Data Act 2023/2854 SL

(1)	„podatki“ pomeni vsak digitalni prikaz dejanj, dejstev ali informacij in vsakega zbiranja takih dejanj, dejstev ali informacij, tudi v obliki zvočnega, vizualnega ali avdiovizualnega posnetka;

(2)	„metapodatki“ pomeni strukturiran opis vsebine ali uporabe podatkov, ki olajša iskanje in uporabo teh podatkov;

(3)	„osebni podatki“ pomeni osebne podatke, kakor so opredeljeni v členu 4, točka 1, Uredbe (EU) 2016/679;

(4)	„neosebni podatki“ pomeni podatke, ki niso osebni podatki;

(5)

„povezani izdelek“ pomeni stvar, ki pridobiva, ustvarja ali zbira podatke o svoji uporabi ali okolju in ki lahko sporoča podatke iz izdelka preko elektronske komunikacijske storitve, fizične povezave ali dostopa na napravi ter katere glavna funkcija ni shranjevanje, obdelava ali posredovanje podatkov v imenu katere koli osebe razen uporabnika;

(6)

„povezana storitev“ pomeni digitalno storitev, razen elektronskih komunikacijskih storitev, vključno s programsko opremo, ki je ob nakupu, najemu ali zakupu z izdelkom povezana tako, da brez nje povezani izdelek ne bi mogel opravljati ene ali več svojih funkcij, ali ki jo z izdelkom naknadno poveže proizvajalec ali tretja oseba, da obogati, posodobi ali prilagodi funkcionalnost povezanega izdelka;

(7)

„obdelava“ pomeni vsako operacijo ali niz operacij, ki se izvaja v zvezi s podatki ali nizi podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno dajanje na voljo, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(8)

„storitev obdelave podatkov“ pomeni digitalno storitev, ki se zagotovi stranki in ki omogoča vseprisoten omrežni dostop na zahtevo do skupnega nabora nastavljivih, prožnih in prilagodljivih računalniških virov centralizirane, porazdeljene ali zelo porazdeljene narave ter se lahko zagotovi hitro in sprosti z minimalno količino upravljanja ali interakcije s ponudnikom storitve;

(9)	„ista vrsta storitve“ pomeni nabor storitev obdelave podatkov, ki imajo isti primarni cilj, model storitve obdelave podatkov in glavne funkcionalnosti;

(10)	„storitev posredovanja podatkov“ pomeni storitev posredovanja podatkov, kakor je opredeljena v členu 2, točka 11, Uredbe (EU) 2022/868;

(11)	„posameznik, na katerega se nanašajo osebni podatki“ pomeni posameznika, na katerega se nanašajo osebni podatki, kakor je naveden v členu 4, točka 1, Uredbe (EU) 2016/679;

(12)	„uporabnik“ pomeni fizično ali pravno osebo, ki ima v lasti povezani izdelek ali na katero so bile pogodbeno prenesene začasne pravice do uporabe tega povezanega izdelka ali ki prejema z njim povezane storitve;

(13)

„imetnik podatkov“ pomeni fizično ali pravno osebo, ki ima v skladu s to uredbo, veljavnim pravom Unije ali nacionalno zakonodajo, sprejeto v skladu s pravom Unije,, pravico ali obveznost uporabljati in dajati na voljo podatke, vključno, kadar je to pogodbeno dogovorjeno, s podatki iz izdelka ali podatki iz povezane storitve, ki jih je priklical ali ustvaril med opravljanjem povezane storitve;

(14)

„prejemnik podatkov“ pomeni fizično ali pravno osebo, ki deluje za namene, povezane z njeno trgovsko, poslovno, obrtno ali poklicno dejavnostjo, razen uporabnika povezanega izdelka ali povezane storitve, ki ji imetnik podatkov da na voljo podatke, vključno s tretjo osebo na podlagi zahteve uporabnika, naslovljene na imetnika podatkov, ali v skladu s pravno obveznostjo na podlagi prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije;

(15)	„podatki iz izdelka“ pomeni podatke, ustvarjene z uporabo povezanega izdelka, ki jih je proizvajalec zasnoval tako, da jih lahko uporabnik, imetnik podatkov ali tretja oseba, po potrebi pa tudi proizvajalec, prikliče prek elektronske komunikacijske storitve, fizične povezave ali dostopa na napravi;

(16)

„podatki iz povezane storitve“ pomeni podatke, ki predstavljajo digitalizacijo uporabniških dejanj ali dogodkov, povezanih s povezanim izdelkom, ki jih uporabnik zabeleži namerno ali ki so ustvarjeni kot stranski produkt uporabnikovega delovanja med opravljanjem povezane storitve s strani ponudnika;

(17)	„takoj razpoložljivi podatki“ pomeni podatke iz izdelka in podatke iz povezane storitve, ki jih imetnik podatkov zakonito pridobi ali jih lahko zakonito pridobi iz povezanega izdelka ali z njim povezane storitve brez nesorazmernega napora, ki bi presegal enostavno operacijo;

(18)	„poslovna skrivnost“ pomeni poslovno skrivnost, kakor je opredeljena v členu 2, točka 1, Direktive (EU) 2016/943;

(19)	„imetnik poslovne skrivnosti“ pomeni imetnika poslovne skrivnosti, kakor je opredeljen v členu 2, točka 2, Direktive (EU) 2016/943;

(20)	„oblikovanje profilov“ pomeni oblikovanje profilov, kakor je opredeljeno v členu 4, točka 4, Uredbe (EU) 2016/679;

(21)	„zagotavljanje dostopnosti na trgu“ pomeni vsako dobavo povezanega izdelka za distribucijo, porabo ali uporabo na trgu Unije v okviru gospodarske dejavnosti za plačilo ali brezplačno;

(22)	„dajanje na trg“ pomeni prvo dajanje na voljo povezanega izdelka na trgu Unije;

(23)	„potrošnik“ pomeni vsako fizično osebo, ki deluje za namene zunaj okvira svoje trgovske, poslovne, obrtne ali poklicne dejavnosti;

(24)	„podjetje“ pomeni fizično ali pravno osebo, ki v zvezi s pogodbami in praksami, za katere velja ta uredba, deluje za namene, ki so povezani z njeno trgovsko, poslovno, obrtno ali poklicno dejavnostjo;

(25)	„malo podjetje“ pomeni malo podjetje, kakor je opredeljeno v členu 2(2) Priloge k Priporočilu 2003/361/ES;

(26)	„mikropodjetje“ pomeni mikropodjetje, kakor je opredeljeno v členu 2(3) Priloge k Priporočilu 2003/361/ES;

(27)	„organi Unije“ pomeni organe, urade in agencije Unije, ustanovljene z akti oziroma na njihovi podlagi, sprejetimi na podlagi Pogodbe o Evropski uniji, PDEU ali Pogodbe o ustanovitvi Evropske skupnosti za atomsko energijo;

(28)	„organ javnega sektorja“ pomeni nacionalne, regionalne ali lokalne organe držav članic, osebe javnega prava držav članic ali združenja, ki jih ustanovi eden ali več takih organov ali oseb;

(29)

„splošna nevarnost“ pomeni izjemne razmere, ki so časovno omejene, kot so izredne razmere v javnem zdravju, izredne razmere, ki so posledica naravnih nesreč, večje nesreče, ki jih povzroči človek, vključno z večjimi kibernetskimi incidenti, ki negativno vplivajo na prebivalstvo Unije, celotno prebivalstvo države članice ali njenega dela in ki bi lahko imele resne in trajne posledice za življenjske razmere ali gospodarsko stabilnost, finančno stabilnost ali znatno in takojšnje poslabšanje gospodarskih sredstev v Uniji ali zadevni državi članici ter ki so določene in uradno razglašene v skladu z ustreznimi postopki na podlagi prava Unije ali nacionalnega prava;

(30)	„stranka“ pomeni fizično ali pravno osebo, ki je sklenila pogodbeno razmerje s ponudnikom storitev obdelave podatkov z namenom uporabe ene ali več storitev obdelave podatkov;

(31)

„virtualni pomočniki“ pomeni programsko opremo, ki lahko obdeluje zahteve, naloge ali vprašanja, tudi tiste, ki temeljijo na avdioposnetkih, pisnih informacijah, kretnjah ali gibih, in ki na podlagi teh zahtev, nalog ali vprašanj zagotavlja dostop do drugih storitev ali nadzoruje funkcije povezanih izdelkov;

(32)	„digitalna sredstva“ pomeni elemente v digitalni obliki, vključno z aplikacijami, za katere ima stranka pravico do uporabe neodvisno od pogodbenega razmerja glede storitve obdelave podatkov, ki jo namerava zamenjati;

(33)	„lokalna infrastruktura IKT“ pomeni infrastrukturo IKT in računalniške vire, ki so v lasti, najemu ali zakupu stranke in se nahajajo v njenem podatkovnem centru ter jih upravlja stranka ali tretja oseba;

(34)

„zamenjava“ pomeni postopek, pri katerem sodelujejo izvorni ponudnik storitev obdelave podatkov, stranka storitve obdelave podatkov in, kadar je ustrezno, ciljni ponudnik storitev obdelave podatkov, pri čemer stranka storitve obdelave podatkov z ene storitve obdelave podatkov preide na drugo storitev obdelave podatkov, ki je storitev iste vrste, ali drugo storitev, ki jo ponuja drug ponudnik storitev obdelave podatkov, ali na lokalno infrastrukturo IKT, pri čemer lahko postopek med drugim vključuje izvlečenje, pretvorbo in nalaganje podatkov;

(35)	„povračila za prenos podatkov“ pomeni pristojbine za prenos podatkov, ki se zaračunajo strankam za izvlečenje njihovih podatkov prek omrežja iz infrastrukture IKT ponudnika storitev obdelave podatkov v sistem drugega ponudnika ali v lokalno infrastrukturo IKT;

(36)

„povračila za zamenjavo“ pomeni povračila, ki niso standardne pristojbine za storitve ali kazni za predčasno odpoved, in jih ponudnik obdelave podatkov naloži stranki za dejanja, ki jih ta uredba zahteva za zamenjavo na sistem drugega ponudnika ali na lokalno infrastrukturo IKT, vključno s povračili za prenos podatkov;

(37)

„funkcionalna enakovrednost“ pomeni ponovno vzpostavitev minimalne ravni funkcionalnosti na podlagi podatkov stranke, ki jih je mogoče izvoziti, in digitalnih sredstev po postopku zamenjave, v okolju nove storitve obdelave podatkov, ki je storitev iste vrste, pri čemer ciljna storitev obdelave podatkov zagotavlja primerljiv rezultat kot odziv na isti vložek za skupno funkcijo, ki se stranki zagotavlja na podlagi pogodbe;

(38)

„podatki, ki jih je mogoče izvoziti“ pomeni, za namene členov 23 do 31 in člena 35, vhodne in izhodne podatke, tudi metapodatke, ki so ustvarjeni ali soustvarjeni neposredno ali posredno s strankino uporabo storitve obdelave podatkov ponudnikov storitev obdelave podatkov ali tretje osebe, pri čemer so izključena vsa sredstva ali podatki zaščiteni s pravicami intelektualne lastnine, ali ki predstavljajo poslovno skrivnost;

(39)	„pametna pogodba“ pomeni računalniški program, ki se uporablja za samodejno izvajanje sporazuma ali njegovega dela, pri čemer se uporabi zaporedje elektronskih podatkovnih zapisov ter zagotovi njihova celovitost in točnost kronološkega zaporedja;

(40)	„interoperabilnost“ pomeni zmožnost dveh ali več podatkovnih prostorov ali komunikacijskih omrežij, sistemov, povezanih izdelkov, aplikacij, storitev obdelave podatkov ali komponent, da si izmenjujejo in uporabljajo podatke za izvajanje svojih funkcij;

(41)	„odprta specifikacija za interoperabilnost“ pomeni tehnično specifikacijo na področju informacijskih in komunikacijskih tehnologij, ki je namenjena za doseganje interoperabilnosti med storitvami obdelave podatkov;

(42)	„skupne specifikacije“ pomeni dokument, ki ni standard ter vsebuje tehnične rešitve, s katerimi je možno izpolnjevanje nekaterih zahtev in obveznosti, določenih s to uredbo;

(43)	„harmonizirani standard“ pomeni harmonizirani standard, kakor je opredeljen v členu 2(1), točka (c), Uredbe (EU) št. 1025/2012;

POGLAVJE II

SOUPORABA PODATKOV MED PODJETJI IN POTROŠNIKI TER MED PODJETJI

Člen 3

Obveznost, da se uporabniku zagotovi dostop do podatkov iz izdelka in podatkov iz povezane storitve

1. Povezani izdelki se zasnujejo in izdelujejo, povezane storitve pa zasnujejo in opravljajo tako, da so podatki iz izdelka in podatki iz povezane storitve, vključno z ustreznimi metapodatki, potrebnimi za razlago in uporabo teh podatkov, privzeto, enostavno, varno in brezplačno na voljo v celoviti, strukturirani, splošno uporabljani in strojno berljivi obliki ter so, kadar je to ustrezno in tehnično izvedljivo, neposredno dostopni uporabniku.

2. Pred sklenitvijo pogodbe o nakupu, najemu ali zakupu povezanega izdelka prodajalec, najemodajalec ali zakupodajalec, ki je lahko proizvajalec, uporabniku na jasen in razumljiv način zagotovi vsaj naslednje informacije:

(a)	vrsta, oblika zapisa in ocenjena količina podatkov iz izdelka, ki jih povezani izdelek lahko ustvari;

(b)	ali je povezani izdelek sposoben neprekinjeno in v realnem času ustvarjati podatke;

(c)	ali je povezani izdelek sposoben shraniti podatke na napravi ali na oddaljenem strežniku, po potrebi vključno s predvidenim trajanjem hrambe;

(d)	kako lahko uporabnik dostopa do podatkov, jih prikliče ali po potrebi izbriše, vključno s tehničnimi sredstvi, s katerimi se lahko to izvede, ter pogoji uporabe in kakovost storitve.

3. Pred sklenitvijo pogodbe o opravljanju povezane storitve, ponudnik take povezane storitve uporabniku na jasen in razumljiv način zagotovi vsaj naslednje informacije:

(a)

narava, ocenjena količina in pogostost zbiranja podatkov iz izdelka, ki naj bi jih pridobil potencialni imetnik podatkov, po potrebi pa tudi ureditve, kako lahko uporabnik dostopa do teh podatkov ali jih prikliče, vključno z ureditvijo potencialnega imetnika podatkov glede shranjevanja in trajanja hrambe podatkov;

(b)	narava in ocenjena količina podatkov o povezani storitvi, ki bodo ustvarjeni, ter ureditve, kako lahko uporabnik dostopa do teh podatkov ali jih prikliče, vključno z ureditvijo potencialnega imetnika podatkov glede shranjevanja in trajanja hrambe podatkov;

(c)	ali potencialni imetnik podatkov pričakuje, da bo sam uporabljal takoj razpoložljive podatke, in za katere namene naj bi se ti podatki uporabljali ter ali namerava dovoliti eni ali več tretjim osebam, da uporabljajo podatke za namene dogovorjene z uporabnikom;

(d)	identiteta potencialnega imetnika podatkov, kot na primer firma in geografski naslov, na katerem ima sedež, ter po potrebi drugih oseb, ki obdelujejo podatke;

(e)	komunikacijska sredstva, ki omogočajo hitro navezavo stika s potencialnim imetnikom podatkov in učinkovito komuniciranje z njim;

(f)	kako lahko uporabnik zahteva, da se podatki dajo v souporabo tretji osebi in kako lahko po potrebi zaustavi souporabo podatkov;

(g)	pravica uporabnika, da pri pristojnem organu, imenovanem na podlagi člena 37, vloži pritožbo zaradi domnevne kršitve katere koli določbe tega poglavja;

(h)	ali je potencialni imetnik podatkov tudi imetnik poslovnih skrivnosti, vsebovanih v podatkih, ki so dostopni iz povezanega izdelka ali se bodo ustvarili med opravljanjem povezane storitve in kadar potencialni imetnik podatkov ni imetnik poslovne skrivnosti, identiteta imetnika poslovne skrivnosti;

(i)	trajanje pogodbe med uporabnikom in potencialnim imetnikom podatkov ter ureditve za odpoved take pogodbe.

Člen 4

Pravice in obveznosti uporabnikov in imetnikov podatkov glede dostopa, uporabe in dajanja na voljo podatkov iz izdelka in podatkov iz povezane storitve

1. Kadar uporabnik ne more neposredno dostopati do podatkov iz povezanega izdelka ali povezane storitve, mu imetniki podatkov omogočijo dostop do takoj razpoložljivih podatkov ter ustreznih metapodatkov potrebnih za razlago in uporabo teh podatkov, in sicer brez nepotrebnega odlašanja ter v enaki kakovosti kot so na voljo imetniku podatkov, enostavno, varno, brezplačno, v celoviti, strukturirani, splošno uporabljani in strojno berljivi obliki, ter, kadar je to ustrezno in tehnično izvedljivo, neprekinjeno in v realnem času. To se opravi na podlagi enostavne zahteve po elektronski poti, kadar je to tehnično izvedljivo.

2. Uporabniki in imetniki podatkov se lahko pogodbeno dogovorijo o omejitvi ali prepovedi dostopa do podatkov, njihove uporabe ali nadaljnje souporabe, če bi lahko takšna obdelava ogrozila varnostne zahteve glede povezanega izdelka, kot so določene v pravu Unije ali nacionalnem pravu, in imela resen škodljiv učinek na zdravje, varnost ali zaščito fizičnih oseb. Sektorski organi lahko uporabnikom in imetnikom podatkov v zvezi s tem zagotovijo tehnično strokovno znanje. Kadar imetnik podatkov zavrne souporabo podatkov na podlagi tega člena, o tem uradno obvesti pristojni organ, imenovan na podlagi člena 37.

3. brez poseganja v pravico uporabnika, da kadar koli uveljavlja pravna sredstva pred sodiščem države članice, lahko uporabnik v zvezi s katerim koli sporom z imetnikom podatkov v zvezi s pogodbenimi omejitvami ali prepovedmi iz odstavka 2:

(a)	vloži pritožbo v skladu s členom 37(5), točka (b), pri pristojnem organu ali

(b)	se dogovori z imetnikom podatkov, da se zadeva predloži organu za reševanje sporov v skladu s členom 10(1).

4. Imetniki podatkov ne otežijo neupravičeno uveljavljanja izbir ali pravic uporabnika iz tega člena, tudi ne tako, da bi na pristranski način ponujali uporabniku izbire ali omejevali ali ovirali avtonomijo odločanje ali izbire uporabnika prek strukture, zasnove, funkcije ali načina delovanja uporabniškega digitalnega vmesnika ali njegovega dela.

5. Za namene preverjanja ali fizična oziroma pravna oseba izpolnjuje pogoje za uporabnika za namene odstavka 1, imetnik podatkov od te osebe ne zahteva nobenih informacij razen tistih, ki so potrebne. Imetniki podatkov ne hranijo nobenih informacij, zlasti nobenih podatkov iz dnevniške datoteke, o uporabnikovem dostopu do zahtevanih podatkov, razen tistih, ki so potrebne za pravilno izvedbo uporabnikove zahteve za dostop ter za varnost in vzdrževanje podatkovne infrastrukture.

6. Poslovne skrivnosti se varujejo in se razkrijejo le, kadar imetnik podatkov in uporabnik pred razkritjem sprejmeta vse potrebne ukrepe za ohranitev njihove zaupnosti, zlasti v zvezi s tretjimi osebami. Imetnik podatkov ali, kadar nista ista oseba, imetnik poslovne skrivnosti, opredeli podatke, ki so zaščiteni kot poslovna skrivnost, tudi v ustreznih metapodatkih, in se z uporabnikom dogovori o sorazmernih tehničnih in organizacijskih ukrepih, potrebnih za ohranitev zaupnosti podatkov v souporabi, zlasti v odnosu do tretjih oseb, kot so vzorčni pogodbeni pogoji, sporazumi o zaupnosti, strogi protokoli za dostop, tehnični standardi in uporaba kodeksov ravnanja.

7. Kadar ni dogovora o potrebnih ukrepih iz odstavka 6 ali če uporabnik ne izvede ukrepov, dogovorjenih na podlagi odstavka 6, ali ogroža zaupnost poslovnih skrivnosti, lahko imetnik podatkov zadrži ali, odvisno od primera, začasno prekine souporabo podatkov, ki so opredeljeni kot poslovna skrivnost. Odločitev imetnika podatkov se ustrezno utemelji in uporabniku brez nepotrebnega odlašanja predloži v pisni obliki. Imetnik podatkov v takih primerih uradno obvesti pristojni organ, imenovan na podlagi člena 37, da je zadržal ali začasno prekinil souporabo podatkov, ter opredeli, kateri ukrepi niso bili dogovorjeni ali se niso izvajali ter, kadar je to ustrezno, pri katerih poslovnih skrivnostih je bila ogrožena zaupnost.

8. V izjemnih okoliščinah, kadar lahko imetnik podatkov, ki je imetnik poslovne skrivnosti, dokaže, da bo kljub tehničnim in organizacijskim ukrepom, ki jih je sprejel uporabnik na podlagi odstavka 6 tega člena, zelo verjetno utrpel hudo gospodarsko škodo zaradi razkritja poslovnih skrivnosti, lahko ta imetnik podatkov za vsak primer posebej zavrne zahtevo za dostop do zadevnih posebnih podatkov. Ta dokaz mora biti ustrezno utemeljen na podlagi objektivnih elementov, zlasti izvršljivosti varstva poslovnih skrivnosti v tretjih državah, naravi in ravni zaupnosti zahtevanih podatkov ter edinstvenosti in novosti povezanega izdelka, in se brez nepotrebnega odlašanja predloži uporabniku v pisni obliki. Kadar imetnik podatkov zavrne souporabo podatkov na podlagi tega odstavka, o tem uradno obvesti pristojni organ, imenovan na podlagi člena 37.

9. brez poseganja v pravico uporabnika, da kadar koli uveljavlja pravna sredstva pred sodiščem države članice, lahko uporabnik, ki želi izpodbijati odločitev imetnika podatkov o zavrnitvi ali zadržanju ali začasni prekinitvi souporabe podatkov na podlagi odstavkov 7 in 8:

(a)	vloži pritožbo v skladu s členom 37(5), točka (b), pri pristojnem organu, ki brez nepotrebnega odlašanja odloči, ali in pod katerimi pogoji naj bi se souporaba podatkov začela ali nadaljevala, ali

(b)	se dogovori z imetnikom podatkov, da se zadeva predloži organu za reševanje sporov v skladu s členom 10(1).

10. Podatkov, pridobljenih na podlagi zahteve iz odstavka 1, uporabnik ne sme uporabiti za razvoj povezanega izdelka, ki konkurira povezanemu izdelku, iz katerega podatki izvirajo, niti jih v ta namen ne da v souporabo tretji osebi, poleg tega pa teh podatkov ne sme uporabiti za pridobivanje vpogleda v gospodarski položaj, sredstva in proizvodne metode proizvajalca ali, kadar je ustrezno, imetnika podatkov.

11. Uporabnik za pridobitev dostopa do podatkov ne sme uporabljati prisilnih sredstev ali zlorabljati vrzeli v tehnični infrastrukturi imetnika podatkov, ki je namenjena zaščiti podatkov.

12. Kadar uporabnik ni posameznik, na katerega se nanašajo osebni podatki in katerega osebni podatki se zahtevajo, zagotovi imetnik podatkov osebne podatke, ustvarjene z uporabo povezanega izdelka ali povezane storitve, uporabniku na voljo le, kadar obstaja veljavna pravna podlaga za obdelavo na podlagi člena 6 Uredbe (EU) 2016/679 in, kadar je ustrezno, če so izpolnjeni pogoji iz člena 9 navedene uredbe in člena 5(3) Direktive 2002/58/ES.

13. Imetnik podatkov uporablja takoj razpoložljive podatke, ki so neosebni podatki, le na podlagi pogodbe z uporabnikom. Imetnik podatkov takih podatkov ne uporablja za to, da bi pridobil vpogled v uporabnikov gospodarski položaj, sredstva in proizvodne metode, ali njegovo uporabo, na kateri koli drug način, ki bi lahko ogrozil tržni položaj tega uporabnika na trgih, na katerih je dejaven.

14. Imetniki podatkov neosebnih podatkov iz izdelka ne dajejo na voljo tretjim osebam za komercialne ali nekomercialne namene, razen za izpolnitev njihove pogodbe z uporabnikom. Kadar je ustrezno, imetniki podatkov tretje osebe pogodbeno zavežejo, da podatkov, ki so jih prejeli od njih, ne dajo v nadaljnjo souporabo.

Člen 5

Pravica uporabnika do souporabe podatkov s tretjimi osebami

1. Imetnik podatkov na zahtevo uporabnika ali osebe, ki deluje v njegovem imenu, da na voljo tretji osebi takoj razpoložljive podatke ter ustrezne metapodatke potrebne za razlago in uporabo teh podatkov, brez nepotrebnega odlašanja ter enake kakovosti, kot so na voljo imetniku podatkov, enostavno, varno, brezplačno za uporabnika, v celoviti, strukturirani, splošno uporabljani in strojno berljivi obliki ter, kadar je to ustrezno in tehnično izvedljivo, neprekinjeno in v realnem času. Imetnik podatkov da podatke na voljo tretji osebi v skladu s členoma 8 in 9.

2. Odstavek 1 se ne uporablja za takoj razpoložljive podatke v okviru preskušanja novih povezanih izdelkov, snovi ali postopkov, ki še niso dani na trg, razen če jih je tretji osebi pogodbeno dovoljeno uporabljati.

3. Podjetje, imenovano za vratarja na podlagi člena 3 Uredbe (EU) 2022/1925, se ne šteje za upravičeno tretjo osebo na podlagi tega člena in zato:

(a)	od uporabnika na noben način ne zahteva ali ga komercialno spodbuja, niti z dajanjem denarnega ali katerega koli drugega nadomestila, da za eno od njegovih storitev da na voljo podatke, ki jih je uporabnik pridobil na podlagi zahteve iz člena 4(1);

(b)	od uporabnika ne zahteva ali ga komercialno spodbuja, da od imetnika podatkov zahteva, da da podatke na voljo eni od njegovih storitev na podlagi odstavka 1 tega člena;

(c)	od uporabnika ne prejema podatkov, ki jih je uporabnik pridobil na podlagi zahteve iz člena 4(1).

4. Za namene preverjanja, ali fizična ali pravna oseba izpolnjuje pogoje za uporabnika ali tretjo osebo za namene odstavka 1, se od uporabnika ali tretje osebe ne zahteva nobenih informacij, razen tistih, ki so potrebne. Imetniki podatkov ne hranijo nobenih informacij o dostopu tretje osebe do zahtevanih podatkov, razen tistih, ki so potrebne za pravilno izvršitev zahteve tretje osebe za dostop ter za varnost in vzdrževanje podatkovne infrastrukture.

5. Tretja oseba za pridobitev dostopa do podatkov ne sme uporabljati prisilnih sredstev ali zlorabljati vrzeli v tehnični infrastrukturi imetnika podatkov, ki je namenjena zaščiti podatkov.

6. Imetnik podatkov ne sme uporabljati takoj razpoložljivih podatkov, da bi pridobil vpogled v gospodarski položaj, sredstva in proizvodne metode ali uporabo s strani tretje osebe na kateri koli drug način, ki bi lahko ogrozil tržni položaj tretje osebe na trgih, na katerih je dejavna, razen če je tretja oseba dala dovoljenje za tako uporabo in ima tehnično možnost, da dovoljenje kadar koli enostavno prekliče.

7. Kadar uporabnik ni posameznik, na katerega se nanašajo osebni podatki in katerega osebni podatki se zahtevajo, imetnik podatkov osebne podatke, ustvarjene z uporabo povezanega izdelka ali povezane storitve, da tretji osebi na voljo le, kadar obstaja veljavna pravna podlaga na podlagi člena 6 Uredbe (EU) 2016/679 in so, kadar je ustrezno, izpolnjeni pogoji iz člena 9 navedene uredbe in člena 5(3) Direktive (EU) 2002/58.

8. Če se imetnik podatkov in tretja oseba ne dogovorita o ureditvah za prenos podatkov, to ne ovira ali preprečuje uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, na podlagi Uredbe (EU) 2016/679, zlasti pravice do prenosljivosti podatkov iz člena 20 navedene uredbe, in ne posega v uveljavljanje teh pravic.

9. Poslovne skrivnosti se varujejo in se tretjim osebam razkrijejo le v obsegu, ki je nujno potreben za izpolnitev namena, dogovorjenega med uporabnikom in tretjo osebo. Imetnik podatkov ali, kadar nista ista oseba, imetnik poslovne skrivnosti, opredeli podatke, ki so zaščiteni kot poslovna skrivnost, vključno z ustreznimi metapodatki, in se s tretjo osebo dogovori o vseh ustreznih tehničnih in organizacijskih ukrepih, potrebnih za ohranitev zaupnosti podatkov v souporabi, kot so na primer vzorčni pogodbeni pogoji, sporazumi o zaupnosti, strogi protokoli za dostop, tehnični standardi in uporaba kodeksov ravnanja.

10. Kadar ni dogovora o potrebnih ukrepih iz odstavka 9 tega člena ali kadar tretja oseba ne izvede ukrepov, dogovorjenih na podlagi odstavka 9 tega člena, ali ogroža zaupnost poslovnih skrivnosti, lahko imetnik podatkov zadrži ali, odvisno od primera, začasno prekine souporabo podatkov, ki so opredeljeni kot poslovna skrivnost. Odločitev imetnika podatkov se ustrezno utemelji in tretji osebi brez nepotrebnega odlašanja predloži v pisni obliki. Imetnik podatkov v takih primerih uradno obvesti pristojni organ, imenovan na podlagi člena 37, da je zadržal ali začasno prekinil souporabo podatkov, ter opredeli, kateri ukrepi niso bili dogovorjeni ali se niso izvajali ter, kadar je to ustrezno, pri katerih poslovnih skrivnostih je bila ogrožena zaupnost.

11. V izjemnih okoliščinah, kadar lahko imetnik podatkov, ki je imetnik poslovne skrivnosti, dokaže, da bo kljub tehničnim in organizacijskim ukrepom, ki jih je sprejela tretja oseba na podlagi odstavka 9 tega člena, zelo verjetno utrpel hudo gospodarsko škodo zaradi razkritja poslovnih skrivnosti, lahko ta imetnik podatkov za vsak primer posebej zavrne zahtevo za dostop do zadevnih posebnih podatkov. Ta dokaz mora biti ustrezno utemeljen na podlagi objektivnih elementov, zlasti izvršljivosti varstva poslovnih skrivnosti v tretjih državah, naravi in ravni zaupnosti zahtevanih podatkov ter edinstvenosti in novosti povezanega izdelka, in se brez nepotrebnega odlašanja predloži tretji osebi v pisni obliki. Kadar imetnik podatkov zavrne souporabo podatkov na podlagi tega odstavka, o tem uradno obvesti pristojni organ, imenovan na podlagi člena 37.

12. brez poseganja v pravico tretje osebe, da kadar koli uveljavljajo pravna sredstva pred sodiščem države članice, lahko tretja oseba, ki želi izpodbijati odločitev imetnika podatkov o zavrnitvi ali zadržanju ali začasni prekinitvi souporabe podatkov na podlagi odstavkov 10 in 11:

(a)	vloži pritožbo v skladu s členom 37(5), točka (b), pri pristojnem organu, ki brez nepotrebnega odlašanja odloči, ali in pod katerimi pogoji naj bi se souporaba podatkov začela ali nadaljevala, ali

(b)	se dogovori z imetnikom podatkov, da se zadeva predloži organu za reševanje sporov v skladu s členom 10(1).

13. Pravica iz odstavka 1 ne vpliva negativno na pravice posameznikov, na katere se nanašajo osebni podatki, na podlagi veljavnega prava Unije in nacionalnega prava o varstvu osebnih podatkov.

Člen 8

Pogoji, pod katerimi imetniki podatkov dajo podatke na voljo prejemnikom podatkov

1. Kadar mora imetnik podatkov v okviru odnosov med podjetji dati podatke na voljo prejemniku podatkov na podlagi člena 5 ali na podlagi drugega veljavnega prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije, se s prejemnikom podatkov dogovori o ureditvi dajanja podatkov na voljo in to stori pod poštenimi, razumnimi in nediskriminatornimi pogoji ter na pregleden način v skladu s tem poglavjem in poglavjem IV.

2. Pogodbeni pogoj v zvezi z dostopom do podatkov in njihovo uporabo ali odgovornostjo in pravnimi sredstvi za kršitev ali prenehanje obveznosti v zvezi s podatki ni zavezujoč, če predstavlja nepošteni pogodbeni pogoj smislu člena 13 ali če v škodo uporabnika izključuje uporabo pravic uporabnika iz poglavja II, od njih odstopa ali spreminja njihov učinek.

3. Imetnik podatkov v zvezi z ureditvami dajanja podatkov na voljo ne diskriminira med primerljivimi kategorijami prejemnikov podatkov, vključno s partnerskimi podjetji ali povezanimi podjetji imetnika podatkov, kadar daje podatke na voljo. Kadar prejemnik podatkov meni, da so pogoji, pod katerimi so mu bili podatki dani na voljo, diskriminatorni, imetnik podatkov prejemniku podatkov na podlagi njegove utemeljene zahteve brez nepotrebnega odlašanja predloži informacije, ki dokazujejo, da ni bilo diskriminacije.

4. Imetnik podatkov prejemniku podatkov ne sme dati podatkov na voljo – četudi na izključni osnovi – razen, kadar to zahteva uporabnik na podlagi poglavja II.

5. Imetnikom podatkov in prejemnikom podatkov ni treba predložiti nobenih informacij, razen tistih, ki so potrebne za preverjanje skladnosti s pogodbenimi pogoji, dogovorjenimi za dajanje podatkov na voljo, ali izpolnjevanja njihovih obveznosti na podlagi te uredbe ali drugega veljavnega prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije.

6. Če pravo Unije, vključno s členom 4(6) in členom 5(9) te uredbe, ali nacionalna zakonodaja, sprejeta v skladu s pravom Unije, ne določa drugače, obveznost dajanja podatkov na voljo prejemniku podatkov ne zavezuje k razkritju poslovnih skrivnosti.

Člen 11

Ukrepi za tehnično zaščito o nepooblaščeni uporabi ali razkritju podatkov

1. Imetnik podatkov lahko za preprečitev nepooblaščenega dostopa do podatkov, vključno z metapodatki, in za zagotovitev skladnosti s členi 4, 5, 6, 8 in 9 ter dogovorjenimi pogodbenimi pogoji za dajanje podatkov na voljo uporabi primerne ukrepe za tehnično zaščito, vključno s pametnimi pogodbami in šifriranjem. Taki ukrepi za tehnično zaščito niti ne diskriminirajo med prejemniki podatkov niti ne omejujejo pravice uporabnika, da pridobi kopijo podatkov, te prikliče, uporabi ali do njih dostopa, da jih zagotovi tretjim osebam na podlagi člena 5, ali katere koli pravice tretje osebe na podlagi prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije. Uporabniki, tretje osebe in imetniki podatkov takih ukrepov za tehnično zaščito ne spremenijo ali odpravijo, razen če se s tem strinja imetnik podatkov.

2. V okoliščinah iz odstavka 3 tretja oseba ali prejemnik podatkov brez nepotrebnega odlašanja izpolni zahteve imetnika podatkov in, kadar je ustrezno in kadar nista ista oseba, imetnika poslovne skrivnosti ali uporabnika, da:

(a)	izbriše podatke, ki jih je dal na voljo imetnik podatkov, in vse njihove kopije;

(b)

preneha proizvajati, ponujati ali dajati na trg ali uporabljati blago, izpeljane podatke ali storitve, proizvedene na podlagi znanja, pridobljenega s takimi podatki, ali uvažati, izvažati ali shranjevati blago, ki predstavlja kršitev pravic, v te namene in uniči blago, ki predstavlja kršitev pravic, kadar obstaja resno tveganje, da bo nezakonita uporaba teh podatkov povzročila občutno škodo imetniku podatkov, imetniku poslovne skrivnosti ali uporabniku, ali kadar takšen ukrep ni nesorazmeren glede na interese imetnika podatkov, imetnika poslovne skrivnosti ali uporabnika;

(c)	obvesti uporabnika o nepooblaščeni uporabi ali razkritju podatkov ter o sprejetih ukrepih za prekinitev nepooblaščene uporabe ali razkritja podatkov;

(d)	nadomesti škodo osebi, ki je utrpela zlorabo ali razkritje takih podatkov, do katerih se je dostopalo nezakonito ali ki so se uporabljali nezakonito.

3. Odstavek 2 se uporablja, kadar je tretja oseba ali prejemnik podatkov:

(a)	zato, da bi pridobil podatke, imetniku podatkov dal napačne informacije, uporabil goljufiva ali prisilna sredstva ali zlorabil vrzeli v tehnični infrastrukturi imetnika podatkov, ki je namenjena zaščiti podatkov;

(b)	podatke, ki so bili dani na voljo, uporabil za nepooblaščene namene, tudi za razvoj konkurenčnega povezanega izdelka v smislu člena 6(2), točka (e);

(c)	nezakonito razkril podatke drugi osebi;

(d)	ni ohranil tehničnih in organizacijskih ukrepov, dogovorjenih na podlagi člena 5(9), ali

(e)	spremenil ali odpravil ukrepe za tehnično zaščito, ki jih je uporabil imetnik na podlagi odstavka 1 tega člena, brez dogovora z imetnikom podatkov.

4. Odstavek 2 se uporablja tudi, kadar uporabnik spremeni ali odpravi ukrepe za tehnično zaščito, ki jih uporablja imetnik podatkov, ali ne ohrani tehničnih in organizacijskih ukrepov, ki jih je uporabnik sprejel v dogovoru z imetnikom podatkov ali, kadar nista ista oseba, imetnikom poslovnih skrivnosti, ter v zvezi s komur koli, ki je s kršitvijo prejel podatke od uporabnika, da bi ohranil poslovne skrivnosti.

5. Kadar je prejemnik podatkov kršil člen 6(2), točka (a) ali (b), imajo uporabniki enake pravice kot imetniki podatkov iz odstavka 2 tega člena.

Člen 13

Nepošteni pogodbeni pogoji, ki se enostransko nalagajo drugemu podjetju

1. Pogodbeni pogoj v zvezi z dostopom do podatkov in njihovo uporabo ali odgovornostjo in pravnimi sredstvi za kršitev ali prenehanje obveznosti v zvezi s podatki, ki jih je podjetje enostransko naložilo drugemu podjetju, za slednje podjetje ni zavezujoč, če je nepošten.

2. Pogodbeni pogoj, ki ustreza obveznim določbam prava Unije, ali določbam prava Unije, ki bi se uporabljale, če pogodbeni pogoji ne bi urejali vprašanja, se ne šteje za nepoštenega.

3. Pogodbeni pogoj je nepošten, če je take narave, da njegova uporaba močno odstopa od dobre poslovne prakse pri dostopanju do podatkov in njihovi uporabi in je v nasprotju z dobro vero in poštenim ravnanjem.

4. Pogodbeni pogoj se za namene odstavka 3 zlasti šteje za nepoštenega, če je njegov cilj ali posledica:

(a)	izključitev ali omejitev odgovornosti stranke, ki je enostransko naložila pogoj, v primeru naklepnih ravnanj ali hude malomarnosti;

(b)	izključitev pravnih sredstev, ki so na voljo stranki, ki ji je bil pogoj enostransko naložen, v primeru neizpolnjevanja pogodbenih obveznosti, ali odgovornosti stranke, ki je enostransko naložila pogoj, v primeru kršitve teh obveznosti;

(c)	izključna pravica stranke, ki je enostransko naložila pogoj, da določi, ali so posredovani podatki v skladu s pogodbo, ali da razlaga kateri koli pogodbeni pogoj.

5. Domneva se, da je pogodbeni pogoj za namene odstavka 3 nepošten, če je njegov cilj ali posledica:

(a)	neustrezna omejitev pravnih sredstev v primeru neizpolnjevanja pogodbenih obveznosti ali odgovornosti v primeru kršitve teh obveznosti ali razširitev odgovornosti podjetja, ki mu je bil enostransko naložen pogoj;

(b)

omogočanje stranki, ki je enostransko naložila pogoj, da dostopa do podatkov druge pogodbene stranke in jih uporablja na način, ki občutno škodi pravnim interesom druge pogodbene stranke, zlasti kadar ti podatki vsebujejo poslovno občutljive podatke ali jih varujejo poslovne skrivnosti ali pravice intelektualne lastnine;

(c)

preprečevanje stranki, ki ji je bil pogoj enostransko naložen, da bi uporabljala podatke, ki jih je zagotovila ali ustvarila v času trajanja pogodbe, ali omejitev uporabe takih podatkov v tolikšni meri, da ta stranka ni upravičena do uporabe takih podatkov, njihovega zajemanja, dostopa do njih ali nadzora nad njimi ali do ustreznega izkoriščanja vrednosti takih podatkov;

(d)	preprečevanje stranki, ki ji je bil pogoj enostransko naložen, da bi sporazum odpovedala v razumnem času;

(e)	preprečevanje stranki, ki ji je bil pogoj enostransko naložen, da bi pridobila kopijo podatkov, ki jih je zagotovila ali ustvarila v času trajanja pogodbe ali v razumnem roku po odpovedi pogodbe;

(f)

omogočanje stranki, ki je enostransko naložila pogoj, da odpove pogodbo v nerazumno kratkem odpovednem roku, ob upoštevanju katere koli razumne možnosti druge pogodbene stranke, da preide na nadomestno in primerljivo storitev, ter finančne škode, ki jo taka odpoved povzroči, razen kadar za to obstajajo resni razlogi;

(g)

omogočanje stranki, ki je enostransko naložila pogoj, da bistveno spremeni ceno, določeno v pogodbi, ali kateri koli drug bistveni pogoj, povezan z naravo, obliko zapisa, kakovostjo ali količino podatkov, ki bodo v souporabi, kadar utemeljen razlog in pravica druge stranke, da v primeru take spremembe odpove pogodbo nista opredeljena v pogodbi.

Točka (g) prvega pododstavka ne vpliva na pogoje, s katerimi si stranka, ki je enostransko naložila pogoj, pridržuje pravico, da enostransko spremeni pogoje pogodbe za nedoločen čas, pod pogojem, da je v pogodbi določen utemeljen razlog za take enostranske spremembe, da mora pogodbena stranka, ki je enostransko uvedla pogoj, drugi pogodbeni stranki v primernem roku posredovati ustrezno obvestilo o vsaki taki nameravani spremembi in da lahko druga pogodbena stranka v primeru spremembe pogodbo brezplačno odpove.

6. Šteje se, da je pogodbeni pogoj enostransko naložen v smislu tega člena, če ga je predložila ena pogodbena stranka, druga pogodbena stranka pa ni mogla vplivati na njegovo vsebino, čeprav se je skušala pogajati o njem. Pogodbena stranka, ki je predložila pogodbeni pogoj, nosi dokazno breme, da ta pogoj ni bil enostransko naložen. Pogodbena stranka, ki je predložila sporni pogodbeni pogoj, ne more trditi, da je pogodbeni pogoj nepošten.

7. Kadar je nepošteni pogodbeni pogoj mogoče ločiti od preostalih pogodbenih pogojev, so preostali pogoji zavezujoči.

8. Ta člen se ne uporablja za pogodbene pogoje, ki opredeljujejo glavni predmet pogodbe, niti za ustreznost cene glede na podatke, dobavljene v zameno.

9. Stranke pogodbe, ki jo zajema odstavek 1, ne izključijo uporabe tega člena, odstopajo od njega ali spreminjajo njegovih učinkov.

POGLAVJE V

DAJANJE PODATKOV NA VOLJO ORGANOM JAVNEGA SEKTORJA, KOMISIJI, EVROPSKI CENTRALNI BANKI IN ORGANOM UNIJE NA PODLAGI IZJEMNE POTREBE

Člen 15

Izjemna potreba po uporabi podatkov

1. Izjemna potreba po uporabi določenih podatkov v smislu tega poglavja je časovno in po obsegu omejena, šteje pa se, da obstaja samo v katerem koli od naslednjih primerov:

(a)	kadar so zahtevani podatki potrebni za odziv na splošno nevarnost in organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije ne more pravočasno in učinkovito ter pod enakimi pogoji takih podatkov pridobiti na drug način;

(b)

v okoliščinah, ki niso zajete v točki (a), in samo glede neosebnih podatkov, kadar:

(i)

organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije deluje na podlagi prava Unije ali nacionalnega prava in opredeli posebne podatke, brez katerih ne more izpolniti posebne naloge, ki se izvaja v javnem interesu in ki je izrecno določena z zakonom, kot je priprava uradne statistike ali ublažitev splošne nevarnosti ali okrevanje po njej, in

(ii)

je organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije izčrpal vse druge razpoložljive načine za pridobitev takih podatkov, tudi nakup neosebnih podatkov na trgu s ponujanjem tržnih cen ali uveljavljanje obstoječih obveznosti dajanja podatkov na voljo ali sprejetje novih zakonodajnih ukrepov, ki bi lahko zagotovili pravočasno razpoložljivost podatkov.

2. Odstavek 1, točka (b), se ne uporablja za mikropodjetja in mala podjetja.

3. Obveznost dokazovanja, da organ javnega sektorja ni mogel pridobiti neosebnih podatkov z nakupom na trgu, se ne uporablja, kadar je posebna naloga, ki se izvaja v javnem interesu, priprava uradne statistike in kadar nakup takih podatkov ni dopusten v skladu z nacionalnim pravom.

Člen 17

Zahteve za dajanje podatkov na voljo

1. Kadar organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije zahteva podatke na podlagi člena 14:

(a)	navede zahtevane podatke, vključno z ustreznimi metapodatki, potrebnimi za razlago in uporabo teh podatkov;

(b)	dokaže, da so izpolnjeni pogoji potrebni za obstoj izjemne potrebe, kot je določeno v členu 15, zaradi katere zahteva podatke;

(c)	pojasni namen zahteve, predvideno uporabo zahtevanih podatkov, po potrebi tudi s strani tretje osebe v skladu z odstavkom 4 tega člena, trajanje te uporabe ter, kadar je ustrezno, kako se bo z njihovo obdelavo obravnavala izjemna potreba;

(d)	navede, če je mogoče, kdaj se pričakuje, da bodo podatke izbrisale vse stranke, ki imajo dostop do njih;

(e)	utemelji izbiro imetnika podatkov, na katerega je naslovil zahtevo;

(f)	navede vse druge organe javnega sektorja ali Komisijo, Evropsko centralno banko ali organe Unije in tretje osebe, za katere se pričakuje, da jim bodo zahtevani podatki dani v souporabo;

(g)	kadar zahteva osebne podatke, navede vse tehnične in organizacijske ukrepe, ki so potrebni in sorazmerni za izvajanje načel varstva podatkov, ter potrebne zaščitne ukrepe, kot na primer psevdonimizacija, in ali lahko imetnik podatkov uporabi anonimizacijo, preden bo dal podatke na voljo;

(h)	navede pravno določbo, na podlagi katere je bila organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije, ki je vložil zahtevo, naložena posebna naloga, ki se izvaja v javnem interesu in je pomembna za zahtevo po podatkih;

(i)	navede rok do katerega je treba podatke dati na voljo in rok iz člena 18(2) v katerem lahko imetnik podatkov zavrne ali zahteva spremembo zahteve;

(j)	si po najboljših močeh prizadeva, da izpolnitev zahteve po podatkih ne bi pomenila, da bi bil imetnik podatkov odgovoren za kršitev prava Unije ali nacionalnega prava.

2. Zahteva za podatke, vložena na podlagi odstavka 1 tega člena:

(a)	je v pisni obliki in izražena v jasnem, jedrnatem in preprostem jeziku, ki je razumljiv imetniku podatkov;

(b)	točno navaja vrsto podatkov, ki se zahtevajo, in se nanaša na podatke, nad katerimi ima imetnik podatkov v času zahteve nadzor;

(c)	je sorazmerna z izjemno potrebo ter ustrezno utemeljena glede podrobnosti in količine zahtevanih podatkov ter pogostosti dostopa do zahtevanih podatkov;

(d)	spoštuje zakonite cilje imetnika podatkov, je zavezana varstvu poslovnih skrivnosti v skladu s členom 19(3), ter upošteva stroške in trud, ki so potrebni za dajanje podatkov na voljo;

(e)

se nanaša na neosebne podatke, in samo če neosebni podatki dokazano ne zadoščajo za odziv na izjemno potrebo po uporabi podatkov v skladu s členom 15(1), točka (a), vsebuje zahtevo po osebnih podatkih, in sicer v psevdonimizirani obliki, poleg tega pa določa tehnične in organizacijske ukrepe, ki se sprejmejo za zaščito podatkov;

(f)	obvesti imetnika podatkov o kaznih, ki jih pristojni organ, imenovan na podlagi člena 37, naloži na podlagi člena 40 v primeru neizpolnjevanja zahteve;

(g)

kadar je zahtevo vložil organ javnega sektorja, se posreduje koordinatorju podatkov države članice iz člena 37, kjer ima organ javnega sektorja, ki je vložil zahtevo, sedež; koordinator podatkov bo napravil zahtevo javno dostopno na spletu brez nepotrebnega odlašanja, razen če meni, da bi taka objava povzročila tveganje za javno varnost;

(h)	kadar zahtevo vloži Komisija, Evropska centralna banka ali organ Unije, se da na voljo na spletu brez nepotrebnega odlašanja;

(i)	kadar se zahtevajo osebni podatki, je brez nepotrebnega odlašanja priglašena nadzornemu organu, odgovornemu za spremljanje uporabe Uredbe (EU) 2016/679 v državi članici, v kateri ima organ javnega sektorja sedež.

Evropska centralna banka in organi Unije obvestijo Komisijo o svojih zahtevah.

3. Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije podatkov, ki so bili pridobljeni na podlagi tega poglavja, ne daje na voljo za ponovno uporabo, kot je določeno v členu 2, točka 2, Uredbe (EU) 2022/868 ali členu 2, točka 11, Direktive (EU) 2019/1024. Uredba (EU) 2022/868 in Direktiva (EU) 2019/1024 se ne uporabljata za podatke, ki jih hranijo organi javnega sektorja in so bili pridobljeni na podlagi tega poglavja.

4. Odstavek 3 tega člena organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije ne preprečuje izmenjave podatkov, pridobljenih na podlagi tega poglavja, z drugim organom javnega sektorja ali Komisijo, Evropsko centralno banko ali organom Unije za izpolnitev nalog iz člena 15, kot je opredeljeno v zahtevi v skladu z odstavkom 1, točka (f), tega člena, ali dajanja podatkov na voljo tretji osebi, kadar je na to tretjo osebo z javno dostopnim sporazumom prenesel zunanje izvajanje tehničnih pregledov ali drugih funkcij. Obveznosti organov javnega sektorja na podlagi člena 19, zlasti zaščitni ukrepi za ohranjanje zaupnosti poslovnih skrivnosti, se uporabljajo tudi za take tretje osebe. Kadar organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije posreduje ali da na voljo podatke na podlagi tega odstavka, o tem brez nepotrebnega odlašanja uradno obvesti imetnika podatkov, od katerega je prejel podatke.

5. Kadar imetnik podatkov meni, da so bile s posredovanjem ali dajanjem podatkov na voljo njegove pravice iz tega poglavja kršene, se lahko pritoži pri pristojnem organu, imenovanem na podlagi člena 37, v državi članici, v kateri ima imetnik podatkov sedež.

6. Komisija pripravi vzorčno predlogo za zahteve na podlagi tega člena.

Člen 18

Izpolnitev zahtev za podatke

1. Imetnik podatkov, ki prejme zahtevo, da na podlagi tega poglavja da podatke na voljo, te podatke brez nepotrebnega odlašanja da na voljo organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije, ki je podatke zahteval, pri čemer upošteva potrebne tehnične, organizacijske in pravne ukrepe.

2. brez poseganja v posebne potrebe glede razpoložljivosti podatkov, opredeljene v pravu Unije ali nacionalnem pravu, lahko imetnik podatkov zavrne ali zahteva spremembo zahteve, da da podatke na voljo na podlagi tega poglavja, brez nepotrebnega odlašanja, v vsakem primeru pa najpozneje v petih delovnih dneh po prejemu zahteve za podatke, potrebne za odziv na splošno nevarnost, v drugih primerih izjemne potrebe pa brez nepotrebnega odlašanja, v vsakem primeru pa v 30 delovnih dneh po prejemu take zahteve, in sicer iz katerega koli od naslednjih razlogov:

(a)	imetnik podatkov nima nadzora nad zahtevanimi podatki;

(b)	podobno zahtevo za isti namen je že vložil drug organ javnega sektorja ali Komisija, Evropska centralna banka ali organ Unije, imetnik podatkov pa ni bil uradno obveščen o izbrisu podatkov na podlagi člena 19(1), točka (c);

(c)	zahteva ne izpolnjuje pogojev iz člena 17(1) in (2).

3. Če se imetnik podatkov odloči, da zahtevo zavrne ali zahteva njeno spremembo v skladu z odstavkom 2, točka (b), navede identiteto organa javnega sektorja, Komisije, Evropske centralne banke ali organa Unije, ki je že prej vložil zahtevo za isti namen.

4. Kadar zahtevani podatki vključujejo osebne podatke, imetnik podatkov ustrezno anonimizira podatke, razen kadar je za izpolnitev zahteve, da se podatki dajo na voljo organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije potrebno razkritje osebnih podatkov. V takih primerih imetnik podatkov psevdonimizira podatke.

5. Kadar želi organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije izpodbijati zavrnitev imetnika podatkov, da bi dal na voljo zahtevane podatke, ali kadar želi imetnik podatkov izpodbijati zahtevo, vprašanja pa ni mogoče razrešiti z ustrezno spremembo zahteve, se zadeva predloži pristojnemu organu, imenovanemu na podlagi člena 37, države članice, v kateri ima imetnik podatkov sedež.

Člen 19

Obveznosti organov javnega sektorja, Komisije, Evropske centralne banke in organov Unije

1. Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije, ki je prejel podatke na podlagi zahteve, vložene na podlagi člena 14:

(a)	podatkov ne uporablja na način, ki ni združljiv z namenom, za katerega so bili zahtevani;

(b)	izvede tehnične in organizacijske ukrepe, ki ohranjajo zaupnost in celovitost zahtevanih podatkov ter varnost prenosov podatkov, zlasti osebnih podatkov, ter varujejo pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki;

(c)

izbriše podatke takoj, ko niso več potrebni za navedeni namen, ter brez nepotrebnega odlašanja obvesti imetnika podatkov in posameznike ali organizacije, ki so prejeli podatke na podlagi člena 21(1), da so bili podatki izbrisani, razen če je treba v skladu s pravom Unije ali nacionalnim pravom o dostopu javnosti do dokumentov v okviru obveznosti glede preglednosti podatke arhivirati.

2. Organ javnega sektorja, Komisija, Evropska centralna banka, organ Unije ali tretja oseba, ki prejme podatke na podlagi tega poglavja:

(a)	ne uporablja podatkov ali vpogleda v gospodarski položaj, sredstva in načine proizvodnje ali delovanja imetnika podatkov za razvoj ali izboljšanje povezanega izdelka ali povezane storitve, ki konkurira povezanemu izdelku ali povezani storitvi imetnika podatkov;

(b)	ne deli podatkov z drugo tretjo osebo za katerega koli od namenov iz točke (a).

3. Razkritje poslovnih skrivnosti organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije se zahteva le v obsegu, v katerem je nujno potrebno za doseganje namena zahteve na podlagi člena 15. V takem primeru imetnik podatkov ali, kadar nista ista oseba, imetnik poslovne skrivnosti, določi, kateri podatki se varujejo kot poslovne skrivnosti, vključno z ustreznimi metapodatki. Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije pred razkritjem poslovne skrivnosti sprejme vse potrebne in ustrezne tehnične in organizacijske ukrepe za ohranitev zaupnosti poslovnih skrivnosti, po potrebi tudi uporabo vzorčnih pogodbenih pogojev, tehničnih standardov in kodeksov ravnanja.

4. Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije je odgovoren za varnost podatkov, ki jih prejme.

Člen 20

Nadomestilo v primerih izjemne potrebe

1. Imetniki podatkov, razen mikropodjetij in malih podjetij, dajo podatke, potrebne za odziv na splošno nevarnost na podlagi člena 15(1), točka (a), na voljo brezplačno. Če imetnik podatkov to zahteva, mu organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije, ki je prejel podatke, za to zagotovi javno priznanje.

2. Imetnik podatkov je upravičen do poštenega nadomestila za dajanje podatkov na voljo v skladu z zahtevo, vloženo na podlagi člena 15(1), točka (b). Tako nadomestilo krije tehnične in organizacijske stroške, nastale zaradi izpolnitve zahteve, ter po potrebi tudi stroške anonimizacije, psevdonimizacije, združevanja in tehnične prilagoditve in razumno maržo. Imetnik podatkov na zahtevo organa javnega sektorja, Komisije, Evropske centralne banke ali organa Unije da na voljo informacije o podlagi za izračun stroškov in razumne marže.

3. Odstavek 2 se uporablja tudi, kadar nadomestilo za dajanje podatkov na voljo zahteva mikropodjetje ali malo podjetje.

4. Imetniki podatkov niso upravičeni do nadomestila za dajanje podatkov na voljo v skladu z zahtevo, vloženo na podlagi člena 15(1), točka (b), kadar je posebna naloga, ki se izvaja v javnem interesu, priprava uradne statistike in kadar nakup podatkov ni dopusten v skladu z nacionalnim pravom. Države članice uradno obvestijo Komisijo, če nakup podatkov za pripravo uradne statistike ni dopusten v skladu z nacionalnim pravom.

5. Kadar se organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije ne strinja z ravnjo nadomestila, ki ga zahteva imetnik podatkov, se lahko pritoži pri pristojnem organu, imenovanem na podlagi člena 37, v državi članici, v kateri ima imetnik podatkov sedež.

Člen 21

Dajanje podatkov, pridobljenih v okviru izjemne potrebe, v souporabo raziskovalnim organizacijam ali statističnim organom

1. Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije ima pravico do dajanja podatkov, prejetih na podlagi tega poglavja, v souporabo:

(a)	posameznikom ali organizacijam za izvedbo znanstvenih raziskav ali analitik, združljivih z namenom, za katerega so bili podatki zahtevani, ali

(b)	nacionalnim statističnim uradom in Eurostatu za pripravo uradne statistike.

2. Posamezniki ali organizacije, ki prejmejo podatke na podlagi odstavka 1, delujejo nepridobitno ali v okviru poslanstva javnega interesa, priznanega v pravu Unije ali nacionalnem pravu. Mednje ne spadajo organizacije, na katere imajo komercialna podjetja znaten vpliv, ki bo verjetno imel za posledico prednostni dostop do izsledkov raziskav.

3. Posamezniki ali organizacije, ki prejmejo podatke na podlagi odstavka 1 tega člena, izpolnjujejo iste obveznosti, kot veljajo za organe javnega sektorja, Komisijo, Evropsko centralno banko ali organe Unije na podlagi člena 17(3) in člena 19.

4. Posamezniki ali organizacije, ki prejmejo podatke na podlagi odstavka 1 tega člena, lahko ne glede na člen 19(1), točka (c), hranijo prejete podatke za namen, za katerega so bili zahtevani, do šest mesecev po tem, ko so organi javnega sektorja, Komisija, Evropska centralna banka in organi Unije te podatke izbrisali.

5. Kadar organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije namerava posredovati ali dati na voljo podatke na podlagi odstavka 1 tega člena, o tem brez nepotrebnega odlašanja uradno obvesti imetnika podatkov, od katerega je prejel podatke, ter navede identiteto in kontaktne podatke organizacije ali posameznika, ki prejme podatke, namen posredovanja ali dajanja podatkov na voljo, obdobje, v katerem se bodo podatki uporabljali, ter sprejete ukrepe tehnične zaščite in organizacijske ukrepe, tudi kadar gre za osebne podatke ali poslovne skrivnosti. Kadar se imetnik podatkov ne strinja s posredovanjem ali dajanjem podatkov na voljo, se lahko pritoži pri pristojnem organu, imenovanem na podlagi člena 37, v državi članici, v kateri ima imetnik podatkov sedež.

Člen 22

Medsebojna pomoč in čezmejno sodelovanje

1. Organi javnega sektorja, Komisija, Evropska centralna banka in organi Unije sodelujejo in drug drugemu pomagajo pri doslednem izvajanju tega poglavja.

2. Podatki, izmenjani v okviru pomoči, za katero se zaprosi in ki se nudi na podlagi odstavka 1, se ne uporabljajo na način, ki ni združljiv z namenom, za katerega so bili zahtevani.

3. Kadar organ javnega sektorja namerava zahtevati podatke od imetnika podatkov s sedežem v drugi državi članici, o tej nameri najprej uradno obvesti pristojni organ, imenovan na podlagi člena 37, v tej državi članici. Ta zahteva velja tudi za zahteve Komisije, Evropske centralne banke in organov Unije. Zahtevo preuči pristojni organ države članice, v kateri ima imetnik podatkov sedež.

4. Ustrezni pristojni organ, potem ko preuči zahtevo glede na zahteve iz člena 17, brez nepotrebnega odlašanja sprejme enega od naslednjih ukrepov:

(a)

zahtevo posreduje imetniku podatkov ter po potrebi da navodilo organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije, ki je vložil zahtevo, glede morebitne potrebe po sodelovanju z organi javnega sektorja države članice, v kateri ima imetnik podatkov sedež, da bi se zmanjšalo upravno breme imetnika podatkov pri izpolnjevanju zahteve;

(b)	zaradi ustrezno utemeljenih razlogov v skladu s tem poglavjem zavrne zahtevo.

Organ javnega sektorja, Komisija, Evropska centralna banka in organ Unije, ki so vložili zahtevo, upoštevajo nasvete in razloge, ki jih je predložil zadevni pristojni organ na podlagi prvega pododstavka, preden po potrebi sprejmejo katere koli nadaljnje ukrepe, kot je ponovna vložitev zahteve.

POGLAVJE VI

ZAMENJAVA STORITEV OBDELAVE PODATKOV

Člen 23

Odprava ovir za učinkovito zamenjavo

Ponudniki storitev obdelave podatkov sprejmejo ukrepe iz členov 25, 26, 27, 29 in 30, da strankam omogočijo, da njihovo storitev zamenjajo s storitvijo obdelave podatkov, ki zajema isto vrsto storitve in jo zagotavlja drug ponudnik storitev obdelave podatkov ali z lokalno infrastrukturo IKT, oziroma, kadar je ustrezno, hkrati uporabljajo več ponudnikov storitev obdelave podatkov. Ponudniki storitev obdelave podatkov predvsem ne postavljajo, temveč odpravijo predkomercialne, poslovne, tehnične, pogodbene in organizacijske ovire, ki strankam preprečujejo:

(a)	odpoved pogodbe o storitvi obdelave podatkov po poteku najdaljšega odpovednega roka in uspešnem zaključku postopka zamenjave v skladu s členom 25;

(b)	sklepanje novih pogodb z drugim ponudnikom storitev obdelave podatkov, ki zajema isto vrsto storitve;

(c)	prenos podatkov, ki jih je mogoče izvoziti in drugih digitalnih sredstev strank k drugemu ponudniku storitev obdelave podatkov ali v lokalno infrastrukturo IKT, tudi po tem, ko so izkoristile brezplačno ponudbo;

(d)	doseganje funkcionalne enakovrednosti pri uporabi nove storitve obdelave podatkov v informacijskem okolju drugega ponudnika storitev obdelave podatkov, ki zajema isto storitev, v skladu s členom 24;

(e)	ločevanje, kadar je tehnično izvedljivo, storitev obdelave podatkov iz člena 30(1) od drugih storitev obdelave podatkov, ki jih zagotavlja ponudnik storitev obdelave podatkov.

Člen 25

Pogodbeni pogoji za zamenjavo

1. Pravice stranke in obveznosti ponudnika storitev obdelave podatkov glede zamenjave ponudnika takih storitev ali, kadar je ustrezno, prehoda na lokalno infrastrukturo IKT so jasno določene v pisni pogodbi. Ponudnik storitev obdelave podatkov da to pogodbo stranki na voljo še pred podpisom pogodbe na način, ki stranki omogoča, da pogodbo shrani in reproducira.

2. brez poseganja v Direktivo (EU) 2019/770, pogodba iz odstavka 1 tega člena vključuje vsaj:

(a)

klavzule, ki stranki omogočajo, da na zahtevo preide na storitev obdelave podatkov, ki jo ponuja drug ponudnik storitev obdelave podatkov, ali da vse podatke, ki jih je mogoče izvoziti, in digitalna sredstva prenese v lokalno infrastrukturo IKT, brez nepotrebnega odlašanja in v vsakem primeru najpozneje v roku obveznega najdaljšega prehodnega obdobja 30 koledarskih dni, ki se začne po najdaljšem odpovednem roku iz točke (d), v katerem je pogodba o storitvah še naprej veljavna in v katerem ponudnik storitev obdelave podatkov:

(i)	v postopku zamenjave razumno pomaga stranki in tretjim osebam, ki jih je stranka pooblastila;

(ii)	deluje s potrebno skrbnostjo, da ohrani neprekinjeno poslovanje ter še naprej zagotavlja funkcije ali storitve na podlagi pogodbe;

(iii)

zagotovi jasne informacije o znanih tveganjih za neprekinjeno zagotavljanje funkcij ali storitev s strani izvornega ponudnika storitev obdelave podatkov;

(iv)	zagotovi, da je med celotnim postopkom zamenjave ohranjena visoka raven varnosti, zlasti varnost podatkov med njihovim prenosom in nadaljnja varnost podatkov med obdobjem priklica, določenim v točki (g), v skladu z veljavnim pravom Unije ali nacionalnim pravom;

(b)	obveznost ponudnika storitev obdelave podatkov, da podpira izhodno strategijo stranke, relevantno za pogodbene storitve, vključno z zagotavljanjem vseh ustreznih informacij;

(c)

klavzulo, ki določa, da se šteje, da je pogodba odpovedana, in da je treba stranko uradno obvestiti o odpovedi v enem od naslednjih primerov:

(i)	kadar je ustrezno, po uspešnem zaključku postopka zamenjave;

(ii)	po koncu najdaljšega odpovednega roka iz odstavka (d), kadar stranka po odpovedi storitve noče izvesti zamenjave, temveč hoče izbrisati svoje podatke, ki jih je mogoče izvoziti, in digitalna sredstva;

(d)	najdaljši odpovedni rok za začetek postopka zamenjave, ki ni daljši od dveh mesecev;

(e)	izčrpno specifikacijo vseh kategorij podatkov in digitalnih sredstev, ki jih je mogoče prenesti med postopkom zamenjave, vključno vsaj z vsemi podatki, ki jih je mogoče izvoziti;

(f)

izčrpno specifikacijo kategorij podatkov, specifičnih za notranje delovanje ponudnikove storitve obdelave podatkov, ki jih je treba izvzeti iz podatkov, ki jih je mogoče izvoziti na podlagi točke (e) tega odstavka, kadar obstaja tveganje, da bodo kršene poslovne skrivnosti ponudnika, če tako izvzetje ne ovira ali povzroča zamud pri postopku zamenjave iz člena 23;

(g)	najkrajše obdobje za priklic podatkov, ki traja vsaj 30 koledarskih dni in se začne po koncu prehodnega obdobja, o katerem sta se dogovorila stranka in ponudnik storitev obdelave podatkov v skladu s točko (a) tega odstavka in odstavkom 4;

(h)

klavzulo, ki jamči, da bodo po poteku obdobja priklica iz točke (g) oziroma po poteku drugega dogovorjenega obdobja na dan, ki je poznejši od dneva poteka obdobja priklica iz točke (g), v celoti izbrisani vsi podatki, ki jih je mogoče izvoziti, in digitalna sredstva, ki jih je stranka ustvarila neposredno ali ki neposredno zadevajo stranko, pod pogojem, da je bil postopek zamenjave uspešno zaključen;

(i)	povračila za zamenjavo, ki jih lahko zaračunajo ponudniki storitev obdelave podatkov v skladu s členom 29.

3. Pogodba iz odstavka 1, vključuje klavzule o tem, da lahko stranka uradno obvesti ponudnika storitev obdelave podatkov o svoji odločitvi, da bo po koncu najdaljšega odpovednega roka iz odstavka 2, točka (d), izvedla eno ali več od naslednjih dejanj:

(a)	ponudnika zamenjala za drugega ponudnika storitev obdelave podatkov, pri čemer stranka zagotovi potrebne podatke o tem ponudniku;

(b)	prešla na lokalno infrastrukturo IKT;

(c)	izbrisala svoje podatke, ki jih je mogoče izvoziti, in digitalna sredstva.

4. Kadar je obvezno najdaljše prehodno obdobje, kot je določeno v odstavku 2, točka (a), tehnično neizvedljivo, ponudnik storitev obdelave podatkov o tem uradno obvesti stranko v 14 delovnih dneh od vložitve zahteve za zamenjavo ponudnika ter tehnično neizvedljivost ustrezno utemelji in navede nadomestno prehodno obdobje, ki ne sme biti daljše od sedmih mesecev. V skladu z odstavkom 1 se v celotnem nadomestnem prehodnem obdobju zagotovi neprekinjenost storitev.

5. brez poseganja v odstavek 4, pogodba iz odstavka 1 vključuje klavzule, ki stranki zagotavljajo pravico, da prehodno obdobje enkrat podaljša za obdobje, ki se stranki zdi primernejše za lastne potrebe.

Člen 29

Postopna odprava povračil za zamenjavo

1. Od 12. januarja 2027 ponudniki storitev obdelave podatkov stranki v postopku zamenjave ne zaračunavajo nobenih povračil za zamenjavo.

2. Od 11. januarja 2024 do 12. januarja 2027 lahko ponudniki storitev obdelave podatkov stranki v postopku zamenjave zaračunavajo nižja povračila za zamenjavo.

3. Nižja povračila za zamenjavo iz odstavka 2 ne presegajo stroškov, ki nastanejo ponudniku storitev obdelave podatkov in so neposredno povezani z zadevnim postopkom zamenjave.

4. Ponudniki storitev obdelave podatkov potencialni stranki pred sklenitvijo pogodbe z njo zagotovijo jasne informacije o standardnih pristojbinah za storitve in kaznih za predčasno odpoved, ki se lahko zaračunajo, pa tudi o nižjih povračilih za zamenjavo, ki se lahko zaračunajo v obdobju iz odstavka 2.

5. Kadar je ustrezno, ponudniki storitev obdelave podatkov stranki zagotovijo informacije o storitvah obdelave podatkov, povezanih z zelo zapleteno ali drago zamenjavo ali kjer zamenjave ni mogoče opraviti brez večjega poseganja v podatke, digitalna sredstva ali storitveno arhitekturo.

6. Kadar je ustrezno, dajo ponudniki storitev obdelave podatkov informacije iz odstavkov 4 in 5 strankam na voljo tako, da jih javno objavijo na posebnem razdelku na svojem spletnem mestu ali na drug enostavno dostopen način.

7. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 45 za dopolnitev te uredbe z uvedbo mehanizma spremljanja, s katerim bo spremljala povračila za zamenjavo, ki jih na trgu zaračunavajo ponudniki storitev obdelave podatkov, ter tako zagotovila, da bodo povračila za zamenjavo na podlagi odstavkov 1 in 2 tega člena odpravljena in zmanjšana v rokih iz navedenih odstavkov.

Člen 30

Tehnični vidiki zamenjave

1. Ponudniki storitev obdelave podatkov, ki zadevajo prožne in prilagodljive računalniške vire, omejene na infrastrukturne elemente, kot so strežniki, omrežja in virtualni viri, potrebni za upravljanje infrastrukture, toda ki ne zagotavljajo dostopa do operativnih storitev, programske opreme in aplikacij, ki se shranjujejo, kako drugače obdelujejo ali uporabljajo na teh infrastrukturnih elementih, v skladu s členom 27 sprejmejo vse razumne ukrepe v svoji moči, da stranki po prehodu na storitev, ki zajema isto vrsto storitve, olajšajo doseganje funkcionalne enakovrednosti pri uporabi ciljne storitve obdelave podatkov. Izvorni ponudnik storitev obdelave podatkov olajša postopek zamenjave z zagotavljanjem zmogljivosti, ustreznih informacij, dokumentacije, tehnične podpore in, kadar je ustrezno, potrebnih orodij.

2. Ponudniki storitev obdelave podatkov, ki niso navedeni v odstavku 1, dajo odprte vmesnike v enakem obsegu in brezplačno na voljo vsem svojim strankam in zadevnim ciljnim ponudnikom storitev obdelave podatkov ter tako olajšajo postopek zamenjave. Ti vmesniki vključujejo dovolj informacij o zadevni storitvi, da omogočijo razvoj programske opreme za komuniciranje s storitvami za namene prenosljivosti in interoperabilnosti podatkov.

3. Za storitve obdelave podatkov, ki niso navedene v odstavku 1 tega člena, ponudniki storitev obdelave podatkov zagotovijo združljivost s skupnimi specifikacijami, utemeljenimi na odprtih specifikacijah za interoperabilnost ali harmoniziranih standardih za interoperabilnost, vsaj 12 mesecev po objavi sklicev na navedene skupne specifikacije ali harmonizirane standarde za interoperabilnost storitev obdelave podatkov v centralnem odložišču Unije za standarde za interoperabilnost storitev obdelave podatkov, ki sledi objavi osnovnih izvedbenih aktov v Uradnem listu Evropske unije v skladu s členom 35(8).

4. Ponudniki storitev obdelave podatkov, ki niso navedene v odstavku 1 tega člena, posodabljajo spletni register iz člena 26, točka (b), v skladu s svojimi obveznostmi iz odstavka 3 tega člena.

5. Ob zamenjavi med storitvami iste vrste, za katere skupne specifikacije ali harmonizirani standardi za interoperabilnost iz odstavka 3 tega člena niso bili objavljeni v centralnem odložišču Unije za standarde za interoperabilnost storitev obdelave podatkov v skladu s členom 35(8), ponudnik storitev obdelave podatkov na zahtevo stranke izvozi vse podatke, ki jih je mogoče izvoziti, v strukturirani, splošno uporabljani in strojno berljivi obliki.

6. Od ponudnikov storitev obdelave podatkov se ne zahteva, da razvijejo nove tehnologije ali storitve ali razkrijejo ali prenesejo digitalna sredstva, ki so zaščitena s pravicami intelektualne lastnine ali predstavljajo poslovne skrivnosti, stranki ali drugemu ponudniku storitev obdelave podatkov ali ogrožajo varnost stranke ali ponudnika ali celovitost storitve.

Člen 32

Mednarodni vladni dostop in prenos

1. brez poseganja v odstavek 2 ali 3 ponudniki storitev obdelave podatkov sprejmejo vse ustrezne tehnične, organizacijske in pravne ukrepe, vključno s pogodbami, da preprečijo mednarodni prenos in dostop ter prenos in dostop državnih organov tretjih držav do neosebnih podatkov, ki se hranijo v Uniji, kadar bi bil tak prenos ali dostop v nasprotju s pravom Unije ali nacionalnim pravom zadevne države članice.

2. Vsaka odločba ali sodba sodišča tretje države in odločba upravnega organa tretje države, ki od ponudnika storitev obdelave podatkov zahteva prenos ali zagotovitev dostopa do neosebnih podatkov, ki spadajo na področje uporabe te uredbe in se hranijo v Uniji, se prizna ali izvrši, na kateri koli način, le, če temelji na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, ki velja med tretjo državo prosilko in Unijo, ali katerem koli takem sporazumu med tretjo državo prosilko in državo članico.

3. Če mednarodnega sporazuma iz odstavka 2 ni in kadar je na ponudnika storitev obdelave podatkov naslovljena odločba ali sodba sodišča tretje države ali odločba upravnega organa tretje države o prenosu ali zagotovitvi dostopa do neosebnih podatkov, ki spadajo na področje uporabe te uredbe in se hranijo v Uniji, naslovnik pa bi lahko zaradi spoštovanja take odločbe ravnal v nasprotju s pravom Unije ali nacionalnim pravom zadevne države članice, se temu organu tretje države taki podatki prenesejo ali omogoči dostop do njih le, kadar:

(a)	je v sistemu tretje države potrebna navedba razlogov in sorazmernosti take odločbe ali sodbe, za tako odločbo ali sodbo pa se zahteva, da je po naravi specifična, npr. z vzpostavitvijo zadostne povezave z določenimi osumljenimi osebami ali kršitvami;

(b)	naslovnikov utemeljeni ugovor obravnava pristojno sodišče tretje države in

(c)	je pristojno sodišče tretje države, ki izda odločbo ali sodbo ali obravnava odločbo upravnega organa, na podlagi prava te tretje države pooblaščeno za upoštevanje ustreznih pravnih interesov ponudnika podatkov, zaščitenih s pravom Unije ali nacionalnim pravom zadevne države članice.

Naslovnik odločbe ali sodbe lahko zaprosi za mnenje ustrezno nacionalno telo ali organ, pristojen za mednarodno sodelovanje v pravnih zadevah, da bi ugotovil, ali so pogoji iz prvega pododstavka izpolnjeni, zlasti kadar meni, da bi se odločba lahko nanašala na poslovne skrivnosti in druge poslovno občutljive podatke ter na vsebino, zaščiteno s pravicami intelektualne lastnine, ali da bi prenos lahko povzročil deanonimizacijo. Zadevno nacionalno telo ali organ se lahko posvetuje s Komisijo. Če naslovnik meni, da bi odločba ali sodba lahko vplivala na interese nacionalne varnosti ali obrambne interese Unije ali njenih držav članic, za mnenje zaprosi ustrezno nacionalno telo ali organ, da bi ugotovil, ali zahtevani podatki zadevajo nacionalne varnostne ali obrambne interese Unije ali njenih držav članic. Če naslovnik odgovora ne prejme v enem mesecu ali če tako telo ali organ meni, da pogoji iz prvega pododstavka niso izpolnjeni, lahko na tej podlagi zavrne zahtevo za prenos neosebnih podatkov ali dostop do njih.

EDIB iz člena 42 svetuje in pomaga Komisiji pri pripravi smernic za ocenjevanje, ali so pogoji iz prvega pododstavka tega odstavka izpolnjeni.

4. Če so izpolnjeni pogoji iz odstavka 2 ali 3, ponudnik storitev obdelave podatkov v odgovor na zahtevo da na voljo podatke v najmanjšem dovoljenem obsegu na podlagi razumne razlage te zahteve s strani ponudnika ali ustreznega nacionalnega telesa ali organa iz odstavka 3, drugi pododstavek.

5. Ponudnik storitev obdelave podatkov imetnika podatkov obvesti o zahtevi upravnega organa tretje države za dostop do njegovih podatkov pred izpolnitvijo zadevne zahteve, razen kadar gre za zahtevo za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj in dokler je to potrebno za ohranitev učinkovitosti dejavnosti preprečevanja, odkrivanja in preiskovanja kaznivih dejanj.

POGLAVJE VIII

INTEROPERABILNOST

Člen 37

Pristojni organi in koordinatorji podatkov

1. Vsaka država članica imenuje enega ali več pristojnih organov, ki so odgovorni za uporabo in izvrševanje te uredbe (pristojni organi). Države članice lahko ustanovijo enega ali več novih organov ali naloge poverijo obstoječim organom.

2. Kadar država članica imenuje več kot en pristojni organ, enega od njih imenuje za koordinatorja podatkov, ki bo olajšal sodelovanje med pristojnimi organi in pomagal subjektom s področja uporabe te uredbe pri vseh zadevah, povezanih z njeno uporabo in izvrševanjem. Pristojni organi pri izvajanju nalog in pooblastil, ki so jim dodeljena v skladu z odstavkom 5, sodelujejo med seboj.

3. Nadzorni organi, odgovorni za spremljanje uporabe Uredbe (EU) 2016/679, so odgovorni za spremljanje uporabe te uredbe, kar zadeva varstvo osebnih podatkov. Pri tem se smiselno uporabljata poglavji VI in VII Uredbe (EU) 2016/679.

Evropski nadzornik za varstvo podatkov je odgovoren za spremljanje, kako to uredbo uporabljajo Komisija, Evropska centralna banka ali organi Unije. Pri tem se, kadar je ustrezno, smiselno uporablja člen 62 Uredbe (EU) 2018/1725.

Kar zadeva obdelavo osebnih podatkov, naloge in pooblastila izvajajo nadzorni organi iz tega odstavka.

4. brez poseganja v odstavek 1 tega člena velja naslednje:

(a)	glede posebnih sektorskih vprašanj v zvezi z dostopom do podatkov in njihovo uporabo, povezanih z uporabo te uredbe, se spoštuje pristojnost sektorskih organov;

(b)	pristojni organ, odgovoren za uporabo in izvrševanje členov 23 do 31 ter členov 34 in 35, ima izkušnje na področju podatkovnih in elektronskih komunikacijskih storitev.

5. Države članice zagotovijo, da so naloge in pooblastila pristojnih organov jasno opredeljena in vključujejo:

(a)	spodbujanje podatkovne pismenosti in ozaveščenosti uporabnikov in subjektov, ki spadajo na področje uporabe te uredbe, o pravicah in obveznostih na podlagi te uredbe;

(b)

obravnavo pritožb zaradi domnevnih kršitev te uredbe, tudi v zvezi s poslovnimi skrivnostmi, in preiskavo predmeta pritožb v ustreznem obsegu in redno obveščanje pritožnikov, kadar je to ustrezno in v skladu z nacionalnim pravom, o poteku in rezultatu preiskave v razumnem roku, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim pristojnim organom;

(c)	izvedbo preiskav o zadevah v zvezi z uporabo te uredbe, tudi na podlagi informacij, ki jih prejmejo od drugega pristojnega organa ali drugega javnega organa;

(d)	nalaganje učinkovitih, sorazmernih in odvračilnih denarnih kazni, ki lahko vključujejo periodične kazni in kazni z retroaktivnim učinkom, ali sprožitev sodnega postopka za naložitev glob;

(e)	spremljanje tehnološkega in ustreznega poslovnega razvoja, ki je pomemben za dajanje podatkov na voljo in njihovo uporabo;

(f)	sodelovanje s pristojnimi organi drugih držav članic ter, kadar je ustrezno, s Komisijo ali EDIB, da bi zagotovili dosledno in učinkovito uporabo te uredbe, vključno z izmenjavo vseh pomembnih informacij po elektronski poti brez nepotrebnega odlašanja, tudi v zvezi z odstavkom 10 tega člena;

(g)

sodelovanje z ustreznimi pristojnimi organi, odgovornimi za izvajanje drugih pravnih aktov Unije ali nacionalnih pravnih aktov, tudi z organi s pristojnostjo na področju podatkovnih in elektronskih komunikacijskih storitev, z nadzornim organom, odgovornim za spremljanje uporabe Uredbe (EU) 2016/679, ali s sektorskimi organi, da bi zagotovili, da se ta uredba izvršuje dosledno z drugim pravom Unije in nacionalnim pravom;

(h)	sodelovanje z ustreznimi pristojnimi organi, da bi zagotovili, da se členi 23 do 31 ter člena 34 in 35 izvršujejo usklajeno z drugim pravom Unije in samoregulacijo, ki se uporablja za ponudnike storitev obdelave podatkov;

(i)	zagotovitev, da se povračila za zamenjavo odpravijo v skladu s členom 29;

(j)	preučevanje zahtev za podatke, vloženih na podlagi poglavja V.

Kadar je imenovan, koordinator podatkov olajša sodelovanje iz točk (f), (g) in (h) prvega pododstavka in pristojnim organom na njihovo zahtevo pomaga;

6. Koordinator podatkov, kadar je tak pristojni organ imenovan:

(a)	deluje kot enotna kontaktna točka za vsa vprašanja v zvezi z uporabo te uredbe;

(b)	zagotavlja spletno javno razpoložljivost zahtev za dajanje podatkov na voljo, ki jih vložijo organi javnega sektorja v primeru izjemne potrebe na podlagi poglavja V, ter spodbuja prostovoljne sporazume o souporabi podatkov med organi javnega sektorja in imetniki podatkov;

(c)	letno obvešča Komisijo o zavrnitvah, priglašenih na podlagi člena 4(2) in (8) in člena 5(11).

7. Države članice Komisijo uradno obvestijo o imenih pristojnih organov, njihovih nalogah in pooblastilih ter, kadar je ustrezno, imenu koordinatorja podatkov. Komisija vodi javni register teh organov.

8. Pristojni organi so pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to uredbo nepristranski in niso pod neposrednim ali posrednim zunanjim vplivom ter ne zahtevajo in ne sprejemajo navodil za posamezne primere od katerega koli drugega javnega organa ali zasebne osebe.

9. Države članice zagotovijo, da imajo pristojni organi na voljo dovolj človeških in tehnoloških virov ter ustrezno strokovno znanje za učinkovito opravljanje svojih nalog v skladu s to uredbo.

10. Subjekti, ki spadajo na področje uporabe te uredbe, so pod pristojnostjo države članice, v kateri ima subjekt sedež. Kadar ima subjekt sedež v več kot eni državi članici, se šteje, da je pod pristojnostjo države članice, v kateri ima glavi sedež, tj. v kateri ima subjekt glavni urad ali registrirani urad, iz katerega se izvajajo glavne finančne funkcije in operativni nadzor.

11. Subjekt, ki spada na področje uporabe te uredbe in daje povezane izdelke na voljo ali ponuja storitve v Uniji, vendar v Uniji nima sedeža, imenuje zakonitega zastopnika v eni od držav članic.

12. Za namen zagotavljanja skladnosti s to uredbo je zakoniti zastopnik s strani subjekta, ki spada na področje uporabe te uredbe in daje povezane izdelke na voljo ali ponuja storitve v Uniji, pooblaščen, da se pristojni organi v zvezi z vsemi vprašanji, povezanimi z zadevnim subjektom, poleg na subjekt obrnejo tudi nanj ali pa samo nanj. Zadevni zakoniti zastopnik sodeluje s pristojnimi organi in jim na zahtevo izčrpno prikaže, kako je subjekt, ki spada na področje uporabe te uredbe in daje povezane izdelke na voljo ali ponuja storitve v Uniji, ukrepal in katere določbe je uvedel, da bi zagotovil skladnost s to uredbo.

13. Za subjekt, ki spada na področje uporabe te uredbe in daje povezane izdelke na voljo ali ponuja storitve v Uniji, se šteje, da je pod pristojnostjo države članice, v kateri je njegov zakoniti zastopnik. Imenovanje zakonitega zastopnika s strani takega subjekta ne posega v odgovornost in morebitne pravne ukrepe, ki bi lahko bili uvedeni proti takemu subjektu. Dokler subjekt ne imenuje zakonitega zastopnika v skladu s tem členom, je, kadar je primerno, za namene zagotavljanja uporabe in izvrševanja te uredbe pod pristojnostjo vseh držav članic. Vsak pristojni organ lahko izvaja svojo pristojnost, tudi z naložitvijo učinkovitih, sorazmernih in odvračilnih kazni, pod pogojem, da ni že drug organ uvedel izvršilnih postopkov na podlagi te uredbe proti subjektu zaradi istih dejstev.

14. Pristojni organi so pooblaščeni, da od uporabnikov, imetnikov podatkov ali prejemnikov podatkov ali njihovih zakonitih zastopnikov, ki spadajo pod pristojnost njihove države članice, zahtevajo vse informacije, potrebne za preverjanje skladnosti s to uredbo. Vsaka zahteva po informacijah mora biti sorazmerna z opravljanjem povezane naloge in obrazložena.

15. Kadar pristojni organ v eni državi članici zaprosi za pomoč ali izvršilne ukrepe pristojni organ v drugi državi članici, predloži ustrezno obrazloženo prošnjo. Pristojni organ po prejetju take prošnje odgovori brez nepotrebnega odlašanja in podrobno opiše ukrepe, ki jih je sprejel ali jih namerava sprejeti.

16. Pristojni organi upoštevajo načela zaupnosti ter poklicne in poslovne skrivnosti in varujejo osebne podatke v skladu s pravom Unije ali nacionalnim pravom. Vse informacije, ki se izmenjajo v okviru prošnje za pomoč in zagotovijo na podlagi tega člena, se uporabljajo samo v zvezi z zadevo, za katero so bile zaprošene.

Člen 38

Pravica do vložitve pritožbe

1. brez poseganja v katero koli drugo upravno ali sodno pravno sredstvo imajo fizične in pravne osebe pravico, da posamično ali, kadar je ustrezno, skupaj vložijo pritožbo pri ustreznem pristojnem organu v državi članici svojega običajnega prebivališča, kraja dela ali sedeža, če menijo, da so bile kršene njihove pravice iz te uredbe. Koordinator podatkov na zahtevo fizičnim in pravnim osebam zagotovi vse potrebne informacije za vložitev njihovih pritožb pri ustreznem pristojnem organu.

2. Pristojni organ, pri katerem je bila vložena pritožba, pritožnika v skladu z nacionalnim pravom obvešča o poteku postopka in sprejeti odločitvi.

3. Pristojni organi sodelujejo, da pritožbe obravnavajo in rešujejo učinkovito in hitro, tudi z izmenjavo vseh ustreznih informacij po elektronski poti brez nepotrebnega odlašanja. To sodelovanje ne vpliva na mehanizme sodelovanja iz poglavij VI in VII Uredbe (EU) 2016/679 ter iz Uredbe (EU) 2017/2394.

Člen 40

Kazni

1. Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve te uredbe, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.

2. Države članice o teh pravilih in ukrepih uradno obvestijo Komisijo do 12. septembra 2025 ter jo brez odlašanja uradno obvestijo o vsaki naknadni spremembi, ki nanje vpliva. Komisija redno posodablja in vodi enostavno dostopen javni register teh ukrepov.

3. Države članice pri nalaganju kazni za kršitve te uredbe upoštevajo priporočila EDIB in naslednja neizčrpna merila:

(a)	naravo, resnost, razsežnost in trajanje kršitve;

(b)	morebitne ukrepe, ki jih je kršitelj sprejel za ublažitev ali odpravo škode, povzročene s kršitvijo;

(c)	morebitne predhodne kršitve kršitelja;

(d)	pridobljene finančne koristi ali preprečene izgube, ki jih je kršitelj pridobil s kršitvijo, če je take koristi ali izgube mogoče zanesljivo ugotoviti;

(e)	morebiten drug oteževalni ali olajševalni dejavnik v zvezi z okoliščinami primera;

(f)	letni promet kršitelja v preteklem proračunskem letu v Uniji.

4. Za kršitve obveznosti iz poglavij II, III in V te uredbe lahko nadzorni organi odgovorni za spremljanje uporabe Uredbe (EU) 2016/679 v okviru svojih pristojnosti naložijo upravne globe v skladu s členom 83 Uredbe (EU) 2016/679 do zneska iz člena 83(5) navedene uredbe.

5. Za kršitve obveznosti iz poglavja V te uredbe lahko Evropski nadzornik za varstvo podatkov v okviru svojih pristojnosti naloži upravne globe v skladu s členom 66 Uredbe (EU) 2018/1725 do zneska iz člena 66(3) navedene uredbe.

whereas

keyboard_tab Data Act 2023/2854 SL

Data Act 2023/2854 SL