Data Act 2023/2854 HR

(c)	stavljanju podataka na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci i tijelima Unije, ako postoji iznimna potreba za tim podacima radi obavljanja specifične zadaće koja se obavlja u javnom interesu, od strane imateljâ podataka;

(d)	olakšavanju promjene usluga obrade podataka;

(e)	uvođenju zaštitnih mjera protiv nezakonitog pristupa trećih strana neosobnim podacima; i

(f)	razvoju standarda interoperabilnosti za pristup podacima, prijenos podataka i uporabu podataka.

2. Ovom Uredbom obuhvaćeni su osobni i neosobni podaci, uključujući sljedeće vrste podataka, u sljedećim kontekstima:

(a)	poglavlje II. primjenjuje se na podatke, uz iznimku sadržaja, koji se odnose na učinkovitost, uporabu i okruženje povezanih proizvoda i povezanih usluga;

(b)	poglavlje III. primjenjuje se na sve podatke privatnog sektora koji podliježu zakonskim obvezama dijeljenja podataka;

(c)	poglavlje IV. primjenjuje se na sve podatke privatnog sektora kojima se pristupa i koji se upotrebljavaju na temelju ugovora među poduzećima;

(d)	poglavlje V. primjenjuje se na sve podatke privatnog sektora s naglaskom na neosobne podatke;

(e)	poglavlje VI. primjenjuje se na sve podatke i usluge koje obrađuju pružatelji usluga obrade podataka;

(f)	poglavlje VII. primjenjuje se na sve neosobne podatke koje pružatelji usluga obrade podataka čuvaju u Uniji.

3. Ova se Uredba primjenjuje na:

(a)	proizvođače povezanih proizvoda stavljenih na tržište u Uniji i pružatelje povezanih usluga, neovisno o mjestu poslovnog nastana tih proizvođača i pružatelja usluga;

(b)	korisnike, u Uniji, povezanih proizvoda ili povezanih usluga kako su navedeni u točki (a);

(c)	imatelje podataka, neovisno o njihovu mjestu poslovnog nastana, koji podatke stavljaju na raspolaganje primateljima podataka u Uniji;

(d)	primatelje podataka u Uniji kojima se podaci stavljaju na raspolaganje;

(e)

tijela javnog sektora, Komisiju, Europsku središnju banku i tijela Unije, koji od imatelja podataka zahtijevaju da stave podatke na raspolaganje ako postoji iznimna potreba za tim podacima radi izvršavanja specifične zadaće koja se obavlja u javnom interesu i na imatelje podataka koji te podatke dostavljaju kao odgovor na takav zahtjev;

(f)	pružatelje usluga obrade podataka, neovisno o njihovu mjestu poslovnog nastana, koji pružaju takve usluge klijentima u Uniji;

(g)	sudionike u podatkovnim prostorima i prodavatelje aplikacija koje se koriste pametnim ugovorima i osobe čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršenja sporazuma.

4. Ako se u ovoj Uredbi upućuje na povezane proizvode ili povezane usluge, smatra se da takva upućivanja uključuju i virtualne asistente ako su u oni interakciji s povezanim proizvodom ili povezanom uslugom.

5. Ovom se Uredbom ne dovodi u pitanje pravo Unije i nacionalno pravo o zaštiti osobnih podataka, privatnosti i povjerljivosti komunikacija i cjelovitosti terminalne opreme koje se primjenjuje na osobne podatke koji se obrađuju u vezi s pravima i obvezama utvrđenima u njoj, osobito uredbe (EU) 2016/679 i (EU) 2018/1725 te Direktiva 2002/58/EZ, uključujući ovlasti i nadležnosti nadzornih tijela te prava ispitanika. U mjeri u kojoj su korisnici ispitanici, pravima utvrđenima u poglavlju II. ove Uredbe dopunjuju se prava ispitanikâ na pristup i prava na prenosivost podataka iz članka 15., odnosno članka 20. Uredbe (EU) 2016/679. U slučaju proturječnosti između ove Uredbe i prava Unije o zaštiti osobnih podataka ili privatnosti, ili nacionalnog zakonodavstva donesenog u skladu s takvim pravom Unije, prednost ima relevantno pravo Unije ili nacionalno pravo o zaštiti osobnih podataka ili privatnosti.

6. Ova se Uredba ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka između privatnih i javnih subjekata niti ih dovodi u pitanje, a osobito se ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka.

Ova Uredba ne utječe na pravne akte Unije ili nacionalne pravne akte kojima se predviđa dijeljenje podataka, pristup podacima i njihova uporaba u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija ili pak u carinske ili porezne svrhe, osobito na uredbe (EU) 2021/784, (EU) 2022/2065 i (EU) 2023/1543 te Direktivu (EU) 2023/1544 ili međunarodnu suradnju u tom području. Ova se Uredba ne primjenjuje na prikupljanje ili dijeljenje podataka, pristup podacima ili uporabu podataka na temelju Uredbe (EU) 2015/847 i Direktive (EU) 2015/849. Ova se Uredba ne primjenjuje u područjima koja nisu obuhvaćena pravom Unije te u svakom slučaju ne utječe na nadležnosti država članica u pogledu javne sigurnosti, obrane ili nacionalne sigurnosti, neovisno o vrsti subjekta kojem su države članice povjerile obavljanje zadaća u vezi s tim nadležnostima, ili njihovu ovlast za zaštitu drugih ključnih državnih funkcija, uključujući osiguranje teritorijalne cjelovitosti države i očuvanje javnog poretka. Ova Uredba ne utječe na nadležnosti država članica u pogledu carina i porezne uprave ili zdravlja i sigurnosti građana.

7. Ovom se Uredbom dopunjuje samoregulatorni pristup iz Uredbe (EU) 2018/1807 dodavanjem opće primjenjivih obveza u pogledu promjene pružatelja usluga u oblaku.

8. Ovom se Uredbom ne dovode u pitanje pravni akti Unije i nacionalni pravni akti kojima se predviđa zaštita prava intelektualnog vlasništva, posebno direktive 2001/29/EZ, 2004/48/EZ i (EU) 2019/790.

9. Ovom se Uredbom dopunjuje i ne dovodi u pitanje pravo Unije čiji je cilj promicanje interesa potrošača i osiguravanje visoke razine zaštite potrošača i zaštita njihova zdravlja, sigurnosti i gospodarskih interesa, posebno direktive 93/13/EEZ, 2005/29/EZ i 2011/83/EU.

10. Ovom se Uredbom ne isključuje sklapanje dobrovoljnih zakonitih ugovora o dijeljenju podataka, uključujući ugovore sklopljene na recipročnoj osnovi, koji su u skladu sa zahtjevima utvrđenima u ovoj Uredbi.

Članak 2.

Definicije

Za potrebe ove Uredbe, primjenjuju se sljedeće definicije:

1.	„podaci” znači svaki digitalni prikaz akata, činjenica ili informacija i svaka kompilacija tih akata, činjenica ili informacija, među ostalim u obliku zvučnog, vizualnog ili audiovizualnog zapisa;

2.	„metapodaci” znači strukturiran opis sadržaja ili uporabe podataka kojim se olakšavaju pronalaženje i uporaba tih podataka;

3.	„osobni podaci” znači osobni podaci kako su definirani u članku 4. točki 1. Uredbe (EU) 2016/679;

4.	„neosobni podaci” znači podaci koji nisu osobni podaci;

„povezani proizvod” znači predmet koji pribavlja, generira ili prikuplja podatke koji se odnose na njegovu uporabu ili okruženje, koji može prenositi podatke proizvoda putem elektroničke komunikacijske usluge, fizičke veze ili pristupa na uređaju i čija glavna funkcija nisu pohrana, obrada ili prijenos podataka u ime bilo koje strane koja nije korisnik;

„povezana usluga” znači digitalna usluga, osim elektroničke komunikacijske usluge, uključujući softver, koja je povezana s proizvodom u trenutku kupnje, najma ili leasinga na takav način da bi njezina odsutnost spriječila povezani proizvod u izvršavanju jedne ili više njegovih funkcija ili koju proizvođač ili treća strana naknadno povezuju s proizvodom radi proširivanja, ažuriranja ili prilagođavanja funkcija povezanog proizvoda;

„obrada” znači svaki postupak ili niz postupaka koji se obavljaju na podacima ili skupovima podataka, bilo automatiziranim ili neautomatiziranim sredstvima, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, dohvat, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

„usluga obrade podataka” znači digitalna usluga koja se pruža klijentu i kojom se omogućuje sveprisutan mrežni pristup na zahtjev zajedničkom skupu konfigurabilnih, nadogradivih i elastičnih računalnih resursa centralizirane, distribuirane ili visoko distribuirane prirode koja se može brzo osigurati i isporučiti uz minimalan napor upravljanja ili minimalnu interakciju pružatelja usluga;

9.	„usluga iste vrste” znači skup usluga obrade podataka koje imaju isti glavni cilj, isti model usluge obrade podataka i iste glavne funkcionalnosti;

10.	„usluga podatkovnog posredovanja” znači usluga podatkovnog posredovanja kako je definirana u članku 2. točki 11. Uredbe (EU) 2022/868;

11.	„ispitanik” znači ispitanik kako je navedeno u članku 4. točki 1. Uredbe (EU) 2016/679;

12.	„korisnik” znači fizička ili pravna osoba koja je vlasnik povezanog proizvoda ili na koju su u okviru ugovora prenesena privremena prava na uporabu tog povezanog proizvoda ili koja prima povezane usluge;

13.

„imatelj podataka” znači fizička ili pravna osoba koja ima pravo ili obvezu, u skladu s ovom Uredbom, primjenjivim pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije, upotrebljavati ili stavljati na raspolaganje podatke, uključujući, ako je to dogovoreno ugovorom, podatke proizvoda ili podatke o povezanim uslugama koje je dohvatila ili generirala tijekom pružanja povezane usluge;

14.

„primatelj podataka” znači fizička ili pravna osoba koja djeluje u svrhe povezane sa svojom trgovačkom, poslovnom, obrtničkom ili profesionalnom djelatnošću, osim korisnika povezanog proizvoda ili povezane usluge, kojoj imatelj podataka stavlja na raspolaganje podatke, uključujući treću stranu slijedom zahtjeva korisnika upućenog imatelju podataka ili u skladu s pravnom obvezom na temelju prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije;

15.	„podaci proizvoda” znači podaci generirani uporabom povezanog proizvoda koje je proizvođač dizajnirao tako da ih korisnik, imatelj podataka ili treća strana, uključujući, ako je to relevantno, proizvođač, mogu dohvatiti putem elektroničke komunikacijske usluge, fizičke veze ili pristupa na uređaju;

16.	„podaci o povezanim uslugama” znači podaci koji predstavljaju digitalizaciju korisničkih radnji ili događaja koji se odnose na povezani proizvod, koje je korisnik zabilježio namjerno ili koji su generirani kao nusproizvod djelovanja korisnika tijekom pružanja povezane usluge od strane pružatelja;

17.	„lako dostupni podaci” znači podaci proizvoda i podaci o povezanim uslugama koje imatelj podataka zakonito pribavi ili može zakonito pribaviti iz povezanog proizvoda ili povezane usluge, bez nerazmjernog napora koji nadilazi jednostavnu radnju;

18.	„poslovna tajna” znači poslovna tajna kako je definirana u članku 2. točki 1. Uredbe (EU) 2016/943;

19.	„nositelj poslovne tajne” znači nositelj poslovne tajne kako je definiran u članku 2. točki 2. Uredbe (EU) 2016/943;

20.	„izrada profila” znači izrada profila kako je definirana u članku 4. točki 4. Uredbe (EU) 2016/679;

21.	„stavljanje na raspolaganje na tržištu” znači svaka isporuka povezanog proizvoda za distribuciju, potrošnju ili uporabu na tržištu Unije u okviru trgovačke djelatnosti uz plaćanje ili besplatno;

22.	„stavljanje na tržište” znači prvo stavljanje povezanog proizvoda na raspolaganje na tržištu Unije;

23.	„potrošač” znači bilo koja fizička osoba koja djeluje u svrhe koje su izvan okvira njezine trgovačke, poslovne, obrtničke ili profesionalne djelatnosti;

24.	„poduzeće” znači fizička ili pravna osoba koja u vezi s ugovorima i praksama obuhvaćenima ovom Uredbom djeluje u svrhe povezane sa svojom trgovačkom, poslovnom, obrtničkom ili profesionalnom djelatnošću;

25.	„malo poduzeće” znači malo poduzeće kako je definirano u članku 2. stavku 2. Priloga Preporuci 2003/361/EZ;

26.	„mikropoduzeće” znači mikropoduzeće kako je definirano u članku 2. stavku 3. Priloga Preporuci 2003/361/EZ;

27.	„tijela Unije” znači tijela, uredi i agencije Unije osnovani aktima donesenima na temelju ugovora o Europskoj uniji, UFEU-a ili ugovora o osnivanju Europske zajednice za atomsku energiju odnosno na temelju tih akata;

28.	„tijelo javnog sektora” znači nacionalna, regionalna ili lokalna tijela država članica i javnopravna tijela država članica ili udruženja koja je osnovalo jedno takvo tijelo ili više njih ili jedno takvo tijelo javnog sektora ili više njih;

29.

„izvanredno stanje” znači iznimna situacija, vremenski ograničena, kao što su izvanredno stanje u području javnog zdravlja, izvanredno stanje koje proizlazi iz prirodnih katastrofa, katastrofa velikih razmjera uzrokovana ljudskim djelovanjem, uključujući veliki kibernetički sigurnosni incident, koja negativno utječe na stanovništvo Unije, ili državu članicu ili njezin dio, uz opasnost od teških i trajnih posljedica na životne uvjete ili gospodarsku stabilnost, financijsku stabilnost ili od znatne i brze degradacije gospodarske imovine u Uniji ili dotičnoj državi članici, a utvrđuje se i službeno proglašava u skladu s relevantnim postupcima na temelju prava Unije ili nacionalnog prava;

30.	„klijent” znači fizička ili pravna osoba koja je stupila u ugovorni odnos s pružateljem usluga obrade podataka s ciljem korištenja jednom ili više uslugom obrade podataka;

31.	„virtualni asistenti” znači softver koji može obrađivati naloge, zadaće ili pitanja, uključujući one koji se temelje na zvučnim i pisanim unosima, gestama ili pokretima te koji na temelju tih naloga, zadaća ili pitanja pruža pristup ostalim uslugama ili upravlja funkcijama povezanih proizvoda;

32.	„digitalni resursi” znači elementi u digitalnom obliku, uključujući aplikacije, za koje klijent ima pravo uporabe, neovisno o ugovornom odnosu s uslugom obrade podataka koju namjerava promijeniti;

33.	„lokalna infrastruktura IKT-a” znači infrastruktura IKT-a i računalni resursi koji su u vlasništvu klijenta, koje je klijent unajmio ili uzeo u leasing, a nalaze se u podatkovnom centru samog klijenta te njima upravlja klijent ili treća strana;

34.

„promjena” znači proces koji uključuje izvornog pružatelja usluga obrade podataka, klijenta usluge obrade podataka i, ako je to relevantno, odredišnog pružatelja usluga obrade podataka, u kojem klijent usluge obrade podataka prelazi s korištenja jednom uslugom obrade podataka na drugu uslugu iste vrste ili na drugu uslugu koju nudi drugi pružatelj usluga obrade podataka ili na lokalnu infrastrukturu IKT-a, među ostalim izdvajanjem, pretvaranjem i učitavanjem podataka;

35.	„naknade za izlaz podataka” znači naknade za prijenos podataka koje se naplaćuju klijentima za izdvajanje njihovih podataka putem mreže iz infrastrukture IKT-a pružatelja usluga obrade podataka u sustav drugog pružatelja ili u lokalnu infrastrukturu IKT-a;

36.

„naknade za promjenu” znači naknade, osim standardnih naknada za usluge ili sankcija za prijevremeni raskid ugovora, koje pružatelj usluga obrade podataka nameće klijentu za radnje propisane ovom Uredbom za promjenu, tj. prebacivanje na sustav drugog pružatelja usluga ili na lokalnu infrastrukturu IKT-a, uključujući naknade za izlaz podataka;

37.

„funkcionalna ekvivalentnost” znači ponovna uspostava, na temelju klijentovih podataka koji se mogu izvesti i klijentovih digitalnih resursa, minimalne razine funkcionalnosti u okruženju nove usluge obrade podataka iste vrste usluge nakon procesa promjene, ako odredišna usluga obrade podataka daje materijalno usporediv rezultat kao odgovor na isti ulazni podatak za zajedničke značajke isporučene klijentu na temelju ugovora;

38.

„podaci koji se mogu izvesti” za potrebe članaka od 23. do 31. i članka 35. znači ulazni podaci i izlazni podaci, uključujući metapodatke, koji su izravno ili neizravno generirani ili su zajednički generirani, klijentovim korištenjem uslugom obrade podataka, isključujući imovinu ili podatke pružateljâ usluga obrade podataka odnosno imovinu ili podatke trećih strana, koji su zaštićeni pravima intelektualnog vlasništva ili koji čine poslovne tajne;

39.	„pametni ugovor” znači računalni program koji se upotrebljava za automatizirano izvršenje sporazuma ili njegova dijela, pri čemu se upotrebljava slijed elektroničkih zapisa podataka i osigurava njihova cjelovitost i točnost kronološkog redoslijeda;

40.	„interoperabilnost” znači sposobnost dvaju ili više podatkovnih prostora ili komunikacijskih mreža, sustava, povezanih proizvoda, aplikacija ili komponenata da razmjenjuju i upotrebljavaju podatke radi obavljanja svojih funkcija;

41.	„otvorena specifikacija interoperabilnosti” znači tehnička specifikacija u području informacijske i komunikacijske tehnologije usmjerena na postizanje interoperabilnosti među uslugama obrade podataka;

42.	„zajedničke specifikacije” znači dokument koji nije norma, koji sadržava tehnička rješenja koja služe kao sredstvo za ispunjavanje određenih zahtjeva i obveza utvrđenih u okviru ove Uredbe;

43.	„usklađena norma” znači usklađena norma kako je definirana u članku 2. točki 1. podtočki (c) Uredbe (EU) br. 1025/2012;

POGLAVLJE II.

DIJELJENJE PODATAKA IZMEĐU PODUZEĆA I POTROŠAČA TE MEĐU PODUZEĆIMA

Članak 3.

Obveza osiguravanja pristupa korisniku podacima proizvoda i podacima o povezanim uslugama

1. Povezani proizvodi osmišljavaju se i proizvode, a povezane usluge osmišljavaju se i pružaju tako da su podaci proizvoda i podaci o povezanim uslugama, uključujući relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, dostupni korisniku automatski, na jednostavan i siguran način, besplatno, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu, te da su mu, ako je to relevantno i tehnički izvedivo, izravno dostupni.

2. Prije sklapanja ugovora o kupoprodaji, najmu ili leasingu povezanog proizvoda, prodavatelj, najmodavac ili davatelj leasinga, koji mogu biti proizvođač, pruža korisniku barem informacije o sljedećem, na jasan i razumljiv način:

(a)	vrsti, formatu i procijenjenoj količini podataka proizvoda koje povezani proizvod može generirati;

(b)	može li povezani proizvod generirati podatke kontinuirano i u stvarnom vremenu;

(c)	može li povezani proizvod pohranjivati podatke na uređaju ili na udaljenom poslužitelju, uključujući, ako je to primjenjivo, predviđeno trajanje zadržavanja;

(d)	načinu na koji korisnik može pristupiti podacima, dohvatiti podatke ili ih, ako je to relevantno, obrisati, uključujući tehnička sredstva s pomoću kojih se to može učiniti kao i njihove uvjete za uporabu i kvalitetu usluge.

3. Prije sklapanja ugovora o pružanju povezane usluge pružatelj takve povezane usluge pruža korisniku barem informacije o sljedećem, na jasan i razumljiv način:

(a)

prirodi, procijenjenoj količini i učestalosti prikupljanja podataka proizvoda za koje se očekuje da će ih potencijalni imatelj podataka pribaviti i, ako je to relevantno, aranžmanima za pristup korisnika takvim podacima ili dohvaćanje takvih podataka, među ostalim i aranžmanima za pohranu potencijalnog imatelja podataka i trajanju zadržavanja podataka;

(b)	prirodi i procijenjenoj količini podataka o povezanim uslugama koje je potrebno generirati i aranžmanima za pristup korisnika takvim podacima ili dohvaćanje takvih podataka, među ostalim i aranžmanima za pohranu potencijalnog imatelja podataka i trajanju zadržavanja podataka;

(c)	tome očekuje li potencijalni imatelj podataka da će on sam upotrebljavati lako dostupne podatke i o svrhama u koje se ti podaci moraju upotrebljavati te o tome namjerava li dopustiti jednoj ili više trećih strana da upotrebljavaju podatke u svrhe dogovorene s korisnikom;

(d)	identitetu potencijalnog imatelja podataka, kao što su njegov trgovački naziv i geografska adresa na kojoj ima poslovni nastan, i, ako je to primjenjivo, drugih strana koje obrađuju podatke;

(e)	sredstvima komunikacije kojima se omogućuju brzo stupanje u kontakt s potencijalnim imateljem podataka i učinkovita komunikacija s njim;

(f)	načinu na koji korisnik može zatražiti da se podaci dijele s trećom stranom, i ako je to primjenjivo, da se obustavi dijeljenje podataka;

(g)	pravu korisnika da nadležnom tijelu imenovanom u skladu s člankom 37. podnese pritužbu zbog navodne povrede bilo koje od odredbi ovog poglavlja;

(h)	tome je li potencijalni imatelj podataka nositelj poslovnih tajni sadržanih u podacima kojima se može pristupiti preko povezanog proizvoda ili koji su generirani tijekom pružanja povezane usluge i, ako potencijalni imatelj podataka nije nositelj poslovne tajne, identitet nositelja poslovne tajne;

(i)	trajanju ugovora između korisnika i potencijalnog imatelja podataka te aranžmanima za raskid takvog ugovora.

Članak 4.

Prava i obveze korisnikâ i imateljâ podataka u pogledu pristupa podacima proizvoda i podacima o povezanim uslugama, uporabe tih podataka i njihova stavljanja na raspolaganje

1. Ako korisnik ne može izravno pristupiti podacima iz povezanog proizvoda ili povezane usluge, imatelji podataka korisniku bez nepotrebne odgode stavljaju na raspolaganje lako dostupne podatke, kao i relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, jednake kvalitete koja je dostupna imatelju podataka, na jednostavan i siguran način, besplatno, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu te, ako je to relevantno i tehnički izvedivo, kontinuirano i u stvarnom vremenu. To se provodi na temelju običnog zahtjeva upućenog elektroničkim putem ako je to tehnički izvedivo.

2. Korisnici i imatelji podataka mogu ugovorom ograničiti ili zabraniti pristup podacima, njihovu uporabu ili daljnje dijeljenje ako bi takva obrada mogla ugroziti sigurnosne zahtjeve povezanog proizvoda, kako su utvrđeni pravom Unije ili nacionalnim pravom, što bi dovelo do teškog štetnog učinka na zdravlje, sigurnost ili zaštitu fizičkih osoba. Sektorska tijela mogu u tom kontekstu pružiti korisnicima i imateljima podataka tehničko stručno znanja. Ako imatelj podataka odbije dijeliti podatke u skladu s ovim člankom, o tome obavješćuje nadležno tijelo imenovano u skladu s člankom 37.

3. Ne dovodeći u pitanje pravo korisnika da u bilo kojem trenutku zatraži pravnu zaštitu pred sudom države članice, korisnik može, u vezi sa svakim sporom s imateljem podataka koji se odnosi na ugovorna ograničenja ili zabrane iz stavka 2.:

(a)	u skladu s člankom 37. stavkom 5. točkom (b) podnijeti pritužbu nadležnom tijelu; ili

(b)	dogovoriti se s imateljem podataka da se predmet uputi tijelu za rješavanje sporova u skladu s člankom 10. stavkom 1.

4. Imatelji podataka ne smiju neopravdano otežavati ostvarivanje izborâ ili prava korisnika na temelju ovog članka, među ostalim i nuđenjem izborâ korisniku na način koji nije neutralan ili potkopavanjem ili narušavanjem autonomije, odlučivanja ili izborâ korisnika putem strukture, dizajna, funkcije ili načina rada korisničkog digitalnog sučelja ili njegova dijela.

5. Kako bi se provjerilo ispunjava li fizička ili pravna osoba uvjete da bi se smatrala korisnikom za potrebe stavka 1., imatelj podataka ne smije zahtijevati od te osobe da pruži nikakve informacije osim onih koje su potrebne. Imatelji podataka ne smije čuvati nikakve informacije, osobito evidencijske podatke, o pristupu korisnika traženim podacima osim onih koje su potrebne za ispravno izvršavanje korisnikova zahtjeva za pristup te za sigurnost i održavanje podatkovne infrastrukture.

6. Poslovne tajne čuvaju se i otkrivaju trećim stranama samo ako, prije otkrivanja, imatelj podataka i korisnik poduzmu sve potrebne mjere za očuvanje povjerljivosti poslovnih tajni, osobito u odnosu na treće strane. Imatelj podataka ili, ako nije riječ o istoj osobi, nositelj poslovne tajne, identificira podatke koji su zaštićeni kao poslovne tajne, među ostalim u relevantnim metapodacima, i dogovara s korisnikom razmjerne tehničke i organizacijske mjere potrebne za očuvanje povjerljivosti podijeljenih podataka, posebno u odnosu na treće strane, kao što su modeli ugovornih odredbi, sporazumi o povjerljivosti, strogi protokoli o pristupu, tehnički standardi i primjena kodeksa ponašanja.

7. Ako se ne postigne sporazum o potrebnim mjerama iz stavka 6. ili ako korisnik ne provede mjere dogovorene u skladu sa stavkom 6. ili ugrozi povjerljivost poslovnih tajni, imatelj podataka može uskratiti ili, ovisno o slučaju, suspendirati dijeljenje podataka koji su identificirani kao poslovne tajne. Odluka imatelja podataka mora biti propisno obrazložena i mora se dostaviti korisniku u pisanom obliku bez nepotrebne odgode. U takvim slučajevima imatelj podataka obavješćuje nadležno tijelo imenovano u skladu s člankom 37. da je uskratio ili suspendirao dijeljenje podataka i navodi koje mjere nisu dogovorene ili provedene te, ako je to relevantno, za koje je poslovne tajne ugrožena povjerljivost.

8. U iznimnim okolnostima, ako imatelj podataka koji je nositelj poslovne tajne može dokazati da će vrlo vjerojatno pretrpjeti tešku ekonomsku štetu od otkrivanja poslovnih tajni, unatoč tehničkim i organizacijskim mjerama koje je poduzeo korisnik u skladu sa stavkom 6. ovog članka, taj imatelj podataka može na pojedinačnoj osnovi odbiti zahtjev za pristup dotičnim podacima. Taj dokaz mora biti propisno obrazložen na temelju objektivnih elemenata, posebno izvršivosti zaštite poslovnih tajni u trećim zemljama, prirodi i razini povjerljivosti traženih podataka te jedinstvenosti i inovativnosti povezanog proizvoda te se mora dostaviti korisniku u pisanom obliku bez nepotrebne odgode. Ako imatelj podataka odbije podijeliti podatke u skladu s ovim stavkom, o tome obavješćuje nadležno tijelo imenovano u skladu s člankom 37.

9. Ne dovodeći u pitanje pravo korisnika da u bilo kojem trenutku zatraži pravnu zaštitu pred sudom države članice, korisnik koji želi osporiti odluku imatelja podataka da odbije ili da uskrati ili da suspendira dijeljenje podataka u skladu sa stavcima 7. i 8., može:

(a)	u skladu s člankom 37. stavkom 5. točkom (b) podnijeti pritužbu nadležnom tijelu koje bez nepotrebne odgode odlučuje mora li se i pod kojim uvjetima dijeljenje podataka započeti ili nastaviti; ili

(b)	dogovoriti se s imateljem podataka da se predmet uputi tijelu za rješavanje sporova u skladu s člankom 10. stavkom 1.

10. Korisnik ne smije upotrebljavati podatke pribavljene na temelju zahtjeva iz stavka 1. za razvoj povezanog proizvoda koji je u konkurenciji s proizvodom iz kojeg podaci potječu, ne smije dijeliti te podatke s trećom stranom s tom namjerom te ne smije upotrebljavati takve podatke kako bi stekao uvid u gospodarsko stanje, imovinu i proizvodne metode proizvođača, ili ako je to primjenjivo, imatelja podataka.

11. Korisnik ne smije radi dobivanja pristupa podacima primjenjivati sredstva prisile ili zloupotrebljavati nedostatke u tehničkoj infrastrukturi imatelja podataka namijenjenoj zaštiti podataka.

12. Ako korisnik nije ispitanik čiji se osobni podaci traže, imatelj podataka sve osobne podatke generirane uporabom povezanog proizvoda ili povezane usluge stavlja na raspolaganje korisniku samo ako postoji valjana pravna osnova za obradu u skladu s člankom 6. Uredbe (EU) 2016/679 i, ako je to relevantno, ako su ispunjeni uvjeti iz članka 9. te uredbe i članka 5. stavka 3. Direktive 2002/58/EZ.

13. Imatelj podataka smije upotrebljavati lako dostupne podatke koji su neosobni podaci samo na temelju ugovora s korisnikom. Imatelj podataka ne smije upotrebljavati takve podatke kako bi stekao uvid u gospodarsko stanje, imovinu i proizvodne metode korisnika ili korisnikovu uporabu tih podataka na bilo koji drugi način kojim bi se mogao ugroziti poslovni položaj tog korisnika na tržištima na kojima je korisnik aktivan.

14. Imatelji podataka ne smiju stavljati na raspolaganje neosobne podatke proizvoda trećim stranama u komercijalne ili nekomercijalne svrhe osim radi ispunjenja svojeg ugovora s korisnikom. Ako je to relevantno, imatelji podataka ugovorom obvezuju treće strane da ne dijele dalje podatke koje su dobili od njih.

Članak 6.

Obveze trećih strana koje primaju podatke na zahtjev korisnika

1. Treća strana obrađuje podatke koji su joj stavljeni na raspolaganje na temelju članka 5. samo u svrhe i pod uvjetima dogovorenima s korisnikom i podložno pravu Unije o zaštiti osobnih podataka i nacionalnom pravu o zaštiti osobnih podataka, uključujući prava ispitanika u mjeri u kojoj se to odnosi na osobne podatke. Treća strana briše podatke kad više nisu potrebni za dogovorenu svrhu, osim ako je drukčije dogovoreno s korisnikom u vezi s neosobnim podacima.

2. Treća strana ne smije:

(a)

neopravdano otežavati ostvarivanje izborâ ili pravâ korisnika na temelju članka 5. i ovog članka, među ostalim i nuđenjem izborâ korisniku na način koji nije neutralan, ili prisiljavanjem korisnika, zavaravanjem korisnika ili manipuliranjem korisnikom, ili potkopavanjem ili narušavanjem autonomije, odlučivanja ili izborâ korisnika, među ostalim uz pomoć korisničkog digitalnog sučelja ili njegova dijela;

(b)	neovisno o članku 22. stavku 2. točkama (a) i (c) Uredbe (EU) 2016/679, upotrebljavati podatke koje primi za izradu profila, osim ako je to potrebno za pružanje usluge koju je zatražio korisnik;

(c)

stavljati podatke koje primi na raspolaganje drugoj trećoj strani, osim ako se podaci stavljaju na raspolaganje na temelju ugovora s korisnikom i pod uvjetom da druga treća strana poduzme sve potrebne mjere dogovorene između imatelja podataka i treće strane kako bi se očuvala povjerljivost poslovnih tajni;

(d)	stavljati podatke koje primi na raspolaganje poduzetniku za kojeg je utvrđen status nadzornika pristupa u skladu s člankom 3. Uredbe (EU) 2022/1925;

(e)

upotrebljavati podatke koje primi za razvoj proizvoda koji je u konkurenciji s povezanim proizvodom iz kojeg potječu podaci kojima je pristupljeno ili ih dijeliti s drugom trećom stranom u tu svrhu; treće strane također ne smiju upotrebljavati neosobne podatke proizvoda ili neosobne podatke o povezanim uslugama koji su im stavljeni na raspolaganje kako bi stekle uvid u gospodarsko stanje, imovinu i proizvodne metode imatelja podataka ili uporabu od strane imatelja podataka;

(f)	upotrebljavati podatke koje primi na način koji negativno utječe na sigurnost povezanog proizvoda ili povezane usluge;

(g)	zanemariti posebne mjere dogovorene s imateljem podataka ili nositeljem poslovnih tajni u skladu s člankom 5. stavkom 9. i ugroziti povjerljivost poslovnih tajni;

(h)	sprečavati korisnika koji je potrošač, među ostalim i na temelju ugovora, da podatke koje primi stavi na raspolaganje drugim stranama.

Članak 13.

Nepoštene ugovorne odredbe jednostrano nametnute drugom poduzeću

1. Ugovorna odredba koja se odnosi na pristup podacima i njihovu uporabu ili na odgovornost i pravna sredstva u slučaju kršenja ili okončanja obveza povezanih s podacima, a koju je jedno poduzeće jednostrano nametnulo drugom poduzeću nije obvezujuća za potonje poduzeće ako je nepoštena.

2. Ugovorna odredba koja odražava obvezne odredbe prava Unije ili odredbe prava Unije koje bi se primjenjivale da to pitanje nije uređeno ugovornim odredbama ne smatra se nepoštenom.

3. Ugovorna je odredba nepoštena ako je takve prirode da njezina primjena znatno odstupa od dobre poslovne prakse u pristupu podacima i njihovoj uporabi te je suprotna dobroj vjeri i poštenom poslovanju.

4. Posebno, ugovorna je odredba nepoštena za potrebe stavka 3. ako je njezin cilj ili učinak:

(a)	isključiti ili ograničiti odgovornost strane koja je jednostrano nametnula odredbu zbog namjernog činjenja ili krajnje nepažnje;

(b)	isključiti pravna sredstva dostupna strani kojoj je odredba jednostrano nametnuta u slučaju neizvršenja ugovornih obveza ili isključiti odgovornost strane koja je jednostrano nametnula odredbu u slučaju kršenja tih obveza;

(c)	dati strani koja je jednostrano nametnula odredbu isključivo pravo da utvrdi jesu li dostavljeni podaci u skladu s ugovorom ili da tumači bilo koju ugovornu odredbu.

5. Za potrebe stavka 3. pretpostavlja se da je ugovorna odredba nepoštena ako je njezin cilj ili učinak:

(a)	neprimjereno ograničiti pravna sredstva u slučaju neizvršenja ugovornih obveza ili odgovornost u slučaju kršenja tih obveza ili proširiti odgovornost poduzeća kojem je odredba jednostrano nametnuta;

(b)

omogućiti strani koja je jednostrano nametnula odredbu pristup podacima druge ugovorne strane i njihovu uporabu na način koji znatno šteti legitimnim interesima druge ugovorne strane, osobito ako takvi podaci sadržavaju poslovno osjetljive podatke ili su zaštićeni poslovnim tajnama ili pravima intelektualnog vlasništva;

(c)

spriječiti stranu kojoj je odredba jednostrano nametnuta da upotrebljava podatke koje je dostavila ili generirala tijekom razdoblja ugovora ili ograničiti uporabu tih podataka u takvoj mjeri da ta strana nema pravo upotrebljavati takve podatke, prikupljati ih, pristupati im ili ih nadzirati ili iskorištavati njihovu vrijednost na primjeren način;

(d)	spriječiti stranu kojoj je odredba jednostrano nametnuta da raskine ugovor u razumnom roku;

(e)	spriječiti stranu kojoj je odredba jednostrano nametnuta da pribavi kopiju podataka koje je dostavila ili generirala tijekom razdoblju ugovora ili u razumnom roku nakon raskida ugovora;

(f)

omogućiti strani koja je jednostrano nametnula odredbu da raskine ugovor uz nerazumno kratak otkazni rok, uzimajući u obzir svaku razumnu mogućnost za drugu ugovornu stranu da prijeđe na alternativnu i usporedivu uslugu te financijsku štetu prouzročenu takvim raskidom ugovora, osim kad za to postoje ozbiljni razlozi;

(g)

omogućiti strani koja je jednostrano nametnula odredbu da znatno izmijeni cijenu utvrđenu u ugovoru ili bilo koji drugi bitan uvjet povezan s prirodom, formatom, kvalitetom ili količinom podataka koji se dijele, ako u ugovoru nije naveden ni valjan razlog ni pravo druge strane da raskine ugovor u slučaju takve izmjene.

Prvi podstavak točka (g) ne utječe na odredbe prema kojima strana koja je jednostrano nametnula odredbu zadržava pravo jednostrano izmijeniti odredbe ugovora na neodređeno vrijeme, pod uvjetom da je u ugovoru naveden valjan razlog za takvu jednostranu izmjenu, da je stranka koja je jednostrano nametnula odredbu dužna obavijestiti drugu ugovornu stranku uz razuman otkazni rok o svakoj takvoj izmjeni koju namjerava provesti te da druga ugovorna strana u slučaju izmjene može besplatno raskinuti ugovor.

6. U smislu ovog članka ugovorna se odredba smatra jednostrano nametnutom ako ju je predložila jedna ugovorna strana, a druga ugovorna strana nije mogla utjecati na njezin sadržaj unatoč pokušaju da o njemu pregovara. Teret dokazivanja da odredba nije jednostrano nametnuta snosi ugovorna strana koja je ugovornu odredbu predložila. Ugovorna strana koja je predložila spornu ugovornu odredbu ne može se pozivati na to da je ugovorna odredba nepoštena ugovorna odredba.

7. Ako je nepoštena ugovorna odredba odvojiva od ostalih odredbi ugovora, ostale su odredbe obvezujuće.

8. Ovaj se članak ne primjenjuje na ugovorne odredbe kojima se utvrđuje glavni predmet ugovora ili na primjerenost cijene u odnosu na podatke dostavljene u zamjenu.

9. Strane ugovora iz stavka 1. ne smiju isključiti primjenu ovog članka, odstupiti od njega niti mijenjati njegove učinke.

POGLAVLJE V.

STAVLJANJE PODATAKA NA RASPOLAGANJE TIJELIMA JAVNOG SEKTORA, KOMISIJI, EUROPSKOJ SREDIŠNJOJ BANCI I TIJELIMA UNIJE NA TEMELJU IZNIMNE POTREBE

Članak 25.

Ugovorne odredbe koje se odnose na promjenu

1. Prava klijenta i obveze pružatelja usluga obrade podataka koje se odnose na promjenu pružatelja takvih usluga ili, ako je to primjenjivo, na prebacivanje na lokalnu infrastrukturu IKT-a jasno se navode u pisanom ugovoru. Pružatelj usluga obrade podataka stavlja taj ugovor na raspolaganje klijentu prije potpisivanja ugovora na način kojim se klijentu omogućuje da pohrani i reproducira ugovor.

2. Ne dovodeći u pitanje Direktivu (EU) 2019/770, ugovor iz stavka 1. ovog članka sadržava barem sljedeće:

(a)

klauzule kojima se klijentu omogućuju da se na zahtjev prebaci na uslugu obrade podataka koju nudi drugi pružatelj usluga obrade podataka ili da sve podatke koji se mogu izvesti i digitalne resurse premjesti na lokalnu infrastrukturu IKT-a bez nepotrebne odgode i u svakom slučaju najkasnije u obveznom maksimalnom prijelaznom razdoblju od 30 kalendarskih dana, koje počinje nakon isteka maksimalnog otkaznog roka iz točke (d), a tijekom kojeg se ugovor o pružanju usluge i dalje primjenjuje i tijekom kojeg pružatelj usluga obrade podataka:

i.	u procesu promjene pruža razumnu pomoć klijentu i trećim stranama koje je klijent ovlastio;

ii.	postupa s dužnom pažnjom radi održavanja kontinuiteta poslovanja te nastavlja pružati funkcije ili usluge na temelju ugovora;

iii.	pruža jasne informacije o poznatim rizicima za kontinuitet u pružanju funkcija ili usluga od strane izvornog pružatelja usluga obrade podataka;

iv.	osigurava održavanje visoke razine sigurnosti tijekom cijelog procesa promjene, osobito sigurnosti podataka tijekom njihova prijenosa i kontinuirane sigurnosti podataka tijekom razdoblja dohvata navedenog u točki (g), u skladu s primjenjivim pravom Unije ili nacionalnim pravom;

(b)	obvezu pružatelja usluga obrade podataka da podupire izlaznu strategiju klijenta koja je relevantna za ugovorene usluge, među ostalim pružanjem svih relevantnih informacija;

(c)

klauzulu kojom se utvrđuje da se ugovor smatra raskinutim te da se klijenta obavješćuje o raskidu u jednom od sljedećih slučajeva:

i.	ako je to primjenjivo, nakon uspješnog dovršetka procesa promjene;

ii.	nakon isteka maksimalnog otkaznog roka iz točke (d) ako klijent ne želi promijeniti pružatelja usluga, nego želi izbrisati svoje podatke koji se mogu izvesti i svoje digitalne resurse nakon otkazivanja usluge;

(d)	maksimalni otkazni rok za pokretanje procesa promjene, koji ne smije biti dulji od dva mjeseca;

(e)	iscrpno navođenje svih kategorija podataka i digitalnih resursa koji se mogu prenijeti tijekom procesa promjene, uključujući barem sve podatke koji se mogu izvesti;

(f)

iscrpno navođenje kategorija podataka koji su specifični za interno funkcioniranje pružateljeve usluge obrade podataka, a koje treba izuzeti od podataka koji se mogu izvesti u skladu s točkom (e) ovog stavka ako postoji rizik od povrede pružateljevih poslovnih tajnih, pod uvjetom da se takvim iznimkama ne ometa niti odgađa proces promjene predviđen u članku 23.;

(g)	minimalno razdoblje za dohvat podataka od najmanje 30 kalendarskih dana, koje počinje nakon isteka prijelaznog razdoblja o kojem su se dogovorili klijent i pružatelj usluga obrade podataka u skladu s točkom (a) ovog stavka i stavkom 4.;

(h)

klauzulu kojom se jamči potpuno brisanje svih podataka koji se mogu izvesti i digitalnih resursa koje izravno generira klijent, ili koji se izravno odnose na klijenta, nakon isteka razdoblja dohvata iz točke (g) ili nakon isteka alternativnoga dogovorenog razdoblja na datum koji je kasniji od datuma isteka razdoblja dohvata iz točke (g), pod uvjetom da je proces promjene uspješno dovršen;

(i)	naknade za promjenu koje mogu nametnuti pružatelji usluga obrade podataka u skladu s člankom 29.

3. Ugovor iz stavka 1. uključuje klauzule kojima se predviđa da klijent može obavijestiti pružatelja usluga obrade podataka o svojoj odluci da izvrši jednu ili više sljedećih radnji nakon isteka maksimalnog otkaznog roka iz stavka 2. točke (d):

(a)	prebaci se na drugog pružatelja usluga obrade podataka, u kojem slučaju klijent daje potrebne pojedinosti tom pružatelju;

(b)	prebaci se na lokalnu infrastrukturu IKT-a;

(c)	izbriše svoje podatke koji se mogu izvesti i digitalne resurse.

4. Ako je obvezno maksimalno prijelazno razdoblje kako je predviđeno u stavku 2. točki (a) tehnički neizvedivo, pružatelj usluga obrade podataka o tome obavješćuje klijenta u roku od 14 radnih dana od podnošenja zahtjeva za promjenu i propisno obrazlaže tehničku neizvedivost te navodi alternativno prijelazno razdoblje koje ne smije biti dulje od sedam mjeseci. U skladu sa stavkom 1. kontinuitet pružanja usluge osigurava se tijekom cijelog alternativnog prijelaznog razdoblja.

5. Ne dovodeći u pitanje stavak 4., ugovor iz stavka 1. uključuje klauzule kojima se klijentu daje pravo da jednom produlji prijelazno razdoblje za razdoblje koje klijent smatra primjerenim za svoje potrebe.

Članak 29.

Postupno ukidanje naknada za promjenu

1. Pružatelji usluga obrade podataka ne smiju klijentu za proces promjene nametnuti nikakve naknade za promjenu od 12. siječnja 2027.

2. Pružatelji usluga obrade podataka smiju klijentu za proces promjene nametnuti snižene naknade za promjenu od 11. siječnja 2024. do 12. siječnja 2027.

3. Snižene naknade za promjenu iz stavka 2. ne smiju premašiti troškove nastale pružatelju usluga obrade podataka koji su izravno povezani s dotičnim procesom promjene.

4. Prije sklapanja ugovora s klijentom pružatelji usluga obrade podataka pružaju potencijalnom klijentu jasne informacije o standardnim naknadama za usluge i sankcijama za prijevremeni raskid ugovora koje se može nametnuti, kao i o sniženim naknadama za promjenu koje se može nametnuti tijekom vremenskog okvira iz stavka 2.

5. Ako je to relevantno, pružatelji usluga obrade podataka pružaju klijentu informacije o uslugama obrade podataka koje uključuju vrlo složenu ili skupu promjenu ili za koje promjena nije moguća bez znatnog zadiranja u podatke, digitalne resurse ili strukturu usluge.

6. Ako je to primjenjivo, pružatelji usluga obrade podataka informacije iz stavaka 4. i 5. stavljaju na raspolaganje klijentima tako što ih objavljuju u posebnom odjeljku na svojim internetskim stranicama ili na bilo koji drugi lako dostupan način.

7. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 45. radi dopune ove Uredbe uspostavljanjem mehanizma praćenja kojim bi se Komisiji omogućilo praćenje naknada za promjenu koje nameću pružatelji usluga obrade podataka na tržištu i tako osiguralo da se ukidanje i smanjenje naknada za promjenu, na temelju stavaka 1. i 2. ovog članka, postigne u skladu s rokovima utvrđenima u tim stavcima.

Članak 31.

Poseban režim za određene usluge obrade podataka

1. Obveze utvrđene u članku 23. točki (d), članku 29. i članku 30. stavcima 1. i 3. ne primjenjuju se na usluge obrade podataka čija je većina glavnih značajki prilagođena ispunjavanju posebnih potreba pojedinačnog klijenta ili ako su sve komponente razvijene za potrebe pojedinačnog klijenta te ako se te usluge obrade podataka ne nude na širokoj komercijalnoj osnovi putem kataloga usluga pružatelja usluga obrade podataka.

2. Obveze utvrđene u ovom poglavlju ne primjenjuju se na usluge obrade podataka koje se pružaju kao verzija u svrhu ispitivanja i evaluacije koja nije namijenjena proizvodnji te tijekom ograničenog razdoblja.

3. Prije sklapanja ugovora o pružanju usluga obrade podataka iz ovog članka pružatelj usluga obrade podataka obavješćuje potencijalnog klijenta o obvezama iz ovog poglavlja koje se ne primjenjuju.

POGLAVLJE VII.

NEZAKONITI MEĐUNARODNI PRISTUP TIJELA VLASTI NEOSOBNIM PODACIMA I NEZAKONITI MEĐUNARODNI PRIJENOS NEOSOBNIH PODATAKA TIJELIMA VLASTI

Članak 36.

Bitni zahtjevi u pogledu pametnih ugovora za izvršavanje sporazumâ o dijeljenju podataka

1. Prodavatelj aplikacije u kojoj se koriste pametni ugovori ili, ako takav prodavatelj ne postoji, osoba čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršavanja sporazuma o stavljanju podataka na raspolaganje ili njegova dijela osigurava da ti pametni ugovori ispunjavaju sljedeće bitne zahtjeve:

(a)	stabilnost i kontrola pristupa radi osiguravanja da je pametni ugovor osmišljen tako da omogućuje mehanizme kontrole pristupa i vrlo visok stupanj stabilnosti kako bi se izbjegle funkcionalne pogreške i postigla otpornost na manipulaciju trećih strana;

(b)

sigurno okončanje i prekid radi osiguravanja da postoji mehanizam za okončanje kontinuiranog izvršavanja transakcija i da pametni ugovor uključuje interne funkcije kojima se ugovor može vratiti na početne postavke ili mu se može narediti da zaustavi ili prekine izvršavanje operacije, a posebno kako bi se izbjegla buduća slučajna izvršenja;

(c)

arhiviranje i kontinuitet podataka radi osiguravanja, u okolnostima u kojima se pametni ugovor mora raskinuti ili obustaviti, da postoji mogućnost za arhiviranje podataka o transakcijama, logike pametnog ugovora i koda radi vođenja evidencije o prijašnjim operacijama provedenima na podacima (mogućnost revizije);

(d)	kontrola pristupa radi osiguravanja da je pametni ugovor zaštićen strogim mehanizmima kontrole pristupa na razini upravljanja i na razini pametnih ugovora; i

(e)	dosljednost radi osiguravanja dosljednosti s uvjetima sporazuma o dijeljenju podataka koji se izvršava pametnim ugovorom.

2. Prodavatelj pametnog ugovora ili, ako takav prodavatelj ne postoji, osoba čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršavanja sporazuma o stavljanju podataka na raspolaganje ili njegova dijela provodi ocjenjivanje sukladnosti u cilju ispunjenja bitnih zahtjeva utvrđenih u stavku 1. te, nakon ispunjenja tih zahtjeva, izdaje EU izjavu o sukladnosti.

3. Sastavljanjem EU izjave o sukladnosti prodavatelj aplikacije u kojoj se koriste pametni ugovori ili, ako takav prodavatelj ne postoji, osoba čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršavanja sporazuma o stavljanju podataka na raspolaganje ili njegova dijela odgovorni su za usklađenost s bitnim zahtjevima utvrđenima u stavku 1.

4. Smatra se da pametni ugovor koji udovoljava usklađenim normama ili njihovim relevantnim dijelovima, na koje su upućivanja objavljena u Službenom listu Europske unije, ispunjava bitne zahtjeve utvrđene u stavka 1. u mjeri u kojoj su ti zahtjevi obuhvaćeni takvim usklađenim normama ili njihovim dijelovima.

5. Komisija u skladu s člankom 10. Uredbe (EU) br. 1025/2012 traži od jedne europske organizacije za normizaciju ili više njih da izrade usklađene norme koje ispunjavaju bitne zahtjeve utvrđene u stavku 1. ovog članka.

6. Komisija može provedbenim aktima donijeti zajedničke specifikacije koje obuhvaćaju neke od bitnih zahtjeva utvrđenih u stavku 1. ili sve takve zahtjeve ako su ispunjeni sljedeći uvjeti:

(a)

Komisija je u skladu s člankom 10. stavkom 1. Uredbe (EU) br. 1025/2012 zatražila od jedne europske organizacije za normizaciju ili više njih da izradi usklađenu normu koja ispunjava bitne zahtjeve utvrđene u stavku 1. ovog članka te:

i.	zahtjev nije prihvaćen;

ii.	usklađene norme koje se odnose na taj zahtjev nisu dostavljene u roku određenom u skladu s člankom 10. stavkom 1. Uredbe (EU) br. 1025/2012; ili

iii.	usklađene norme nisu u skladu sa zahtjevom; i

(b)	upućivanje na usklađene norme koje obuhvaćaju relevantne bitne zahtjeve utvrđene u stavku 1. ovog članka nije objavljeno u Službenom listu Europske unije u skladu s Uredbom (EU) br. 1025/2012 niti se objava takvog upućivanja očekuje u razumnom roku.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 46. stavka 2.

7. Prije izrade nacrta provedbenog akta iz stavka 6. ovog članka Komisija obavješćuje odbor iz članka 22. Uredbe (EU) br. 1025/2012 da smatra da su uvjeti iz stavka 6. ovog članka ispunjeni.

8. Pri izradi nacrta provedbenog akta iz stavka 6. Komisija uzima u obzir savjete EDIB-a i stajališta drugih relevantnih tijela ili stručnih skupina te se na odgovarajući način savjetuje sa svim relevantnim dionicima.

9. Smatra se da prodavatelj pametnog ugovora ili, ako takav prodavatelj ne postoji, osoba čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršavanja sporazuma o stavljanju podataka na raspolaganje ili njegova dijela koji udovoljava zajedničkim specifikacijama utvrđenima provedbenim aktima iz stavka 6. ili njihovim dijelovima ispunjavaju bitne zahtjeve utvrđene u stavku 1. u mjeri u kojoj su ti zahtjevi obuhvaćeni takvim zajedničkim specifikacijama ili njihovim dijelovima.

10. Ako europska organizacija za normizaciju usvoji usklađenu normu te je predloži Komisiji u svrhu objavljivanja upućivanja na tu usklađenu normu u Službenom listu Europske unije, Komisija ocjenjuje usklađenu normu u skladu s Uredbom (EU) br. 1025/2012. Ako se u Službenom listu Europske unije objavi upućivanje na usklađenu normu, Komisija stavlja izvan snage provedbene akte iz stavka 6. ovog članka ili njihove dijelove koji obuhvaćaju iste bitne zahtjeve kao što su oni obuhvaćeni tom usklađenom normom.

11. Ako država članica smatra da zajednička specifikacija ne ispunjava u potpunosti bitne zahtjeve utvrđene u stavku 1., ona o tome obavješćuje Komisiju dostavljanjem detaljnog objašnjenja. Komisija ocjenjuje to detaljno objašnjenje te može, ako je to primjereno, izmijeniti provedbeni akt kojim se utvrđuje dotična zajednička specifikacija.

POGLAVLJE IX.

PROVEDBA I IZVRŠAVANJE

Članak 41.

Modeli ugovornih odredbi i standardne ugovorne klauzule

Komisija prije 12. rujna 2025. izrađuje i preporučuje neobvezujući model ugovornih odredbi o pristupu podacima i njihovoj uporabi, uključujući odredbe o razumnoj naknadi i zaštiti poslovnih tajni, te neobvezujuće standardne ugovorne klauzule za ugovore o računalstvu u oblaku kako bi pomogla stranama u izradi ugovora s pravednim, razumnim i nediskriminirajućim ugovornim pravima i obvezama i u postizanju dogovora o tim ugovorima u pregovorima.

Članak 50.

Stupanje na snagu i primjena

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Primjenjuje se od 12. rujna 2025.

Obveza koja proizlazi iz članka 3. stavka 1. primjenjuje se na povezane proizvode i usluge koje su s njima povezane i koji su stavljeni na tržište nakon 12. rujna 2026.

Poglavlje III. primjenjuje se samo u odnosu na obveze stavljanja podataka na raspolaganje na temelju prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije, a koje stupi na snagu nakon 12. rujna 2025.

Poglavlje IV. primjenjuje se na ugovore sklopljene nakon 12. rujna 2025.

Poglavlje IV. primjenjuje se od 12. rujna 2027. na ugovore sklopljene 12. rujna 2025. ili prije toga datuma pod uvjetom da:

(a)	sklopljeni su na neodređeno vrijeme; ili

(b)	istječu barem 10 godina od 11. siječnja 2024.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Strasbourgu 13. prosinca 2023.

Za Europski parlament

Predsjednica

R. METSOLA

Za Vijeće

Predsjednik

P. NAVARRO RÍOS

(1) SL C 402, 19.10.2022., str. 5.

(2) SL C 365, 23.9.2022., str. 18.

(3) SL C 375, 30.9.2022., str. 112.

(4) Stajalište Europskog parlamenta od 9. studenoga 2023. (još nije objavljeno u Službenom listu) i odluka Vijeća od 27. studenoga 2023.

(5) Preporuka Komisije 2003/361/EZ od 6. svibnja 2003. o definiciji mikropoduzeća te malih i srednjih poduzeća (SL L 124, 20.5.2003., str. 36.).

(6) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(7) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).

(8) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

(9) Direktiva Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (SL L 95, 21.4.1993., str. 29.).

(10) Direktiva 2005/29/EZ Europskog parlamenta i Vijeća od 11. svibnja 2005. o nepoštenoj poslovnoj praksi poslovnog subjekta u odnosu prema potrošaču na unutarnjem tržištu i o izmjeni Direktive Vijeća 84/450/EEZ, direktiva 97/7/EZ, 98/27/EZ i 2002/65/EZ Europskog parlamenta i Vijeća, kao i Uredbe (EZ) br. 2006/2004 Europskog parlamenta i Vijeća („Direktiva o nepoštenoj poslovnoj praksi”) (SL L 149, 11.6.2005., str. 22.).

(11) Direktiva 2011/83/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravima potrošača, izmjeni Direktive Vijeća 93/13/EEZ i Direktive 1999/44/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Direktive Vijeća 85/577/EEZ i Direktive 97/7/EZ Europskog parlamenta i Vijeća (SL L 304, 22.11.2011., str. 64.).

(12) Uredba (EU) 2021/784 Europskog parlamenta i Vijeća od 29. travnja 2021. o borbi protiv širenja terorističkog sadržaja na internetu (SL L 172, 17.5.2021., str. 79.).

(13) Uredba (EU) 2022/2065 Europskog parlamenta i Vijeća od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ (Akt o digitalnim uslugama) (SL L 277, 27.10.2022., str. 1.).

(14) Uredba (EU) 2023/1543 Europskog parlamenta i Vijeća оd 12. srpnja 2023. o europskim nalozima za dostavljanje i europskim nalozima za čuvanje elektroničkih dokaza u kaznenim postupcima i za izvršenje kazni zatvora nakon kaznenog postupka (SL L 191, 28.7.2023., str. 118.).

(15) Direktiva (EU) 2023/1544 Europskog parlamenta i Vijeća оd 12. srpnja 2023. o utvrđivanju usklađenih pravila za imenovanje imenovanih poslovnih nastana i pravnih zastupnika za potrebe prikupljanja elektroničkih dokaza u kaznenim postupcima (SL L 191, 28.7.2023., str. 181.).

(16) Uredba (EU) 2015/847 Europskog parlamenta i Vijeća od 20. svibnja 2015. o informacijama koje su priložene prijenosu novčanih sredstava i o stavljanju izvan snage Uredbe (EZ) br. 1781/2006 (SL L 141, 5.6.2015., str. 1.).

(17) Direktiva (EU) 2015/849 Europskog parlamenta i Vijeća od 20. svibnja 2015. o sprečavanju korištenja financijskog sustava u svrhu pranja novca ili financiranja terorizma, o izmjeni Uredbe (EU) br. 648/2012 Europskog parlamenta i Vijeća te o stavljanju izvan snage Direktive 2005/60/EZ Europskog parlamenta i Vijeća i Direktive Komisije 2006/70/EZ (SL L 141, 5.6.2015., str. 73.).

(18) Direktiva (EU) 2019/882 Europskog parlamenta i Vijeća od 17. travnja 2019. o zahtjevima za pristupačnost proizvoda i usluga (SL L 151, 7.6.2019., str. 70.).

(19) Direktiva 2001/29/EZ Europskog parlamenta i Vijeća od 22. svibnja 2001. o usklađivanju određenih aspekata autorskog i srodnih prava u informacijskom društvu (SL L 167, 22.6.2001., str. 10.).

(20) Direktiva 2004/48/EZ Europskog parlamenta i Vijeća od 29. travnja 2004. o provedbi prava intelektualnog vlasništva (SL L 157, 30.4.2004., str. 45.).

(21) Direktiva (EU) 2019/790 Europskog parlamenta i Vijeća od 17. travnja 2019. o autorskom i srodnim pravima na jedinstvenom digitalnom tržištu i izmjeni direktiva 96/9/EZ i 2001/29/EZ (SL L 130, 17.5.2019., str. 92.).

(22) Uredba (EU) 2022/868 Europskog parlamenta i Vijeća od 30. svibnja 2022. o europskom upravljanju podacima i izmjeni Uredbe (EU) 2018/1724 (Akt o upravljanju podacima) (SL L 152, 3.6.2022., str. 1.).

(23) Direktiva (EU) 2016/943 Europskog parlamenta i Vijeća od 8. lipnja 2016. o zaštiti neotkrivenih znanja i iskustva te poslovnih informacija (poslovne tajne) od nezakonitog pribavljanja, korištenja i otkrivanja (SL L 157, 15.6.2016., str. 1.).

(24) Direktiva 98/6/EZ Europskog parlamenta i Vijeća od 16. veljače 1998. o zaštiti potrošača prilikom isticanja cijena proizvoda ponuđenih potrošačima (SL L 80, 18.3.1998., str. 27.).

(25) Direktiva 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini) (SL L 178, 17.7.2000., str. 1.).

(26) Uredba (EU) 2022/1925 Europskog parlamenta i Vijeća od 14. rujna 2022. o pravednim tržištima s mogućnošću neograničenog tržišnog natjecanja u digitalnom sektoru i izmjeni direktiva (EU) 2019/1937 i (EU) 2020/1828 (Akt o digitalnim tržištima) (SL L 265, 12.10.2022., str. 1.).

(27) Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju Odbora za statistički program Europskih zajednica (SL L 87, 31.3.2009., str. 164.).

(28) Direktiva (EU) 2019/1024 Europskog parlamenta i Vijeća od 20. lipnja 2019. o otvorenim podatcima i ponovnoj uporabi informacija javnog sektora (SL L 172, 26.6.2019., str. 56.).

(29) Direktiva 96/9/EZ Europskog parlamenta i Vijeća od 11. ožujka 1996. o pravnoj zaštiti baza podataka (SL L 77, 27.3.1996., str. 20.).

(30) Uredba (EU) 2018/1807 Europskog parlamenta i Vijeća od 14. studenoga 2018. o okviru za slobodan protok neosobnih podataka u Europskoj uniji (SL L 303, 28.11.2018., str. 59.).

(31) Direktiva (EU) 2019/770 Europskog parlamenta i Vijeća od 20. svibnja 2019. o određenim aspektima ugovora o isporuci digitalnog sadržaja i digitalnih usluga (SL L 136, 22.5.2019., str. 1.).

(32) Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1.).

(33) Uredba (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012. o europskoj normizaciji, o izmjeni direktiva Vijeća 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (SL L 316, 14.11.2012., str. 12.).

(34) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).

(35) Odluka br. 768/2008/EZ Europskog parlamenta i Vijeća od 9. srpnja 2008. o zajedničkom okviru za stavljanje na tržište proizvoda i o stavljanju izvan snage Odluke Vijeća 93/465/EEZ (SL L 218, 13.8.2008., str. 82.).

(36) Uredba (EU) 2017/2394 Europskog parlamenta i Vijeća od 12. prosinca 2017. o suradnji između nacionalnih tijela odgovornih za izvršavanje propisâ o zaštiti potrošača i o stavljanju izvan snage Uredbe (EZ) br. 2006/2004 (SL L 345, 27.12.2017., str. 1.).

(37) Direktiva (EU) 2020/1828 Europskog parlamenta i Vijeća od 25. studenoga 2020. o predstavničkim tužbama za zaštitu kolektivnih interesa potrošačâ i stavljanju izvan snage Direktive 2009/22/EZ (SL L 409, 4.12.2020., str. 1.).

(38) SL L 123, 12.5.2016., str. 1.

(39) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0847 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 HR

Data Act 2023/2854 HR