Data Act 2023/2854 HR

(c)	stavljanju podataka na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci i tijelima Unije, ako postoji iznimna potreba za tim podacima radi obavljanja specifične zadaće koja se obavlja u javnom interesu, od strane imateljâ podataka;

(d)	olakšavanju promjene usluga obrade podataka;

(e)	uvođenju zaštitnih mjera protiv nezakonitog pristupa trećih strana neosobnim podacima; i

(f)	razvoju standarda interoperabilnosti za pristup podacima, prijenos podataka i uporabu podataka.

2. Ovom Uredbom obuhvaćeni su osobni i neosobni podaci, uključujući sljedeće vrste podataka, u sljedećim kontekstima:

(a)	poglavlje II. primjenjuje se na podatke, uz iznimku sadržaja, koji se odnose na učinkovitost, uporabu i okruženje povezanih proizvoda i povezanih usluga;

(b)	poglavlje III. primjenjuje se na sve podatke privatnog sektora koji podliježu zakonskim obvezama dijeljenja podataka;

(c)	poglavlje IV. primjenjuje se na sve podatke privatnog sektora kojima se pristupa i koji se upotrebljavaju na temelju ugovora među poduzećima;

(d)	poglavlje V. primjenjuje se na sve podatke privatnog sektora s naglaskom na neosobne podatke;

(e)	poglavlje VI. primjenjuje se na sve podatke i usluge koje obrađuju pružatelji usluga obrade podataka;

(f)	poglavlje VII. primjenjuje se na sve neosobne podatke koje pružatelji usluga obrade podataka čuvaju u Uniji.

3. Ova se Uredba primjenjuje na:

(a)	proizvođače povezanih proizvoda stavljenih na tržište u Uniji i pružatelje povezanih usluga, neovisno o mjestu poslovnog nastana tih proizvođača i pružatelja usluga;

(b)	korisnike, u Uniji, povezanih proizvoda ili povezanih usluga kako su navedeni u točki (a);

(c)	imatelje podataka, neovisno o njihovu mjestu poslovnog nastana, koji podatke stavljaju na raspolaganje primateljima podataka u Uniji;

(d)	primatelje podataka u Uniji kojima se podaci stavljaju na raspolaganje;

(e)

tijela javnog sektora, Komisiju, Europsku središnju banku i tijela Unije, koji od imatelja podataka zahtijevaju da stave podatke na raspolaganje ako postoji iznimna potreba za tim podacima radi izvršavanja specifične zadaće koja se obavlja u javnom interesu i na imatelje podataka koji te podatke dostavljaju kao odgovor na takav zahtjev;

(f)	pružatelje usluga obrade podataka, neovisno o njihovu mjestu poslovnog nastana, koji pružaju takve usluge klijentima u Uniji;

(g)	sudionike u podatkovnim prostorima i prodavatelje aplikacija koje se koriste pametnim ugovorima i osobe čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršenja sporazuma.

4. Ako se u ovoj Uredbi upućuje na povezane proizvode ili povezane usluge, smatra se da takva upućivanja uključuju i virtualne asistente ako su u oni interakciji s povezanim proizvodom ili povezanom uslugom.

5. Ovom se Uredbom ne dovodi u pitanje pravo Unije i nacionalno pravo o zaštiti osobnih podataka, privatnosti i povjerljivosti komunikacija i cjelovitosti terminalne opreme koje se primjenjuje na osobne podatke koji se obrađuju u vezi s pravima i obvezama utvrđenima u njoj, osobito uredbe (EU) 2016/679 i (EU) 2018/1725 te Direktiva 2002/58/EZ, uključujući ovlasti i nadležnosti nadzornih tijela te prava ispitanika. U mjeri u kojoj su korisnici ispitanici, pravima utvrđenima u poglavlju II. ove Uredbe dopunjuju se prava ispitanikâ na pristup i prava na prenosivost podataka iz članka 15., odnosno članka 20. Uredbe (EU) 2016/679. U slučaju proturječnosti između ove Uredbe i prava Unije o zaštiti osobnih podataka ili privatnosti, ili nacionalnog zakonodavstva donesenog u skladu s takvim pravom Unije, prednost ima relevantno pravo Unije ili nacionalno pravo o zaštiti osobnih podataka ili privatnosti.

6. Ova se Uredba ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka između privatnih i javnih subjekata niti ih dovodi u pitanje, a osobito se ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka.

Ova Uredba ne utječe na pravne akte Unije ili nacionalne pravne akte kojima se predviđa dijeljenje podataka, pristup podacima i njihova uporaba u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija ili pak u carinske ili porezne svrhe, osobito na uredbe (EU) 2021/784, (EU) 2022/2065 i (EU) 2023/1543 te Direktivu (EU) 2023/1544 ili međunarodnu suradnju u tom području. Ova se Uredba ne primjenjuje na prikupljanje ili dijeljenje podataka, pristup podacima ili uporabu podataka na temelju Uredbe (EU) 2015/847 i Direktive (EU) 2015/849. Ova se Uredba ne primjenjuje u područjima koja nisu obuhvaćena pravom Unije te u svakom slučaju ne utječe na nadležnosti država članica u pogledu javne sigurnosti, obrane ili nacionalne sigurnosti, neovisno o vrsti subjekta kojem su države članice povjerile obavljanje zadaća u vezi s tim nadležnostima, ili njihovu ovlast za zaštitu drugih ključnih državnih funkcija, uključujući osiguranje teritorijalne cjelovitosti države i očuvanje javnog poretka. Ova Uredba ne utječe na nadležnosti država članica u pogledu carina i porezne uprave ili zdravlja i sigurnosti građana.

7. Ovom se Uredbom dopunjuje samoregulatorni pristup iz Uredbe (EU) 2018/1807 dodavanjem opće primjenjivih obveza u pogledu promjene pružatelja usluga u oblaku.

8. Ovom se Uredbom ne dovode u pitanje pravni akti Unije i nacionalni pravni akti kojima se predviđa zaštita prava intelektualnog vlasništva, posebno direktive 2001/29/EZ, 2004/48/EZ i (EU) 2019/790.

9. Ovom se Uredbom dopunjuje i ne dovodi u pitanje pravo Unije čiji je cilj promicanje interesa potrošača i osiguravanje visoke razine zaštite potrošača i zaštita njihova zdravlja, sigurnosti i gospodarskih interesa, posebno direktive 93/13/EEZ, 2005/29/EZ i 2011/83/EU.

10. Ovom se Uredbom ne isključuje sklapanje dobrovoljnih zakonitih ugovora o dijeljenju podataka, uključujući ugovore sklopljene na recipročnoj osnovi, koji su u skladu sa zahtjevima utvrđenima u ovoj Uredbi.

Članak 2.

Definicije

Za potrebe ove Uredbe, primjenjuju se sljedeće definicije:

1.	„podaci” znači svaki digitalni prikaz akata, činjenica ili informacija i svaka kompilacija tih akata, činjenica ili informacija, među ostalim u obliku zvučnog, vizualnog ili audiovizualnog zapisa;

2.	„metapodaci” znači strukturiran opis sadržaja ili uporabe podataka kojim se olakšavaju pronalaženje i uporaba tih podataka;

3.	„osobni podaci” znači osobni podaci kako su definirani u članku 4. točki 1. Uredbe (EU) 2016/679;

4.	„neosobni podaci” znači podaci koji nisu osobni podaci;

„povezani proizvod” znači predmet koji pribavlja, generira ili prikuplja podatke koji se odnose na njegovu uporabu ili okruženje, koji može prenositi podatke proizvoda putem elektroničke komunikacijske usluge, fizičke veze ili pristupa na uređaju i čija glavna funkcija nisu pohrana, obrada ili prijenos podataka u ime bilo koje strane koja nije korisnik;

„povezana usluga” znači digitalna usluga, osim elektroničke komunikacijske usluge, uključujući softver, koja je povezana s proizvodom u trenutku kupnje, najma ili leasinga na takav način da bi njezina odsutnost spriječila povezani proizvod u izvršavanju jedne ili više njegovih funkcija ili koju proizvođač ili treća strana naknadno povezuju s proizvodom radi proširivanja, ažuriranja ili prilagođavanja funkcija povezanog proizvoda;

„obrada” znači svaki postupak ili niz postupaka koji se obavljaju na podacima ili skupovima podataka, bilo automatiziranim ili neautomatiziranim sredstvima, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, dohvat, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

„usluga obrade podataka” znači digitalna usluga koja se pruža klijentu i kojom se omogućuje sveprisutan mrežni pristup na zahtjev zajedničkom skupu konfigurabilnih, nadogradivih i elastičnih računalnih resursa centralizirane, distribuirane ili visoko distribuirane prirode koja se može brzo osigurati i isporučiti uz minimalan napor upravljanja ili minimalnu interakciju pružatelja usluga;

9.	„usluga iste vrste” znači skup usluga obrade podataka koje imaju isti glavni cilj, isti model usluge obrade podataka i iste glavne funkcionalnosti;

10.	„usluga podatkovnog posredovanja” znači usluga podatkovnog posredovanja kako je definirana u članku 2. točki 11. Uredbe (EU) 2022/868;

11.	„ispitanik” znači ispitanik kako je navedeno u članku 4. točki 1. Uredbe (EU) 2016/679;

12.	„korisnik” znači fizička ili pravna osoba koja je vlasnik povezanog proizvoda ili na koju su u okviru ugovora prenesena privremena prava na uporabu tog povezanog proizvoda ili koja prima povezane usluge;

13.

„imatelj podataka” znači fizička ili pravna osoba koja ima pravo ili obvezu, u skladu s ovom Uredbom, primjenjivim pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije, upotrebljavati ili stavljati na raspolaganje podatke, uključujući, ako je to dogovoreno ugovorom, podatke proizvoda ili podatke o povezanim uslugama koje je dohvatila ili generirala tijekom pružanja povezane usluge;

14.

„primatelj podataka” znači fizička ili pravna osoba koja djeluje u svrhe povezane sa svojom trgovačkom, poslovnom, obrtničkom ili profesionalnom djelatnošću, osim korisnika povezanog proizvoda ili povezane usluge, kojoj imatelj podataka stavlja na raspolaganje podatke, uključujući treću stranu slijedom zahtjeva korisnika upućenog imatelju podataka ili u skladu s pravnom obvezom na temelju prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije;

15.	„podaci proizvoda” znači podaci generirani uporabom povezanog proizvoda koje je proizvođač dizajnirao tako da ih korisnik, imatelj podataka ili treća strana, uključujući, ako je to relevantno, proizvođač, mogu dohvatiti putem elektroničke komunikacijske usluge, fizičke veze ili pristupa na uređaju;

16.	„podaci o povezanim uslugama” znači podaci koji predstavljaju digitalizaciju korisničkih radnji ili događaja koji se odnose na povezani proizvod, koje je korisnik zabilježio namjerno ili koji su generirani kao nusproizvod djelovanja korisnika tijekom pružanja povezane usluge od strane pružatelja;

17.	„lako dostupni podaci” znači podaci proizvoda i podaci o povezanim uslugama koje imatelj podataka zakonito pribavi ili može zakonito pribaviti iz povezanog proizvoda ili povezane usluge, bez nerazmjernog napora koji nadilazi jednostavnu radnju;

18.	„poslovna tajna” znači poslovna tajna kako je definirana u članku 2. točki 1. Uredbe (EU) 2016/943;

19.	„nositelj poslovne tajne” znači nositelj poslovne tajne kako je definiran u članku 2. točki 2. Uredbe (EU) 2016/943;

20.	„izrada profila” znači izrada profila kako je definirana u članku 4. točki 4. Uredbe (EU) 2016/679;

21.	„stavljanje na raspolaganje na tržištu” znači svaka isporuka povezanog proizvoda za distribuciju, potrošnju ili uporabu na tržištu Unije u okviru trgovačke djelatnosti uz plaćanje ili besplatno;

22.	„stavljanje na tržište” znači prvo stavljanje povezanog proizvoda na raspolaganje na tržištu Unije;

23.	„potrošač” znači bilo koja fizička osoba koja djeluje u svrhe koje su izvan okvira njezine trgovačke, poslovne, obrtničke ili profesionalne djelatnosti;

24.	„poduzeće” znači fizička ili pravna osoba koja u vezi s ugovorima i praksama obuhvaćenima ovom Uredbom djeluje u svrhe povezane sa svojom trgovačkom, poslovnom, obrtničkom ili profesionalnom djelatnošću;

25.	„malo poduzeće” znači malo poduzeće kako je definirano u članku 2. stavku 2. Priloga Preporuci 2003/361/EZ;

26.	„mikropoduzeće” znači mikropoduzeće kako je definirano u članku 2. stavku 3. Priloga Preporuci 2003/361/EZ;

27.	„tijela Unije” znači tijela, uredi i agencije Unije osnovani aktima donesenima na temelju Ugovora o Europskoj uniji, UFEU-a ili Ugovora o osnivanju Europske zajednice za atomsku energiju odnosno na temelju tih akata;

28.	„tijelo javnog sektora” znači nacionalna, regionalna ili lokalna tijela država članica i javnopravna tijela država članica ili udruženja koja je osnovalo jedno takvo tijelo ili više njih ili jedno takvo tijelo javnog sektora ili više njih;

29.

„izvanredno stanje” znači iznimna situacija, vremenski ograničena, kao što su izvanredno stanje u području javnog zdravlja, izvanredno stanje koje proizlazi iz prirodnih katastrofa, katastrofa velikih razmjera uzrokovana ljudskim djelovanjem, uključujući veliki kibernetički sigurnosni incident, koja negativno utječe na stanovništvo Unije, ili državu članicu ili njezin dio, uz opasnost od teških i trajnih posljedica na životne uvjete ili gospodarsku stabilnost, financijsku stabilnost ili od znatne i brze degradacije gospodarske imovine u Uniji ili dotičnoj državi članici, a utvrđuje se i službeno proglašava u skladu s relevantnim postupcima na temelju prava Unije ili nacionalnog prava;

30.	„klijent” znači fizička ili pravna osoba koja je stupila u ugovorni odnos s pružateljem usluga obrade podataka s ciljem korištenja jednom ili više uslugom obrade podataka;

31.	„virtualni asistenti” znači softver koji može obrađivati naloge, zadaće ili pitanja, uključujući one koji se temelje na zvučnim i pisanim unosima, gestama ili pokretima te koji na temelju tih naloga, zadaća ili pitanja pruža pristup ostalim uslugama ili upravlja funkcijama povezanih proizvoda;

32.	„digitalni resursi” znači elementi u digitalnom obliku, uključujući aplikacije, za koje klijent ima pravo uporabe, neovisno o ugovornom odnosu s uslugom obrade podataka koju namjerava promijeniti;

33.	„lokalna infrastruktura IKT-a” znači infrastruktura IKT-a i računalni resursi koji su u vlasništvu klijenta, koje je klijent unajmio ili uzeo u leasing, a nalaze se u podatkovnom centru samog klijenta te njima upravlja klijent ili treća strana;

34.

„promjena” znači proces koji uključuje izvornog pružatelja usluga obrade podataka, klijenta usluge obrade podataka i, ako je to relevantno, odredišnog pružatelja usluga obrade podataka, u kojem klijent usluge obrade podataka prelazi s korištenja jednom uslugom obrade podataka na drugu uslugu iste vrste ili na drugu uslugu koju nudi drugi pružatelj usluga obrade podataka ili na lokalnu infrastrukturu IKT-a, među ostalim izdvajanjem, pretvaranjem i učitavanjem podataka;

35.	„naknade za izlaz podataka” znači naknade za prijenos podataka koje se naplaćuju klijentima za izdvajanje njihovih podataka putem mreže iz infrastrukture IKT-a pružatelja usluga obrade podataka u sustav drugog pružatelja ili u lokalnu infrastrukturu IKT-a;

36.

„naknade za promjenu” znači naknade, osim standardnih naknada za usluge ili sankcija za prijevremeni raskid ugovora, koje pružatelj usluga obrade podataka nameće klijentu za radnje propisane ovom Uredbom za promjenu, tj. prebacivanje na sustav drugog pružatelja usluga ili na lokalnu infrastrukturu IKT-a, uključujući naknade za izlaz podataka;

37.

„funkcionalna ekvivalentnost” znači ponovna uspostava, na temelju klijentovih podataka koji se mogu izvesti i klijentovih digitalnih resursa, minimalne razine funkcionalnosti u okruženju nove usluge obrade podataka iste vrste usluge nakon procesa promjene, ako odredišna usluga obrade podataka daje materijalno usporediv rezultat kao odgovor na isti ulazni podatak za zajedničke značajke isporučene klijentu na temelju ugovora;

38.

„podaci koji se mogu izvesti” za potrebe članaka od 23. do 31. i članka 35. znači ulazni podaci i izlazni podaci, uključujući metapodatke, koji su izravno ili neizravno generirani ili su zajednički generirani, klijentovim korištenjem uslugom obrade podataka, isključujući imovinu ili podatke pružateljâ usluga obrade podataka odnosno imovinu ili podatke trećih strana, koji su zaštićeni pravima intelektualnog vlasništva ili koji čine poslovne tajne;

39.	„pametni ugovor” znači računalni program koji se upotrebljava za automatizirano izvršenje sporazuma ili njegova dijela, pri čemu se upotrebljava slijed elektroničkih zapisa podataka i osigurava njihova cjelovitost i točnost kronološkog redoslijeda;

40.	„interoperabilnost” znači sposobnost dvaju ili više podatkovnih prostora ili komunikacijskih mreža, sustava, povezanih proizvoda, aplikacija ili komponenata da razmjenjuju i upotrebljavaju podatke radi obavljanja svojih funkcija;

41.	„otvorena specifikacija interoperabilnosti” znači tehnička specifikacija u području informacijske i komunikacijske tehnologije usmjerena na postizanje interoperabilnosti među uslugama obrade podataka;

42.	„zajedničke specifikacije” znači dokument koji nije norma, koji sadržava tehnička rješenja koja služe kao sredstvo za ispunjavanje određenih zahtjeva i obveza utvrđenih u okviru ove Uredbe;

43.	„usklađena norma” znači usklađena norma kako je definirana u članku 2. točki 1. podtočki (c) Uredbe (EU) br. 1025/2012;

POGLAVLJE II.

DIJELJENJE PODATAKA IZMEĐU PODUZEĆA I POTROŠAČA TE MEĐU PODUZEĆIMA

Članak 3.

Obveza osiguravanja pristupa korisniku podacima proizvoda i podacima o povezanim uslugama

1. Povezani proizvodi osmišljavaju se i proizvode, a povezane usluge osmišljavaju se i pružaju tako da su podaci proizvoda i podaci o povezanim uslugama, uključujući relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, dostupni korisniku automatski, na jednostavan i siguran način, besplatno, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu, te da su mu, ako je to relevantno i tehnički izvedivo, izravno dostupni.

2. Prije sklapanja ugovora o kupoprodaji, najmu ili leasingu povezanog proizvoda, prodavatelj, najmodavac ili davatelj leasinga, koji mogu biti proizvođač, pruža korisniku barem informacije o sljedećem, na jasan i razumljiv način:

(a)	vrsti, formatu i procijenjenoj količini podataka proizvoda koje povezani proizvod može generirati;

(b)	može li povezani proizvod generirati podatke kontinuirano i u stvarnom vremenu;

(c)	može li povezani proizvod pohranjivati podatke na uređaju ili na udaljenom poslužitelju, uključujući, ako je to primjenjivo, predviđeno trajanje zadržavanja;

(d)	načinu na koji korisnik može pristupiti podacima, dohvatiti podatke ili ih, ako je to relevantno, obrisati, uključujući tehnička sredstva s pomoću kojih se to može učiniti kao i njihove uvjete za uporabu i kvalitetu usluge.

3. Prije sklapanja ugovora o pružanju povezane usluge pružatelj takve povezane usluge pruža korisniku barem informacije o sljedećem, na jasan i razumljiv način:

(a)

prirodi, procijenjenoj količini i učestalosti prikupljanja podataka proizvoda za koje se očekuje da će ih potencijalni imatelj podataka pribaviti i, ako je to relevantno, aranžmanima za pristup korisnika takvim podacima ili dohvaćanje takvih podataka, među ostalim i aranžmanima za pohranu potencijalnog imatelja podataka i trajanju zadržavanja podataka;

(b)	prirodi i procijenjenoj količini podataka o povezanim uslugama koje je potrebno generirati i aranžmanima za pristup korisnika takvim podacima ili dohvaćanje takvih podataka, među ostalim i aranžmanima za pohranu potencijalnog imatelja podataka i trajanju zadržavanja podataka;

(c)	tome očekuje li potencijalni imatelj podataka da će on sam upotrebljavati lako dostupne podatke i o svrhama u koje se ti podaci moraju upotrebljavati te o tome namjerava li dopustiti jednoj ili više trećih strana da upotrebljavaju podatke u svrhe dogovorene s korisnikom;

(d)	identitetu potencijalnog imatelja podataka, kao što su njegov trgovački naziv i geografska adresa na kojoj ima poslovni nastan, i, ako je to primjenjivo, drugih strana koje obrađuju podatke;

(e)	sredstvima komunikacije kojima se omogućuju brzo stupanje u kontakt s potencijalnim imateljem podataka i učinkovita komunikacija s njim;

(f)	načinu na koji korisnik može zatražiti da se podaci dijele s trećom stranom, i ako je to primjenjivo, da se obustavi dijeljenje podataka;

(g)	pravu korisnika da nadležnom tijelu imenovanom u skladu s člankom 37. podnese pritužbu zbog navodne povrede bilo koje od odredbi ovog poglavlja;

(h)	tome je li potencijalni imatelj podataka nositelj poslovnih tajni sadržanih u podacima kojima se može pristupiti preko povezanog proizvoda ili koji su generirani tijekom pružanja povezane usluge i, ako potencijalni imatelj podataka nije nositelj poslovne tajne, identitet nositelja poslovne tajne;

(i)	trajanju ugovora između korisnika i potencijalnog imatelja podataka te aranžmanima za raskid takvog ugovora.

Članak 6.

Obveze trećih strana koje primaju podatke na zahtjev korisnika

1. Treća strana obrađuje podatke koji su joj stavljeni na raspolaganje na temelju članka 5. samo u svrhe i pod uvjetima dogovorenima s korisnikom i podložno pravu Unije o zaštiti osobnih podataka i nacionalnom pravu o zaštiti osobnih podataka, uključujući prava ispitanika u mjeri u kojoj se to odnosi na osobne podatke. Treća strana briše podatke kad više nisu potrebni za dogovorenu svrhu, osim ako je drukčije dogovoreno s korisnikom u vezi s neosobnim podacima.

2. Treća strana ne smije:

(a)

neopravdano otežavati ostvarivanje izborâ ili pravâ korisnika na temelju članka 5. i ovog članka, među ostalim i nuđenjem izborâ korisniku na način koji nije neutralan, ili prisiljavanjem korisnika, zavaravanjem korisnika ili manipuliranjem korisnikom, ili potkopavanjem ili narušavanjem autonomije, odlučivanja ili izborâ korisnika, među ostalim uz pomoć korisničkog digitalnog sučelja ili njegova dijela;

(b)	neovisno o članku 22. stavku 2. točkama (a) i (c) Uredbe (EU) 2016/679, upotrebljavati podatke koje primi za izradu profila, osim ako je to potrebno za pružanje usluge koju je zatražio korisnik;

(c)

stavljati podatke koje primi na raspolaganje drugoj trećoj strani, osim ako se podaci stavljaju na raspolaganje na temelju ugovora s korisnikom i pod uvjetom da druga treća strana poduzme sve potrebne mjere dogovorene između imatelja podataka i treće strane kako bi se očuvala povjerljivost poslovnih tajni;

(d)	stavljati podatke koje primi na raspolaganje poduzetniku za kojeg je utvrđen status nadzornika pristupa u skladu s člankom 3. Uredbe (EU) 2022/1925;

(e)

upotrebljavati podatke koje primi za razvoj proizvoda koji je u konkurenciji s povezanim proizvodom iz kojeg potječu podaci kojima je pristupljeno ili ih dijeliti s drugom trećom stranom u tu svrhu; treće strane također ne smiju upotrebljavati neosobne podatke proizvoda ili neosobne podatke o povezanim uslugama koji su im stavljeni na raspolaganje kako bi stekle uvid u gospodarsko stanje, imovinu i proizvodne metode imatelja podataka ili uporabu od strane imatelja podataka;

(f)	upotrebljavati podatke koje primi na način koji negativno utječe na sigurnost povezanog proizvoda ili povezane usluge;

(g)	zanemariti posebne mjere dogovorene s imateljem podataka ili nositeljem poslovnih tajni u skladu s člankom 5. stavkom 9. i ugroziti povjerljivost poslovnih tajni;

(h)	sprečavati korisnika koji je potrošač, među ostalim i na temelju ugovora, da podatke koje primi stavi na raspolaganje drugim stranama.

Članak 8.

Uvjeti pod kojima imatelji podataka stavljaju podatke na raspolaganje primateljima podataka

1. Ako je, u odnosima među poduzećima, imatelj podataka obvezan staviti podatke na raspolaganje primatelju podataka u skladu s člankom 5. ili u skladu s drugim primjenjivim pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije, s primateljem podataka dogovara aranžmane za stavljanje podataka na raspolaganje i to čini pod poštenim, razumnim i nediskriminirajućim uvjetima te na transparentan način u skladu s ovim poglavljem i poglavljem IV.

2. Ugovorna odredba koja se odnosi na pristup podacima i njihovu uporabu ili na odgovornosti i pravna sredstva u slučaju kršenja ili okončanja obveza povezanih s podacima nije obvezujuća ako čini nepoštenu ugovornu odredbu u smislu članka 13. ili ako se njome, na štetu korisnika, isključuje primjena prava korisnika iz poglavlja II., odstupa od tih prava ili mijenja njihov učinak.

3. Imatelj podataka pri stavljanju podataka na raspolaganje ne smije, u pogledu aranžmana za stavljanje podataka na raspolaganje, diskriminirati usporedive kategorije primatelja podataka, uključujući partnerska poduzeća ili povezana poduzeća imatelja podataka. Ako primatelj podataka smatra da su uvjeti pod kojima su mu podaci stavljeni na raspolaganje diskriminirajući, imatelj podataka bez nepotrebne odgode primatelju podataka na temelju njegova obrazloženog zahtjeva pruža informacije iz kojih je vidljivo da nije bilo diskriminacije.

4. Imatelj podataka ne smije stavljati podatke na raspolaganje primatelju podataka, među ostalim ni na isključivoj osnovi, osim ako to od njega zatraži korisnik u skladu s poglavljem II.

5. Imatelji podataka i primatelji podataka nisu obvezni pružiti nikakve informacije osim onih koje su potrebne za provjeru usklađenosti s dogovorenim ugovornim odredbama za stavljanje podataka na raspolaganje ili s njihovim obvezama na temelju ove Uredbe ili drugog primjenjivog prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije.

6. Osim ako je drukčije predviđeno u pravu Unije, uključujući članak 4. stavak 6. i članak 5. stavak 9. ove Uredbe, ili u nacionalnom zakonodavstvu donesenom u skladu s pravom Unije, obvezom stavljanja podataka na raspolaganje primatelju podataka ne obvezuje se na otkrivanje poslovnih tajni.

Članak 9.

Naknada za stavljanje podataka na raspolaganje

1. Naknada za stavljanje podataka na raspolaganje u odnosima među poduzećima o kojoj su se dogovorili imatelj podataka i primatelj podataka mora biti nediskriminirajuća i razumna i može uključivati maržu.

2. Kada se dogovaraju o naknadi imatelj podataka i primatelj podataka posebno uzimaju u obzir:

(a)	troškove nastale pri stavljanju podataka na raspolaganje, uključujući posebno troškove potrebne za formatiranje podataka, širenje podataka elektroničkim putem i njihovu pohranu;

(b)	ulaganja u prikupljanje i izradu podataka, ako je to primjenjivo, uzimajući u obzir jesu li druge strane doprinijele pribavljanju, generiranju ili prikupljanju dotičnih podataka.

3. Naknada iz stavka 1. može također ovisiti o količini, formatu i prirodi podataka.

4. Ako je primatelj podataka MSP ili neprofitna istraživačka organizacija i ako takav primatelj podataka nema partnerska poduzeća ili povezana poduzeća koja se ne smatraju MSP-ovima, dogovorena naknada ne smije premašiti troškove iz stavka 2. točke (a).

5. Komisija donosi smjernice za izračun razumne naknade, uzimajući u obzir savjete Europskog odbora za inovacije u području podataka (EDIB) iz članka 42.

6. Ovim se člankom ne sprečava da se drugim pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije isključi naknada za stavljanje podataka na raspolaganje ili predvidi niža naknada.

7. Imatelj podataka primatelju podataka pruža informacije u kojima se osnova za izračun naknade navodi dovoljno detaljno kako bi primatelj podataka mogao procijeniti jesu li ispunjeni zahtjevi iz stavaka od 1. do 4.

Članak 10.

Rješavanje sporova

1. Korisnici, imatelji podataka i primatelji podataka imaju pristup tijelu za rješavanje sporova koje je certificirano u skladu sa stavkom 5. ovog članka radi rješavanja sporova u skladu s člankom 4. stavcima 3. i 9. i člankom 5. stavkom 12. kao i sporova povezanih s poštenim, razumnim i nediskriminirajućim uvjetima za stavljanje podataka na raspolaganje i transparentnim načinom stavljanja podataka na raspolaganje u skladu s ovim poglavljem i poglavljem IV.

2. Tijela za rješavanje sporova obavješćuju dotične strane o naknadama ili mehanizmima za određivanje naknada prije nego što te strane zatraže donošenje odluke.

3. Za sporove upućene tijelu za rješavanje sporova u skladu s člankom 4. stavcima 3. i 9. i člankom 5. stavkom 12., ako tijelo za rješavanje sporova spor riješi u korist korisnika ili primatelja podataka, imatelj podataka snosi sve naknade koje naplaćuje tijelo za rješavanje sporova i nadoknađuje tom korisniku ili tom primatelju podataka sve ostale razumne troškove koji su mu nastali u vezi s rješavanjem spora. Ako tijelo za rješavanje sporova spor riješi u korist imatelja podataka, korisnik ili primatelj podataka nije obvezan nadoknaditi naknade ili ostale troškove koje je imatelj podataka platio ili mora platiti u vezi s rješavanjem spora, osim ako tijelo za rješavanje sporova utvrdi da je korisnik ili primatelj podataka očito postupao u zloj vjeri.

4. Klijenti i pružatelji usluga obrade podataka imaju pristup tijelu za rješavanje sporova koje je certificirano u skladu sa stavkom 5. ovog članka radi rješavanja sporova povezanih s kršenjem pravâ klijenata i obveza pružateljâ usluga obrade podataka u skladu s člancima od 23. do 31.

5. Država članica u kojoj je tijelo za rješavanje sporova uspostavljeno certificira to tijelo, na njegov zahtjev, ako je dokazalo da ispunjava sve sljedeće uvjete:

(a)	nepristrano je i neovisno te odluke mora donositi u skladu s jasnim, nediskriminirajućim i pravednim poslovnikom;

(b)	ima potrebno stručno znanje, posebno u vezi s poštenim, razumnim i nediskriminirajućim uvjetima, uključujući naknadu, te u vezi sa stavljanjem podataka na raspolaganje na transparentan način, koje tom tijelu omogućuje da djelotvorno utvrdi te uvjete;

(c)	lako je dostupno s pomoću elektroničke komunikacijske tehnologije;

(d)	sposobno je donositi svoje odluke brzo, djelotvorno i troškovno učinkovito, na najmanje jednom službenom jeziku Unije.

6. Države članice obavješćuju Komisiju o tijelima za rješavanje sporova koja su certificirana u skladu sa stavkom 5. Komisija objavljuje popis tih tijela na posebnim internetskim stranicama i ažurira ga.

7. Tijelo za rješavanje sporova odbija postupati po zahtjevu za rješavanje spora koji je već podnesen drugom tijelu za rješavanje sporova ili sudu države članice.

8. Tijelo za rješavanje sporova stranama pruža mogućnost da u razumnom roku iznesu svoja stajališta o pitanjima koja su podnijele tom tijelu. U tom kontekstu svakoj strani u sporu dostavljaju se podnesci druge strane u sporu i izjave stručnjaka. Stranama se pruža mogućnost da iznesu primjedbe na te podneske i izjave.

9. Tijelo za rješavanje sporova donosi svoju odluku o pitanju koje mu je upućeno u roku od 90 dana od primitka zahtjeva u skladu sa stavcima 1. i 4. Ta odluka mora biti u pisanom obliku ili mora biti zabilježena na trajnom nosaču podataka te mora biti potkrijepljena obrazloženjem.

10. Tijela za rješavanje sporova izrađuju i objavljuju godišnja izvješća o radu. Takva godišnja izvješća sadržavaju posebno sljedeće opće informacije:

(a)	objedinjene ishode sporova;

(b)	prosječno vrijeme potrebno za rješavanje sporova;

(c)	najčešće razloge za sporove.

11. Kako bi se olakšala razmjena informacija i najboljih praksi, tijelo za rješavanje sporova može odlučiti uključiti preporuke u izvješće iz stavka 10. o tome kako se problemi mogu izbjeći ili riješiti.

12. Odluka tijela za rješavanje sporova obvezujuća je za strane samo ako su izričito pristale na njezinu obvezujuću prirodu prije početka postupka rješavanja spora.

13. Ovaj članak ne utječe na pravo strana da zatraže djelotvoran pravni lijek pred sudom države članice.

Članak 11.

Mjere tehničke zaštite o neovlaštenoj uporabi ili otkrivanju podataka

1. Imatelj podataka može primijeniti primjerene mjere tehničke zaštite, uključujući pametne ugovore i šifriranje, kako bi spriječio neovlašten pristup podacima, uključujući metapodatke, i kako bi osigurao usklađenost s člancima 4., 5., 6., 8. i 9., kao i s dogovorenim ugovornim odredbama za stavljanje podataka na raspolaganje. Takvim mjerama tehničke zaštite ne smije se diskriminirati primatelje podataka niti se smije ugrožavati pravo korisnika na pribavljanje kopije podataka, dohvaćanje podataka, uporabu podataka ili pristup podacima, na pružanje podataka trećim stranama u skladu s člankom 5. ili bilo koje pravo treće strane u skladu s pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije. Korisnici, treće strane i primatelji podataka ne smiju izmijeniti niti ukloniti takve mjere tehničke zaštite osim ako je imatelj podataka za to dao suglasnost.

2. U okolnostima iz stavka 3. treća strana ili primatelj podataka bez nepotrebne odgode postupa u skladu sa zahtjevima imatelja podataka i, ako je to primjenjivo i ako nije riječ o istoj osobi, nositelja poslovne tajne ili korisnika:

(a)	za brisanje podataka koje je na raspolaganje stavio imatelj podataka i svih njihovih kopija;

(b)

za okončanje proizvodnje, nuđenja ili stavljanja na tržište ili uporabe robe, izvedenih podataka ili usluga, koji su proizvedeni na temelju znanja stečenog uporabom takvih podataka ili uvoza, izvoza ili pohrane robe kojom je počinjena povreda u te svrhe i uništavanje sve robe kojom je počinjena povreda ako postoji ozbiljan rizik da će nezakonita uporaba tih podataka prouzročiti znatnu štetu imatelju podataka, nositelju poslovne tajne ili korisniku ili ako takva mjera ne bi bila nerazmjerna s obzirom na interese imatelja podataka, nositelja poslovne tajne ili korisnika;

(c)	za obavješćivanje korisnika o neovlaštenoj uporabi ili otkrivanju podataka te o mjerama poduzetima kako bi se zaustavili neovlaštena uporaba ili otkrivanje podataka;

(d)	za nadoknadu strani koja je žrtva zlouporabe ili otkrivanja takvih podataka kojima je nezakonito pristupljeno ili koji su nezakonito upotrijebljeni.

3. Stavak 2. primjenjuje se ako je treća strana ili primatelj podataka:

(a)	za potrebe pribavljanja podataka pružio lažne informacije imatelju podataka, primijenio obmanjujuća sredstva ili sredstva prisile ili zloupotrijebio nedostatke u tehničkoj infrastrukturi imatelja podataka namijenjenoj zaštiti podataka;

(b)	u neovlaštene svrhe upotrijebio podatke koji su stavljeni na raspolaganje, uključujući razvoj konkurentnog povezanog proizvoda u smislu članka 6. stavka 2. točke (e);

(c)	nezakonito otkrio podatke drugoj strani;

(d)	nije održao tehničke i organizacijske mjere dogovorene u skladu s člankom 5. stavkom 9.; ili

(e)	izmijenio ili uklonio mjere tehničke zaštite koje primjenjuje imatelj podataka u skladu sa stavkom 1. ovog članka bez suglasnosti imatelja podataka.

4. Stavak 2. primjenjuje se i ako korisnik izmijeni ili ukloni mjere tehničke zaštite koje primjenjuje imatelj podataka ili ne održi tehničke i organizacijske mjere koje je korisnik poduzeo u dogovoru s imateljem podataka ili, ako nije riječ o istoj osobi, nositeljem poslovnih tajni, kako bi očuvao poslovne tajne, kao i u pogledu bilo koje druge strane koja prima podatke od korisnika slijedom povrede ove Uredbe.

5. Ako je primatelj podataka povrijedio članak 6. stavak 2. točku (a) ili točku (b), korisnici imaju ista prava kao i imatelji podataka u skladu sa stavkom 2. ovog članka.

Članak 15.

Iznimna potreba za uporabom podataka

1. Iznimna potreba za uporabom određenih podataka u smislu ovog poglavlja ograničena je u pogledu vremena i područja primjene te se smatra da postoji samo u nekoj od sljedećih okolnosti:

(a)	ako su traženi podaci potrebni kako bi se odgovorilo na izvanredno stanje, a tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije takve podatke ne može pravodobno i djelotvorno pribaviti na drugi način pod jednakim uvjetima;

(b)

u okolnostima koje nisu obuhvaćene točkom (a) i samo ako se to odnosi na neosobne podatke, pri čemu:

tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije djeluje na temelju prava Unije ili nacionalnog prava te je utvrdilo da ga nedostatak određenih podataka onemogućava u izvršavanju specifične zadaće koja se obavlja u javnom interesu, koja je izričito predviđena zakonom, kao što je izrada službene statistike ili ublažavanje izvanrednog stanja ili oporavak od izvanrednog stanja; i

ii.

tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije iscrpilo je sva ostala sredstva koja su mu na raspolaganju za pribavljanje takvih podataka, uključujući kupnju neosobnih podataka na tržištu po tržišnim cijenama ili oslanjanje na postojeće obveze stavljanja podataka na raspolaganje ili donošenje novih zakonodavnih mjera kojima se može osigurati pravodobna dostupnost podataka.

2. Stavak 1. točka (b) ne primjenjuje se na mikropoduzeća i mala poduzeća.

3. Obveza da tijelo javnog sektora dokaže da nije moglo pribaviti neosobne podatke kupnjom tih podataka na tržištu ne primjenjuje se ako je specifična zadaća koja se obavlja u javnom interesu izrada službene statistike i ako kupnja takvih podataka nije dopuštena nacionalnim pravom.

Članak 17.

Zahtjevi za stavljanje podataka na raspolaganje

1. Kad zahtijeva podatke na temelju članka 14., tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije:

(a)	navodi koji se podaci zahtijevaju, uključujući relevantne metapodatke potrebne za tumačenje i uporabu tih podataka;

(b)	dokazuje da su ispunjeni potrebni uvjeti za postojanje iznimne potrebe kako je navedeno u članku 15. u čiju su svrhu podaci zatraženi;

(c)	objašnjava svrhu zahtjeva, predviđenu uporabu traženih podataka, među ostalim, ako je to primjenjivo, upotrebljava li ih treća strana u skladu sa stavkom 4. ovog članka, trajanje te uporabe i, ako je to relevantno, način na koji se obradom osobnih podataka odgovara na iznimnu potrebu;

(d)	navodi, ako je moguće, kada se očekuje da će sve stranke koje imaju pristup podacima izbrisati podatke;

(e)	obrazlaže odabir imatelja podataka kojem je zahtjev upućen;

(f)	navodi sva druga tijela javnog sektora ili Komisiju, Europsku središnju banku ili tijela Unije i treće strane za koje se očekuje da se traženi podaci s njima dijele;

(g)	ako su zatraženi osobni podaci, navodi sve tehničke i organizacijske mjere koje su potrebne i razmjerne za provedbu načelâ zaštite podataka i potrebne zaštitne mjere, kao što je pseudonimizacija, te može li imatelj podataka primijeniti anonimizaciju prije stavljanja podataka na raspolaganje;

(h)	navodi pravnu odredbu kojom se tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije koji su podnijeli zahtjev dodjeljuje specifična zadaća koja se obavlja u javnom interesu, a koja je relevantna za zahtjev za podatke;

(i)	navodi rok do kojeg se podaci moraju staviti na raspolaganje i rok iz članka 18. stavka 2. do kojeg imatelj podataka može odbiti zahtjev ili zatražiti njegovu izmjenu;

(j)	ulaže maksimalne napore za izbjegavanje da ispunjavanje zahtjeva za podatke dovede do odgovornosti imatelja podataka za povredu prava Unije ili nacionalnog prava.

2. Zahtjev za podatke podnesen na temelju stavka 1. ovog članka:

(a)	podnosi se u pisanom obliku i sastavljen je na jasnom, jezgrovitom i jednostavnom jeziku razumljivom imatelju podataka;

(b)	precizan je u pogledu vrste traženih podataka i odgovara podacima nad kojima imatelj podataka ima kontrolu u trenutku podnošenja zahtjeva;

(c)	razmjeran je iznimnoj potrebi i propisno obrazložen s obzirom na granularnost i količinu traženih podataka te učestalost pristupa traženim podacima;

(d)	poštuje legitimne ciljeve imatelja podataka, uz preuzimanje obveze osiguravanja zaštite poslovnih tajni u skladu s člankom 19. stavkom 3., te uzimajući u obzir troškove i trud potrebne za stavljanje podataka na raspolaganje;

(e)

odnosi se na neosobne podatke, a samo ako se dokaže da to nije dovoljno da se odgovori na iznimnu potrebu za uporabom podataka, u skladu s člankom 15. stavkom 1. točkom (a), zahtijeva osobne podatke u pseudonimiziranom obliku te utvrđuje tehničke i organizacijske mjere koje se moraju poduzeti radi zaštite podataka;

(f)	obavješćuje imatelja podataka o sankcijama koje u skladu s člankom 40. izriče nadležno tijelo imenovano u skladu s člankom 37. u slučaju neispunjavanja zahtjeva;

(g)

ako je zahtjev podnijelo tijelo javnog sektora, dostavlja se koordinatoru podataka iz članka 37. države članice u kojoj je tijelo javnog sektora koje je podnijelo zahtjev osnovano, koji zahtjev objavljuje na internetu bez nepotrebne odgode osim ako koordinator podataka smatra da bi takva objava ugrozila javnu sigurnost;

(h)	ako je zahtjev podnijela Komisija, Europska središnja banka ili tijelo Unije, stavlja se na raspolaganje na internetu bez nepotrebne odgode;

(i)	ako su zatraženi osobni podaci, o tome se bez nepotrebne odgode obavješćuje nadzorno tijelo odgovorno za praćenje primjene Uredbe (EU) 2016/679 u državi članici u kojoj je tijelo javnog sektora osnovano.

Europska središnja banka i tijela Unije obavješćuju Komisiju o svojim zahtjevima.

3. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije podatke pribavljene na temelju ovog poglavlja ne stavlja na raspolaganje za ponovnu uporabu kako je definirana u članku 2. točki 2. Uredbe (EU) 2022/868 ili članku 2. točki 11. Direktive (EU) 2019/1024. Uredba (EU) 2022/868 i Direktiva (EU) 2019/1024 ne primjenjuju se na podatke u posjedu tijelâ javnog sektora pribavljene na temelju ovog poglavlja.

4. Stavkom 3. ovog članka ne sprečava se tijelo javnog sektora, Komisiju, Europsku središnju banku ili tijelo Unije da podatke pribavljene na temelju ovog poglavlja razmjenjuje s drugim tijelom javnog sektora ili Komisijom, Europskom središnjom bankom ili tijelom Unije radi obavljanja zadaća iz članka 15., kako je navedeno u zahtjevu u skladu sa stavkom 1. točkom (f) ovog članka, ili da podatke stavlja na raspolaganje trećoj strani ako su toj trećoj strani delegirali, u okviru javno dostupnog sporazuma, tehničke preglede ili druge funkcije. Obveze tijelâ javnog sektora u skladu s člankom 19., osobito zaštitne mjere za čuvanje povjerljivosti poslovnih tajni, primjenjuju se i na takve treće strane. Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije dostavlja ili stavlja na raspolaganje podatke na temelju ovog stavka, o tome bez nepotrebne odgode obavješćuje imatelja podataka od kojeg su podaci primljeni.

5. Ako imatelj podataka smatra da su njegova prava na temelju ovog poglavlja povrijeđena prijenosom podataka ili stavljanjem podataka na raspolaganje, može podnijeti pritužbu nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.

6. Komisija izrađuje predložak za zahtjeve na temelju ovog članka.

Članak 19.

Obveze tijelâ javnog sektora, Komisije, Europske središnje banke i tijelâ Unije

1. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije koje primi podatke u skladu sa zahtjevom podnesenim na temelju članka 14.:

(a)	ne smije upotrebljavati podatke na način koji nije u skladu sa svrhom u koju su podaci zatraženi;

(b)	moralo je provesti tehničke i organizacijske mjere kojima se čuvaju povjerljivost i cjelovitost traženih podataka i sigurnost prijenosâ podataka, osobito osobnih podataka, te zaštititi prava i slobode ispitanikâ;

(c)

mora izbrisati podatke čim više nisu potrebni za navedenu svrhu i bez nepotrebne odgode obavijestiti imatelja podataka te pojedince ili organizacije koji su primili podatke u skladu s člankom 21. stavkom 1. da su podaci izbrisani, osim ako se arhiviranje podataka zahtijeva u skladu s pravom Unije ili nacionalnim pravom o javnom pristupu dokumentima u kontekstu obveza u pogledu transparentnosti.

2. Tijelo javnog sektora, Komisija, Europska središnja banka, tijelo Unije ili treća strana koja primi podatke na temelju ovog poglavlja:

(a)	ne smije iskorištavati podatke ili uvid u ekonomsko stanje, imovinu i proizvodne ili operativne metode imatelja podataka za razvoj ili unapređenje povezanog proizvoda ili povezane usluge koji su u konkurenciji s povezanim proizvodom ili povezanom uslugom imatelja podataka;

(b)	ne smije dijeliti podatke s drugom trećom stranom u bilo koju od svrha iz točke (a).

3. Otkrivanje poslovnih tajni tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije zahtijeva se samo u mjeri u kojoj je to nužno za postizanje svrhe zahtjeva na temelju članka 15. U tom slučaju imatelj podataka ili, ako nije riječ o istoj osobi, nositelj poslovne tajne utvrđuje koji su podaci zaštićeni kao poslovne tajne, uključujući u relevantnim metapodacima. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije, prije otkrivanja poslovnih tajni, poduzimaju sve potrebne i primjerene tehničke i organizacijske mjere kako bi očuvali povjerljivost poslovnih tajni, što prema potrebi uključuje uporabu modela ugovornih odredbi, tehničkih standarda i primjenu kodeksa ponašanja.

4. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije odgovorno je za sigurnost podataka koje prima.

Članak 20.

Naknada u slučaju iznimne potrebe

1. Imatelji podataka koji nisu mikropoduzeća i mala poduzeća besplatno stavljaju na raspolaganje podatke koji su potrebni kako bi se odgovorilo na izvanredno stanje u skladu s člankom 15. stavkom 1. točkom (a). Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije koji su primili podatke odaju javno priznanje imatelju podataka ako to imatelj podataka zatraži.

2. Imatelj podataka ima pravo na poštenu naknadu za stavljanje podataka na raspolaganje slijedom ispunjavanja zahtjeva podnesenog u skladu s člankom 15. stavkom 1. točkom (b). Takva naknada pokriva tehničke i organizacijske troškove nastale zbog ispunjavanja zahtjeva, uključujući, ako je to primjenjivo, troškove anonimizacije, pseudonimizacije, agregiranja i tehničke prilagodbe te razumnu maržu. Na zahtjev tijela javnog sektora, Komisije, Europske središnje banke ili tijela Unije imatelj podataka pruža informacije o osnovi za izračun troškova i razumne marže.

3. Stavak 2. primjenjuje se i ako mikropoduzeće i malo poduzeće zatraže naknadu za stavljanje podataka na raspolaganje.

4. Imatelji podataka nemaju pravo na naknadu za stavljanje podataka na raspolaganje slijedom ispunjavanja zahtjeva podnesenog u skladu s člankom 15. stavkom 1. točkom (b) ako je specifična zadaća koja se obavlja u javnom interesu izrada službene statistike i ako kupnja podataka nije dopuštena nacionalnim pravom. Države članice obavješćuju Komisiju ako kupnja podataka za izradu službene statistike nije dopuštena nacionalnim pravom.

5. Ako se tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije ne složi s razinom naknade koju je zatražio imatelj podataka, može podnijeti pritužbu nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.

Članak 25.

Ugovorne odredbe koje se odnose na promjenu

1. Prava klijenta i obveze pružatelja usluga obrade podataka koje se odnose na promjenu pružatelja takvih usluga ili, ako je to primjenjivo, na prebacivanje na lokalnu infrastrukturu IKT-a jasno se navode u pisanom ugovoru. Pružatelj usluga obrade podataka stavlja taj ugovor na raspolaganje klijentu prije potpisivanja ugovora na način kojim se klijentu omogućuje da pohrani i reproducira ugovor.

2. Ne dovodeći u pitanje Direktivu (EU) 2019/770, ugovor iz stavka 1. ovog članka sadržava barem sljedeće:

(a)

klauzule kojima se klijentu omogućuju da se na zahtjev prebaci na uslugu obrade podataka koju nudi drugi pružatelj usluga obrade podataka ili da sve podatke koji se mogu izvesti i digitalne resurse premjesti na lokalnu infrastrukturu IKT-a bez nepotrebne odgode i u svakom slučaju najkasnije u obveznom maksimalnom prijelaznom razdoblju od 30 kalendarskih dana, koje počinje nakon isteka maksimalnog otkaznog roka iz točke (d), a tijekom kojeg se ugovor o pružanju usluge i dalje primjenjuje i tijekom kojeg pružatelj usluga obrade podataka:

i.	u procesu promjene pruža razumnu pomoć klijentu i trećim stranama koje je klijent ovlastio;

ii.	postupa s dužnom pažnjom radi održavanja kontinuiteta poslovanja te nastavlja pružati funkcije ili usluge na temelju ugovora;

iii.	pruža jasne informacije o poznatim rizicima za kontinuitet u pružanju funkcija ili usluga od strane izvornog pružatelja usluga obrade podataka;

iv.	osigurava održavanje visoke razine sigurnosti tijekom cijelog procesa promjene, osobito sigurnosti podataka tijekom njihova prijenosa i kontinuirane sigurnosti podataka tijekom razdoblja dohvata navedenog u točki (g), u skladu s primjenjivim pravom Unije ili nacionalnim pravom;

(b)	obvezu pružatelja usluga obrade podataka da podupire izlaznu strategiju klijenta koja je relevantna za ugovorene usluge, među ostalim pružanjem svih relevantnih informacija;

(c)

klauzulu kojom se utvrđuje da se ugovor smatra raskinutim te da se klijenta obavješćuje o raskidu u jednom od sljedećih slučajeva:

i.	ako je to primjenjivo, nakon uspješnog dovršetka procesa promjene;

ii.	nakon isteka maksimalnog otkaznog roka iz točke (d) ako klijent ne želi promijeniti pružatelja usluga, nego želi izbrisati svoje podatke koji se mogu izvesti i svoje digitalne resurse nakon otkazivanja usluge;

(d)	maksimalni otkazni rok za pokretanje procesa promjene, koji ne smije biti dulji od dva mjeseca;

(e)	iscrpno navođenje svih kategorija podataka i digitalnih resursa koji se mogu prenijeti tijekom procesa promjene, uključujući barem sve podatke koji se mogu izvesti;

(f)

iscrpno navođenje kategorija podataka koji su specifični za interno funkcioniranje pružateljeve usluge obrade podataka, a koje treba izuzeti od podataka koji se mogu izvesti u skladu s točkom (e) ovog stavka ako postoji rizik od povrede pružateljevih poslovnih tajnih, pod uvjetom da se takvim iznimkama ne ometa niti odgađa proces promjene predviđen u članku 23.;

(g)	minimalno razdoblje za dohvat podataka od najmanje 30 kalendarskih dana, koje počinje nakon isteka prijelaznog razdoblja o kojem su se dogovorili klijent i pružatelj usluga obrade podataka u skladu s točkom (a) ovog stavka i stavkom 4.;

(h)

klauzulu kojom se jamči potpuno brisanje svih podataka koji se mogu izvesti i digitalnih resursa koje izravno generira klijent, ili koji se izravno odnose na klijenta, nakon isteka razdoblja dohvata iz točke (g) ili nakon isteka alternativnoga dogovorenog razdoblja na datum koji je kasniji od datuma isteka razdoblja dohvata iz točke (g), pod uvjetom da je proces promjene uspješno dovršen;

(i)	naknade za promjenu koje mogu nametnuti pružatelji usluga obrade podataka u skladu s člankom 29.

3. Ugovor iz stavka 1. uključuje klauzule kojima se predviđa da klijent može obavijestiti pružatelja usluga obrade podataka o svojoj odluci da izvrši jednu ili više sljedećih radnji nakon isteka maksimalnog otkaznog roka iz stavka 2. točke (d):

(a)	prebaci se na drugog pružatelja usluga obrade podataka, u kojem slučaju klijent daje potrebne pojedinosti tom pružatelju;

(b)	prebaci se na lokalnu infrastrukturu IKT-a;

(c)	izbriše svoje podatke koji se mogu izvesti i digitalne resurse.

4. Ako je obvezno maksimalno prijelazno razdoblje kako je predviđeno u stavku 2. točki (a) tehnički neizvedivo, pružatelj usluga obrade podataka o tome obavješćuje klijenta u roku od 14 radnih dana od podnošenja zahtjeva za promjenu i propisno obrazlaže tehničku neizvedivost te navodi alternativno prijelazno razdoblje koje ne smije biti dulje od sedam mjeseci. U skladu sa stavkom 1. kontinuitet pružanja usluge osigurava se tijekom cijelog alternativnog prijelaznog razdoblja.

5. Ne dovodeći u pitanje stavak 4., ugovor iz stavka 1. uključuje klauzule kojima se klijentu daje pravo da jednom produlji prijelazno razdoblje za razdoblje koje klijent smatra primjerenim za svoje potrebe.

Članak 26.

Obveza informiranja za pružatelje usluga obrade podataka

Pružatelj usluga obrade podataka klijentu pruža:

(a)	informacije o dostupnim postupcima za promjenu usluge obrade podataka i prijenos na uslugu obrade podataka, uključujući informacije o dostupnim metodama i formatima promjene i prijenosa, kao i o tehničkim i drugim ograničenjima koja su poznata pružatelju usluga obrade podataka.

(b)

upućivanje na ažurirani internetski registar koji vode pružatelj usluga obrade podataka, s pojedinostima o svim podatkovnim strukturama i formatima podataka kao i o relevantnim normama i otvorenim specifikacijama interoperabilnosti, u kojem su dostupni podaci koji se mogu izvesti navedeni u članku 25. stavku 2. točki (e).

Članak 27.

Obveza postupanja u dobroj vjeri

Sve uključene strane, uključujući odredišne pružatelje usluga obrade podataka, surađuju u dobroj vjeri kako bi proces promjene bio djelotvoran te kako bi se njime omogućio pravodoban prijenos podataka i održao kontinuitet usluge obrade podataka.

Članak 32.

Međunarodni pristup tijela vlasti i međunarodni prijenos tijelima vlasti

1. Pružatelji usluga obrade podataka poduzimaju sve prikladne tehničke, organizacijske i pravne mjere, uključujući ugovore, kako bi spriječili međunarodni pristup tijelâ vlasti i pristup tijelâ vlasti trećih zemalja neosobnim podacima koji se čuvaju u Uniji i međunarodni prijenos tijelima vlasti neosobnih podataka koji se čuvaju u Uniji ako bi takav prijenos odnosno pristup bili protivni pravu Unije ili nacionalnom pravu relevantne države članice, ne dovodeći u pitanje stavak 2. ili 3.

2. Svaka odluka ili presuda suda treće zemlje i svaka odluka upravnog tijela treće zemlje kojom se od pružatelja usluga obrade podataka zahtijeva da prenese neosobne podatke koji su obuhvaćeni područjem primjene ove Uredbe i koji se čuvaju u Uniji odnosno da omogući pristup takvim neosobnim podacima priznaje se ili je izvršiva na bilo koji način samo ako se temelji na međunarodnom sporazumu, kao što je ugovor o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije, ili bilo kojem takvom sporazumu između treće zemlje koja je podnijela zahtjev i države članice.

3. Ako ne postoji međunarodni sporazum kako je naveden u stavku 2., a pružatelj usluga obrade podataka adresat je odluke ili presude suda treće zemlje ili odluke upravnog tijela treće zemlje kojom se nalaže da se neosobni podaci koji su obuhvaćeni područjem primjene ove Uredbe i koji se čuvaju u Uniji prenesu odnosno da se omogući pristup takvim neosobnim podacima i ako bi postupanje u skladu s takvom odlukom moglo dovesti adresata u sukob s pravom Unije ili s nacionalnim pravom relevantne države članice, ti se podaci prenose tom tijelu treće zemlje odnosno tom tijelu treće zemlje omogućuje se pristup tim podacima samo:

(a)	ako se u sustavu treće zemlje zahtijeva da se navedu razlozi za takvu odluku ili presudu i razmjernost takve odluke ili presude te se zahtijeva da takva odluka ili presuda budu specifične prirode, na primjer, uspostavljanjem dostatne veze s određenim osumnjičenim osobama ili s povredama;

(b)	ako obrazloženi prigovor adresata podliježe preispitivanju od strane nadležnog suda treće zemlje; i

(c)	ako je nadležni sud treće zemlje koji izdaje odluku ili presudu ili preispituje odluku upravnog tijela ovlašten na temelju prava te treće zemlje propisno uzeti u obzir relevantne pravne interese pružatelja podataka zaštićene pravom Unije ili nacionalnim pravom relevantne države članice.

Adresat odluke ili presude može zatražiti mišljenje relevantnog nacionalnog tijela ili tijela vlasti nadležnog za međunarodnu suradnju u pravnim stvarima kako bi se utvrdilo jesu li uvjeti utvrđeni u prvom podstavku ispunjeni, posebno ako smatra da bi se odluka mogla odnositi na poslovne tajne i druge poslovno osjetljive podatke kao i na sadržaj zaštićen pravima intelektualnog vlasništva ili da prijenos može dovesti do ponovne identifikacije. Relevantno nacionalno tijelo ili relevantno nacionalno tijelo vlasti može se savjetovati s Komisijom. Ako adresat smatra da bi odluka ili presuda mogla ugroziti nacionalnu sigurnost ili obrambene interese Unije ili njezinih država članica, traži mišljenje relevantnog nacionalnog tijela ili relevantnog nacionalnog tijela vlasti kako bi se utvrdilo odnose li se traženi podaci na nacionalnu sigurnost ili obrambene interese Unije ili njezinih država članica. Ako adresat ne primi odgovor u roku od mjesec dana ili ako se u mišljenju takvog nacionalnog tijela ili takvog nacionalnog tijela vlasti zaključi da uvjeti utvrđeni u prvom podstavku nisu ispunjeni, adresat na temelju tih razloga može odbiti zahtjev za prijenos neosobnih podataka odnosno pristup neosobnim podacima.

EDIB iz članka 42. savjetuje Komisiju i pomaže joj u izradi smjernica za procjenu ispunjavanja uvjeta utvrđenih u prvom podstavku ovog stavka.

4. Ako su uvjeti utvrđeni u stavku 2. ili 3. ispunjeni, pružatelj usluga obrade podataka dostavlja najmanju dopuštenu količinu podataka kao odgovor na zahtjev, na temelju razumnog tumačenja tog zahtjeva od strane pružatelja ili relevantnog nacionalnog tijela ili relevantnog nacionalnog tijela vlasti iz stavka 3. drugog podstavka.

5. Pružatelj usluga obrade podataka obavješćuje klijenta o postojanju zahtjeva tijela treće zemlje za pristup njegovim podacima prije nego što postupi u skladu s tim zahtjevom, osim ako zahtjev služi u svrhu izvršavanja zakonodavstva i sve dok je to potrebno kako bi se očuvala djelotvornost izvršavanja zakonodavstva.

POGLAVLJE VIII.

INTEROPERABILNOST

Članak 41.

Modeli ugovornih odredbi i standardne ugovorne klauzule

Komisija prije 12. rujna 2025. izrađuje i preporučuje neobvezujući model ugovornih odredbi o pristupu podacima i njihovoj uporabi, uključujući odredbe o razumnoj naknadi i zaštiti poslovnih tajni, te neobvezujuće standardne ugovorne klauzule za ugovore o računalstvu u oblaku kako bi pomogla stranama u izradi ugovora s pravednim, razumnim i nediskriminirajućim ugovornim pravima i obvezama i u postizanju dogovora o tim ugovorima u pregovorima.

Članak 42.

Uloga EDIB-a

EDIB, osnovan kao stručna skupina Komisije na temelju članka 29. Uredbe (EU) 2022/868, u kojem su predstavljena nadležna tijela, podupire dosljednu primjenu ove Uredbe:

(a)	savjetovanjem Komisije i pomaganjem Komisiji u vezi s razvojem dosljedne prakse nadležnih tijela u izvršavanju poglavlja II., III., V. i VII.;

(b)

olakšavanjem suradnje među nadležnim tijelima putem izgradnje kapaciteta i razmjene informacija, osobito uspostavom metoda za učinkovitu razmjenu informacija povezanih s izvršavanjem prava i obveza na temelju poglavlja II., III. i V. u prekograničnim slučajevima, uključujući koordinaciju u pogledu određivanja sankcija;

(c)

savjetovanjem Komisije i pomaganjem Komisiji u vezi s:

i.	time treba li zatražiti izradu usklađenih normi iz članka 33. stavka 4., članka 35. stavka 4. i članka 36. stavka 5.;

ii.	izradom provedbenih akata iz članka 33. stavka 5., članka 35. stavaka 5. i 8. i članka 36. stavka 6.;

iii.	izradom delegiranih akata iz članka 29. stavka 7. i članka 33. stavka 2.; i

iv.	donošenjem smjernica kojima se utvrđuju interoperabilni okviri zajedničkih normi i praksi za funkcioniranje zajedničkih europskih podatkovnih prostora iz članka 33. stavka 11.

POGLAVLJE X.

PRAVO SUI GENERIS NA TEMELJU DIREKTIVE 96/9/EZ

Članak 49.

Evaluacija i preispitivanje

1. Komisija provodi evaluaciju ove Uredbe i podnosi izvješće o glavnim nalazima evaluacije Europskom parlamentu, Vijeću i Europskom gospodarskom i socijalnom odboru do 12. rujna 2028. Tom se evaluacijom posebno ocjenjuje sljedeće:

(a)

situacije koje treba smatrati situacijama iznimne potrebe za potrebe članka 15. ove Uredbe i primjene poglavlja V. ove Uredbe u praksi, osobito iskustvo tijelâ javnog sektora, Komisije, Europske središnje banke i tijela Unije u primjeni poglavlja V. ove Uredbe; broj i ishod postupaka upućenih nadležnom tijelu na temelju članka 18. stavka 5. o primjeni poglavlja V. ove Uredbe, kako su izvijestila nadležna tijela; utjecaj drugih obveza utvrđenih u pravu Unije ili nacionalnom pravu za potrebe ispunjavanja zahtjevâ za pristup informacijama; utjecaj mehanizama dobrovoljnog dijeljenja podataka, kao što su oni koje su uspostavile organizacije za podatkovni altruizam priznate na temelju Uredbe (EU) 2022/868, na ispunjavanje ciljeva poglavlja V. ove Uredbe i uloga osobnih podataka u kontekstu članka 15. ove Uredbe, uključujući razvoj tehnologija za unapređenje zaštite privatnosti;

(b)	učinak ove Uredbe na uporabu podataka u gospodarstvu, među ostalim na inovacije u području podataka, prakse monetizacije podataka i usluge podatkovnog posredovanja, kao i na dijeljenje podataka unutar zajedničkih europskih podatkovnih prostora;

(c)	pristupačnost i uporaba različitih kategorija i vrsta podataka;

(d)	isključivanje određenih kategorija poduzeća kao korisnika na temelju članka 5.;

(e)	izostanak bilo kakvog utjecaja na prava intelektualnog vlasništva;

(f)

učinak na poslovne tajne, među ostalim i na zaštitu od njihova nezakonitog pribavljanja, uporabe i otkrivanja, kao i učinak mehanizma koji imatelju podataka omogućuje da odbije korisnikov zahtjev na temelju članka 4. stavka 8. i članka 5. stavka 11., uzimajući pritom u obzir, u mjeri u kojoj je to moguće, eventualnu reviziju Direktive (EU) 2016/943;

(g)	je li popis nepoštenih ugovornih odredbi iz članka 13. ažuriran s obzirom na nove poslovne prakse i brz tempo razvoja inovacija na tržištu;

(h)	promjene u ugovornim praksama pružateljâ usluga obrade podataka te dovodi li to do dovoljne usklađenosti s člankom 25.;

(i)	smanjenje naknada koje nameću pružatelji usluga obrade podataka za proces promjene, u skladu s postupnim ukidanjem naknada za promjenu na temelju članka 29.

(j)	interakcija ove Uredbe s drugim pravnim aktima Unije koji su važni za podatkovno gospodarstvo;

(k)	sprečavanje nezakonitog pristupa tijelâ vlasti neosobnim podacima;

(l)	učinkovitost režima izvršavanja na temelju članka 37.;

(m)	učinak ove Uredbe na MSP-ove s obzirom na njihovu inovacijsku sposobnost i na dostupnost usluga obrade podataka za korisnike u Uniji te opterećenje u vezi s ispunjavanjem novih obveza.

2. Komisija provodi evaluaciju ove Uredbe i podnosi izvješće o glavnim nalazima evaluacije Europskom parlamentu, Vijeću i Europskom gospodarskom i socijalnom odboru do 12. rujna 2028. Tom se evaluacijom ocjenjuje učinak članaka od 23. do 31. te članaka 34. i 35., osobito u pogledu određivanja cijena i raznovrsnosti usluga obrade podataka koje se nude u Uniji, s posebnim naglaskom na pružateljima koji su MSP-ovi.

3. Države članice dostavljaju Komisiji sve potrebne informacije za izradu izvješća iz stavaka 1. i 2.

4. Na temelju izvješća iz stavaka 1. i 2. Komisija može, prema potrebi, podnijeti zakonodavni prijedlog Europskom parlamentu i Vijeću radi izmjene ove Uredbe.

whereas

keyboard_tab Data Act 2023/2854 HR

Data Act 2023/2854 HR