keyboard_tab Data Act 2023/2854 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Članak 5. Pravo korisnika na dijeljenje podataka s trećim stranama
- 1 Članak 10. Rješavanje sporova
- 1 Članak 11. Mjere tehničke zaštite o neovlaštenoj uporabi ili otkrivanju podataka
- 1 Članak 23. Uklanjanje prepreka djelotvornoj promjeni
- 1 Članak 24. Opseg tehničkih obveza
- 1 Članak 43. Baze podataka koje sadržavaju određene podatke
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
DIJELJENJE PODATAKA IZMEĐU PODUZEĆA I POTROŠAČA TE MEĐU PODUZEĆIMA
POGLAVLJE III.
OBVEZE IMATELJA PODATAKA KOJI SU U SKLADU S PRAVOM UNIJE OBVEZNI STAVITI PODATKE NA RASPOLAGANJE
POGLAVLJE IV.
NEPOŠTENE UGOVORNE ODREDBE POVEZANE S PRISTUPOM PODACIMA I NJIHOVOM UPORABOM MEĐU PODUZEĆIMA
POGLAVLJE V.
STAVLJANJE PODATAKA NA RASPOLAGANJE TIJELIMA JAVNOG SEKTORA, KOMISIJI, EUROPSKOJ SREDIŠNJOJ BANCI I TIJELIMA UNIJE NA TEMELJU IZNIMNE POTREBE
POGLAVLJE VI.
PROMJENA USLUGE OBRADE PODATAKA
POGLAVLJE VII.
NEZAKONITI MEĐUNARODNI PRISTUP TIJELA VLASTI NEOSOBNIM PODACIMA I NEZAKONITI MEĐUNARODNI PRIJENOS NEOSOBNIH PODATAKA TIJELIMA VLASTI
POGLAVLJE VIII.
INTEROPERABILNOST
POGLAVLJE IX.
PROVEDBA I IZVRŠAVANJE
POGLAVLJE X.
PRAVO SUI GENERIS NA TEMELJU DIREKTIVE 96/9/EZ
POGLAVLJE XI.
ZAVRŠNE ODREDBE
- podataka 95
- skladu 31
- koje 25
- sporova 24
- rješavanje 21
- obrade 17
- podatke 16
- usluga 16
- imatelj 15
- strane 14
- koji 14
- strana 13
- korisnika 12
- mjere 11
- treća 11
- raspolaganje 11
- mora 10
- tehničke 10
- tajne 10
- ovog 9
- članka 9
- korisnik 9
- imatelja 9
- člankom 9
- tijelo 9
- poslovne 9
- strani 9
- koja 8
- stavkom 8
- tijelu 8
- kako 8
- pruža 7
- uredbe 7
- nije 7
- temelju 7
- zaštite 7
- treće 7
- primjenjuje 6
- bilo 6
- članka 6
- može 6
- stavka 6
- smije 6
- člankom 6
- pravo 6
- osim 6
- stavkom 6
- pristup 6
- Članak 6
- trećoj 6
Članak 5.
Pravo korisnika na dijeljenje podataka s trećim stranama
1. Imatelj podataka na zahtjev korisnika ili strane koja djeluje u ime korisnika trećoj strani bez nepotrebne odgode stavlja na raspolaganje lako dostupne podatke, kao i relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, jednake kvalitete koja je dostupna imatelju podataka, na jednostavan i siguran način, besplatno za korisnika, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu te, ako je to relevantno i tehnički izvedivo, kontinuirano i u stvarnom vremenu. Imatelj podataka stavlja podatke na raspolaganje trećoj strani u skladu s člancima 8. i 9.
2. Stavak 1. ne primjenjuje se na lako dostupne podatke u kontekstu ispitivanja novih povezanih proizvoda, tvari ili postupaka koji još nisu stavljeni na tržište, osim ako je njihova uporaba dopuštena trećoj strani ugovorom.
3. Svaki poduzetnik za kojeg je utvrđen status nadzornika pristupa u skladu s člankom 3. Uredbe (EU) 2022/1925 nije prihvatljiva treća strana na temelju ovog članka i stoga ne smije:
| (a) | vrbovati ili komercijalno poticati korisnika na bilo koji način, među ostalim i pružanjem novčane ili bilo koje druge naknade, da podatke koje je korisnik pribavio na temelju zahtjeva iz članka 4. stavka 1. stavi na raspolaganje za jednu od njegovih usluga; |
| (b) | vrbovati ili komercijalno poticati korisnika da od imatelja podataka zatraži da stavi podatke na raspolaganje za jednu od njegovih usluga u skladu sa stavkom 1. ovog članka; |
| (c) | primati podatke od korisnika koje je korisnik pribavio na temelju zahtjeva iz članka 4. stavka 1. |
4. Kako bi se provjerilo ispunjava li fizička ili pravna osoba uvjete da bi se smatrala korisnikom odnosno trećom stranom za potrebe stavka 1., korisnik ili treća strana nisu obvezni pružiti nikakve informacije osim onih koje su potrebne. Imatelji podataka ne smiju čuvati nikakve informacije, osobito evidencijske podatke, o pristupu treće strane traženim podacima osim onih koje su potrebne za ispravno izvršavanje zahtjeva treće strane za pristup te za sigurnost i održavanje podatkovne infrastrukture.
5. Treća strana ne smije radi dobivanja pristupa podacima primjenjivati sredstva prisile ili zloupotrebljavati nedostatke u tehničkoj infrastrukturi imatelja podataka namijenjenoj zaštiti podataka.
6. Imatelj podataka ne smije upotrebljavati lako dostupne podatke kako bi stekao uvid u gospodarsko stanje, imovinu i proizvodne metode ili uporabu, na bilo koji drugi način, tih podataka od strane treće strane kojim bi se mogao ugroziti poslovni položaj treće strane na tržištima na kojima je treća strana aktivna, osim ako je treća strana dala dopuštenje za takvu uporabu i ako ima tehničku mogućnost u svakom trenutku jednostavno povući to dopuštenje.
7. Ako korisnik nije ispitanik čiji se osobni podaci traže, sve osobne podatke generirane uporabom povezanog proizvoda ili povezane usluge imatelj podataka stavlja na raspolaganje trećoj strani samo ako postoji valjana pravna osnova za obradu u skladu s člankom 6. Uredbe (EU) 2016/679 i, ako je to relevantno, ako su ispunjeni uvjeti iz članka 9. te uredbe i članka 5. stavka 3. Direktive 2002/58/EZ.
8. Ako se imatelj podataka i treća strana ne dogovore o aranžmanima za prijenos podataka, to ne smije otežavati, sprečavati ili ometati ostvarivanje pravâ ispitanika na temelju Uredbe (EU) 2016/679 te posebno prava na prenosivost podataka u skladu s člankom 20. te uredbe.
9. Poslovne tajne čuvaju se i otkrivaju se trećim stranama samo u mjeri u kojoj je takvo otkrivanje nužno za ispunjavanje svrhe o kojoj su se dogovorili korisnik i treća strana. Imatelj podataka ili, ako nije riječ o istoj osobi, nositelj poslovne tajne, identificira podatke koji su zaštićeni kao poslovne tajne, među ostalim i u relevantnim metapodacima, i dogovara s trećom stranom sve razmjerne tehničke i organizacijske mjere potrebne za očuvanje povjerljivosti podijeljenih podataka, kao što su modeli ugovornih odredbi, sporazumi o povjerljivosti, strogi protokoli o pristupu, tehnički standardi i primjena kodeksa ponašanja.
10. Ako se ne postigne sporazum o potrebnim mjerama iz stavka 9. ovog članka ili ako treća strana ne provede mjere dogovorene u skladu sa stavkom 9. ovog članka ili ugrozi povjerljivost poslovnih tajni, imatelj podataka može uskratiti ili, ovisno o slučaju, suspendirati dijeljenje podataka koji su identificirani kao poslovne tajne. Odluka imatelja podataka mora biti propisno obrazložena i mora se dostaviti trećoj strani u pisanom obliku bez nepotrebne odgode. U takvim slučajevima imatelj podataka obavješćuje nadležno tijelo imenovano u skladu s člankom 37. da je uskratio ili suspendirao dijeljenje podataka i navodi koje mjere nisu dogovorene ili provedene te, ako je to relevantno, za koje je poslovne tajne ugrožena povjerljivost.
11. U iznimnim okolnostima, ako imatelj podataka koji je nositelj poslovne tajne može dokazati da će vrlo vjerojatno pretrpjeti tešku gospodarsku štetu od otkrivanja poslovnih tajni, unatoč tehničkim i organizacijskim mjerama koje je poduzela treća strana u skladu sa stavkom 9. ovog članka, taj imatelj podataka može na pojedinačnoj osnovi odbiti zahtjev za pristup dotičnim podacima. Taj dokaz mora biti propisno obrazložen na temelju objektivnih elemenata, posebno izvršivosti zaštite poslovnih tajni u trećim zemljama, prirodi i razini povjerljivosti traženih podataka te jedinstvenosti i inovativnosti povezanog proizvoda te se mora dostaviti trećoj strani u pisanom obliku bez nepotrebne odgode. Ako imatelj podataka odbije podijeliti podatke u skladu s ovim stavkom, o tome obavješćuje nadležno tijelo imenovano u skladu s člankom 37.
12. Ne dovodeći u pitanje pravo treće strane da u bilo kojem trenutku zatraži pravnu zaštitu pred sudom države članice, treća strana koja želi osporiti odluku imatelja podataka da odbije ili da uskrati ili suspendira dijeljenje podataka u skladu sa stavcima 10. i 11., može učiniti sljedeće:
| (a) | u skladu s člankom 37. stavkom 5. točkom (b) podnijeti pritužbu nadležnom tijelu koje bez nepotrebne odgode odlučuje mora li se i pod kojim uvjetima dijeljenje podataka započeti ili nastaviti; ili |
| (b) | dogovoriti se s imateljem podataka da se predmet uputi tijelu za rješavanje sporova u skladu s člankom 10. stavkom 1. |
13. Pravo iz stavka 1. ne smije negativno utjecati na prava ispitanika na temelju primjenjivog prava Unije o zaštiti osobnih podataka i primjenjivog nacionalnog prava o zaštiti osobnih podataka.
Članak 10.
Rješavanje sporova
1. Korisnici, imatelji podataka i primatelji podataka imaju pristup tijelu za rješavanje sporova koje je certificirano u skladu sa stavkom 5. ovog članka radi rješavanja sporova u skladu s člankom 4. stavcima 3. i 9. i člankom 5. stavkom 12. kao i sporova povezanih s poštenim, razumnim i nediskriminirajućim uvjetima za stavljanje podataka na raspolaganje i transparentnim načinom stavljanja podataka na raspolaganje u skladu s ovim poglavljem i poglavljem IV.
2. Tijela za rješavanje sporova obavješćuju dotične strane o naknadama ili mehanizmima za određivanje naknada prije nego što te strane zatraže donošenje odluke.
3. Za sporove upućene tijelu za rješavanje sporova u skladu s člankom 4. stavcima 3. i 9. i člankom 5. stavkom 12., ako tijelo za rješavanje sporova spor riješi u korist korisnika ili primatelja podataka, imatelj podataka snosi sve naknade koje naplaćuje tijelo za rješavanje sporova i nadoknađuje tom korisniku ili tom primatelju podataka sve ostale razumne troškove koji su mu nastali u vezi s rješavanjem spora. Ako tijelo za rješavanje sporova spor riješi u korist imatelja podataka, korisnik ili primatelj podataka nije obvezan nadoknaditi naknade ili ostale troškove koje je imatelj podataka platio ili mora platiti u vezi s rješavanjem spora, osim ako tijelo za rješavanje sporova utvrdi da je korisnik ili primatelj podataka očito postupao u zloj vjeri.
4. Klijenti i pružatelji usluga obrade podataka imaju pristup tijelu za rješavanje sporova koje je certificirano u skladu sa stavkom 5. ovog članka radi rješavanja sporova povezanih s kršenjem pravâ klijenata i obveza pružateljâ usluga obrade podataka u skladu s člancima od 23. do 31.
5. Država članica u kojoj je tijelo za rješavanje sporova uspostavljeno certificira to tijelo, na njegov zahtjev, ako je dokazalo da ispunjava sve sljedeće uvjete:
| (a) | nepristrano je i neovisno te odluke mora donositi u skladu s jasnim, nediskriminirajućim i pravednim poslovnikom; |
| (b) | ima potrebno stručno znanje, posebno u vezi s poštenim, razumnim i nediskriminirajućim uvjetima, uključujući naknadu, te u vezi sa stavljanjem podataka na raspolaganje na transparentan način, koje tom tijelu omogućuje da djelotvorno utvrdi te uvjete; |
| (c) | lako je dostupno s pomoću elektroničke komunikacijske tehnologije; |
| (d) | sposobno je donositi svoje odluke brzo, djelotvorno i troškovno učinkovito, na najmanje jednom službenom jeziku Unije. |
6. Države članice obavješćuju Komisiju o tijelima za rješavanje sporova koja su certificirana u skladu sa stavkom 5. Komisija objavljuje popis tih tijela na posebnim internetskim stranicama i ažurira ga.
7. Tijelo za rješavanje sporova odbija postupati po zahtjevu za rješavanje spora koji je već podnesen drugom tijelu za rješavanje sporova ili sudu države članice.
8. Tijelo za rješavanje sporova stranama pruža mogućnost da u razumnom roku iznesu svoja stajališta o pitanjima koja su podnijele tom tijelu. U tom kontekstu svakoj strani u sporu dostavljaju se podnesci druge strane u sporu i izjave stručnjaka. Stranama se pruža mogućnost da iznesu primjedbe na te podneske i izjave.
9. Tijelo za rješavanje sporova donosi svoju odluku o pitanju koje mu je upućeno u roku od 90 dana od primitka zahtjeva u skladu sa stavcima 1. i 4. Ta odluka mora biti u pisanom obliku ili mora biti zabilježena na trajnom nosaču podataka te mora biti potkrijepljena obrazloženjem.
10. Tijela za rješavanje sporova izrađuju i objavljuju godišnja izvješća o radu. Takva godišnja izvješća sadržavaju posebno sljedeće opće informacije:
| (a) | objedinjene ishode sporova; |
| (b) | prosječno vrijeme potrebno za rješavanje sporova; |
| (c) | najčešće razloge za sporove. |
11. Kako bi se olakšala razmjena informacija i najboljih praksi, tijelo za rješavanje sporova može odlučiti uključiti preporuke u izvješće iz stavka 10. o tome kako se problemi mogu izbjeći ili riješiti.
12. Odluka tijela za rješavanje sporova obvezujuća je za strane samo ako su izričito pristale na njezinu obvezujuću prirodu prije početka postupka rješavanja spora.
13. Ovaj članak ne utječe na pravo strana da zatraže djelotvoran pravni lijek pred sudom države članice.
Članak 11.
Mjere tehničke zaštite o neovlaštenoj uporabi ili otkrivanju podataka
1. Imatelj podataka može primijeniti primjerene mjere tehničke zaštite, uključujući pametne ugovore i šifriranje, kako bi spriječio neovlašten pristup podacima, uključujući metapodatke, i kako bi osigurao usklađenost s člancima 4., 5., 6., 8. i 9., kao i s dogovorenim ugovornim odredbama za stavljanje podataka na raspolaganje. Takvim mjerama tehničke zaštite ne smije se diskriminirati primatelje podataka niti se smije ugrožavati pravo korisnika na pribavljanje kopije podataka, dohvaćanje podataka, uporabu podataka ili pristup podacima, na pružanje podataka trećim stranama u skladu s člankom 5. ili bilo koje pravo treće strane u skladu s pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije. Korisnici, treće strane i primatelji podataka ne smiju izmijeniti niti ukloniti takve mjere tehničke zaštite osim ako je imatelj podataka za to dao suglasnost.
2. U okolnostima iz stavka 3. treća strana ili primatelj podataka bez nepotrebne odgode postupa u skladu sa zahtjevima imatelja podataka i, ako je to primjenjivo i ako nije riječ o istoj osobi, nositelja poslovne tajne ili korisnika:
| (a) | za brisanje podataka koje je na raspolaganje stavio imatelj podataka i svih njihovih kopija; |
| (b) | za okončanje proizvodnje, nuđenja ili stavljanja na tržište ili uporabe robe, izvedenih podataka ili usluga, koji su proizvedeni na temelju znanja stečenog uporabom takvih podataka ili uvoza, izvoza ili pohrane robe kojom je počinjena povreda u te svrhe i uništavanje sve robe kojom je počinjena povreda ako postoji ozbiljan rizik da će nezakonita uporaba tih podataka prouzročiti znatnu štetu imatelju podataka, nositelju poslovne tajne ili korisniku ili ako takva mjera ne bi bila nerazmjerna s obzirom na interese imatelja podataka, nositelja poslovne tajne ili korisnika; |
| (c) | za obavješćivanje korisnika o neovlaštenoj uporabi ili otkrivanju podataka te o mjerama poduzetima kako bi se zaustavili neovlaštena uporaba ili otkrivanje podataka; |
| (d) | za nadoknadu strani koja je žrtva zlouporabe ili otkrivanja takvih podataka kojima je nezakonito pristupljeno ili koji su nezakonito upotrijebljeni. |
3. Stavak 2. primjenjuje se ako je treća strana ili primatelj podataka:
| (a) | za potrebe pribavljanja podataka pružio lažne informacije imatelju podataka, primijenio obmanjujuća sredstva ili sredstva prisile ili zloupotrijebio nedostatke u tehničkoj infrastrukturi imatelja podataka namijenjenoj zaštiti podataka; |
| (b) | u neovlaštene svrhe upotrijebio podatke koji su stavljeni na raspolaganje, uključujući razvoj konkurentnog povezanog proizvoda u smislu članka 6. stavka 2. točke (e); |
| (c) | nezakonito otkrio podatke drugoj strani; |
| (d) | nije održao tehničke i organizacijske mjere dogovorene u skladu s člankom 5. stavkom 9.; ili |
| (e) | izmijenio ili uklonio mjere tehničke zaštite koje primjenjuje imatelj podataka u skladu sa stavkom 1. ovog članka bez suglasnosti imatelja podataka. |
4. Stavak 2. primjenjuje se i ako korisnik izmijeni ili ukloni mjere tehničke zaštite koje primjenjuje imatelj podataka ili ne održi tehničke i organizacijske mjere koje je korisnik poduzeo u dogovoru s imateljem podataka ili, ako nije riječ o istoj osobi, nositeljem poslovnih tajni, kako bi očuvao poslovne tajne, kao i u pogledu bilo koje druge strane koja prima podatke od korisnika slijedom povrede ove Uredbe.
5. Ako je primatelj podataka povrijedio članak 6. stavak 2. točku (a) ili točku (b), korisnici imaju ista prava kao i imatelji podataka u skladu sa stavkom 2. ovog članka.
Članak 23.
Uklanjanje prepreka djelotvornoj promjeni
Pružatelji usluga obrade podataka poduzimaju mjere predviđene u člancima 25., 26., 27., 29. i 30. kako bi se klijentima omogućilo da prijeđu na uslugu obrade podataka, koja obuhvaća uslugu iste vrste, a koju pruža drugi pružatelj usluga obrade podataka ili na lokalnu infrastrukturu IKT-a ili, ako je relevantno, da istodobno koriste više pružatelja usluga obrade podataka. Ponajprije, pružatelji usluga obrade podataka ne smiju nametati pretkomercijalne, komercijalne, tehničke, ugovorne i organizacijske prepreke te moraju ukloniti takve prepreke koje sprečavaju klijente da:
| (a) | raskinu ugovor o usluzi obrade podataka nakon isteka maksimalnog otkaznog roka i uspješnog dovršetka procesa promjene, u skladu s člankom 25.; |
| (b) | sklope nove ugovore s drugim pružateljem usluga obrade podataka koji pruža uslugu iste vrste; |
| (c) | prenesu klijentove podatke koji se mogu izvesti i klijentove digitalne resurse drugom pružatelju usluga obrade podataka ili na lokalnu infrastrukturu IKT-a, među ostalim i nakon iskorištavanja besplatne ponude; |
| (d) | u skladu s člankom 24., postignu funkcionalnu ekvivalentnost u korištenju novom uslugom obrade podataka u okruženju IKT-a drugog pružatelja usluga obrade podataka koji pruža uslugu iste vrste; |
| (e) | razdvoje, ako je to tehnički izvedivo, usluge obrade podataka iz članka 30. stavka 1. od drugih usluga obrade podataka koje pruža pružatelj usluga obrade podataka. |
Članak 24.
Opseg tehničkih obveza
Odgovornosti pružateljâ usluga obrade podataka kako su utvrđene u člancima 23., 25., 29., 30. i 34. primjenjuju se samo na usluge, ugovore ili komercijalne prakse koje pruža izvorni pružatelj usluga obrade podataka.
Članak 43.
Baze podataka koje sadržavaju određene podatke
Pravo sui generis predviđeno u članku 7. Direktive 96/9/EZ ne primjenjuje se ako su podaci pribavljeni ili generirani putem povezanog proizvoda ili povezane usluge obuhvaćenih područjem primjene ove Uredbe, osobito u vezi s njezinim člancima 4. i 5.
POGLAVLJE XI.
ZAVRŠNE ODREDBE
whereas