keyboard_tab Data Act 2023/2854 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Članak 1. Predmet i područje primjene
- 1 Članak 16. Odnos s drugim obvezama stavljanja podataka na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci i tijelima Unije
- 1 Članak 17. Zahtjevi za stavljanje podataka na raspolaganje
- 2 Članak 18. Ispunjavanje zahtjevâ za podatke
- 1 Članak 19. Obveze tijelâ javnog sektora, Komisije, Europske središnje banke i tijelâ Unije
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
DIJELJENJE PODATAKA IZMEĐU PODUZEĆA I POTROŠAČA TE MEĐU PODUZEĆIMA
POGLAVLJE III.
OBVEZE IMATELJA PODATAKA KOJI SU U SKLADU S PRAVOM UNIJE OBVEZNI STAVITI PODATKE NA RASPOLAGANJE
POGLAVLJE IV.
NEPOŠTENE UGOVORNE ODREDBE POVEZANE S PRISTUPOM PODACIMA I NJIHOVOM UPORABOM MEĐU PODUZEĆIMA
POGLAVLJE V.
STAVLJANJE PODATAKA NA RASPOLAGANJE TIJELIMA JAVNOG SEKTORA, KOMISIJI, EUROPSKOJ SREDIŠNJOJ BANCI I TIJELIMA UNIJE NA TEMELJU IZNIMNE POTREBE
POGLAVLJE VI.
PROMJENA USLUGE OBRADE PODATAKA
POGLAVLJE VII.
NEZAKONITI MEĐUNARODNI PRISTUP TIJELA VLASTI NEOSOBNIM PODACIMA I NEZAKONITI MEĐUNARODNI PRIJENOS NEOSOBNIH PODATAKA TIJELIMA VLASTI
POGLAVLJE VIII.
INTEROPERABILNOST
POGLAVLJE IX.
PROVEDBA I IZVRŠAVANJE
POGLAVLJE X.
PRAVO SUI GENERIS NA TEMELJU DIREKTIVE 96/9/EZ
POGLAVLJE XI.
ZAVRŠNE ODREDBE
- podataka 83
- unije 36
- podatke 36
- sektora 30
- javnog 28
- tijelo 24
- koji 20
- raspolaganje 20
- zahtjev 17
- skladu 17
- eu / 16
- temelju 16
- koje 15
- imatelj 14
- ovog 13
- primjenjuje 13
- podaci 13
- banka 12
- središnja 12
- europska 12
- komisija 11
- podacima 10
- tijelu 10
- imatelja 10
- usluga 9
- prava 9
- uredbe 9
- zahtjeva 9
- poglavlje 9
- odgode 8
- tijela 8
- nepotrebne 8
- uporabu 7
- ovom 7
- uredbom 7
- pitanje 7
- pravo 7
- svrhu 7
- navodi 7
- stavkom 7
- pristup 7
- člankom 7
- uredba 7
- mjere 7
- članka 7
- uključujući 6
- tehničke 6
- komisiji 6
- europskoj 6
- središnjoj 6
Članak 1.
Predmet i područje primjene
1. Ovom se Uredbom utvrđuju usklađena pravila, među ostalim, o:
| (a) | stavljanju podataka proizvoda i podataka o povezanim uslugama na raspolaganje korisniku povezanog proizvoda ili povezane usluge; |
| (b) | stavljanju podataka na raspolaganje primateljima podataka od strane imateljâ podataka; |
| (c) | stavljanju podataka na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci i tijelima Unije, ako postoji iznimna potreba za tim podacima radi obavljanja specifične zadaće koja se obavlja u javnom interesu, od strane imateljâ podataka; |
| (d) | olakšavanju promjene usluga obrade podataka; |
| (e) | uvođenju zaštitnih mjera protiv nezakonitog pristupa trećih strana neosobnim podacima; i |
| (f) | razvoju standarda interoperabilnosti za pristup podacima, prijenos podataka i uporabu podataka. |
2. Ovom Uredbom obuhvaćeni su osobni i neosobni podaci, uključujući sljedeće vrste podataka, u sljedećim kontekstima:
| (a) | poglavlje II. primjenjuje se na podatke, uz iznimku sadržaja, koji se odnose na učinkovitost, uporabu i okruženje povezanih proizvoda i povezanih usluga; |
| (b) | poglavlje III. primjenjuje se na sve podatke privatnog sektora koji podliježu zakonskim obvezama dijeljenja podataka; |
| (c) | poglavlje IV. primjenjuje se na sve podatke privatnog sektora kojima se pristupa i koji se upotrebljavaju na temelju ugovora među poduzećima; |
| (d) | poglavlje V. primjenjuje se na sve podatke privatnog sektora s naglaskom na neosobne podatke; |
| (e) | poglavlje VI. primjenjuje se na sve podatke i usluge koje obrađuju pružatelji usluga obrade podataka; |
| (f) | poglavlje VII. primjenjuje se na sve neosobne podatke koje pružatelji usluga obrade podataka čuvaju u Uniji. |
3. Ova se Uredba primjenjuje na:
| (a) | proizvođače povezanih proizvoda stavljenih na tržište u Uniji i pružatelje povezanih usluga, neovisno o mjestu poslovnog nastana tih proizvođača i pružatelja usluga; |
| (b) | korisnike, u Uniji, povezanih proizvoda ili povezanih usluga kako su navedeni u točki (a); |
| (c) | imatelje podataka, neovisno o njihovu mjestu poslovnog nastana, koji podatke stavljaju na raspolaganje primateljima podataka u Uniji; |
| (d) | primatelje podataka u Uniji kojima se podaci stavljaju na raspolaganje; |
| (e) | tijela javnog sektora, Komisiju, Europsku središnju banku i tijela Unije, koji od imatelja podataka zahtijevaju da stave podatke na raspolaganje ako postoji iznimna potreba za tim podacima radi izvršavanja specifične zadaće koja se obavlja u javnom interesu i na imatelje podataka koji te podatke dostavljaju kao odgovor na takav zahtjev; |
| (f) | pružatelje usluga obrade podataka, neovisno o njihovu mjestu poslovnog nastana, koji pružaju takve usluge klijentima u Uniji; |
| (g) | sudionike u podatkovnim prostorima i prodavatelje aplikacija koje se koriste pametnim ugovorima i osobe čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršenja sporazuma. |
4. Ako se u ovoj Uredbi upućuje na povezane proizvode ili povezane usluge, smatra se da takva upućivanja uključuju i virtualne asistente ako su u oni interakciji s povezanim proizvodom ili povezanom uslugom.
5. Ovom se Uredbom ne dovodi u pitanje pravo Unije i nacionalno pravo o zaštiti osobnih podataka, privatnosti i povjerljivosti komunikacija i cjelovitosti terminalne opreme koje se primjenjuje na osobne podatke koji se obrađuju u vezi s pravima i obvezama utvrđenima u njoj, osobito uredbe (EU) 2016/679 i (EU) 2018/1725 te Direktiva 2002/58/EZ, uključujući ovlasti i nadležnosti nadzornih tijela te prava ispitanika. U mjeri u kojoj su korisnici ispitanici, pravima utvrđenima u poglavlju II. ove Uredbe dopunjuju se prava ispitanikâ na pristup i prava na prenosivost podataka iz članka 15., odnosno članka 20. Uredbe (EU) 2016/679. U slučaju proturječnosti između ove Uredbe i prava Unije o zaštiti osobnih podataka ili privatnosti, ili nacionalnog zakonodavstva donesenog u skladu s takvim pravom Unije, prednost ima relevantno pravo Unije ili nacionalno pravo o zaštiti osobnih podataka ili privatnosti.
6. Ova se Uredba ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka između privatnih i javnih subjekata niti ih dovodi u pitanje, a osobito se ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka.
Ova Uredba ne utječe na pravne akte Unije ili nacionalne pravne akte kojima se predviđa dijeljenje podataka, pristup podacima i njihova uporaba u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija ili pak u carinske ili porezne svrhe, osobito na uredbe (EU) 2021/784, (EU) 2022/2065 i (EU) 2023/1543 te Direktivu (EU) 2023/1544 ili međunarodnu suradnju u tom području. Ova se Uredba ne primjenjuje na prikupljanje ili dijeljenje podataka, pristup podacima ili uporabu podataka na temelju Uredbe (EU) 2015/847 i Direktive (EU) 2015/849. Ova se Uredba ne primjenjuje u područjima koja nisu obuhvaćena pravom Unije te u svakom slučaju ne utječe na nadležnosti država članica u pogledu javne sigurnosti, obrane ili nacionalne sigurnosti, neovisno o vrsti subjekta kojem su države članice povjerile obavljanje zadaća u vezi s tim nadležnostima, ili njihovu ovlast za zaštitu drugih ključnih državnih funkcija, uključujući osiguranje teritorijalne cjelovitosti države i očuvanje javnog poretka. Ova Uredba ne utječe na nadležnosti država članica u pogledu carina i porezne uprave ili zdravlja i sigurnosti građana.
7. Ovom se Uredbom dopunjuje samoregulatorni pristup iz Uredbe (EU) 2018/1807 dodavanjem opće primjenjivih obveza u pogledu promjene pružatelja usluga u oblaku.
8. Ovom se Uredbom ne dovode u pitanje pravni akti Unije i nacionalni pravni akti kojima se predviđa zaštita prava intelektualnog vlasništva, posebno direktive 2001/29/EZ, 2004/48/EZ i (EU) 2019/790.
9. Ovom se Uredbom dopunjuje i ne dovodi u pitanje pravo Unije čiji je cilj promicanje interesa potrošača i osiguravanje visoke razine zaštite potrošača i zaštita njihova zdravlja, sigurnosti i gospodarskih interesa, posebno direktive 93/13/EEZ, 2005/29/EZ i 2011/83/EU.
10. Ovom se Uredbom ne isključuje sklapanje dobrovoljnih zakonitih ugovora o dijeljenju podataka, uključujući ugovore sklopljene na recipročnoj osnovi, koji su u skladu sa zahtjevima utvrđenima u ovoj Uredbi.
Članak 16.
Odnos s drugim obvezama stavljanja podataka na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci i tijelima Unije
1. Ovo poglavlje ne utječe na obveze utvrđene u pravu Unije ili nacionalnom pravu u svrhu izvješćivanja, ispunjavanja zahtjevâ za pristup informacijama ili dokazivanja ili provjere usklađenosti s pravnim obvezama.
2. Ovo se poglavlje ne primjenjuje na tijela javnog sektora, Komisiju, Europsku središnju banku ili tijela Unije koji provode aktivnosti za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili prekršaja ili za izvršavanje kaznenih sankcija ili na carinsku ili poreznu upravu. Ovo poglavlje ne utječe na primjenjivo pravo Unije i primjenjivo nacionalno pravo koje se odnosi na sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili prekršaja ili na izvršavanje kaznenih ili administrativnih sankcija ili na carinsku ili poreznu upravu.
Članak 17.
Zahtjevi za stavljanje podataka na raspolaganje
1. Kad zahtijeva podatke na temelju članka 14., tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije:
| (a) | navodi koji se podaci zahtijevaju, uključujući relevantne metapodatke potrebne za tumačenje i uporabu tih podataka; |
| (b) | dokazuje da su ispunjeni potrebni uvjeti za postojanje iznimne potrebe kako je navedeno u članku 15. u čiju su svrhu podaci zatraženi; |
| (c) | objašnjava svrhu zahtjeva, predviđenu uporabu traženih podataka, među ostalim, ako je to primjenjivo, upotrebljava li ih treća strana u skladu sa stavkom 4. ovog članka, trajanje te uporabe i, ako je to relevantno, način na koji se obradom osobnih podataka odgovara na iznimnu potrebu; |
| (d) | navodi, ako je moguće, kada se očekuje da će sve stranke koje imaju pristup podacima izbrisati podatke; |
| (e) | obrazlaže odabir imatelja podataka kojem je zahtjev upućen; |
| (f) | navodi sva druga tijela javnog sektora ili Komisiju, Europsku središnju banku ili tijela Unije i treće strane za koje se očekuje da se traženi podaci s njima dijele; |
| (g) | ako su zatraženi osobni podaci, navodi sve tehničke i organizacijske mjere koje su potrebne i razmjerne za provedbu načelâ zaštite podataka i potrebne zaštitne mjere, kao što je pseudonimizacija, te može li imatelj podataka primijeniti anonimizaciju prije stavljanja podataka na raspolaganje; |
| (h) | navodi pravnu odredbu kojom se tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije koji su podnijeli zahtjev dodjeljuje specifična zadaća koja se obavlja u javnom interesu, a koja je relevantna za zahtjev za podatke; |
| (i) | navodi rok do kojeg se podaci moraju staviti na raspolaganje i rok iz članka 18. stavka 2. do kojeg imatelj podataka može odbiti zahtjev ili zatražiti njegovu izmjenu; |
| (j) | ulaže maksimalne napore za izbjegavanje da ispunjavanje zahtjeva za podatke dovede do odgovornosti imatelja podataka za povredu prava Unije ili nacionalnog prava. |
2. Zahtjev za podatke podnesen na temelju stavka 1. ovog članka:
| (a) | podnosi se u pisanom obliku i sastavljen je na jasnom, jezgrovitom i jednostavnom jeziku razumljivom imatelju podataka; |
| (b) | precizan je u pogledu vrste traženih podataka i odgovara podacima nad kojima imatelj podataka ima kontrolu u trenutku podnošenja zahtjeva; |
| (c) | razmjeran je iznimnoj potrebi i propisno obrazložen s obzirom na granularnost i količinu traženih podataka te učestalost pristupa traženim podacima; |
| (d) | poštuje legitimne ciljeve imatelja podataka, uz preuzimanje obveze osiguravanja zaštite poslovnih tajni u skladu s člankom 19. stavkom 3., te uzimajući u obzir troškove i trud potrebne za stavljanje podataka na raspolaganje; |
| (e) | odnosi se na neosobne podatke, a samo ako se dokaže da to nije dovoljno da se odgovori na iznimnu potrebu za uporabom podataka, u skladu s člankom 15. stavkom 1. točkom (a), zahtijeva osobne podatke u pseudonimiziranom obliku te utvrđuje tehničke i organizacijske mjere koje se moraju poduzeti radi zaštite podataka; |
| (f) | obavješćuje imatelja podataka o sankcijama koje u skladu s člankom 40. izriče nadležno tijelo imenovano u skladu s člankom 37. u slučaju neispunjavanja zahtjeva; |
| (g) | ako je zahtjev podnijelo tijelo javnog sektora, dostavlja se koordinatoru podataka iz članka 37. države članice u kojoj je tijelo javnog sektora koje je podnijelo zahtjev osnovano, koji zahtjev objavljuje na internetu bez nepotrebne odgode osim ako koordinator podataka smatra da bi takva objava ugrozila javnu sigurnost; |
| (h) | ako je zahtjev podnijela Komisija, Europska središnja banka ili tijelo Unije, stavlja se na raspolaganje na internetu bez nepotrebne odgode; |
| (i) | ako su zatraženi osobni podaci, o tome se bez nepotrebne odgode obavješćuje nadzorno tijelo odgovorno za praćenje primjene Uredbe (EU) 2016/679 u državi članici u kojoj je tijelo javnog sektora osnovano. |
Europska središnja banka i tijela Unije obavješćuju Komisiju o svojim zahtjevima.
3. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije podatke pribavljene na temelju ovog poglavlja ne stavlja na raspolaganje za ponovnu uporabu kako je definirana u članku 2. točki 2. Uredbe (EU) 2022/868 ili članku 2. točki 11. Direktive (EU) 2019/1024. Uredba (EU) 2022/868 i Direktiva (EU) 2019/1024 ne primjenjuju se na podatke u posjedu tijelâ javnog sektora pribavljene na temelju ovog poglavlja.
4. Stavkom 3. ovog članka ne sprečava se tijelo javnog sektora, Komisiju, Europsku središnju banku ili tijelo Unije da podatke pribavljene na temelju ovog poglavlja razmjenjuje s drugim tijelom javnog sektora ili Komisijom, Europskom središnjom bankom ili tijelom Unije radi obavljanja zadaća iz članka 15., kako je navedeno u zahtjevu u skladu sa stavkom 1. točkom (f) ovog članka, ili da podatke stavlja na raspolaganje trećoj strani ako su toj trećoj strani delegirali, u okviru javno dostupnog sporazuma, tehničke preglede ili druge funkcije. Obveze tijelâ javnog sektora u skladu s člankom 19., osobito zaštitne mjere za čuvanje povjerljivosti poslovnih tajni, primjenjuju se i na takve treće strane. Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije dostavlja ili stavlja na raspolaganje podatke na temelju ovog stavka, o tome bez nepotrebne odgode obavješćuje imatelja podataka od kojeg su podaci primljeni.
5. Ako imatelj podataka smatra da su njegova prava na temelju ovog poglavlja povrijeđena prijenosom podataka ili stavljanjem podataka na raspolaganje, može podnijeti pritužbu nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.
6. Komisija izrađuje predložak za zahtjeve na temelju ovog članka.
Članak 18.
Ispunjavanje zahtjevâ za podatke
1. Imatelj podataka koji primi zahtjev za stavljanje podataka na raspolaganje na temelju ovog poglavlja bez nepotrebne odgode stavlja podatke na raspolaganje tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije koje je podnijelo zahtjev, pri čemu uzima u obzir potrebne tehničke, organizacijske i pravne mjere.
2. Ne dovodeći u pitanje posebne potrebe u pogledu dostupnosti podataka definirane u pravu Unije ili u nacionalnom pravu, imatelj podataka može odbiti zahtjev za stavljanje podataka na raspolaganje na temelju ovog poglavlja ili zatražiti njegovu izmjenu bez nepotrebne odgode, a u svakom slučaju najkasnije pet radnih dana nakon primitka zahtjeva za dostavu podataka koji su potrebni kako bi se odgovorilo na izvanredno stanje te bez nepotrebne odgode i u svakom slučaju najkasnije 30 radnih dana nakon primitka takvog zahtjeva u drugim slučajevima iznimne potrebe na temelju bilo kojeg od sljedećih razloga:
| (a) | imatelj podataka nema kontrolu nad traženim podacima; |
| (b) | sličan zahtjev u istu svrhu prethodno je podnijelo drugo tijelo javnog sektora ili Komisija, Europska središnja banka ili tijelo Unije, a imatelj podataka nije obaviješten o brisanju podataka u skladu s člankom 19. stavkom 1. točkom (c); |
| (c) | zahtjev ne ispunjava uvjete utvrđene u članku 17. stavcima 1. i 2. |
3. Ako imatelj podataka odluči odbiti zahtjev ili zatražiti njegovu izmjenu u skladu sa stavkom 2. točkom (b), navodi koje je tijelo javnog sektora ili Komisija, Europska središnja banka ili tijelo Unije prethodno podnijelo zahtjev u istu svrhu.
4. Ako traženi podaci uključuju osobne podatke, imatelj podataka propisno anonimizira podatke, osim ako ispunjavanje zahtjeva za stavljanje podataka na raspolaganje tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije iziskuje otkrivanje osobnih podataka. U takvim slučajevima imatelj podataka pseudonimizira podatke.
5. Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije želi osporiti odbijanje imatelja podataka da dostavi tražene podatke, ili ako imatelj podataka želi osporiti zahtjev, a to se pitanje ne može riješiti odgovarajućom izmjenom zahtjeva, pitanje se upućuje nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.
Članak 19.
Obveze tijelâ javnog sektora, Komisije, Europske središnje banke i tijelâ Unije
1. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije koje primi podatke u skladu sa zahtjevom podnesenim na temelju članka 14.:
| (a) | ne smije upotrebljavati podatke na način koji nije u skladu sa svrhom u koju su podaci zatraženi; |
| (b) | moralo je provesti tehničke i organizacijske mjere kojima se čuvaju povjerljivost i cjelovitost traženih podataka i sigurnost prijenosâ podataka, osobito osobnih podataka, te zaštititi prava i slobode ispitanikâ; |
| (c) | mora izbrisati podatke čim više nisu potrebni za navedenu svrhu i bez nepotrebne odgode obavijestiti imatelja podataka te pojedince ili organizacije koji su primili podatke u skladu s člankom 21. stavkom 1. da su podaci izbrisani, osim ako se arhiviranje podataka zahtijeva u skladu s pravom Unije ili nacionalnim pravom o javnom pristupu dokumentima u kontekstu obveza u pogledu transparentnosti. |
2. Tijelo javnog sektora, Komisija, Europska središnja banka, tijelo Unije ili treća strana koja primi podatke na temelju ovog poglavlja:
| (a) | ne smije iskorištavati podatke ili uvid u ekonomsko stanje, imovinu i proizvodne ili operativne metode imatelja podataka za razvoj ili unapređenje povezanog proizvoda ili povezane usluge koji su u konkurenciji s povezanim proizvodom ili povezanom uslugom imatelja podataka; |
| (b) | ne smije dijeliti podatke s drugom trećom stranom u bilo koju od svrha iz točke (a). |
3. Otkrivanje poslovnih tajni tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije zahtijeva se samo u mjeri u kojoj je to nužno za postizanje svrhe zahtjeva na temelju članka 15. U tom slučaju imatelj podataka ili, ako nije riječ o istoj osobi, nositelj poslovne tajne utvrđuje koji su podaci zaštićeni kao poslovne tajne, uključujući u relevantnim metapodacima. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije, prije otkrivanja poslovnih tajni, poduzimaju sve potrebne i primjerene tehničke i organizacijske mjere kako bi očuvali povjerljivost poslovnih tajni, što prema potrebi uključuje uporabu modela ugovornih odredbi, tehničkih standarda i primjenu kodeksa ponašanja.
4. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije odgovorno je za sigurnost podataka koje prima.
whereas