Data Act 2023/2854 HR

(c)	stavljanju podataka na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci i tijelima Unije, ako postoji iznimna potreba za tim podacima radi obavljanja specifične zadaće koja se obavlja u javnom interesu, od strane imateljâ podataka;

(d)	olakšavanju promjene usluga obrade podataka;

(e)	uvođenju zaštitnih mjera protiv nezakonitog pristupa trećih strana neosobnim podacima; i

(f)	razvoju standarda interoperabilnosti za pristup podacima, prijenos podataka i uporabu podataka.

2. Ovom Uredbom obuhvaćeni su osobni i neosobni podaci, uključujući sljedeće vrste podataka, u sljedećim kontekstima:

(a)	poglavlje II. primjenjuje se na podatke, uz iznimku sadržaja, koji se odnose na učinkovitost, uporabu i okruženje povezanih proizvoda i povezanih usluga;

(b)	poglavlje III. primjenjuje se na sve podatke privatnog sektora koji podliježu zakonskim obvezama dijeljenja podataka;

(c)	poglavlje IV. primjenjuje se na sve podatke privatnog sektora kojima se pristupa i koji se upotrebljavaju na temelju ugovora među poduzećima;

(d)	poglavlje V. primjenjuje se na sve podatke privatnog sektora s naglaskom na neosobne podatke;

(e)	poglavlje VI. primjenjuje se na sve podatke i usluge koje obrađuju pružatelji usluga obrade podataka;

(f)	poglavlje VII. primjenjuje se na sve neosobne podatke koje pružatelji usluga obrade podataka čuvaju u Uniji.

3. Ova se Uredba primjenjuje na:

(a)	proizvođače povezanih proizvoda stavljenih na tržište u Uniji i pružatelje povezanih usluga, neovisno o mjestu poslovnog nastana tih proizvođača i pružatelja usluga;

(b)	korisnike, u Uniji, povezanih proizvoda ili povezanih usluga kako su navedeni u točki (a);

(c)	imatelje podataka, neovisno o njihovu mjestu poslovnog nastana, koji podatke stavljaju na raspolaganje primateljima podataka u Uniji;

(d)	primatelje podataka u Uniji kojima se podaci stavljaju na raspolaganje;

(e)

tijela javnog sektora, Komisiju, Europsku središnju banku i tijela Unije, koji od imatelja podataka zahtijevaju da stave podatke na raspolaganje ako postoji iznimna potreba za tim podacima radi izvršavanja specifične zadaće koja se obavlja u javnom interesu i na imatelje podataka koji te podatke dostavljaju kao odgovor na takav zahtjev;

(f)	pružatelje usluga obrade podataka, neovisno o njihovu mjestu poslovnog nastana, koji pružaju takve usluge klijentima u Uniji;

(g)	sudionike u podatkovnim prostorima i prodavatelje aplikacija koje se koriste pametnim ugovorima i osobe čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršenja sporazuma.

4. Ako se u ovoj Uredbi upućuje na povezane proizvode ili povezane usluge, smatra se da takva upućivanja uključuju i virtualne asistente ako su u oni interakciji s povezanim proizvodom ili povezanom uslugom.

5. Ovom se Uredbom ne dovodi u pitanje pravo Unije i nacionalno pravo o zaštiti osobnih podataka, privatnosti i povjerljivosti komunikacija i cjelovitosti terminalne opreme koje se primjenjuje na osobne podatke koji se obrađuju u vezi s pravima i obvezama utvrđenima u njoj, osobito uredbe (EU) 2016/679 i (EU) 2018/1725 te Direktiva 2002/58/EZ, uključujući ovlasti i nadležnosti nadzornih tijela te prava ispitanika. U mjeri u kojoj su korisnici ispitanici, pravima utvrđenima u poglavlju II. ove Uredbe dopunjuju se prava ispitanikâ na pristup i prava na prenosivost podataka iz članka 15., odnosno članka 20. Uredbe (EU) 2016/679. U slučaju proturječnosti između ove Uredbe i prava Unije o zaštiti osobnih podataka ili privatnosti, ili nacionalnog zakonodavstva donesenog u skladu s takvim pravom Unije, prednost ima relevantno pravo Unije ili nacionalno pravo o zaštiti osobnih podataka ili privatnosti.

6. Ova se Uredba ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka između privatnih i javnih subjekata niti ih dovodi u pitanje, a osobito se ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka.

Ova Uredba ne utječe na pravne akte Unije ili nacionalne pravne akte kojima se predviđa dijeljenje podataka, pristup podacima i njihova uporaba u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija ili pak u carinske ili porezne svrhe, osobito na uredbe (EU) 2021/784, (EU) 2022/2065 i (EU) 2023/1543 te Direktivu (EU) 2023/1544 ili međunarodnu suradnju u tom području. Ova se Uredba ne primjenjuje na prikupljanje ili dijeljenje podataka, pristup podacima ili uporabu podataka na temelju Uredbe (EU) 2015/847 i Direktive (EU) 2015/849. Ova se Uredba ne primjenjuje u područjima koja nisu obuhvaćena pravom Unije te u svakom slučaju ne utječe na nadležnosti država članica u pogledu javne sigurnosti, obrane ili nacionalne sigurnosti, neovisno o vrsti subjekta kojem su države članice povjerile obavljanje zadaća u vezi s tim nadležnostima, ili njihovu ovlast za zaštitu drugih ključnih državnih funkcija, uključujući osiguranje teritorijalne cjelovitosti države i očuvanje javnog poretka. Ova Uredba ne utječe na nadležnosti država članica u pogledu carina i porezne uprave ili zdravlja i sigurnosti građana.

7. Ovom se Uredbom dopunjuje samoregulatorni pristup iz Uredbe (EU) 2018/1807 dodavanjem opće primjenjivih obveza u pogledu promjene pružatelja usluga u oblaku.

8. Ovom se Uredbom ne dovode u pitanje pravni akti Unije i nacionalni pravni akti kojima se predviđa zaštita prava intelektualnog vlasništva, posebno direktive 2001/29/EZ, 2004/48/EZ i (EU) 2019/790.

9. Ovom se Uredbom dopunjuje i ne dovodi u pitanje pravo Unije čiji je cilj promicanje interesa potrošača i osiguravanje visoke razine zaštite potrošača i zaštita njihova zdravlja, sigurnosti i gospodarskih interesa, posebno direktive 93/13/EEZ, 2005/29/EZ i 2011/83/EU.

10. Ovom se Uredbom ne isključuje sklapanje dobrovoljnih zakonitih ugovora o dijeljenju podataka, uključujući ugovore sklopljene na recipročnoj osnovi, koji su u skladu sa zahtjevima utvrđenima u ovoj Uredbi.

Članak 7.

Područje primjene obveza povezanih s dijeljenjem podataka između poduzeća i potrošača te među poduzećima

1. Obveze iz ovog poglavlja ne primjenjuju se na podatke generirane uporabom povezanih proizvoda koje je proizvelo ili dizajniralo mikropoduzeće ili malo poduzeće odnosno povezanih usluga koje je pružilo mikropoduzeće ili malo poduzeće, pod uvjetom da to poduzeće nema partnersko poduzeće ili povezano poduzeće u smislu članka 3. Priloga Preporuci 2003/361/EZ, koje se ne smatra mikropoduzećem ili malim poduzećem i ako na mikropoduzeće i malo poduzeće nisu podugovaranjem preneseni proizvodnja ili dizajniranje povezanog proizvoda odnosno pružanje povezane usluge.

Isto se primjenjuje na podatke generirane uporabom povezanih proizvoda koje je proizvelo odnosno povezanih usluga koje je pružilo poduzeće koje se smatra srednjim poduzećem u skladu s člankom 2. Priloga Preporuci 2003/361/EZ tijekom manje od godine dana i na povezane proizvode tijekom godine dana nakon datuma njihovog stavljanja na tržište od strane srednjeg poduzeća.

2. Svaka ugovorna odredba kojom se, na štetu korisnika, isključuje primjena prava korisnika iz ovog poglavlja, odstupa od tih prava ili mijenja njihov učinak nije obvezujuća za korisnika.

POGLAVLJE III.

OBVEZE IMATELJA PODATAKA KOJI SU U SKLADU S PRAVOM UNIJE OBVEZNI STAVITI PODATKE NA RASPOLAGANJE

Članak 15.

Iznimna potreba za uporabom podataka

1. Iznimna potreba za uporabom određenih podataka u smislu ovog poglavlja ograničena je u pogledu vremena i područja primjene te se smatra da postoji samo u nekoj od sljedećih okolnosti:

(a)	ako su traženi podaci potrebni kako bi se odgovorilo na izvanredno stanje, a tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije takve podatke ne može pravodobno i djelotvorno pribaviti na drugi način pod jednakim uvjetima;

(b)

u okolnostima koje nisu obuhvaćene točkom (a) i samo ako se to odnosi na neosobne podatke, pri čemu:

tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije djeluje na temelju prava Unije ili nacionalnog prava te je utvrdilo da ga nedostatak određenih podataka onemogućava u izvršavanju specifične zadaće koja se obavlja u javnom interesu, koja je izričito predviđena zakonom, kao što je izrada službene statistike ili ublažavanje izvanrednog stanja ili oporavak od izvanrednog stanja; i

ii.

tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije iscrpilo je sva ostala sredstva koja su mu na raspolaganju za pribavljanje takvih podataka, uključujući kupnju neosobnih podataka na tržištu po tržišnim cijenama ili oslanjanje na postojeće obveze stavljanja podataka na raspolaganje ili donošenje novih zakonodavnih mjera kojima se može osigurati pravodobna dostupnost podataka.

2. Stavak 1. točka (b) ne primjenjuje se na mikropoduzeća i mala poduzeća.

3. Obveza da tijelo javnog sektora dokaže da nije moglo pribaviti neosobne podatke kupnjom tih podataka na tržištu ne primjenjuje se ako je specifična zadaća koja se obavlja u javnom interesu izrada službene statistike i ako kupnja takvih podataka nije dopuštena nacionalnim pravom.

Članak 17.

Zahtjevi za stavljanje podataka na raspolaganje

1. Kad zahtijeva podatke na temelju članka 14., tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije:

(a)	navodi koji se podaci zahtijevaju, uključujući relevantne metapodatke potrebne za tumačenje i uporabu tih podataka;

(b)	dokazuje da su ispunjeni potrebni uvjeti za postojanje iznimne potrebe kako je navedeno u članku 15. u čiju su svrhu podaci zatraženi;

(c)	objašnjava svrhu zahtjeva, predviđenu uporabu traženih podataka, među ostalim, ako je to primjenjivo, upotrebljava li ih treća strana u skladu sa stavkom 4. ovog članka, trajanje te uporabe i, ako je to relevantno, način na koji se obradom osobnih podataka odgovara na iznimnu potrebu;

(d)	navodi, ako je moguće, kada se očekuje da će sve stranke koje imaju pristup podacima izbrisati podatke;

(e)	obrazlaže odabir imatelja podataka kojem je zahtjev upućen;

(f)	navodi sva druga tijela javnog sektora ili Komisiju, Europsku središnju banku ili tijela Unije i treće strane za koje se očekuje da se traženi podaci s njima dijele;

(g)	ako su zatraženi osobni podaci, navodi sve tehničke i organizacijske mjere koje su potrebne i razmjerne za provedbu načelâ zaštite podataka i potrebne zaštitne mjere, kao što je pseudonimizacija, te može li imatelj podataka primijeniti anonimizaciju prije stavljanja podataka na raspolaganje;

(h)	navodi pravnu odredbu kojom se tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije koji su podnijeli zahtjev dodjeljuje specifična zadaća koja se obavlja u javnom interesu, a koja je relevantna za zahtjev za podatke;

(i)	navodi rok do kojeg se podaci moraju staviti na raspolaganje i rok iz članka 18. stavka 2. do kojeg imatelj podataka može odbiti zahtjev ili zatražiti njegovu izmjenu;

(j)	ulaže maksimalne napore za izbjegavanje da ispunjavanje zahtjeva za podatke dovede do odgovornosti imatelja podataka za povredu prava Unije ili nacionalnog prava.

2. Zahtjev za podatke podnesen na temelju stavka 1. ovog članka:

(a)	podnosi se u pisanom obliku i sastavljen je na jasnom, jezgrovitom i jednostavnom jeziku razumljivom imatelju podataka;

(b)	precizan je u pogledu vrste traženih podataka i odgovara podacima nad kojima imatelj podataka ima kontrolu u trenutku podnošenja zahtjeva;

(c)	razmjeran je iznimnoj potrebi i propisno obrazložen s obzirom na granularnost i količinu traženih podataka te učestalost pristupa traženim podacima;

(d)	poštuje legitimne ciljeve imatelja podataka, uz preuzimanje obveze osiguravanja zaštite poslovnih tajni u skladu s člankom 19. stavkom 3., te uzimajući u obzir troškove i trud potrebne za stavljanje podataka na raspolaganje;

(e)

odnosi se na neosobne podatke, a samo ako se dokaže da to nije dovoljno da se odgovori na iznimnu potrebu za uporabom podataka, u skladu s člankom 15. stavkom 1. točkom (a), zahtijeva osobne podatke u pseudonimiziranom obliku te utvrđuje tehničke i organizacijske mjere koje se moraju poduzeti radi zaštite podataka;

(f)	obavješćuje imatelja podataka o sankcijama koje u skladu s člankom 40. izriče nadležno tijelo imenovano u skladu s člankom 37. u slučaju neispunjavanja zahtjeva;

(g)

ako je zahtjev podnijelo tijelo javnog sektora, dostavlja se koordinatoru podataka iz članka 37. države članice u kojoj je tijelo javnog sektora koje je podnijelo zahtjev osnovano, koji zahtjev objavljuje na internetu bez nepotrebne odgode osim ako koordinator podataka smatra da bi takva objava ugrozila javnu sigurnost;

(h)	ako je zahtjev podnijela Komisija, Europska središnja banka ili tijelo Unije, stavlja se na raspolaganje na internetu bez nepotrebne odgode;

(i)	ako su zatraženi osobni podaci, o tome se bez nepotrebne odgode obavješćuje nadzorno tijelo odgovorno za praćenje primjene Uredbe (EU) 2016/679 u državi članici u kojoj je tijelo javnog sektora osnovano.

Europska središnja banka i tijela Unije obavješćuju Komisiju o svojim zahtjevima.

3. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije podatke pribavljene na temelju ovog poglavlja ne stavlja na raspolaganje za ponovnu uporabu kako je definirana u članku 2. točki 2. Uredbe (EU) 2022/868 ili članku 2. točki 11. Direktive (EU) 2019/1024. Uredba (EU) 2022/868 i Direktiva (EU) 2019/1024 ne primjenjuju se na podatke u posjedu tijelâ javnog sektora pribavljene na temelju ovog poglavlja.

4. Stavkom 3. ovog članka ne sprečava se tijelo javnog sektora, Komisiju, Europsku središnju banku ili tijelo Unije da podatke pribavljene na temelju ovog poglavlja razmjenjuje s drugim tijelom javnog sektora ili Komisijom, Europskom središnjom bankom ili tijelom Unije radi obavljanja zadaća iz članka 15., kako je navedeno u zahtjevu u skladu sa stavkom 1. točkom (f) ovog članka, ili da podatke stavlja na raspolaganje trećoj strani ako su toj trećoj strani delegirali, u okviru javno dostupnog sporazuma, tehničke preglede ili druge funkcije. Obveze tijelâ javnog sektora u skladu s člankom 19., osobito zaštitne mjere za čuvanje povjerljivosti poslovnih tajni, primjenjuju se i na takve treće strane. Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije dostavlja ili stavlja na raspolaganje podatke na temelju ovog stavka, o tome bez nepotrebne odgode obavješćuje imatelja podataka od kojeg su podaci primljeni.

5. Ako imatelj podataka smatra da su njegova prava na temelju ovog poglavlja povrijeđena prijenosom podataka ili stavljanjem podataka na raspolaganje, može podnijeti pritužbu nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.

6. Komisija izrađuje predložak za zahtjeve na temelju ovog članka.

Članak 32.

Međunarodni pristup tijela vlasti i međunarodni prijenos tijelima vlasti

1. Pružatelji usluga obrade podataka poduzimaju sve prikladne tehničke, organizacijske i pravne mjere, uključujući ugovore, kako bi spriječili međunarodni pristup tijelâ vlasti i pristup tijelâ vlasti trećih zemalja neosobnim podacima koji se čuvaju u Uniji i međunarodni prijenos tijelima vlasti neosobnih podataka koji se čuvaju u Uniji ako bi takav prijenos odnosno pristup bili protivni pravu Unije ili nacionalnom pravu relevantne države članice, ne dovodeći u pitanje stavak 2. ili 3.

2. Svaka odluka ili presuda suda treće zemlje i svaka odluka upravnog tijela treće zemlje kojom se od pružatelja usluga obrade podataka zahtijeva da prenese neosobne podatke koji su obuhvaćeni područjem primjene ove Uredbe i koji se čuvaju u Uniji odnosno da omogući pristup takvim neosobnim podacima priznaje se ili je izvršiva na bilo koji način samo ako se temelji na međunarodnom sporazumu, kao što je ugovor o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije, ili bilo kojem takvom sporazumu između treće zemlje koja je podnijela zahtjev i države članice.

3. Ako ne postoji međunarodni sporazum kako je naveden u stavku 2., a pružatelj usluga obrade podataka adresat je odluke ili presude suda treće zemlje ili odluke upravnog tijela treće zemlje kojom se nalaže da se neosobni podaci koji su obuhvaćeni područjem primjene ove Uredbe i koji se čuvaju u Uniji prenesu odnosno da se omogući pristup takvim neosobnim podacima i ako bi postupanje u skladu s takvom odlukom moglo dovesti adresata u sukob s pravom Unije ili s nacionalnim pravom relevantne države članice, ti se podaci prenose tom tijelu treće zemlje odnosno tom tijelu treće zemlje omogućuje se pristup tim podacima samo:

(a)	ako se u sustavu treće zemlje zahtijeva da se navedu razlozi za takvu odluku ili presudu i razmjernost takve odluke ili presude te se zahtijeva da takva odluka ili presuda budu specifične prirode, na primjer, uspostavljanjem dostatne veze s određenim osumnjičenim osobama ili s povredama;

(b)	ako obrazloženi prigovor adresata podliježe preispitivanju od strane nadležnog suda treće zemlje; i

(c)	ako je nadležni sud treće zemlje koji izdaje odluku ili presudu ili preispituje odluku upravnog tijela ovlašten na temelju prava te treće zemlje propisno uzeti u obzir relevantne pravne interese pružatelja podataka zaštićene pravom Unije ili nacionalnim pravom relevantne države članice.

Adresat odluke ili presude može zatražiti mišljenje relevantnog nacionalnog tijela ili tijela vlasti nadležnog za međunarodnu suradnju u pravnim stvarima kako bi se utvrdilo jesu li uvjeti utvrđeni u prvom podstavku ispunjeni, posebno ako smatra da bi se odluka mogla odnositi na poslovne tajne i druge poslovno osjetljive podatke kao i na sadržaj zaštićen pravima intelektualnog vlasništva ili da prijenos može dovesti do ponovne identifikacije. Relevantno nacionalno tijelo ili relevantno nacionalno tijelo vlasti može se savjetovati s Komisijom. Ako adresat smatra da bi odluka ili presuda mogla ugroziti nacionalnu sigurnost ili obrambene interese Unije ili njezinih država članica, traži mišljenje relevantnog nacionalnog tijela ili relevantnog nacionalnog tijela vlasti kako bi se utvrdilo odnose li se traženi podaci na nacionalnu sigurnost ili obrambene interese Unije ili njezinih država članica. Ako adresat ne primi odgovor u roku od mjesec dana ili ako se u mišljenju takvog nacionalnog tijela ili takvog nacionalnog tijela vlasti zaključi da uvjeti utvrđeni u prvom podstavku nisu ispunjeni, adresat na temelju tih razloga može odbiti zahtjev za prijenos neosobnih podataka odnosno pristup neosobnim podacima.

EDIB iz članka 42. savjetuje Komisiju i pomaže joj u izradi smjernica za procjenu ispunjavanja uvjeta utvrđenih u prvom podstavku ovog stavka.

4. Ako su uvjeti utvrđeni u stavku 2. ili 3. ispunjeni, pružatelj usluga obrade podataka dostavlja najmanju dopuštenu količinu podataka kao odgovor na zahtjev, na temelju razumnog tumačenja tog zahtjeva od strane pružatelja ili relevantnog nacionalnog tijela ili relevantnog nacionalnog tijela vlasti iz stavka 3. drugog podstavka.

5. Pružatelj usluga obrade podataka obavješćuje klijenta o postojanju zahtjeva tijela treće zemlje za pristup njegovim podacima prije nego što postupi u skladu s tim zahtjevom, osim ako zahtjev služi u svrhu izvršavanja zakonodavstva i sve dok je to potrebno kako bi se očuvala djelotvornost izvršavanja zakonodavstva.

POGLAVLJE VIII.

INTEROPERABILNOST

Članak 37.

Nadležna tijela i koordinatori podataka

1. Svaka država članica imenuje jedno ili više nadležnih tijela koja će biti odgovorna za primjenu i izvršavanje ove Uredbe (nadležna tijela). Države članice mogu osnovati jedno ili više novih tijela ili se mogu osloniti na postojeća tijelima.

2. Ako država članica imenuje više nadležnih tijela, među njima imenuje koordinatora podataka kako bi olakšala suradnju među nadležnim tijelima i pomogla subjektima obuhvaćenima područjem primjene ove Uredbe u vezi sa svim pitanjima koja se odnose na primjenu i izvršavanje. Nadležna tijela surađuju međusobno pri izvršavanju svojih zadaća i ovlasti koje su im dodijeljene na temelju stavka 5.

3. Nadzorna tijela odgovorna za praćenje primjene Uredbe (EU) 2016/679 odgovorna su za praćenje primjene ove Uredbe u mjeri u kojoj se to odnosi na zaštitu osobnih podataka. Poglavlja VI. i VII. Uredbe (EU) 2016/679 primjenjuju se mutatis mutandis.

Europski nadzornik za zaštitu podataka odgovoran je za praćenje primjene ove Uredbe u mjeri u kojoj se ona odnosi na Komisiju, Europsku središnju banku ili tijela Unije. Ako je to relevantno, članak 62. Uredbe (EU) 2018/1725 primjenjuje se mutatis mutandis.

Zadaće i ovlasti nadzornih tijela iz ovog stavka izvršavaju se s obzirom na obradu osobnih podataka.

4. Ne dovodeći u pitanje stavak 1. ovog članka:

(a)	u vezi s posebnim sektorskim pitanjima pristupa podacima i uporabe podataka povezanima s primjenom ove Uredbe poštuje se nadležnost sektorskih tijela;

(b)	nadležno tijelo odgovorno za primjenu i izvršavanje članaka od 23. do 31. te članaka 34. i 35. mora imati iskustvo u području podataka i elektroničkim komunikacijskim uslugama.

5. Države članice osiguravaju da su zadaće i ovlasti nadležnih tijela jasno definirane i da uključuju:

(a)	promicanje podatkovne pismenosti i informiranje korisnika i subjekata obuhvaćenih područjem primjene ove Uredbe o pravima i obvezama koji se na njoj temelje;

(b)

rješavanje pritužaba koje proizlaze iz navodnih povreda ove Uredbe, među ostalim u vezi s poslovnim tajnama, i istraživanje predmeta pritužaba, u mjeri u kojoj je to primjereno, te redovito obavješćivanje podnositelja pritužaba, ako je to relevantno u skladu s nacionalnim pravom, o napretku i ishodu istrage, i to u razumnom roku, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadležnim tijelom;

(c)	provedbu istraga o pitanjima koja se odnose na primjenu ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadležnog tijela ili drugog tijela javne vlasti;

(d)	izricanje učinkovitih, proporcionalnih i odvraćajućih financijskih sankcija koje mogu uključivati periodične sankcije i sankcije s retroaktivnim učinkom, ili pokretanje sudskih postupaka radi izricanja novčanih kazni;

(e)	praćenje tehnološkog i relevantnog komercijalnog razvoja koji je važan za stavljanje podataka na raspolaganje i njihovu uporabu;

(f)

suradnju s nadležnim tijelima drugih država članica i, ako je relevantno, s Komisijom ili EDIB-om, radi osiguravanja dosljedne i učinkovite primjene ove Uredbe, među ostalim i razmjene svih relevantnih informacija elektroničkim putem, bez nepotrebne odgode, među ostalim i u pogledu stavka 10. ovog članka;

(g)

suradnju s relevantnim nadležnim tijelima odgovornima za provedbu drugih pravnih akata Unije ili nacionalnih pravnih akata, među ostalim i s tijelima nadležnima u području podataka i za elektroničke komunikacijske usluge, s nadzornim tijelom odgovornim za praćenje primjene Uredbe (EU) 2016/679 ili sa sektorskim tijelima, kako bi se osiguralo dosljedno izvršavanje ove Uredbe u odnosu na drugo pravo Unije i nacionalno pravo;

(h)	suradnju s relevantnim nadležnim tijelima kako bi se osiguralo dosljedno izvršavanje članaka od 23. do 31. te članaka 34. i 35. u odnosu na drugo pravo Unije i samoregulaciju koji se primjenjuju na pružatelje usluga obrade podataka;

(i)	osiguravanje da se naknade za promjenu ukinu u skladu s člankom 29.;

(j)	razmatranje zahtjeva za podatke podnesenih na temelju poglavlja V.

Ako je imenovan, koordinator podataka olakšava suradnju iz prvog podstavka točaka (f), (g) i (h) i pomaže nadležnim tijelima na njihov zahtjev.

6. Koordinator podataka, ako je takvo nadležno tijelo imenovano:

(a)	djeluje kao jedinstvena kontaktna točka za sva pitanja povezana s primjenom ove Uredbe;

(b)	osigurava da su na internetu javno dostupni zahtjevi za stavljanje podataka na raspolaganje koje su podnijela tijela javnog sektora u slučaju iznimne potrebe iz poglavlja V. i promiče dobrovoljne sporazume o dijeljenju podataka između tijelâ javnog sektora i imateljâ podataka;

(c)	jednom godišnje obavješćuje Komisiju o odbijanjima o kojima je obaviješteno na temelju članka 4. stavaka 2. i 8. te članka 5. stavka 11.

7. Države članice obavješćuju Komisiju o nazivima nadležnih tijela te o njihovim zadaćama i ovlastima te, ako je to primjenjivo, o nazivu odnosno imenu koordinatora podataka. Komisija vodi javni registar tih tijela.

8. Pri obavljanju svojih zadaća i izvršavanju svojih ovlasti u skladu s ovom Uredbom nadležna tijela nepristrana su i nisu pod vanjskim utjecajem, bilo izravnim ili neizravnim, te ne traže niti primaju upute u pogledu pojedinačnih slučajeva od nijednog drugog tijela javne vlasti odnosno nijedne privatne strane.

9. Države članice osiguravaju da nadležna tijela raspolažu dostatnim ljudskim i tehničkim resursima i relevantnim stručnim znanjem za djelotvorno obavljanje svojih zadaća u skladu s ovom Uredbom.

10. Subjekti obuhvaćeni područjem primjene ove Uredbe podliježu nadležnosti države članice u kojoj imaju poslovni nastan. Ako subjekt ima poslovni nastan u više država članica, smatra se da je u nadležnosti države članice u kojoj ima glavni poslovni nastan, odnosno u kojoj ima mjesto poslovanja ili registrirano sjedište iz kojeg se obavljaju glavne financijske funkcije i operativna kontrola.

11. Svi subjekti koji su obuhvaćeni područjem primjene ove Uredbe i koji stavljaju povezane proizvode na raspolaganje ili nude usluge u Uniji, a nemaju poslovni nastan u Uniji, moraju imenovati pravnog zastupnika u jednoj od država članica.

12. Za potrebe osiguravanja usklađenosti s ovom Uredbom subjekt obuhvaćen područjem primjene ove Uredbe koji stavlja povezane proizvode na raspolaganje ili nudi usluge u Uniji ovlašćuje pravnog zastupnika kako bi se osim tom subjektu ili umjesto njemu nadzorna tijela obraćala tom pravnom zastupniku u vezi sa svim pitanjima povezanima s tim subjektom. Taj pravni zastupnik surađuje s nadležnim tijelima i na zahtjev im pruža sveobuhvatan prikaz mjera i radnji koje je poduzeo subjekt koji je obuhvaćen područjem primjene ove Uredbe i koji stavlja povezane proizvode na raspolaganje ili nudi usluge u Uniji kako bi osigurao usklađenost s ovom Uredbom.

13. Smatra se da je subjekt koji je obuhvaćen područjem primjene ove Uredbe i koji stavlja povezane proizvode na raspolaganje ili nudi usluge u Uniji u nadležnosti države članice u kojoj se nalazi njegov pravni zastupnik. Imenovanjem pravnog zastupnika od strane takvog subjekta ne dovode se u pitanje odgovornost takvog subjekta i bilo kakvi pravni postupci koji bi mogli biti pokrenuti protiv takvog subjekta. Dok subjekt ne imenuje pravnog zastupnika u skladu s ovim člankom u nadležnosti je svih država članica, ako je to primjenjivo, za potrebe osiguravanja primjene i izvršavanja ove Uredbe. Svako nadležno tijelo može izvršavati svoju nadležnost, među ostalim izricanjem učinkovitih, proporcionalnih i odvraćajućih sankcija, pod uvjetom da subjekt nije predmetom drugog postupka izvršavanja na temelju ove Uredbe, koji vodi drugo nadležno tijelo zbog istih činjenica.

14. Nadležna tijela ovlaštena su od korisnika, imatelja podataka ili primatelja podataka, ili njihovih pravnih zastupnika, koji su u nadležnosti njihove države članice zatražiti sve informacije potrebne za provjeru usklađenosti s ovom Uredbom. Svaki zahtjev za informacije mora biti razmjeran izvršenju povezane zadaće i obrazložen.

15. Ako nadležno tijelo u jednoj državi članici traži pomoć ili mjere izvršavanja od nadležnog tijela u drugoj državi članici, ono podnosi obrazložen zahtjev. Nadležno tijelo po primitku takvog zahtjeva bez nepotrebne odgode dostavlja odgovor u kojem navodi koje su radnje poduzete ili se planiraju poduzeti.

16. Nadležna tijela poštuju načela povjerljivosti i čuvanja profesionalne i poslovne tajne te štite osobne podatke u skladu s pravom Unije ili nacionalnim pravom. Sve informacije razmijenjene u kontekstu zahtjeva za pomoć i pružene u skladu s ovim člankom smiju se upotrebljavati samo u vezi s onim pitanjem za koje su zatražene.

Članak 40.

Sankcije

1. Države članice utvrđuju pravila o sankcijama koje se primjenjuju na povrede ove Uredbe i poduzimaju sve potrebne mjere radi osiguranja njihove provedbe. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.

2. Države članice do 12. rujna 2025. obavješćuju Komisiju o tim pravilima i mjerama te je bez odgode obavješćuju o svim naknadnim izmjenama koje na njih utječu. Komisija redovito ažurira i održava lako dostupan javni registar tih mjera.

3. Države članice uzimaju u obzir preporuke EDIB-a i sljedeće netaksativne kriterije za izricanje sankcija za povrede ove Uredbe:

(a)	prirodu, težinu, opseg i trajanje povrede;

(b)	sve mjere koje je poduzela strana koja je počinila povredu kako bi ublažila ili popravila štetu prouzročenu povredom;

(c)	sve prethodne povrede koje je počinio počinitelj povrede;

(d)	financijske koristi koje je počinitelj stekao ili gubitke koje je izbjegao zbog povrede, u mjeri u kojoj se takve koristi ili gubici mogu pouzdano utvrditi;

(e)	sve ostale otegotne ili olakotne okolnosti koje su primjenjive na konkretni slučaj;

(f)	godišnji promet počinitelja povrede u prethodnoj financijskoj godini u Uniji.

4. Za povrede obveza utvrđenih u poglavljima II., III. i V. ove Uredbe nadzorna tijela odgovorna za praćenje primjene Uredbe (EU) 2016/679 mogu u okviru svoje nadležnosti izreći upravne novčane kazne u skladu s člankom 83. Uredbe (EU) 2016/679 do iznosa iz članka 83. stavka 5. te uredbe.

5. Za povrede obveza utvrđenih u poglavlju V. ove Uredbe Europski nadzornik za zaštitu podataka može u okviru svoje nadležnosti izreći upravne novčane kazne u skladu s člankom 66. Uredbe (EU) 2018/1725 do iznosa iz članka 66. stavka 3. te uredbe.

Članak 43.

Baze podataka koje sadržavaju određene podatke

Pravo sui generis predviđeno u članku 7. Direktive 96/9/EZ ne primjenjuje se ako su podaci pribavljeni ili generirani putem povezanog proizvoda ili povezane usluge obuhvaćenih područjem primjene ove Uredbe, osobito u vezi s njezinim člancima 4. i 5.

POGLAVLJE XI.

ZAVRŠNE ODREDBE

Članak 49.

Evaluacija i preispitivanje

1. Komisija provodi evaluaciju ove Uredbe i podnosi izvješće o glavnim nalazima evaluacije Europskom parlamentu, Vijeću i Europskom gospodarskom i socijalnom odboru do 12. rujna 2028. Tom se evaluacijom posebno ocjenjuje sljedeće:

(a)

situacije koje treba smatrati situacijama iznimne potrebe za potrebe članka 15. ove Uredbe i primjene poglavlja V. ove Uredbe u praksi, osobito iskustvo tijelâ javnog sektora, Komisije, Europske središnje banke i tijela Unije u primjeni poglavlja V. ove Uredbe; broj i ishod postupaka upućenih nadležnom tijelu na temelju članka 18. stavka 5. o primjeni poglavlja V. ove Uredbe, kako su izvijestila nadležna tijela; utjecaj drugih obveza utvrđenih u pravu Unije ili nacionalnom pravu za potrebe ispunjavanja zahtjevâ za pristup informacijama; utjecaj mehanizama dobrovoljnog dijeljenja podataka, kao što su oni koje su uspostavile organizacije za podatkovni altruizam priznate na temelju Uredbe (EU) 2022/868, na ispunjavanje ciljeva poglavlja V. ove Uredbe i uloga osobnih podataka u kontekstu članka 15. ove Uredbe, uključujući razvoj tehnologija za unapređenje zaštite privatnosti;

(b)	učinak ove Uredbe na uporabu podataka u gospodarstvu, među ostalim na inovacije u području podataka, prakse monetizacije podataka i usluge podatkovnog posredovanja, kao i na dijeljenje podataka unutar zajedničkih europskih podatkovnih prostora;

(c)	pristupačnost i uporaba različitih kategorija i vrsta podataka;

(d)	isključivanje određenih kategorija poduzeća kao korisnika na temelju članka 5.;

(e)	izostanak bilo kakvog utjecaja na prava intelektualnog vlasništva;

(f)

učinak na poslovne tajne, među ostalim i na zaštitu od njihova nezakonitog pribavljanja, uporabe i otkrivanja, kao i učinak mehanizma koji imatelju podataka omogućuje da odbije korisnikov zahtjev na temelju članka 4. stavka 8. i članka 5. stavka 11., uzimajući pritom u obzir, u mjeri u kojoj je to moguće, eventualnu reviziju Direktive (EU) 2016/943;

(g)	je li popis nepoštenih ugovornih odredbi iz članka 13. ažuriran s obzirom na nove poslovne prakse i brz tempo razvoja inovacija na tržištu;

(h)	promjene u ugovornim praksama pružateljâ usluga obrade podataka te dovodi li to do dovoljne usklađenosti s člankom 25.;

(i)	smanjenje naknada koje nameću pružatelji usluga obrade podataka za proces promjene, u skladu s postupnim ukidanjem naknada za promjenu na temelju članka 29.

(j)	interakcija ove Uredbe s drugim pravnim aktima Unije koji su važni za podatkovno gospodarstvo;

(k)	sprečavanje nezakonitog pristupa tijelâ vlasti neosobnim podacima;

(l)	učinkovitost režima izvršavanja na temelju članka 37.;

(m)	učinak ove Uredbe na MSP-ove s obzirom na njihovu inovacijsku sposobnost i na dostupnost usluga obrade podataka za korisnike u Uniji te opterećenje u vezi s ispunjavanjem novih obveza.

2. Komisija provodi evaluaciju ove Uredbe i podnosi izvješće o glavnim nalazima evaluacije Europskom parlamentu, Vijeću i Europskom gospodarskom i socijalnom odboru do 12. rujna 2028. Tom se evaluacijom ocjenjuje učinak članaka od 23. do 31. te članaka 34. i 35., osobito u pogledu određivanja cijena i raznovrsnosti usluga obrade podataka koje se nude u Uniji, s posebnim naglaskom na pružateljima koji su MSP-ovi.

3. Države članice dostavljaju Komisiji sve potrebne informacije za izradu izvješća iz stavaka 1. i 2.

4. Na temelju izvješća iz stavaka 1. i 2. Komisija može, prema potrebi, podnijeti zakonodavni prijedlog Europskom parlamentu i Vijeću radi izmjene ove Uredbe.

whereas

keyboard_tab Data Act 2023/2854 HR

Data Act 2023/2854 HR