulamentul (UE) 2016/679, coordonatorilor serviciilor digitale ar trebui să li se permită să consulte autorităţile de supraveghere relevante instituite în temeiul articolului 51 din regulamentul respectiv, care rămân competente să evalueze conformitatea cu Regulamentul (UE) 2016/679.
(3)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(16)Pentru a facilita formularea cererii motivate şi pentru a păstra integritatea informaţiilor incluse în cererea de acces la date, coordonatorul serviciilor digitale din ţara de stabilire ar trebui să verifice dacă cererea de acces la date include un rezumat. Acest rezumat ar trebui să conţină o prezentare generală a informaţiilor care vor face parte din cererea motivată, publicate pe portalul pentru accesul la datele aferente DSA, în cazurile în care evaluarea cererii de acces la date conduce la formularea unei cereri motivate.
(17)Pentru a se asigura că modalităţile de acces stabilite de coordonatorul serviciilor digitale din ţara de stabilire sunt adecvate pentru abordarea sensibilităţii datelor specifice solicitate într-o cerere de acces la date, coordonatorul serviciilor digitale din ţara de stabilire ar trebui să efectueze o evaluare de la caz la caz, pe baza informaţiilor furnizate în cererea de acces la date. Modalităţile de acces stabilite în cererea motivată ar trebui să fie adecvate pentru îndeplinirea cerinţelor privind securitatea datelor, confidenţialitatea datelor şi protecţia datelor cu caracter personal şi, în acelaşi timp, pentru a permite atingerea obiectivelor de cercetare ale proiectului de cercetare. Accesul la date poate avea loc, de exemplu, prin transmiterea datelor către cercetătorii agreaţi prin intermediul unei interfeţe adecvate şi prin stocarea adecvată a datelor; transmiterea datelor către un mediu de prelucrare securizat, gestionat de furnizorul de date sau de un furnizor terţ, la care cercetătorii agreaţi au acces, dar unde nu are loc transmiterea datelor către cercetătorii agreaţi, şi stocarea acestora într-un astfel de mediu, sau alte modalităţi de acces care urmează să fie instituite sau facilitate de furnizorul de date. Atunci când specifică modalităţile de acces, coordonatorul serviciilor digitale din ţara de stabilire ar trebui, de asemenea, să enumere orice condiţii juridice, tehnice sau organizatorice care se aplică accesului. În cazurile în care furnizarea accesului implică un transfer de date cu caracter personal către ţări terţe sau organizaţii internaţionale în sensul capitolului V din Regulamentul (UE) 2016/679, modalităţile de acces ar trebui să includă, de asemenea, informaţii privind necesitatea de a se institui un mecanism de transfer adecvat, pentru a se asigura că furnizorul de date ia măsurile necesare pentru a se conforma regulamentului respectiv.
(18)Pentru a se asigura că modalităţile de acces la date sunt adecvate pentru abordarea sensibilităţilor specifice în ceea ce priveşte protecţia datelor, securitatea datelor sau confidenţialitatea, coordonatorul serviciilor digitale din ţara de stabilire, pe baza informaţiilor primite în cererea de acces la date, ar trebui să poată solicita ca accesul la date să fie furnizat prin medii de prelucrare securizate. În astfel de cazuri, coordonatorul serviciilor digitale din ţara de stabilire ar trebui să se asigure că mediul ales funcţionează în conformitate cu tehnologia cea mai adecvată şi le permite cercetătorilor agreaţi să îşi atingă obiectivele cercetării lor.
(19)Pentru a asigura coerenţa informaţiilor transmise furnizorilor de date de coordonatorii serviciilor digitale din ţara de stabilire, este necesar să se precizeze conţinutul cererilor motivate.
(20)Pentru a proteja interesele furnizorilor de date şi pentru a reduce frecvenţa cererilor de modificare în timp şi a facilita formularea unor cereri relevante de acces la date de către cercetători, coordonatorul serviciilor digitale din ţara de stabilire care a emis cererile motivate respective ar trebui să pună la dispoziţia publicului pe portalul pentru accesul la datele aferente DSA o prezentare generală a fiecărei cereri motivate, inclusiv a oricăror modificări şi actualizări ale acesteia.
(21)Pentru a se asigura că coordonatorul serviciilor digitale din ţara de stabilire dispune de informaţiile relevante pentru a evalua o cerere de modificare şi pentru a facilita o abordare uniformă în evaluarea cererilor de modificare, furnizorul de date ar trebui să aibă obligaţia de a specifica motivele unei astfel de solicitări, astfel cum se menţionează la articolul 40 alineatul (5) din Regulamentul (UE) 2022/2065. Mai precis, atunci când evaluează o cerere de modificare depusă pe baza lipsei de acces a unui furnizor de date la date, coordonatorul serviciilor digitale din ţara de stabilire ar trebui să fie în măsură să examineze dacă presupusa imposibilitate este justificată în mod corespunzător, de exemplu de inexistenţa datelor solicitate sau de restricţii tehnice, cum ar fi criptarea, şi ar trebui să dispună de informaţiile necesare pentru a analiza dacă lipsa accesului este permanentă sau temporară. Ar trebui să fie clar, în acest sens, că considerentele comerciale nu ar trebui considerate un motiv de refuz automat al accesului la datele solicitate, ci mai degrabă un motiv de modificare a mijloacelor de furnizare a accesului la date, ceea ce poate duce la impunerea unor cerinţe suplimentare de securitate şi confidenţialitate a datelor.
(22)Pentru a asigura o soluţionare eficientă a litigiilor şi pentru a încuraja identificarea unei soluţii reciproc acceptabile, în urma unei cereri de modificare, furnizorii de date ar trebui să poată solicita coordonatorilor serviciilor digitale din ţara de stabilire să participe la mediere. O astfel de participare ar trebui să fie voluntară pe parcursul întregului proces de mediere şi nu ar trebui să conducă la niciun rezultat obligatoriu pentru coordonatorul serviciilor digitale din ţara de stabilire, care rămâne competent să decidă cu privire la cererile de modificare. Toate părţile implicate în procesul de mediere ar trebui să se implice cu bună-credinţă şi să depună eforturi pentru a ajunge la un acord echitabil şi reciproc acceptabil.
(23)Pentru a se evita prelungirea pe termen nelimitat a procesului de acces la date din cauza medierii, transmiterea cererii scrise de mediere, selectarea mediatorului şi procesul de mediere în sine ar trebui să aibă loc în termene specificate. Coordonatorii serviciilor digitale din ţara de stabilire ar trebui să stabilească un termen pentru procesul de mediere în legătură cu o anumită cerere motivată, iar mediatorul ar trebui să aibă autoritatea de a încheia procesul de mediere în circumstanţe specifice.
(24)Pentru menţinerea încrederii reciproce între părţile implicate în mediere, coordonatorul serviciilor digitale din ţara de stabilire ar trebui să se asigure că mediatorul propus îndeplineşte cerinţele de imparţialitate şi independenţă şi deţine expertiza relevantă în ceea ce priveşte subiectul medierii.
(25)În scopul facilitării unui proces decizional eficace şi în cunoştinţă de cauză în ceea ce priveşte procesul de acces la date, coordonatorii serviciilor digitale ar trebui să aibă posibilitatea de a solicita opinii ale experţilor cu privire la elemente specifice ale procesului de acces la date, cum ar fi stabilirea modalităţilor de acces, inclusiv a interfeţelor adecvate, formularea cererii motivate şi a oricărei cereri de modificare din partea furnizorului de date. Experţii consultaţi ar trebui să deţină cunoştinţe de specialitate dovedite în domeniul pentru care se solicită avizul şi să fie independenţi. În special, aceştia nu ar trebui să fie implicaţi în niciun conflict de interese, care să decurgă, de exemplu, din orice legături cu cercetătorii solicitanţi sau cu furnizorul de date.
(26)Pentru a spori transparenţa şi a permite coordonatorilor serviciilor digitale să se bazeze pe expertiza lor dobândită în timp, fiecare cerere de consultare a experţilor şi acţiunile subsecvente generate de aceasta ar trebui înregistrate în AGORA.
(27)Pentru a facilita supravegherea efectivă a respectării condiţiilor prevăzute în cererea motivată, furnizorul de date ar trebui să îl informeze pe coordonatorul serviciilor digitale din ţara de stabilire în termen de trei zile lucrătoare de la data la care cercetătorilor agreaţi li s-a acordat accesul şi de la data încetării accesului.
(28)Pentru a permite cercetătorilor agreaţi să utilizeze datele solicitate în scopul cercetării şi pentru a furniza informaţii contextuale relevante, furnizorii de date ar trebui să furnizeze cercetătorilor agreaţi metadatele şi documentele relevante care descriu datele puse la dispoziţie, cum ar fi registre de coduri, jurnale ale modificărilor şi documentaţia arhitecturală.
(29)Pentru a facilita cercetarea semnificativă de către cercetătorii agreaţi, inclusiv prin permiterea combinării datelor solicitate cu datele disponibile din alte surse, furnizorii de date nu ar trebui să impună nicio restricţie cu privire la instrumentele analitice utilizate de cercetătorii agreaţi, inclusiv bibliotecile software relevante, şi nu ar trebui să impună cerinţe de arhivare, stocare, actualizare şi ştergere, cu excepţia cazului în care acestea sunt menţionate în mod explicit în modalităţile de acces identificate în cererea motivată.
(30)În cazul în care datele furnizate cercetătorilor agreaţi includ date cu caracter personal în sensul articolului 4 din Regulamentul (UE) 2016/679, furnizorul de date ar trebui să respecte normele prevăzute în regulamentul respectiv. În special, articolul 40 alineatul (4) din Regulamentul (UE) 2022/2065 creează o obligaţie legală în sensul articolului 6 alineatul (1) litera (c) din Regulamentul (UE) 2016/679 pentru orice prelucrare a datelor cu caracter personal necesară pentru ca furnizorul de date să ofere acces la datele specificate în cererea motivată. În cazul în care urmează să fie prelucrate categorii speciale de date cu caracter personal în sensul articolului 9 din Regulamentul (UE) 2016/679, prezentul regulament îndeplineşte cerinţa de la articolul 9 alineatul (2) litera (g) din Regulamentul (UE) 2016/679.
(31)Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (4) şi a emis un aviz la 4 decembrie 2024.
(4)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(32)După consultarea Comitetului european pentru servicii digitale în conformitate cu articolul 40 alineatul (13) din Regulamentul (UE) 2022/2065 şi după aprobarea acestuia,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Obiect
Prezentul regulament stabileşte proceduri şi condiţii tehnice pentru a oferi cercetătorilor agreaţi acces la datele deţinute de furnizorii de platforme online foarte mari şi de motoare de căutare online foarte mari, în temeiul articolului 40 alineatul (4) din Regulamentul (UE) 2022/2065, în special:
(a)condiţiile tehnice pentru dezvoltarea şi funcţionarea unui portal de acces la date;
(b)procedurile şi condiţiile tehnice pentru gestionarea procesului de acces la date de către coordonatorii serviciilor digitale şi furnizorii de date;
(c)cerinţele pentru formularea cererilor motivate şi evaluarea cererilor de modificare;
(d)condiţiile tehnice pentru furnizarea accesului la date de către furnizorii de date.
Art. 2: Definiţii
În sensul prezentului regulament, se aplică definiţiile prevăzute la articolul 4 din Regulamentul (UE) 2016/679 şi la articolul 3 din Regulamentul (UE) 2018/1725. De asemenea, se aplică următoarele definiţii:
1."cerere de acces la date" înseamnă informaţiile şi documentele relevante prezentate de către cercetătorii solicitanţi coordonatorului serviciilor digitale din ţara de stabilire sau coordonatorului serviciilor digitale din statul membru al organizaţiei de cercetare la care este afiliat cercetătorul principal, pentru a obţine statutul de "cercetător agreat", astfel cum se menţionează la articolul 40 alineatul (8) primul paragraf din Regulamentul (UE) 2022/2065, pentru un anumit proiect de cercetare care implică accesul la date de la un furnizor de date;
2."proces de acces la date" înseamnă etapele şi procedurile care pot conduce la furnizarea accesului la date, astfel cum se menţionează la articolul 40 alineatul (4) din Regulamentul (UE) 2022/2065;
3."cercetător solicitant" înseamnă orice persoană fizică care solicită accesul la datele, astfel cum se menţionează la articolul 40 alineatul (4) din Regulamentul (UE) 2022/2065, fie individual, fie în cadrul unui grup sau ca parte a unei entităţi;
4."cercetător principal" înseamnă cercetătorul solicitant care depune cererea de acces la date în nume propriu sau în numele unei entităţi sau al unui grup de cercetători solicitanţi;
5."furnizor de date" înseamnă un furnizor al unei platforme online foarte mari sau al unui motor de căutare online foarte mare desemnat ca atare în conformitate cu articolul 33 alineatul (4) din Regulamentul (UE) 2022/2065, căruia i s-ar putea adresa o cerere motivată;
6."cerere motivată" înseamnă o cerere motivată de acces la date în temeiul articolului 40 alineatul (4) din Regulamentul (UE) 2022/2065;
7."cerere de modificare" înseamnă o cerere de modificare în temeiul articolului 40 alineatul (5) din Regulamentul (UE) 2022/2065 transmisă de furnizorul de date coordonatorului serviciilor digitale din ţara de stabilire în urma primirii unei cereri motivate;
8."mediu de prelucrare securizat" înseamnă mediu de prelucrare securizat astfel cum este definit la articolul 2 punctul (20) din Regulamentul (UE) 2022/868 al Parlamentului European şi al Consiliului (5).
(5)Regulamentul (UE) 2022/868 al Parlamentului European şi al Consiliului din 30 mai 2022 privind guvernanţa datelor la nivel european şi de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanţa datelor) (JO L 152, 3.6.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/868/oj).
Art. 3: Portalul pentru accesul la datele aferente DSA
(1)Comisia instituie şi găzduieşte un portal pentru accesul la datele aferente DSA.
(2)Portalul pentru accesul la datele aferente DSA are următoarele funcţii:
a)de a sprijini şi raţionaliza gestionarea procesului de acces la date pentru cercetători, furnizorii de date şi coordonatorii serviciilor digitale;
b)de a servi drept punct digital central pentru informaţii privind procesul de acces la date şi a facilita schimburile de informaţii în temeiul prezentului regulament între cercetătorii solicitanţi, cercetătorii agreaţi, furnizorii de date şi coordonatorii serviciilor digitale.
(3)Portalul pentru accesul la datele aferente DSA este interoperabil cu sistemul de schimb de informaţii AGORA instituit prin Regulamentul de punere în aplicare (UE) 2024/607. Coordonatorii serviciilor digitale au acces în AGORA la informaţiile transmise prin intermediul portalului pentru accesul la datele aferente DSA.
(4)Furnizorii de date au un cont pe portalul pentru accesul la datele aferente DSA.
(5)Pentru a participa la procesul de acces la date, cercetătorii solicitanţi trebuie să aibă un cont pe portalul pentru accesul la datele aferente DSA.
Art. 4: Roluri şi responsabilităţi pentru prelucrarea datelor cu caracter personal pe portalul pentru accesul la datele aferente DSA
(1)Coordonatorii serviciilor digitale sunt operatori separaţi în ceea ce priveşte prelucrarea datelor cu caracter personal pe care le efectuează pentru a gestiona procesul de acces la date şi pentru publicarea informaţiilor relevante.
(2)Comisia este o persoană împuternicită de operator în ceea ce priveşte datele cu caracter personal prelucrate în cadrul portalului pentru accesul la datele aferente DSA.
(3)Responsabilităţile Comisiei în calitate de persoană împuternicită de operator pentru activităţile de prelucrare a datelor desfăşurate în cadrul portalului pentru accesul la datele aferente DSA sunt cele prevăzute în anexă.
Art. 5: Prelucrarea datelor cu caracter personal pe portalul pentru accesul la datele aferente DSA
(1)În cazul în care datele cu caracter personal sunt înregistrate şi transferate prin intermediul portalului pentru accesul la datele aferente DSA, prelucrarea are loc numai în măsura în care este proporţională şi necesară în scopul procesului de acces la date şi al publicării informaţiilor relevante.
(2)Prelucrarea datelor cu caracter personal are loc în cadrul portalului pentru accesul la datele aferente DSA numai în ceea ce priveşte următoarele categorii de persoane vizate:
a)persoane fizice care deţin un cont pe portalul pentru accesul la datele aferente DSA;
b)persoane fizice ale căror date cu caracter personal sunt incluse în portalul pentru accesul la datele aferente DSA sau în orice alt schimb de date în temeiul prezentului regulament în ceea ce priveşte procesul de acces la date.
(3)Prelucrarea datelor cu caracter personal are loc în cadrul portalului pentru accesul la datele aferente DSA numai în ceea ce priveşte următoarele categorii de date cu caracter personal:
a)date de identitate, cum ar fi numele, identificatorul utilizatorului;
b)date de contact, cum ar fi adresa, adresa de e-mail, date de contact;
c)date cu caracter personal din documentaţia care demonstrează afilierea la o organizaţie de cercetare şi orice alte informaţii cu caracter personal considerate necesare în scopul participării la procesul de acces la date.
(4)Prelucrarea datelor cu caracter personal menţionate la alineatul (1) se efectuează utilizând infrastructura tehnologiei informaţiei situată în Spaţiul Economic European.
Art. 6: Puncte de contact şi informaţii publice privind procesul de acces la date
(1)Fiecare coordonator al serviciilor digitale şi fiecare furnizor de date instituie un punct de contact specific, a cărui sarcină este de a furniza informaţii şi asistenţă cu privire la procesul de acces la date.
(2)Coordonatorii serviciilor digitale şi furnizorii de date comunică Comisiei punctele lor de contact cât mai curând posibil. Comisia publică detaliile punctelor de contact menţionate la alineatul (1) în interfaţa publică a portalului pentru accesul la datele aferente DSA.
(3)Fiecare coordonator al serviciilor digitale pune la dispoziţie şi face uşor de găsit pe interfaţa sa online detaliile punctului de contact instituit în conformitate cu alineatul (1), împreună cu un link către portalul pentru accesul la datele aferente DSA.
(4)Furnizorii de date pun la dispoziţie şi fac uşor de găsit pe interfeţele lor online următoarele informaţii:
a)detaliile punctului de contact instituit de aceştia în temeiul alineatului (1);
b)un link către portalul pentru accesul la datele aferente DSA;
c)un catalog de date în temeiul DSA, care descrie activele de date, care poate fi accesat în scopurile prevăzute la articolul 40 alineatul (4) din Regulamentul (UE) 2022/2065, precum şi structura datelor şi metadatele acestora;
d)modalităţile de acces sugerate pentru datele din catalog în temeiul literei (c), adecvate nivelului de sensibilitate al diferitelor active de date.
(5)Informaţiile menţionate la alineatul (4) literele (c) şi (d) se actualizează periodic, în special pentru a reflecta datele referitoare la evaluările riscurilor efectuate în temeiul articolului 34 din Regulamentul (UE) 2022/2065 şi auditurile efectuate în temeiul articolului 37 din regulamentul respectiv.
Art. 7: Formularea unei cereri motivate
(1)În termen de 80 de zile lucrătoare de la depunerea unei cereri de acces la date, coordonatorul serviciilor digitale din ţara de stabilire, ţinând seama în mod corespunzător de condiţiile prealabile prevăzute la articolul 8 şi, după caz, de orice altă evaluare relevantă în acest scop, decide dacă poate fi formulată o cerere motivată şi întreprinde una dintre următoarele acţiuni:
a)formulează o cerere motivată, o transmite furnizorului de date şi notifică cercetătorului principal prezentarea cererii motivate;
b)informează cercetătorul principal cu privire la motivele pentru care cererea motivată nu a putut fi formulată.
(2)Atunci când, în cazuri justificate în mod corespunzător, coordonatorul serviciilor digitale din ţara de stabilire are nevoie de timp suplimentar pentru a formula o cerere motivată, acesta trimite o notificare cercetătorului principal cât mai curând posibil şi indică motivele întârzierii, precum şi o nouă dată pentru realizarea acţiunilor menţionate la alineatul (1).
Art. 8: Condiţii prealabile pentru formularea unei cereri motivate
Coordonatorul serviciilor digitale din ţara de stabilire decide dacă poate fi formulată o cerere motivată, ţinând seama de următoarele elemente:
(a)pentru fiecare cercetător solicitant:
(i)o confirmare a afilierii la o organizaţie de cercetare, astfel cum este definită la articolul 2 punctul 1 din Directiva (UE) 2019/790 a Parlamentului European şi a Consiliului (6);
(6)Directiva (UE) 2019/790 a Parlamentului European şi a Consiliului din 17 aprilie 2019 privind dreptul de autor şi drepturile conexe pe piaţa unică digitală şi de modificare a Directivelor 96/9/CE şi 2001/29/CE (JO L 130, 17.5.2019, p. 92, ELI: http://data.europa.eu/eli/dir/2019/790/oj).
(ii)o declaraţie de independenţă faţă de interesele comerciale relevante pentru proiectul specific pentru care se solicită datele;
(iii)un angajament de a pune la dispoziţia publicului rezultatele cercetărilor lor în mod gratuit;
(b)informaţii privind finanţarea care sprijină proiectul de cercetare pentru care sunt solicitate datele;
(c)o descriere a datelor solicitate, inclusiv formatul, domeniul de aplicare şi, dacă este posibil, atributele specifice, metadatele relevante şi documentaţia datelor, luând în considerare, de asemenea, informaţiile puse la dispoziţie în temeiul articolului 6 alineatul (4) din prezentul regulament;
(d)informaţii privind necesitatea şi proporţionalitatea accesului la date şi informaţii privind intervalele de timp ale cercetării pentru care sunt solicitate datele;
(e)informaţii privind riscurile identificate în ceea ce priveşte confidenţialitatea, securitatea datelor şi protecţia datelor cu caracter personal legate de datele care vor fi accesate, o descriere a măsurilor tehnice, juridice şi organizatorice care vor fi instituite, inclusiv, acolo unde este posibil, modalităţile de acces sugerate, pentru a atenua astfel de riscuri atunci când se prelucrează datele solicitate;
(f)o descriere a activităţilor de cercetare care urmează să fie desfăşurate cu datele solicitate;
(g)un rezumat al cererii de acces la date care să conţină următoarele elemente:
(i)subiectul cercetării;
(ii)furnizorul de date de la care sunt solicitate datele;
(iii)o descriere a datelor solicitate, astfel cum se menţionează la litera (c).
Art. 9: Modalităţi de acces
(1)Coordonatorul serviciilor digitale din ţara de stabilire stabileşte modalităţile, inclusiv măsurile tehnice, juridice şi organizatorice, pe care furnizorul de date trebuie să le utilizeze pentru a oferi acces la date cercetătorilor agreaţi.
(2)Coordonatorilor serviciilor digitale li se permite să consulte autorităţile de supraveghere relevante instituite în temeiul articolului 51 din Regulamentul (UE) 2016/679.
(3)Atunci când stabileşte modalităţile de acces, coordonatorul serviciilor digitale din ţara de stabilire ţine seama de informaţiile furnizate în cererea de acces la date, în special de informaţiile menţionate la articolul 8 litera (e), având în vedere, de asemenea, drepturile şi interesele furnizorilor de date şi ale destinatarilor serviciului în cauză, inclusiv protecţia informaţiilor confidenţiale şi a secretelor comerciale, precum şi menţinerea securităţii serviciului lor şi a informaţiilor puse la dispoziţie de furnizorii de date în temeiul articolului 6 alineatul (4) litera (d).
(4)Pe lângă elementele menţionate la alineatul (3), atunci când stabileşte modalităţile de acces, coordonatorul serviciilor digitale din ţara de stabilire ia în considerare următoarele elemente:
a)în cazul în care accesul implică prelucrarea de date cu caracter personal:
(i)evaluarea riscurilor privind prelucrarea datelor cu caracter personal, astfel cum se descrie la articolul 8 litera (e), inclusiv, după caz, evaluările impactului asupra protecţiei datelor în sensul articolului 35 din Regulamentul (UE) 2016/679;
(ii)măsurile tehnice şi organizatorice avute în vedere, astfel cum au fost prezentate în temeiul articolului 8 litera (e);
b)măsurile relevante de securitate a reţelei, criptare, mecanisme de control al accesului, politici de rezervă, mecanisme de integritate a datelor, planuri de răspuns la incidente;
c)după caz, informaţii privind perioada de stocare preconizată şi planurile relevante de distrugere a datelor;
d)orice măsuri organizatorice, cum ar fi procesele de revizuire internă, restricţiile privind drepturile de acces şi schimbul de informaţii;
e)orice clauze contractuale propuse, cum ar fi acorduri de confidenţialitate, acorduri privind datele şi orice alt tip de declaraţii scrise, care stabilesc posibile condiţii de acces şi prelucrare între cercetătorul principal şi furnizorul de date;
f)existenţa unei formări privind securitatea datelor şi protecţia datelor cu caracter personal primite de cercetătorii solicitanţi;
g)dacă sunt necesare medii de prelucrare securizate pentru prelucrarea datelor.
(5)În cazul în care coordonatorul serviciilor digitale din ţara de stabilire consideră că trebuie utilizat un mediu de prelucrare securizat pentru a oferi acces la datele solicitate, coordonatorul serviciilor digitale din ţara de stabilire solicită o documentaţie care să ateste că operatorul mediului respectiv:
a)specifică condiţiile de acces la mediul de prelucrare securizat pentru a reduce la minimum riscul de citire, copiere, modificare sau eliminare neautorizată a datelor găzduite în mediul de prelucrare securizat;
b)se asigură că cercetătorii agreaţi au acces numai la datele care fac obiectul cererii motivate, prin intermediul unor identităţi de utilizator individuale şi unice şi al unor moduri de acces confidenţiale;
c)păstrează evidenţe identificabile ale accesului la mediul de prelucrare securizat pe perioada necesară pentru verificarea şi auditarea tuturor operaţiunilor de prelucrare din mediul respectiv;
d)se asigură că puterea de calcul aflată la dispoziţia cercetătorilor agreaţi este adecvată şi suficientă pentru scopurile proiectului de cercetare;
e)monitorizează eficacitatea măsurilor enumerate la literele (a)-(d).
Art. 10: Conţinutul unei cereri motivate
(1)O cerere motivată conţine cel puţin următoarele elemente:
a)data până la care furnizorul de date acordă acces la datele solicitate şi data la care acest acces încetează;
b)modalităţile de acces stabilite în temeiul articolului 9;
c)rezumatul cererii de acces la date menţionat la articolul 8 litera (g).
(2)Coordonatorul serviciilor digitale din ţara de stabilire poate include în cererea motivată numele şi datele de contact ale tuturor cercetătorilor agreaţi menţionaţi în cererea de acces la date, în cazul în care acest lucru este necesar pentru a permite accesul la datele solicitate, în conformitate cu modalităţile de acces specificate în cererea motivată.
(3)În cazul în care furnizarea accesului implică un transfer de date cu caracter personal către o ţară terţă sau o organizaţie internaţională în sensul capitolului V din Regulamentul (UE) 2016/679, cererea motivată include informaţii privind necesitatea de a se institui sau de a se menţiona un mecanism de transfer adecvat pentru a asigura respectarea Regulamentului (UE) 2016/679.
Art. 11: Publicarea unei prezentări generale a unei cereri motivate pe portalul pentru accesul la datele aferente DSA
(1)La formularea unei cereri motivate, coordonatorul serviciilor digitale din ţara de stabilire publică o prezentare generală a cererii motivate în interfaţa publică a portalului pentru accesul la datele aferente DSA. Prezentarea generală conţine toate elementele următoare:
a)rezumatul cererii de acces la date menţionat la articolul 8 litera (g);
b)modalităţile de acces stabilite în temeiul articolului 9.
(2)Prezentarea generală menţionată la alineatul (1) se actualizează pentru a reflecta orice modificări care rezultă dintr-o modificare a unuia sau mai multor elemente în urma examinării unei cereri de modificare sau a rezultatului unei medieri în conformitate cu articolul 13.
Art. 12: Proceduri de examinare a cererilor de modificare
(1)La primirea unei cereri de modificare în temeiul articolului 40 alineatul (5) din Regulamentul (UE) 2022/2065, coordonatorul serviciilor digitale din ţara de stabilire îl informează pe cercetătorul principal în cauză.
(2)Atunci când decide cu privire la o cerere de modificare depusă în temeiul articolului 40 alineatul (5) litera (a) din Regulamentul (UE) 2022/2065, coordonatorul serviciilor digitale din ţara de stabilire ţine seama de următoarele:
a)dacă motivele pentru presupusa lipsă a accesului la date sunt justificate în mod corespunzător;
b)dacă această lipsă de acces la date este permanentă sau temporară.
(3)Atunci când decide cu privire la o cerere de modificare depusă în temeiul articolului 40 alineatul (5) litera (b) din Regulamentul (UE) 2022/2065, coordonatorul serviciilor digitale din ţara de stabilire ţine seama de toate elementele următoare:
a)dacă presupusele vulnerabilităţi şi importanţa acestora sunt justificate în mod corespunzător;
b)probabilitatea şi gravitatea prejudiciului care rezultă din aceste presupuse vulnerabilităţi semnificative;
c)măsura în care modalităţile de acces prevăzute în cererea motivată atenuează în mod eficace riscul producerii unor astfel de prejudicii.
(4)În orice moment al evaluării unei cereri de modificare, coordonatorul serviciilor digitale din ţara de stabilire poate solicita furnizorului de date sau cercetătorului principal orice informaţii suplimentare pe care le consideră necesare pentru a-şi finaliza evaluarea.
(5)O astfel de solicitare de informaţii suplimentare se face cât mai curând posibil pentru a acorda furnizorului de date sau cercetătorului principal suficient timp să răspundă şi, în orice caz, nu aduce atingere termenului stabilit la articolul 40 alineatul (6) al doilea paragraf din Regulamentul (UE) 2022/2065. În cazul în care furnizorul de date sau cercetătorul principal nu furnizează informaţiile solicitate deloc sau într-un termen specificat de coordonatorul serviciilor digitale din ţara de stabilire sau furnizează informaţii parţiale, coordonatorul serviciilor digitale din ţara de stabilire ia o decizie în termenul prevăzut la articolul 40 alineatul (6) din Regulamentul (UE) 2022/2065 pe baza informaţiilor care i-au fost puse la dispoziţie într-un termen rezonabil.
Art. 13: Medierea
(1)În cazul în care furnizorul de date nu este de acord cu decizia coordonatorului serviciilor digitale din ţara de stabilire cu privire la cererea de modificare, furnizorul de date poate, în termen de cinci zile lucrătoare de la comunicarea de către coordonatorul serviciilor digitale din ţara de stabilire în temeiul articolului 40 alineatul (6) al doilea paragraf din Regulamentul (UE) 2022/2065, să solicite în scris coordonatorului serviciilor digitale din ţara de stabilire să participe la mediere.
(2)Coordonatorul serviciilor digitale din ţara de stabilire nu este obligat să participe la procesul de mediere.
(3)Cererea scrisă menţionată la alineatul (1) include o descriere concisă a elementelor specifice ale deciziei, astfel cum au fost comunicate de coordonatorul serviciilor digitale din ţara de stabilire în temeiul articolului 40 alineatul (6) al doilea paragraf din Regulamentul (UE) 2022/2065, la care furnizorul de date se opune.
(4)Coordonatorul serviciilor digitale din ţara de stabilire şi furnizorul de date convin asupra numirii unui mediator şi iniţiază medierea în termen de 20 de zile lucrătoare de la depunerea cererii de mediere în temeiul alineatului (3).
(5)Înainte de a accepta numirea unui mediator, coordonatorul serviciilor digitale din ţara de stabilire verifică dacă mediatorul este imparţial şi independent şi dacă deţine expertiza relevantă legată de subiectul descris în cererea scrisă menţionată la alineatul (1).
(6)Furnizorul de date suportă toate costurile medierii.
(7)Coordonatorul serviciilor digitale din ţara de stabilire îl informează pe cercetătorul principal cu privire la cererea de mediere menţionată la alineatul (1) fără întârzieri nejustificate şi poate decide să îl invite pe cercetătorul principal să se alăture medierii în calitate de parte. În cazul în care cererea de acces la date a fost depusă la coordonatorul serviciilor digitale al organizaţiei de cercetare, coordonatorul serviciilor digitale din ţara de stabilire îl poate invita pe coordonatorul serviciilor digitale al organizaţiei de cercetare să participe la procesul de mediere. Niciuna dintre părţile invitate să se alăture medierii de către coordonatorul serviciilor digitale din ţara de stabilire nu este obligată să participe la procesul de mediere.
(8)Participarea la mediere nu aduce atingere dreptului părţilor de a iniţia proceduri judiciare în orice moment înainte de mediere, în timpul medierii sau după mediere.
(9)Coordonatorul serviciilor digitale din ţara de stabilire stabileşte un termen pentru mediere, care nu depăşeşte 40 de zile lucrătoare începând de la data iniţierii medierii în temeiul alineatului (4).
(10)Mediatorul poate încheia medierea mai devreme în unul dintre următoarele cazuri:
a)una dintre părţi solicită în mod explicit încetarea medierii;
b)devine clar în timpul medierii că comportamentul părţilor, inclusiv lipsa de bună credinţă, face puţin probabilă ajungerea la un acord.
(11)În cazul în care medierea conduce la un acord între părţi, coordonatorul serviciilor digitale din ţara de stabilire ia în considerare acest acord şi, după caz, modifică cererea motivată şi îl informează pe cercetătorul principal cu privire la modificare.
(12)În cazul în care părţile nu reuşesc să ajungă la un acord, coordonatorul serviciilor digitale din ţara de stabilire notifică furnizorului de date că decizia coordonatorului serviciilor digitale din ţara de stabilire cu privire la cererea de modificare, astfel cum a fost comunicată ultima dată în temeiul articolului 40 alineatul (6) al doilea paragraf din Regulamentul (UE) 2022/2065, este considerată valabilă şi serveşte drept bază relevantă pentru etapele ulterioare ale procesului şi îl informează pe cercetătorul principal.
(13)Coordonatorul serviciilor digitale din ţara de stabilire înregistrează în AGORA un proces-verbal sumar al medierii, pregătit de mediator şi semnat de toate părţile. Procesul-verbal conţine următoarele informaţii:
a)data cererii scrise de mediere din partea furnizorului de date;
b)identitatea şi datele de contact ale părţilor;
c)data începerii şi data încetării medierii;
d)rezultatul medierii, inclusiv orice acord la care s-a ajuns sau motivul încetării medierii.
Art. 14: Consultarea experţilor independenţi
(1)Înainte de a formula o cerere motivată sau de a lua o decizie cu privire la o cerere de modificare, coordonatorul serviciilor digitale poate decide să consulte experţi.
(2)Experţii sunt independenţi şi imparţiali, deţin expertiză relevantă şi competenţe dovedite şi au capacitatea şi resursele necesare pentru a îndeplini sarcina identificată, fără întârzieri nejustificate.
(3)Pentru a atesta imparţialitatea, experţii semnează o declaraţie prin care confirmă că:
a)nu au nicio legătură financiară sau personală cu furnizorul de date sau cu cercetătorii solicitanţi;
b)nu au niciun interes în rezultatul procesului de acces la date;
c)nu se află în conflict de interese.
(4)Coordonatorul serviciilor digitale codifică, fără întârzieri nejustificate, orice consultare efectuată în temeiul alineatului (1), împreună cu avizul experţilor primit ca răspuns la consultare, în AGORA.
Art. 15: Schimbul de date şi documentarea datelor
(1)Furnizorii de date notifică coordonatorului serviciilor digitale din ţara de stabilire în termen de trei zile lucrătoare faptul că:
a)accesul la datele solicitate a fost acordat cercetătorilor agreaţi, în conformitate cu cererea motivată;
b)accesul cercetătorilor agreaţi a încetat.
(2)Furnizorii de date furnizează cercetătorilor agreaţi orice informaţii suplimentare necesare pentru a accesa şi a înţelege datele solicitate, cum ar fi registre de coduri, jurnale ale modificărilor şi documentaţia arhitecturală. În cazurile în care furnizarea unor astfel de informaţii poate duce la o vulnerabilitate semnificativă a serviciilor furnizorului de date, furnizorul de date îl informează pe coordonatorul serviciilor digitale din ţara de stabilire cu privire la riscul respectiv şi, dacă este posibil, propune informaţii alternative.
(3)Atunci când oferă acces la date, furnizorii de date nu impun cercetătorilor agreaţi cerinţe de gestionare a datelor, cum ar fi cerinţe de arhivare, stocare, actualizare şi ştergere sau limitări ale utilizării instrumentelor analitice standard, care ar putea împiedica desfăşurarea cercetării relevante, cu excepţia cazului în care astfel de cerinţe sau limitări sunt menţionate în mod explicit în cererea motivată.
(4)În cazul în care sunt prelucrate date cu caracter personal, furnizorii de date nu impun cercetătorilor agreaţi alte condiţii în ceea ce priveşte prelucrarea datelor cu caracter personal partajate decât cele specificate în cererea motivată.
Art. 16: Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 1 iulie 2025.
Pentru Comisie Preşedinta Ursula VON DER LEYEN |
ANEXĂ:Responsabilităţile Comisiei în calitate de persoană împuternicită de operator pentru activităţile de prelucrare a datelor desfăşurate în contextul portalului pentru accesul la datele aferente DSA (Digital Services Act - Regulamentul privind serviciile digitale)
1.Comisia instituie şi asigură o infrastructură informatică securizată şi fiabilă, portalul pentru accesul la datele aferente DSA, în numele coordonatorilor serviciilor digitale, care să sprijine şi să raţionalizeze gestionarea procesului de acces la date pentru cercetători, organizaţiile de cercetare, furnizorii de date şi coordonatorii serviciilor digitale.
2.Pentru a-şi îndeplini obligaţiile care îi revin în calitate de persoană împuternicită de operator pentru coordonatorii serviciilor digitale, Comisia poate recurge la terţi în calitate de subcontractanţi. În acest caz, operatorii autorizează Comisia să utilizeze subcontractanţi sau să înlocuiască subcontractanţii, dacă este necesar. Comisia informează operatorii cu privire la respectiva utilizare sau înlocuire a subcontractanţilor, oferind astfel operatorilor posibilitatea de a formula obiecţii faţă de aceste modificări. Comisia se asigură că acestor subcontractanţi li se aplică aceleaşi obligaţii în materie de protecţie a datelor ca cele prevăzute în prezentul regulament.
3.Prelucrarea de către Comisie implică date cu caracter personal numai în măsura în care acest lucru este necesar pentru:
(a)autentificarea şi controlul accesului în ceea ce priveşte toţi utilizatorii portalului pentru accesul la datele aferente DSA;
(b)autorizarea punerii în aplicare a solicitărilor utilizatorilor portalului pentru accesul la datele aferente DSA de a crea, a actualiza şi a şterge orice informaţii conţinute în cerere în cadrul portalului pentru accesul la datele aferente DSA;
(c)primirea datelor cu caracter personal menţionate la articolul 5 alineatul (3) din prezentul regulament încărcate de utilizatorii portalului pentru accesul la datele aferente DSA;
(d)stocarea datelor cu caracter personal pe portalul pentru accesul la datele aferente DSA;
(e)ştergerea datelor cu caracter personal la data lor de expirare sau în urma instrucţiunilor operatorului;
(f)după încheierea furnizării serviciilor de către portalul pentru accesul la datele aferente DSA, ştergerea oricăror date cu caracter personal rămase, cu excepţia cazului în care legislaţia Uniunii sau a statului membru impune stocarea unor astfel de date cu caracter personal.
4.Comisia ia toate măsurile de securitate organizaţională, fizică şi logică de ultimă generaţie pentru a asigura funcţionarea portalului pentru accesul la datele aferente DSA. În acest scop, Comisia:
(a)desemnează o entitate responsabilă pentru gestionarea securităţii portalului pentru accesul la datele aferente DSA, comunică operatorilor informaţiile sale de contact şi asigură disponibilitatea sa de reacţie la ameninţări la adresa securităţii;
(b)îşi asumă responsabilitatea pentru securitatea portalului pentru accesul la datele aferente DSA, inclusiv prin efectuarea periodică de teste, de analize şi de evaluări ale măsurilor de securitate.
5.Comisia ia toate măsurile de securitate necesare pentru a evita compromiterea bunei funcţionări operaţionale a portalului pentru accesul la datele aferente DSA. Acestea includ:
(a)procedura de evaluare a riscurilor pentru a identifica şi a estima potenţialele ameninţări la adresa portalului pentru accesul la datele aferente DSA;
(b)procedura de audit şi de reexaminare, pentru:
(i)a verifica corespondenţa dintre măsurile de securitate puse în aplicare şi politica de securitate aplicabilă;
(ii)a controla periodic integritatea portalului pentru accesul la datele aferente DSA, parametrii de securitate şi autorizaţiile acordate;
(iii)a detecta încălcările securităţii şi intruziunile la nivelul portalului pentru accesul la datele aferente DSA;
(iv)a pune în aplicare modificări cu scopul de a atenua deficienţele de securitate existente în portalul pentru accesul la datele aferente DSA;
(v)a defini condiţiile în care să autorizeze, inclusiv la cererea operatorilor, şi să contribuie la efectuarea auditurilor independente, inclusiv a inspecţiilor şi a examinărilor privind măsurile de securitate, sub rezerva unor condiţii care să respecte Protocolul (nr. 7) la Tratatul privind funcţionarea Uniunii Europene privind privilegiile şi imunităţile Uniunii Europene;
(c)modificarea procedurii de control pentru a documenta şi măsura impactul unei modificări înainte de punerea în aplicare a acesteia şi pentru a-i informa pe operatori cu privire la orice modificare care poate afecta comunicarea cu portalul pentru accesul la datele aferente DSA şi/sau securitatea acestuia;
(d)stabilirea unei proceduri de întreţinere şi de reparare, pentru a specifica regulile şi condiţiile care trebuie respectate atunci când trebuie efectuate lucrări de întreţinere şi/sau de reparare a portalului pentru accesul la datele aferente DSA;
(e)stabilirea unei proceduri privind incidentele de securitate, pentru a defini sistemul de raportare şi de escaladare, pentru a-i informa fără întârziere pe operatorii afectaţi, pentru a-i informa fără întârziere pe operatori astfel încât aceştia să informeze autorităţile naţionale de supraveghere a protecţiei datelor cu privire la orice încălcare legată de datele cu caracter personal şi pentru a defini un proces disciplinar care să trateze cazurile de încălcare a securităţii în cadrul portalului pentru accesul la datele aferente DSA.
6.Comisia ia măsuri de securitate fizică şi logică de ultimă generaţie pentru instalaţiile care găzduiesc portalul pentru accesul la datele aferente DSA şi pentru controalele datelor şi controalele accesului de securitate la acesta. În acest scop, Comisia:
(a)asigură securitatea fizică pentru a stabili perimetre de securitate distincte şi pentru a permite depistarea încălcărilor în cadrul portalului pentru accesul la datele aferente DSA;
(b)controlează accesul la facilităţile portalului pentru accesul la datele aferente DSA;
(c)se asigură că nu se pot adăuga, înlocui sau elimina echipamente fără autorizaţia prealabilă din partea organismelor responsabile desemnate;
(d)controlează accesul dinspre şi către portalul pentru accesul la datele aferente DSA;
(e)se asigură că utilizatorii portalului pentru accesul la datele aferente DSA care accesează portalul pentru accesul la datele aferente DSA sunt autentificaţi;
(f)revizuieşte drepturile de autorizare legate de accesul la portalul pentru accesul la datele aferente DSA în cazul unei încălcări a securităţii care afectează portalul pentru accesul la datele aferente DSA;
(g)menţine integritatea informaţiilor transmise prin intermediul portalului pentru accesul la datele aferente DSA;
(h)pune în aplicare măsuri de securitate tehnice şi organizaţionale pentru a preveni accesul neautorizat la date cu caracter personal în cadrul portalului pentru accesul la datele aferente DSA;
(i)pune în aplicare, ori de câte ori este necesar, măsuri de blocare a accesului neautorizat la portalul pentru accesul la datele aferente DSA (şi anume blocarea unei locaţii/adrese IP).
7.Comisia:
(a)ia măsuri pentru protejarea domeniului său, inclusiv întreruperea conexiunilor, în caz de abateri semnificative de la principiile şi conceptele privind calitatea şi securitatea;
(b)menţine un plan de gestionare a riscurilor aferent domeniului său de responsabilitate;
(c)monitorizează, în timp real, performanţa tuturor componentelor de servicii ale portalului pentru accesul la datele aferente DSA, elaborează statistici periodice şi păstrează evidenţe;
(d)oferă asistenţă pentru portalul pentru accesul la datele aferente DSA în limba engleză pentru utilizatorii portalului pentru accesul la datele aferente DSA;
(e)oferă asistenţă operatorilor prin măsuri tehnice şi organizatorice adecvate pentru îndeplinirea obligaţiei operatorului de a răspunde la cererile de exercitare a drepturilor persoanelor vizate prevăzute în capitolul III din Regulamentul (UE) 2016/679;
(f)sprijină operatorii prin furnizarea de informaţii privind portalul pentru accesul la datele aferente DSA în vederea punerii în aplicare a obligaţiilor prevăzute la articolele 32, 33, 34, 35 şi 36 din Regulamentul (UE) 2016/679;
(g)se asigură că datele prelucrate în cadrul portalului pentru accesul la datele aferente DSA sunt neinteligibile pentru orice persoană care nu este autorizată să le acceseze;
(h)ia toate măsurile relevante pentru a preveni accesul neautorizat la datele cu caracter personal transmise prin intermediul portalului pentru accesul la datele aferente DSA;
(i)ia măsuri pentru a facilita comunicarea dintre operatori;
(j)ţine evidenţa activităţilor de prelucrare efectuate în numele operatorilor în conformitate cu articolul 31 alineatul (2) din Regulamentul (UE) 2018/1725.
Publicat în Jurnalul Oficial seria L din data de 9 octombrie 2025