Data Act 2023/2854 HR

(c)	stavljanju podataka na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci i tijelima Unije, ako postoji iznimna potreba za tim podacima radi obavljanja specifične zadaće koja se obavlja u javnom interesu, od strane imateljâ podataka;

(d)	olakšavanju promjene usluga obrade podataka;

(e)	uvođenju zaštitnih mjera protiv nezakonitog pristupa trećih strana neosobnim podacima; i

(f)	razvoju standarda interoperabilnosti za pristup podacima, prijenos podataka i uporabu podataka.

2. Ovom Uredbom obuhvaćeni su osobni i neosobni podaci, uključujući sljedeće vrste podataka, u sljedećim kontekstima:

(a)	poglavlje II. primjenjuje se na podatke, uz iznimku sadržaja, koji se odnose na učinkovitost, uporabu i okruženje povezanih proizvoda i povezanih usluga;

(b)	poglavlje III. primjenjuje se na sve podatke privatnog sektora koji podliježu zakonskim obvezama dijeljenja podataka;

(c)	poglavlje IV. primjenjuje se na sve podatke privatnog sektora kojima se pristupa i koji se upotrebljavaju na temelju ugovora među poduzećima;

(d)	poglavlje V. primjenjuje se na sve podatke privatnog sektora s naglaskom na neosobne podatke;

(e)	poglavlje VI. primjenjuje se na sve podatke i usluge koje obrađuju pružatelji usluga obrade podataka;

(f)	poglavlje VII. primjenjuje se na sve neosobne podatke koje pružatelji usluga obrade podataka čuvaju u Uniji.

3. Ova se Uredba primjenjuje na:

(a)	proizvođače povezanih proizvoda stavljenih na tržište u Uniji i pružatelje povezanih usluga, neovisno o mjestu poslovnog nastana tih proizvođača i pružatelja usluga;

(b)	korisnike, u Uniji, povezanih proizvoda ili povezanih usluga kako su navedeni u točki (a);

(c)	imatelje podataka, neovisno o njihovu mjestu poslovnog nastana, koji podatke stavljaju na raspolaganje primateljima podataka u Uniji;

(d)	primatelje podataka u Uniji kojima se podaci stavljaju na raspolaganje;

(e)

tijela javnog sektora, Komisiju, Europsku središnju banku i tijela Unije, koji od imatelja podataka zahtijevaju da stave podatke na raspolaganje ako postoji iznimna potreba za tim podacima radi izvršavanja specifične zadaće koja se obavlja u javnom interesu i na imatelje podataka koji te podatke dostavljaju kao odgovor na takav zahtjev;

(f)	pružatelje usluga obrade podataka, neovisno o njihovu mjestu poslovnog nastana, koji pružaju takve usluge klijentima u Uniji;

(g)	sudionike u podatkovnim prostorima i prodavatelje aplikacija koje se koriste pametnim ugovorima i osobe čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršenja sporazuma.

4. Ako se u ovoj Uredbi upućuje na povezane proizvode ili povezane usluge, smatra se da takva upućivanja uključuju i virtualne asistente ako su u oni interakciji s povezanim proizvodom ili povezanom uslugom.

5. Ovom se Uredbom ne dovodi u pitanje pravo Unije i nacionalno pravo o zaštiti osobnih podataka, privatnosti i povjerljivosti komunikacija i cjelovitosti terminalne opreme koje se primjenjuje na osobne podatke koji se obrađuju u vezi s pravima i obvezama utvrđenima u njoj, osobito uredbe (EU) 2016/679 i (EU) 2018/1725 te Direktiva 2002/58/EZ, uključujući ovlasti i nadležnosti nadzornih tijela te prava ispitanika. U mjeri u kojoj su korisnici ispitanici, pravima utvrđenima u poglavlju II. ove Uredbe dopunjuju se prava ispitanikâ na pristup i prava na prenosivost podataka iz članka 15., odnosno članka 20. Uredbe (EU) 2016/679. U slučaju proturječnosti između ove Uredbe i prava Unije o zaštiti osobnih podataka ili privatnosti, ili nacionalnog zakonodavstva donesenog u skladu s takvim pravom Unije, prednost ima relevantno pravo Unije ili nacionalno pravo o zaštiti osobnih podataka ili privatnosti.

6. Ova se Uredba ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka između privatnih i javnih subjekata niti ih dovodi u pitanje, a osobito se ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka.

Ova Uredba ne utječe na pravne akte Unije ili nacionalne pravne akte kojima se predviđa dijeljenje podataka, pristup podacima i njihova uporaba u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija ili pak u carinske ili porezne svrhe, osobito na uredbe (EU) 2021/784, (EU) 2022/2065 i (EU) 2023/1543 te Direktivu (EU) 2023/1544 ili međunarodnu suradnju u tom području. Ova se Uredba ne primjenjuje na prikupljanje ili dijeljenje podataka, pristup podacima ili uporabu podataka na temelju Uredbe (EU) 2015/847 i Direktive (EU) 2015/849. Ova se Uredba ne primjenjuje u područjima koja nisu obuhvaćena pravom Unije te u svakom slučaju ne utječe na nadležnosti država članica u pogledu javne sigurnosti, obrane ili nacionalne sigurnosti, neovisno o vrsti subjekta kojem su države članice povjerile obavljanje zadaća u vezi s tim nadležnostima, ili njihovu ovlast za zaštitu drugih ključnih državnih funkcija, uključujući osiguranje teritorijalne cjelovitosti države i očuvanje javnog poretka. Ova Uredba ne utječe na nadležnosti država članica u pogledu carina i porezne uprave ili zdravlja i sigurnosti građana.

7. Ovom se Uredbom dopunjuje samoregulatorni pristup iz Uredbe (EU) 2018/1807 dodavanjem opće primjenjivih obveza u pogledu promjene pružatelja usluga u oblaku.

8. Ovom se Uredbom ne dovode u pitanje pravni akti Unije i nacionalni pravni akti kojima se predviđa zaštita prava intelektualnog vlasništva, posebno direktive 2001/29/EZ, 2004/48/EZ i (EU) 2019/790.

9. Ovom se Uredbom dopunjuje i ne dovodi u pitanje pravo Unije čiji je cilj promicanje interesa potrošača i osiguravanje visoke razine zaštite potrošača i zaštita njihova zdravlja, sigurnosti i gospodarskih interesa, posebno direktive 93/13/EEZ, 2005/29/EZ i 2011/83/EU.

10. Ovom se Uredbom ne isključuje sklapanje dobrovoljnih zakonitih ugovora o dijeljenju podataka, uključujući ugovore sklopljene na recipročnoj osnovi, koji su u skladu sa zahtjevima utvrđenima u ovoj Uredbi.

Članak 2.

Definicije

Za potrebe ove Uredbe, primjenjuju se sljedeće definicije:

1.	„podaci” znači svaki digitalni prikaz akata, činjenica ili informacija i svaka kompilacija tih akata, činjenica ili informacija, među ostalim u obliku zvučnog, vizualnog ili audiovizualnog zapisa;

2.	„metapodaci” znači strukturiran opis sadržaja ili uporabe podataka kojim se olakšavaju pronalaženje i uporaba tih podataka;

3.	„osobni podaci” znači osobni podaci kako su definirani u članku 4. točki 1. Uredbe (EU) 2016/679;

4.	„neosobni podaci” znači podaci koji nisu osobni podaci;

„povezani proizvod” znači predmet koji pribavlja, generira ili prikuplja podatke koji se odnose na njegovu uporabu ili okruženje, koji može prenositi podatke proizvoda putem elektroničke komunikacijske usluge, fizičke veze ili pristupa na uređaju i čija glavna funkcija nisu pohrana, obrada ili prijenos podataka u ime bilo koje strane koja nije korisnik;

„povezana usluga” znači digitalna usluga, osim elektroničke komunikacijske usluge, uključujući softver, koja je povezana s proizvodom u trenutku kupnje, najma ili leasinga na takav način da bi njezina odsutnost spriječila povezani proizvod u izvršavanju jedne ili više njegovih funkcija ili koju proizvođač ili treća strana naknadno povezuju s proizvodom radi proširivanja, ažuriranja ili prilagođavanja funkcija povezanog proizvoda;

„obrada” znači svaki postupak ili niz postupaka koji se obavljaju na podacima ili skupovima podataka, bilo automatiziranim ili neautomatiziranim sredstvima, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, dohvat, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

„usluga obrade podataka” znači digitalna usluga koja se pruža klijentu i kojom se omogućuje sveprisutan mrežni pristup na zahtjev zajedničkom skupu konfigurabilnih, nadogradivih i elastičnih računalnih resursa centralizirane, distribuirane ili visoko distribuirane prirode koja se može brzo osigurati i isporučiti uz minimalan napor upravljanja ili minimalnu interakciju pružatelja usluga;

9.	„usluga iste vrste” znači skup usluga obrade podataka koje imaju isti glavni cilj, isti model usluge obrade podataka i iste glavne funkcionalnosti;

10.	„usluga podatkovnog posredovanja” znači usluga podatkovnog posredovanja kako je definirana u članku 2. točki 11. Uredbe (EU) 2022/868;

11.	„ispitanik” znači ispitanik kako je navedeno u članku 4. točki 1. Uredbe (EU) 2016/679;

12.	„korisnik” znači fizička ili pravna osoba koja je vlasnik povezanog proizvoda ili na koju su u okviru ugovora prenesena privremena prava na uporabu tog povezanog proizvoda ili koja prima povezane usluge;

13.

„imatelj podataka” znači fizička ili pravna osoba koja ima pravo ili obvezu, u skladu s ovom Uredbom, primjenjivim pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije, upotrebljavati ili stavljati na raspolaganje podatke, uključujući, ako je to dogovoreno ugovorom, podatke proizvoda ili podatke o povezanim uslugama koje je dohvatila ili generirala tijekom pružanja povezane usluge;

14.

„primatelj podataka” znači fizička ili pravna osoba koja djeluje u svrhe povezane sa svojom trgovačkom, poslovnom, obrtničkom ili profesionalnom djelatnošću, osim korisnika povezanog proizvoda ili povezane usluge, kojoj imatelj podataka stavlja na raspolaganje podatke, uključujući treću stranu slijedom zahtjeva korisnika upućenog imatelju podataka ili u skladu s pravnom obvezom na temelju prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije;

15.	„podaci proizvoda” znači podaci generirani uporabom povezanog proizvoda koje je proizvođač dizajnirao tako da ih korisnik, imatelj podataka ili treća strana, uključujući, ako je to relevantno, proizvođač, mogu dohvatiti putem elektroničke komunikacijske usluge, fizičke veze ili pristupa na uređaju;

16.	„podaci o povezanim uslugama” znači podaci koji predstavljaju digitalizaciju korisničkih radnji ili događaja koji se odnose na povezani proizvod, koje je korisnik zabilježio namjerno ili koji su generirani kao nusproizvod djelovanja korisnika tijekom pružanja povezane usluge od strane pružatelja;

17.	„lako dostupni podaci” znači podaci proizvoda i podaci o povezanim uslugama koje imatelj podataka zakonito pribavi ili može zakonito pribaviti iz povezanog proizvoda ili povezane usluge, bez nerazmjernog napora koji nadilazi jednostavnu radnju;

18.	„poslovna tajna” znači poslovna tajna kako je definirana u članku 2. točki 1. Uredbe (EU) 2016/943;

19.	„nositelj poslovne tajne” znači nositelj poslovne tajne kako je definiran u članku 2. točki 2. Uredbe (EU) 2016/943;

20.	„izrada profila” znači izrada profila kako je definirana u članku 4. točki 4. Uredbe (EU) 2016/679;

21.	„stavljanje na raspolaganje na tržištu” znači svaka isporuka povezanog proizvoda za distribuciju, potrošnju ili uporabu na tržištu Unije u okviru trgovačke djelatnosti uz plaćanje ili besplatno;

22.	„stavljanje na tržište” znači prvo stavljanje povezanog proizvoda na raspolaganje na tržištu Unije;

23.	„potrošač” znači bilo koja fizička osoba koja djeluje u svrhe koje su izvan okvira njezine trgovačke, poslovne, obrtničke ili profesionalne djelatnosti;

24.	„poduzeće” znači fizička ili pravna osoba koja u vezi s ugovorima i praksama obuhvaćenima ovom Uredbom djeluje u svrhe povezane sa svojom trgovačkom, poslovnom, obrtničkom ili profesionalnom djelatnošću;

25.	„malo poduzeće” znači malo poduzeće kako je definirano u članku 2. stavku 2. Priloga Preporuci 2003/361/EZ;

26.	„mikropoduzeće” znači mikropoduzeće kako je definirano u članku 2. stavku 3. Priloga Preporuci 2003/361/EZ;

27.	„tijela Unije” znači tijela, uredi i agencije Unije osnovani aktima donesenima na temelju Ugovora o Europskoj uniji, UFEU-a ili Ugovora o osnivanju Europske zajednice za atomsku energiju odnosno na temelju tih akata;

28.	„tijelo javnog sektora” znači nacionalna, regionalna ili lokalna tijela država članica i javnopravna tijela država članica ili udruženja koja je osnovalo jedno takvo tijelo ili više njih ili jedno takvo tijelo javnog sektora ili više njih;

29.

„izvanredno stanje” znači iznimna situacija, vremenski ograničena, kao što su izvanredno stanje u području javnog zdravlja, izvanredno stanje koje proizlazi iz prirodnih katastrofa, katastrofa velikih razmjera uzrokovana ljudskim djelovanjem, uključujući veliki kibernetički sigurnosni incident, koja negativno utječe na stanovništvo Unije, ili državu članicu ili njezin dio, uz opasnost od teških i trajnih posljedica na životne uvjete ili gospodarsku stabilnost, financijsku stabilnost ili od znatne i brze degradacije gospodarske imovine u Uniji ili dotičnoj državi članici, a utvrđuje se i službeno proglašava u skladu s relevantnim postupcima na temelju prava Unije ili nacionalnog prava;

30.	„klijent” znači fizička ili pravna osoba koja je stupila u ugovorni odnos s pružateljem usluga obrade podataka s ciljem korištenja jednom ili više uslugom obrade podataka;

31.	„virtualni asistenti” znači softver koji može obrađivati naloge, zadaće ili pitanja, uključujući one koji se temelje na zvučnim i pisanim unosima, gestama ili pokretima te koji na temelju tih naloga, zadaća ili pitanja pruža pristup ostalim uslugama ili upravlja funkcijama povezanih proizvoda;

32.	„digitalni resursi” znači elementi u digitalnom obliku, uključujući aplikacije, za koje klijent ima pravo uporabe, neovisno o ugovornom odnosu s uslugom obrade podataka koju namjerava promijeniti;

33.	„lokalna infrastruktura IKT-a” znači infrastruktura IKT-a i računalni resursi koji su u vlasništvu klijenta, koje je klijent unajmio ili uzeo u leasing, a nalaze se u podatkovnom centru samog klijenta te njima upravlja klijent ili treća strana;

34.

„promjena” znači proces koji uključuje izvornog pružatelja usluga obrade podataka, klijenta usluge obrade podataka i, ako je to relevantno, odredišnog pružatelja usluga obrade podataka, u kojem klijent usluge obrade podataka prelazi s korištenja jednom uslugom obrade podataka na drugu uslugu iste vrste ili na drugu uslugu koju nudi drugi pružatelj usluga obrade podataka ili na lokalnu infrastrukturu IKT-a, među ostalim izdvajanjem, pretvaranjem i učitavanjem podataka;

35.	„naknade za izlaz podataka” znači naknade za prijenos podataka koje se naplaćuju klijentima za izdvajanje njihovih podataka putem mreže iz infrastrukture IKT-a pružatelja usluga obrade podataka u sustav drugog pružatelja ili u lokalnu infrastrukturu IKT-a;

36.

„naknade za promjenu” znači naknade, osim standardnih naknada za usluge ili sankcija za prijevremeni raskid ugovora, koje pružatelj usluga obrade podataka nameće klijentu za radnje propisane ovom Uredbom za promjenu, tj. prebacivanje na sustav drugog pružatelja usluga ili na lokalnu infrastrukturu IKT-a, uključujući naknade za izlaz podataka;

37.

„funkcionalna ekvivalentnost” znači ponovna uspostava, na temelju klijentovih podataka koji se mogu izvesti i klijentovih digitalnih resursa, minimalne razine funkcionalnosti u okruženju nove usluge obrade podataka iste vrste usluge nakon procesa promjene, ako odredišna usluga obrade podataka daje materijalno usporediv rezultat kao odgovor na isti ulazni podatak za zajedničke značajke isporučene klijentu na temelju ugovora;

38.

„podaci koji se mogu izvesti” za potrebe članaka od 23. do 31. i članka 35. znači ulazni podaci i izlazni podaci, uključujući metapodatke, koji su izravno ili neizravno generirani ili su zajednički generirani, klijentovim korištenjem uslugom obrade podataka, isključujući imovinu ili podatke pružateljâ usluga obrade podataka odnosno imovinu ili podatke trećih strana, koji su zaštićeni pravima intelektualnog vlasništva ili koji čine poslovne tajne;

39.	„pametni ugovor” znači računalni program koji se upotrebljava za automatizirano izvršenje sporazuma ili njegova dijela, pri čemu se upotrebljava slijed elektroničkih zapisa podataka i osigurava njihova cjelovitost i točnost kronološkog redoslijeda;

40.	„interoperabilnost” znači sposobnost dvaju ili više podatkovnih prostora ili komunikacijskih mreža, sustava, povezanih proizvoda, aplikacija ili komponenata da razmjenjuju i upotrebljavaju podatke radi obavljanja svojih funkcija;

41.	„otvorena specifikacija interoperabilnosti” znači tehnička specifikacija u području informacijske i komunikacijske tehnologije usmjerena na postizanje interoperabilnosti među uslugama obrade podataka;

42.	„zajedničke specifikacije” znači dokument koji nije norma, koji sadržava tehnička rješenja koja služe kao sredstvo za ispunjavanje određenih zahtjeva i obveza utvrđenih u okviru ove Uredbe;

43.	„usklađena norma” znači usklađena norma kako je definirana u članku 2. točki 1. podtočki (c) Uredbe (EU) br. 1025/2012;

POGLAVLJE II.

DIJELJENJE PODATAKA IZMEĐU PODUZEĆA I POTROŠAČA TE MEĐU PODUZEĆIMA

Članak 5.

Pravo korisnika na dijeljenje podataka s trećim stranama

1. Imatelj podataka na zahtjev korisnika ili strane koja djeluje u ime korisnika trećoj strani bez nepotrebne odgode stavlja na raspolaganje lako dostupne podatke, kao i relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, jednake kvalitete koja je dostupna imatelju podataka, na jednostavan i siguran način, besplatno za korisnika, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu te, ako je to relevantno i tehnički izvedivo, kontinuirano i u stvarnom vremenu. Imatelj podataka stavlja podatke na raspolaganje trećoj strani u skladu s člancima 8. i 9.

2. Stavak 1. ne primjenjuje se na lako dostupne podatke u kontekstu ispitivanja novih povezanih proizvoda, tvari ili postupaka koji još nisu stavljeni na tržište, osim ako je njihova uporaba dopuštena trećoj strani ugovorom.

3. Svaki poduzetnik za kojeg je utvrđen status nadzornika pristupa u skladu s člankom 3. Uredbe (EU) 2022/1925 nije prihvatljiva treća strana na temelju ovog članka i stoga ne smije:

(a)	vrbovati ili komercijalno poticati korisnika na bilo koji način, među ostalim i pružanjem novčane ili bilo koje druge naknade, da podatke koje je korisnik pribavio na temelju zahtjeva iz članka 4. stavka 1. stavi na raspolaganje za jednu od njegovih usluga;

(b)	vrbovati ili komercijalno poticati korisnika da od imatelja podataka zatraži da stavi podatke na raspolaganje za jednu od njegovih usluga u skladu sa stavkom 1. ovog članka;

(c)	primati podatke od korisnika koje je korisnik pribavio na temelju zahtjeva iz članka 4. stavka 1.

4. Kako bi se provjerilo ispunjava li fizička ili pravna osoba uvjete da bi se smatrala korisnikom odnosno trećom stranom za potrebe stavka 1., korisnik ili treća strana nisu obvezni pružiti nikakve informacije osim onih koje su potrebne. Imatelji podataka ne smiju čuvati nikakve informacije, osobito evidencijske podatke, o pristupu treće strane traženim podacima osim onih koje su potrebne za ispravno izvršavanje zahtjeva treće strane za pristup te za sigurnost i održavanje podatkovne infrastrukture.

5. Treća strana ne smije radi dobivanja pristupa podacima primjenjivati sredstva prisile ili zloupotrebljavati nedostatke u tehničkoj infrastrukturi imatelja podataka namijenjenoj zaštiti podataka.

6. Imatelj podataka ne smije upotrebljavati lako dostupne podatke kako bi stekao uvid u gospodarsko stanje, imovinu i proizvodne metode ili uporabu, na bilo koji drugi način, tih podataka od strane treće strane kojim bi se mogao ugroziti poslovni položaj treće strane na tržištima na kojima je treća strana aktivna, osim ako je treća strana dala dopuštenje za takvu uporabu i ako ima tehničku mogućnost u svakom trenutku jednostavno povući to dopuštenje.

7. Ako korisnik nije ispitanik čiji se osobni podaci traže, sve osobne podatke generirane uporabom povezanog proizvoda ili povezane usluge imatelj podataka stavlja na raspolaganje trećoj strani samo ako postoji valjana pravna osnova za obradu u skladu s člankom 6. Uredbe (EU) 2016/679 i, ako je to relevantno, ako su ispunjeni uvjeti iz članka 9. te uredbe i članka 5. stavka 3. Direktive 2002/58/EZ.

8. Ako se imatelj podataka i treća strana ne dogovore o aranžmanima za prijenos podataka, to ne smije otežavati, sprečavati ili ometati ostvarivanje pravâ ispitanika na temelju Uredbe (EU) 2016/679 te posebno prava na prenosivost podataka u skladu s člankom 20. te uredbe.

9. Poslovne tajne čuvaju se i otkrivaju se trećim stranama samo u mjeri u kojoj je takvo otkrivanje nužno za ispunjavanje svrhe o kojoj su se dogovorili korisnik i treća strana. Imatelj podataka ili, ako nije riječ o istoj osobi, nositelj poslovne tajne, identificira podatke koji su zaštićeni kao poslovne tajne, među ostalim i u relevantnim metapodacima, i dogovara s trećom stranom sve razmjerne tehničke i organizacijske mjere potrebne za očuvanje povjerljivosti podijeljenih podataka, kao što su modeli ugovornih odredbi, sporazumi o povjerljivosti, strogi protokoli o pristupu, tehnički standardi i primjena kodeksa ponašanja.

10. Ako se ne postigne sporazum o potrebnim mjerama iz stavka 9. ovog članka ili ako treća strana ne provede mjere dogovorene u skladu sa stavkom 9. ovog članka ili ugrozi povjerljivost poslovnih tajni, imatelj podataka može uskratiti ili, ovisno o slučaju, suspendirati dijeljenje podataka koji su identificirani kao poslovne tajne. Odluka imatelja podataka mora biti propisno obrazložena i mora se dostaviti trećoj strani u pisanom obliku bez nepotrebne odgode. U takvim slučajevima imatelj podataka obavješćuje nadležno tijelo imenovano u skladu s člankom 37. da je uskratio ili suspendirao dijeljenje podataka i navodi koje mjere nisu dogovorene ili provedene te, ako je to relevantno, za koje je poslovne tajne ugrožena povjerljivost.

11. U iznimnim okolnostima, ako imatelj podataka koji je nositelj poslovne tajne može dokazati da će vrlo vjerojatno pretrpjeti tešku gospodarsku štetu od otkrivanja poslovnih tajni, unatoč tehničkim i organizacijskim mjerama koje je poduzela treća strana u skladu sa stavkom 9. ovog članka, taj imatelj podataka može na pojedinačnoj osnovi odbiti zahtjev za pristup dotičnim podacima. Taj dokaz mora biti propisno obrazložen na temelju objektivnih elemenata, posebno izvršivosti zaštite poslovnih tajni u trećim zemljama, prirodi i razini povjerljivosti traženih podataka te jedinstvenosti i inovativnosti povezanog proizvoda te se mora dostaviti trećoj strani u pisanom obliku bez nepotrebne odgode. Ako imatelj podataka odbije podijeliti podatke u skladu s ovim stavkom, o tome obavješćuje nadležno tijelo imenovano u skladu s člankom 37.

12. Ne dovodeći u pitanje pravo treće strane da u bilo kojem trenutku zatraži pravnu zaštitu pred sudom države članice, treća strana koja želi osporiti odluku imatelja podataka da odbije ili da uskrati ili suspendira dijeljenje podataka u skladu sa stavcima 10. i 11., može učiniti sljedeće:

(a)	u skladu s člankom 37. stavkom 5. točkom (b) podnijeti pritužbu nadležnom tijelu koje bez nepotrebne odgode odlučuje mora li se i pod kojim uvjetima dijeljenje podataka započeti ili nastaviti; ili

(b)	dogovoriti se s imateljem podataka da se predmet uputi tijelu za rješavanje sporova u skladu s člankom 10. stavkom 1.

13. Pravo iz stavka 1. ne smije negativno utjecati na prava ispitanika na temelju primjenjivog prava Unije o zaštiti osobnih podataka i primjenjivog nacionalnog prava o zaštiti osobnih podataka.

Članak 7.

Područje primjene obveza povezanih s dijeljenjem podataka između poduzeća i potrošača te među poduzećima

1. Obveze iz ovog poglavlja ne primjenjuju se na podatke generirane uporabom povezanih proizvoda koje je proizvelo ili dizajniralo mikropoduzeće ili malo poduzeće odnosno povezanih usluga koje je pružilo mikropoduzeće ili malo poduzeće, pod uvjetom da to poduzeće nema partnersko poduzeće ili povezano poduzeće u smislu članka 3. Priloga Preporuci 2003/361/EZ, koje se ne smatra mikropoduzećem ili malim poduzećem i ako na mikropoduzeće i malo poduzeće nisu podugovaranjem preneseni proizvodnja ili dizajniranje povezanog proizvoda odnosno pružanje povezane usluge.

Isto se primjenjuje na podatke generirane uporabom povezanih proizvoda koje je proizvelo odnosno povezanih usluga koje je pružilo poduzeće koje se smatra srednjim poduzećem u skladu s člankom 2. Priloga Preporuci 2003/361/EZ tijekom manje od godine dana i na povezane proizvode tijekom godine dana nakon datuma njihovog stavljanja na tržište od strane srednjeg poduzeća.

2. Svaka ugovorna odredba kojom se, na štetu korisnika, isključuje primjena prava korisnika iz ovog poglavlja, odstupa od tih prava ili mijenja njihov učinak nije obvezujuća za korisnika.

POGLAVLJE III.

OBVEZE IMATELJA PODATAKA KOJI SU U SKLADU S PRAVOM UNIJE OBVEZNI STAVITI PODATKE NA RASPOLAGANJE

Članak 8.

Uvjeti pod kojima imatelji podataka stavljaju podatke na raspolaganje primateljima podataka

1. Ako je, u odnosima među poduzećima, imatelj podataka obvezan staviti podatke na raspolaganje primatelju podataka u skladu s člankom 5. ili u skladu s drugim primjenjivim pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije, s primateljem podataka dogovara aranžmane za stavljanje podataka na raspolaganje i to čini pod poštenim, razumnim i nediskriminirajućim uvjetima te na transparentan način u skladu s ovim poglavljem i poglavljem IV.

2. Ugovorna odredba koja se odnosi na pristup podacima i njihovu uporabu ili na odgovornosti i pravna sredstva u slučaju kršenja ili okončanja obveza povezanih s podacima nije obvezujuća ako čini nepoštenu ugovornu odredbu u smislu članka 13. ili ako se njome, na štetu korisnika, isključuje primjena prava korisnika iz poglavlja II., odstupa od tih prava ili mijenja njihov učinak.

3. Imatelj podataka pri stavljanju podataka na raspolaganje ne smije, u pogledu aranžmana za stavljanje podataka na raspolaganje, diskriminirati usporedive kategorije primatelja podataka, uključujući partnerska poduzeća ili povezana poduzeća imatelja podataka. Ako primatelj podataka smatra da su uvjeti pod kojima su mu podaci stavljeni na raspolaganje diskriminirajući, imatelj podataka bez nepotrebne odgode primatelju podataka na temelju njegova obrazloženog zahtjeva pruža informacije iz kojih je vidljivo da nije bilo diskriminacije.

4. Imatelj podataka ne smije stavljati podatke na raspolaganje primatelju podataka, među ostalim ni na isključivoj osnovi, osim ako to od njega zatraži korisnik u skladu s poglavljem II.

5. Imatelji podataka i primatelji podataka nisu obvezni pružiti nikakve informacije osim onih koje su potrebne za provjeru usklađenosti s dogovorenim ugovornim odredbama za stavljanje podataka na raspolaganje ili s njihovim obvezama na temelju ove Uredbe ili drugog primjenjivog prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije.

6. Osim ako je drukčije predviđeno u pravu Unije, uključujući članak 4. stavak 6. i članak 5. stavak 9. ove Uredbe, ili u nacionalnom zakonodavstvu donesenom u skladu s pravom Unije, obvezom stavljanja podataka na raspolaganje primatelju podataka ne obvezuje se na otkrivanje poslovnih tajni.

Članak 10.

Rješavanje sporova

1. Korisnici, imatelji podataka i primatelji podataka imaju pristup tijelu za rješavanje sporova koje je certificirano u skladu sa stavkom 5. ovog članka radi rješavanja sporova u skladu s člankom 4. stavcima 3. i 9. i člankom 5. stavkom 12. kao i sporova povezanih s poštenim, razumnim i nediskriminirajućim uvjetima za stavljanje podataka na raspolaganje i transparentnim načinom stavljanja podataka na raspolaganje u skladu s ovim poglavljem i poglavljem IV.

2. Tijela za rješavanje sporova obavješćuju dotične strane o naknadama ili mehanizmima za određivanje naknada prije nego što te strane zatraže donošenje odluke.

3. Za sporove upućene tijelu za rješavanje sporova u skladu s člankom 4. stavcima 3. i 9. i člankom 5. stavkom 12., ako tijelo za rješavanje sporova spor riješi u korist korisnika ili primatelja podataka, imatelj podataka snosi sve naknade koje naplaćuje tijelo za rješavanje sporova i nadoknađuje tom korisniku ili tom primatelju podataka sve ostale razumne troškove koji su mu nastali u vezi s rješavanjem spora. Ako tijelo za rješavanje sporova spor riješi u korist imatelja podataka, korisnik ili primatelj podataka nije obvezan nadoknaditi naknade ili ostale troškove koje je imatelj podataka platio ili mora platiti u vezi s rješavanjem spora, osim ako tijelo za rješavanje sporova utvrdi da je korisnik ili primatelj podataka očito postupao u zloj vjeri.

4. Klijenti i pružatelji usluga obrade podataka imaju pristup tijelu za rješavanje sporova koje je certificirano u skladu sa stavkom 5. ovog članka radi rješavanja sporova povezanih s kršenjem pravâ klijenata i obveza pružateljâ usluga obrade podataka u skladu s člancima od 23. do 31.

5. Država članica u kojoj je tijelo za rješavanje sporova uspostavljeno certificira to tijelo, na njegov zahtjev, ako je dokazalo da ispunjava sve sljedeće uvjete:

(a)	nepristrano je i neovisno te odluke mora donositi u skladu s jasnim, nediskriminirajućim i pravednim poslovnikom;

(b)	ima potrebno stručno znanje, posebno u vezi s poštenim, razumnim i nediskriminirajućim uvjetima, uključujući naknadu, te u vezi sa stavljanjem podataka na raspolaganje na transparentan način, koje tom tijelu omogućuje da djelotvorno utvrdi te uvjete;

(c)	lako je dostupno s pomoću elektroničke komunikacijske tehnologije;

(d)	sposobno je donositi svoje odluke brzo, djelotvorno i troškovno učinkovito, na najmanje jednom službenom jeziku Unije.

6. Države članice obavješćuju Komisiju o tijelima za rješavanje sporova koja su certificirana u skladu sa stavkom 5. Komisija objavljuje popis tih tijela na posebnim internetskim stranicama i ažurira ga.

7. Tijelo za rješavanje sporova odbija postupati po zahtjevu za rješavanje spora koji je već podnesen drugom tijelu za rješavanje sporova ili sudu države članice.

8. Tijelo za rješavanje sporova stranama pruža mogućnost da u razumnom roku iznesu svoja stajališta o pitanjima koja su podnijele tom tijelu. U tom kontekstu svakoj strani u sporu dostavljaju se podnesci druge strane u sporu i izjave stručnjaka. Stranama se pruža mogućnost da iznesu primjedbe na te podneske i izjave.

9. Tijelo za rješavanje sporova donosi svoju odluku o pitanju koje mu je upućeno u roku od 90 dana od primitka zahtjeva u skladu sa stavcima 1. i 4. Ta odluka mora biti u pisanom obliku ili mora biti zabilježena na trajnom nosaču podataka te mora biti potkrijepljena obrazloženjem.

10. Tijela za rješavanje sporova izrađuju i objavljuju godišnja izvješća o radu. Takva godišnja izvješća sadržavaju posebno sljedeće opće informacije:

(a)	objedinjene ishode sporova;

(b)	prosječno vrijeme potrebno za rješavanje sporova;

(c)	najčešće razloge za sporove.

11. Kako bi se olakšala razmjena informacija i najboljih praksi, tijelo za rješavanje sporova može odlučiti uključiti preporuke u izvješće iz stavka 10. o tome kako se problemi mogu izbjeći ili riješiti.

12. Odluka tijela za rješavanje sporova obvezujuća je za strane samo ako su izričito pristale na njezinu obvezujuću prirodu prije početka postupka rješavanja spora.

13. Ovaj članak ne utječe na pravo strana da zatraže djelotvoran pravni lijek pred sudom države članice.

Članak 13.

Nepoštene ugovorne odredbe jednostrano nametnute drugom poduzeću

1. Ugovorna odredba koja se odnosi na pristup podacima i njihovu uporabu ili na odgovornost i pravna sredstva u slučaju kršenja ili okončanja obveza povezanih s podacima, a koju je jedno poduzeće jednostrano nametnulo drugom poduzeću nije obvezujuća za potonje poduzeće ako je nepoštena.

2. Ugovorna odredba koja odražava obvezne odredbe prava Unije ili odredbe prava Unije koje bi se primjenjivale da to pitanje nije uređeno ugovornim odredbama ne smatra se nepoštenom.

3. Ugovorna je odredba nepoštena ako je takve prirode da njezina primjena znatno odstupa od dobre poslovne prakse u pristupu podacima i njihovoj uporabi te je suprotna dobroj vjeri i poštenom poslovanju.

4. Posebno, ugovorna je odredba nepoštena za potrebe stavka 3. ako je njezin cilj ili učinak:

(a)	isključiti ili ograničiti odgovornost strane koja je jednostrano nametnula odredbu zbog namjernog činjenja ili krajnje nepažnje;

(b)	isključiti pravna sredstva dostupna strani kojoj je odredba jednostrano nametnuta u slučaju neizvršenja ugovornih obveza ili isključiti odgovornost strane koja je jednostrano nametnula odredbu u slučaju kršenja tih obveza;

(c)	dati strani koja je jednostrano nametnula odredbu isključivo pravo da utvrdi jesu li dostavljeni podaci u skladu s ugovorom ili da tumači bilo koju ugovornu odredbu.

5. Za potrebe stavka 3. pretpostavlja se da je ugovorna odredba nepoštena ako je njezin cilj ili učinak:

(a)	neprimjereno ograničiti pravna sredstva u slučaju neizvršenja ugovornih obveza ili odgovornost u slučaju kršenja tih obveza ili proširiti odgovornost poduzeća kojem je odredba jednostrano nametnuta;

(b)

omogućiti strani koja je jednostrano nametnula odredbu pristup podacima druge ugovorne strane i njihovu uporabu na način koji znatno šteti legitimnim interesima druge ugovorne strane, osobito ako takvi podaci sadržavaju poslovno osjetljive podatke ili su zaštićeni poslovnim tajnama ili pravima intelektualnog vlasništva;

(c)

spriječiti stranu kojoj je odredba jednostrano nametnuta da upotrebljava podatke koje je dostavila ili generirala tijekom razdoblja ugovora ili ograničiti uporabu tih podataka u takvoj mjeri da ta strana nema pravo upotrebljavati takve podatke, prikupljati ih, pristupati im ili ih nadzirati ili iskorištavati njihovu vrijednost na primjeren način;

(d)	spriječiti stranu kojoj je odredba jednostrano nametnuta da raskine ugovor u razumnom roku;

(e)	spriječiti stranu kojoj je odredba jednostrano nametnuta da pribavi kopiju podataka koje je dostavila ili generirala tijekom razdoblju ugovora ili u razumnom roku nakon raskida ugovora;

(f)

omogućiti strani koja je jednostrano nametnula odredbu da raskine ugovor uz nerazumno kratak otkazni rok, uzimajući u obzir svaku razumnu mogućnost za drugu ugovornu stranu da prijeđe na alternativnu i usporedivu uslugu te financijsku štetu prouzročenu takvim raskidom ugovora, osim kad za to postoje ozbiljni razlozi;

(g)

omogućiti strani koja je jednostrano nametnula odredbu da znatno izmijeni cijenu utvrđenu u ugovoru ili bilo koji drugi bitan uvjet povezan s prirodom, formatom, kvalitetom ili količinom podataka koji se dijele, ako u ugovoru nije naveden ni valjan razlog ni pravo druge strane da raskine ugovor u slučaju takve izmjene.

Prvi podstavak točka (g) ne utječe na odredbe prema kojima strana koja je jednostrano nametnula odredbu zadržava pravo jednostrano izmijeniti odredbe ugovora na neodređeno vrijeme, pod uvjetom da je u ugovoru naveden valjan razlog za takvu jednostranu izmjenu, da je stranka koja je jednostrano nametnula odredbu dužna obavijestiti drugu ugovornu stranku uz razuman otkazni rok o svakoj takvoj izmjeni koju namjerava provesti te da druga ugovorna strana u slučaju izmjene može besplatno raskinuti ugovor.

6. U smislu ovog članka ugovorna se odredba smatra jednostrano nametnutom ako ju je predložila jedna ugovorna strana, a druga ugovorna strana nije mogla utjecati na njezin sadržaj unatoč pokušaju da o njemu pregovara. Teret dokazivanja da odredba nije jednostrano nametnuta snosi ugovorna strana koja je ugovornu odredbu predložila. Ugovorna strana koja je predložila spornu ugovornu odredbu ne može se pozivati na to da je ugovorna odredba nepoštena ugovorna odredba.

7. Ako je nepoštena ugovorna odredba odvojiva od ostalih odredbi ugovora, ostale su odredbe obvezujuće.

8. Ovaj se članak ne primjenjuje na ugovorne odredbe kojima se utvrđuje glavni predmet ugovora ili na primjerenost cijene u odnosu na podatke dostavljene u zamjenu.

9. Strane ugovora iz stavka 1. ne smiju isključiti primjenu ovog članka, odstupiti od njega niti mijenjati njegove učinke.

POGLAVLJE V.

STAVLJANJE PODATAKA NA RASPOLAGANJE TIJELIMA JAVNOG SEKTORA, KOMISIJI, EUROPSKOJ SREDIŠNJOJ BANCI I TIJELIMA UNIJE NA TEMELJU IZNIMNE POTREBE

Članak 30.

Tehnički aspekti promjene pružatelja

1. Pružatelji usluga obrade podataka koje se odnose na nadogradive i elastične računalne resurse ograničene na infrastrukturne elemente kao što su poslužitelji, mreže i virtualni resursi potrebni za upravljanje infrastrukturom, ali koji ne pružaju pristup operativnim uslugama, softveru i aplikacijama koji se pohranjuju na tim infrastrukturnim elementima, na njima na drugi način obrađuju ili na njih uvode, u skladu s člankom 27. poduzimaju sve razumne mjere koje su im dostupne kako bi klijentu olakšali da, nakon promjene, tj. prebacivanja na uslugu koja obuhvaća istu vrstu usluga, postigne funkcionalnu ekvivalentnost pri korištenju odredišnom uslugom obrade podataka. Izvorni pružatelj usluga obrade podataka olakšava proces promjene osiguravanjem kapaciteta, odgovarajućih informacija, dokumentacije, tehničke podrške i, prema potrebi, potrebnih alata.

2. Pružatelji usluga obrade podataka, osim onih iz stavka 1., stavljaju otvorena sučelja na raspolaganje besplatno i u jednakoj mjeri svim svojim klijentima i dotičnim odredišnim pružateljima usluga obrade podataka kako bi olakšali proces promjene. Ta sučelja moraju uključivati dovoljno informacija o dotičnoj usluzi kako bi se omogućio razvoj softvera za komunikaciju s uslugama, u svrhe prenosivosti i interoperabilnosti podataka.

3. Za usluge obrade podataka osim onih iz stavka 1. ovog članka, pružatelji usluga obrade podataka osiguravaju kompatibilnost sa zajedničkim specifikacijama utemeljenima na otvorenim specifikacijama interoperabilnosti ili usklađenim normama za interoperabilnost najmanje 12 mjeseci nakon što su upućivanja na te zajedničke specifikacije ili usklađene norme za interoperabilnost usluga obrade podataka objavljene u Unijinu središnjem repozitoriju normi za interoperabilnost usluga obrade podataka nakon objave povezanih provedbenih akata u Službenom listu Europske unije u skladu s člankom 35. stavkom 8.

4. Pružatelji usluga obrade podataka, osim onih iz stavka 1. ovog članka, ažuriraju internetski registar iz članka 26. točke (b) u skladu sa svojim obvezama na temelju stavka 3. ovog članka.

5. U slučaju promjene između usluga iste vrste, za koju zajedničke specifikacije ili usklađene norme za interoperabilnost iz stavka 3. ovog članka nisu objavljene u Unijinu središnjem repozitoriju normi za interoperabilnost usluga obrade podataka u skladu s člankom 35. stavkom 8., pružatelj usluga obrade podataka na zahtjev klijenta sve podatke koji se mogu izvesti izvozi u strukturiranom, uobičajenom i strojno čitljivom formatu.

6. Pružatelji usluga obrade podataka nisu obvezni razviti nove tehnologije ili usluge ili usluge ili digitalne resurse koji su zaštićeni pravima intelektualnog vlasništva ili koji čine poslovnu tajnu niti otkriti ili prenijeti klijentu ili drugom pružatelju usluga obrade podataka niti ugroziti sigurnost i cjelovitost usluge klijenta ili pružatelja.

Članak 42.

Uloga EDIB-a

EDIB, osnovan kao stručna skupina Komisije na temelju članka 29. Uredbe (EU) 2022/868, u kojem su predstavljena nadležna tijela, podupire dosljednu primjenu ove Uredbe:

(a)	savjetovanjem Komisije i pomaganjem Komisiji u vezi s razvojem dosljedne prakse nadležnih tijela u izvršavanju poglavlja II., III., V. i VII.;

(b)

olakšavanjem suradnje među nadležnim tijelima putem izgradnje kapaciteta i razmjene informacija, osobito uspostavom metoda za učinkovitu razmjenu informacija povezanih s izvršavanjem prava i obveza na temelju poglavlja II., III. i V. u prekograničnim slučajevima, uključujući koordinaciju u pogledu određivanja sankcija;

(c)

savjetovanjem Komisije i pomaganjem Komisiji u vezi s:

i.	time treba li zatražiti izradu usklađenih normi iz članka 33. stavka 4., članka 35. stavka 4. i članka 36. stavka 5.;

ii.	izradom provedbenih akata iz članka 33. stavka 5., članka 35. stavaka 5. i 8. i članka 36. stavka 6.;

iii.	izradom delegiranih akata iz članka 29. stavka 7. i članka 33. stavka 2.; i

iv.	donošenjem smjernica kojima se utvrđuju interoperabilni okviri zajedničkih normi i praksi za funkcioniranje zajedničkih europskih podatkovnih prostora iz članka 33. stavka 11.

POGLAVLJE X.

PRAVO SUI GENERIS NA TEMELJU DIREKTIVE 96/9/EZ

whereas

keyboard_tab Data Act 2023/2854 HR

Data Act 2023/2854 HR