Sveobuhvatan pregled Akta o podacima, uključujući njegove ciljeve i način na koji on funkcionira u praksi.
Zašto Zakon o podacima?
Akt o podacima zakon je osmišljen za poboljšanje podatkovnog gospodarstva EU-a i poticanje konkurentnog tržišta podataka tako što će podatke (posebno industrijske podatke) učiniti pristupačnijima i upotrebljivijima, poticati inovacije utemeljene na podacima i povećati dostupnost podataka. Kako bi se to postiglo, Aktom o podacima osigurava se pravednost u raspodjeli vrijednosti podataka među akterima u podatkovnom gospodarstvu. Pojašnjava se tko može koristiti koje podatke i pod kojim uvjetima.
Posljednjih godina došlo je do brzog rasta dostupnosti proizvoda povezanih s internetom („povezani proizvodi”) na europskom tržištu. Ti proizvodi, koji zajedno čine mrežu poznatu kao internet stvari (IoT), znatno povećavaju količinu podataka dostupnih za ponovnu uporabu u EU-u. To predstavlja ogroman potencijal za inovacije i konkurentnost u EU-u.
Zakon o podacima korisnicima povezanih proizvoda (poduzeća ili pojedinaca koji posjeduju, iznajmljuju ili iznajmljuju takav proizvod) daje veću kontrolu nad podacima koje generiraju, zadržavajući poticaje za one koji ulažu u podatkovne tehnologije. Osim toga, njome se utvrđuju opći uvjeti za situacije u kojima poduzeće ima zakonsku obvezu dijeliti podatke s drugim poduzećem.
Akt o podacima uključuje i mjere za povećanje pravednosti i tržišnog natjecanja na europskom tržištu računalstva u oblaku te za zaštitu poduzeća od nepoštenih ugovornih uvjeta povezanih s razmjenom podataka koje nameću jači akteri. Njome se također uspostavlja mehanizam putem kojeg tijela javnog sektora mogu zatražiti podatke od poduzeća za koje postoji iznimna potreba, primjerice u izvanrednim situacijama, te se utvrđuju jasna pravila o načinu podnošenja takvih zahtjeva. Osim toga, njome se uvode zaštitne mjere kako bi se izbjeglo da državna tijela iz trećih zemalja imaju pristup neosobnim podacima ako bi to bilo protivno pravu EU-a ili nacionalnom pravu. Naposljetku, Aktom o podacima utvrđuju se ključni zahtjevi u pogledu interoperabilnosti kako bi se osigurao neometan protok podataka između sektora i država članica, što se olakšava zajedničkim europskim podatkovnim prostorima, kao i među pružateljima usluga obrade podataka.
Akt o podacima objavljen je u Službenom listu EU-a 22. prosinca 2023. i počet će se primjenjivati 12. rujna 2025.
Aktom o podacima dopunjuje se Akt o upravljanju podacima, prvi rezultat u okviru europske strategije za podatke. Akt o upravljanju podacima počeo se primjenjivati u rujnu 2023. Iako se Aktom o upravljanju podacima povećava povjerenje u dobrovoljne mehanizme za razmjenu podataka, Aktom o podacima pruža se pravna jasnoća u pogledu pristupa podacima i njihove upotrebe.
Zajedno s drugim mjerama politike i mogućnostima financiranja, te dvije uredbe pridonijet će uspostavi jedinstvenog tržišta EU-a za podatke, čime će Europa postati predvodnik u podatkovnom gospodarstvu iskorištavanjem potencijala sve većih količina podataka, posebno industrijskih podataka, u korist europskog gospodarstva i društva.
Riješena pitanja
U skladu s općim odredbama (poglavlje I.) kojima se utvrđuje područje primjene uredbe i definiraju ključni pojmovi, Akt o podacima strukturiran je u šest glavnih poglavlja:
Poglavlje II. o razmjeni podataka između poduzeća i potrošača u kontekstu interneta stvari: korisnici IoT objekata mogu pristupiti, koristiti i prenositi podatke koje zajednički generiraju korištenjem povezanog proizvoda.
Poglavlje III. o razmjeni podataka među poduzećima: time se pojašnjavaju uvjeti razmjene podataka kad god je poduzeće zakonom, među ostalim putem Zakona o podacima, obvezno dijeliti podatke s drugim poduzećem.
Poglavlje IV. o nepoštenim ugovornim odredbama: tim se odredbama sva poduzeća, a posebno mala i srednja poduzeća, štite od nepoštenih ugovornih uvjeta koji su im nametnuti.
Poglavlje V. o razmjeni podataka između poduzeća i državnih tijela: tijela javnog sektora moći će donositi više odluka utemeljenih na dokazima u određenim situacijama iznimne potrebe mjerama za pristup određenim podacima u posjedu privatnog sektora.
Poglavlje VI. o promjeni između usluga obrade podataka: pružatelji usluga računalstva u oblaku i računalstva na rubu mreže moraju ispunjavati minimalne zahtjeve kako bi se olakšala interoperabilnost i omogućila promjena pružatelja usluga.
Poglavlje VII. o nezakonitom pristupu vlade trećih zemalja podacima: neosobni podaci pohranjeni u EU-u zaštićeni su od nezakonitih zahtjeva za pristup stranih vlada.
Poglavlje VIII. o interoperabilnosti: sudionici u podatkovnim prostorima moraju ispunjavati kriterije kako bi omogućili protok podataka unutar podatkovnih prostora i među njima. Repozitorij EU-a utvrdit će relevantne standarde i specifikacije za interoperabilnost u oblaku.
Poglavlje IX. o izvršenju: Države članice moraju imenovati jedno ili više nadležnih tijela za praćenje i provedbu Akta o podacima. Ako je imenovano više od jednog tijela, mora se imenovati „koordinator podataka” koji djeluje kao jedinstvena kontaktna točka na nacionalnoj razini.
Poglavlje II.: Razmjena podataka između poduzeća i potrošača u kontekstu tržišta interneta stvari
Zašto?
Ključni je cilj Akta o podacima stvoriti pravednost u podatkovnom gospodarstvu i omogućiti korisnicima da iskoriste vrijednost iz podataka koje generiraju upotrebom povezanih proizvoda koje posjeduju, iznajmljuju ili iznajmljuju.
Zakonom o podacima omogućuje se korisnicima povezanih proizvoda (npr. povezanih automobila, medicinskih uređaja i uređaja za fitness, industrijskih ili poljoprivrednih strojeva) i povezanih usluga (tj. svega zbog čega bi povezani proizvod djelovao na određeni način, kao što je aplikacija za prilagodbu svjetline svjetala ili reguliranje temperature hladnjaka) da pristupe podacima koje zajednički stvaraju upotrebom povezanih proizvoda/povezanih usluga.
Dostupnost takvih podataka znatno će utjecati na gospodarstvo. Na primjer, podaci generirani povezanim proizvodima i povezanim uslugama mogu se upotrijebiti za poticanje posttržišnih i pomoćnih usluga te za stvaranje potpuno novih usluga, od čega koristi imaju i poduzeća i potrošači.
Primjeri povezanih proizvoda: potrošački proizvodi (npr. povezani automobili, uređaji za praćenje zdravlja, pametni kućni uređaji), drugi proizvodi (npr. zrakoplovi, roboti, industrijski strojevi).
Primjer povezane usluge: korisnik kupuje perilicu rublja i instalira aplikaciju koja im omogućuje mjerenje utjecaja ciklusa pranja na okoliš na temelju podataka iz različitih senzora unutar stroja i u skladu s tim prilagođava ciklus. Taj bi se zahtjev smatrao povezanom uslugom.
Primjeri posttržišnih i pomoćnih usluga: usluge popravka i održavanja, osiguranje temeljeno na podacima.
Vrste podataka u području primjene
Poglavlje II. Zakona o podacima o razmjeni podataka između poduzeća i između poduzeća i potrošača primjenjuje se na sve neobrađene i prethodno obrađene podatke dobivene uporabom povezanog proizvoda ili povezane usluge koji su lako dostupni vlasniku podataka (npr. proizvođaču povezanog proizvoda/pružatelju povezane usluge), odnosno podacima kojima se može lako pristupiti bez nerazmjernih napora i koji nadilaze jednostavnu operaciju. To se odnosi i na osobne i na neosobne podatke, uključujući relevantne metapodatke.
Takvi podaci uključuju podatke prikupljene iz jednog senzora ili povezane skupine senzora, kao što su temperatura, tlak, brzina protoka, zvuk, pH vrijednost, razina tekućine, položaj, ubrzanje ili brzina.
Izvedeni ili izvedeni podaci i sadržaj (npr. visoko obogaćeni podaci, audiovizualni materijal) nisu obuhvaćeni područjem primjene. Nadalje, Zakonom o podacima ne dovode se u pitanje zakoni o zaštiti prava intelektualnog vlasništva.
Na primjer, ako korisnik gleda film na svojoj povezanoj TV-u, sam film nije unutar opsega, ali su podaci o svjetlini zaslona unutar opsega.
U praksi
Poglavlje II. Zakona o podacima omogućuje korisnicima (tj. svakoj pravnoj ili fizičkoj osobi koja posjeduje, iznajmljuje ili iznajmljuje povezani proizvod) pristup podacima koje generiraju korištenjem povezanog proizvoda ili povezane usluge. Ako korisnik želi podijeliti te podatke s drugim subjektom ili pojedincem („treća strana”), može to učiniti izravno ili može zatražiti od vlasnika podataka da ih podijeli s trećom stranom po vlastitom izboru (isključujući nadzornike pristupa na temelju Akta o digitalnim tržištima). Vlasnik podataka obično je poduzeće koje proizvodi povezani proizvod ili pruža povezanu uslugu. Vlasnik podataka mora imati ugovor s korisnikom (npr. kupoprodajni ugovor, ugovor o najmu, ugovor o povezanim uslugama itd.) kojim se utvrđuju prava u pogledu pristupa, korištenja i dijeljenja podataka koje generira povezani proizvod ili povezana usluga. Važno je napomenuti da vlasnik podataka ne može koristiti nikakve neosobne podatke koje proizvodi proizvod bez suglasnosti korisnika.
Na primjer, i imajući na umu da relevantni ugovor određuje točne uloge:
-
Tvrtka upravlja buldožerom: vlasnik podataka obično bi bio proizvođač buldožera, a korisnik bi bio tvrtka koja upravlja buldožerom.
-
Ako netko kupi povezani hladnjak i preuzme aplikaciju koja mu pomaže regulirati optimalnu temperaturu sadržaja hladnjaka, potencijalno bi postojala dva vlasnika podataka, odnosno subjekt koji je stavio hladnjak na tržište i subjekt koji nudi povezanu uslugu (aplikacija) i samo jedan korisnik (vlasnik hladnjaka).
U Zakonu o podacima navodi se nekoliko mehanizama kako bi se korisnicima olakšalo korištenje tih odredbi: vlasnici podataka moraju korisniku pružiti informacije o vrsti podataka koje će generirati pri korištenju povezanog proizvoda ili povezane usluge (uključujući količinu, učestalost prikupljanja itd.); korisnici bi trebali moći zatražiti pristup podacima jednostavnim postupkom i vlasnici podataka moraju staviti podatke na raspolaganje korisnicima besplatno.
Ograničenja uporabe podataka
Kako se poduzeća ne bi odvratila od ulaganja u proizvode koji generiraju podatke, dobiveni podaci ne mogu se upotrijebiti za razvoj konkurentnog povezanog proizvoda. Zakonom o podacima ne zabranjuje se tržišno natjecanje u povezanim ili poslijeprodajnim uslugama. Nadalje, Zakonom o podacima ne postoji obveza vlasnika podataka da dijeli podatke s trećim stranama sa sjedištem izvan EU-a.
Akt o podacima u potpunosti je u skladu s pravilima o zaštiti podataka, posebno s Općom uredbom o zaštiti podataka. Ako korisnik nije ispitanik čiji se podaci traže, osobni podaci mogu se staviti na raspolaganje samo ako postoji valjana pravna osnova (npr. privola). To je važno pitanje jer zajednički generirani podaci često sadržavaju osobne i neosobne podatke, što može biti teško odvojiti.
Njime se potiče razvoj povezanih proizvoda i usluga koji se temelje na novim tokovima podataka, što je od posebne vrijednosti za manja poduzeća. Osim toga, mikropoduzeća i mala poduzeća, kao proizvođači ili pružatelji povezanih usluga, ne podliježu istim obvezama kao veća poduzeća.
Kako bi se zaštitile poslovne tajne, a da se ne ugrozi cilj Zakona o podacima da se stavi na raspolaganje više podataka, vlasnik podataka i korisnik/treća strana mogu se dogovoriti o određenim mjerama za očuvanje povjerljivosti poslovnih tajni. Ako se te mjere ne poštuju, vlasnik podataka može uskratiti ili obustaviti razmjenu podataka. Vlasnik podataka može odbiti razmjenu podataka samo ako može dokazati da će vrlo vjerojatno pretrpjeti ozbiljnu gospodarsku štetu zbog otkrivanja poslovne tajne.
Vlasnik podataka i korisnik mogu pristati na ograničavanje razmjene podataka ako postoji rizik da bi sigurnosni zahtjevi povezanog proizvoda mogli biti ugroženi, što bi dovelo do ozbiljnih štetnih učinaka na zdravlje, sigurnost ili zaštitu ljudi. Takvi zahtjevi moraju biti utvrđeni pravom EU-a ili nacionalnim pravom.
Ako vlasnik podataka suspendira, uskrati ili odbije dijeliti podatke na temelju zahtjeva u pogledu zaštite poslovne tajne ili sigurnosti, o tome mora obavijestiti nacionalno nadležno tijelo. Korisnici takvu odluku mogu osporiti pred nadležnim sudom države članice podnošenjem pritužbe nadležnom tijelu ili na temelju dogovora s vlasnikom podataka pred tijelom za rješavanje sporova.
Poglavlje III.: Pravila o obveznoj razmjeni podataka među poduzećima
Zašto?
Zakonom o podacima uvode se pravila za situacije u kojima poduzeće („nositelj podataka”) ima pravnu obvezu u skladu s pravom EU-a ili nacionalnim pravom staviti podatke na raspolaganje drugom poduzeću („primatelj podataka”), među ostalim u kontekstu podataka u okviru interneta stvari. Konkretno, uvjeti razmjene podataka moraju biti pošteni, razumni i nediskriminirajući.
Kao poticaj za razmjenu podataka, vlasnici podataka koji su obvezni dijeliti podatke mogu od primatelja podataka zatražiti „razumnu naknadu”.
Vrste podataka u području primjene
Poglavlje III. Zakona o podacima primjenjuje se na sve osobne i neosobne podatke koje posjeduje poduzeće, uključujući situacije obuhvaćene poglavljem II. Zakona o podacima.
U praksi
Vlasnici podataka mogu zatražiti razumnu naknadu za stavljanje podataka na raspolaganje primatelju podataka. To bi moglo uključivati troškove stavljanja podataka na raspolaganje, kao i tehničke troškove povezane sa širenjem i pohranom. Međutim, mikropoduzećima, MSP-ovima i neprofitnim istraživačkim organizacijama ne može se naplatiti više od troškova nastalih zbog stavljanja podataka na raspolaganje.
Kako bi se zaštitili vlasnici podataka, Zakon o podacima sadržava netaksativan popis mjera za ispravljanje situacija u kojima je treća strana ili korisnik nezakonito pristupio podacima ili ih koristio. Na primjer, vlasnik podataka mogao bi zahtijevati da stranka koja krši pravila prestane proizvoditi predmetni proizvod ili uništi podatke koje je nezakonito prikupila ili da može tražiti naknadu štete.
Sve obveze razmjene podataka koje prethode Aktu o podacima ostaju nepromijenjene. Obveze u budućem (sektorskom) zakonodavstvu trebalo bi uskladiti s odredbama poglavlja III. Akta o podacima.
Poglavlje IV.: Nepoštene ugovorne odredbe
Zašto?
Ugovorna sloboda ključna je za odnose među poduzećima. Međutim, Aktom o podacima nastoje se zaštititi sva europska poduzeća koja žele prikupiti podatke, posebno MSP-ovi, od nepoštenih ugovornih uvjeta putem mjera za intervenciju u situacijama u kojima je, na primjer, jedno od poduzeća u snažnijem pregovaračkom položaju (npr. zbog veličine tržišta) i nameću neprenosivu odredbu („uzmi ili napusti”) povezanu s pristupom podacima i njihovom uporabom s druge strane.
Vrste podataka u području primjene
Ta pravila obuhvaćaju sve osobne i neosobne podatke privatnog subjekta kojima se pristupa i kojima se koristi na temelju ugovora između poduzeća.
U praksi
Jednostrano nametnute odredbe „uzmi ili ostavi” mogu, ako se odnose na stavljanje podataka na raspolaganje, podlijegati ispitivanju nepoštenosti.
Zakonom o podacima utvrđuje se netaksativan popis odredaba koje se uvijek smatraju nepoštenima (npr. kojima bi se isključila ili ograničila odgovornost stranke koja je jednostrano nametnula odredbu za namjerne radnje ili krajnju nepažnju) i odredaba za koje se pretpostavlja da su nepoštene (npr. time bi se neprimjereno ograničila pravna sredstva u slučaju neispunjavanja ugovornih obveza ili odgovornosti u slučaju povrede tih obveza ili proširila odgovornost poduzeća kojem je ta odredba jednostrano nametnuta). Ako se neka odredba smatra nepoštenom, ona više nije valjana – gdje je to moguće, jednostavno je odsječena od kontakta. Ako se pretpostavlja da je nepoštena, subjekt koji je odredio odredbu može pokušati dokazati da odredba nije nepoštena.
Poglavlje V.: Razmjena podataka između poduzeća i državnih tijela
Zašto?
Podaci u posjedu privatnih subjekata mogu biti ključni kako bi tijelo javnog sektora moglo obavljati zadaću od javnog interesa. Poglavljem V. Akta o podacima tijelima javnog sektora omogućuje se pristup takvim podacima, pod određenim uvjetima, ako postoji iznimna potreba. Potonji se odnosi na nepredvidljivu i vremenski ograničenu situaciju u kojoj su podaci u posjedu privatnog subjekta potrebni za izvršavanje zadaće od javnog interesa, posebno za poboljšanje donošenja odluka na temelju dokaza. Izvanredne situacije uključuju i izvanredna stanja ( kao što su velike prirodne katastrofe ili katastrofe uzrokovane ljudskim djelovanjem, pandemije i kiberincidente) i situacije koje nisu hitne (na primjer, agregirani i anonimizirani podaci iz GPS sustava vozača mogli bi se upotrijebiti za optimizaciju prometnih tokova).
Aktom o podacima osigurat će se da javna tijela imaju pravodoban i pouzdan pristup takvim podacima, bez nametanja nepotrebnog administrativnog opterećenja poduzećima.
Vrste podataka unutar područja primjene
U poglavlju V. obuhvaćeni su svi podaci, s naglaskom na neosobnim podacima.
U poglavlju V. Zakona o podacima o razmjeni podataka između poduzeća i državnih tijela razlikuju se dva scenarija:
-
Kako bi se odgovorilo na izvanredno stanje, tijelo javnog sektora trebalo bi zatražiti neosobne podatke. Međutim, ako to nije dovoljno da bi se odgovorilo na situaciju, mogu se zatražiti osobni podaci. Ako je moguće, vlasnik podataka trebao bi anonimizirati te podatke.
-
U situacijama koje nisu krizne situacije tijela javnog sektora mogu zatražiti samo neosobne podatke.
Ključni dionici
Subjekti koji imaju pravo zatražiti podatke uključuju tijela javnog sektora država članica te određene institucije, tijela i agencije EU-a. Ti subjekti mogu pod određenim uvjetima dijeliti podatke i s organizacijama koje provode istraživanja i financiraju ih.
U kontekstu zahtjeva između poduzeća i državnih tijela vlasnici podataka obično su privatni subjekti, ali mogu uključivati i javna poduzeća.
U praksi
Tijelo javnog sektora može, pod određenim uvjetima, obvezati vlasnika podataka da stavi na raspolaganje određene podatke bez nepotrebne odgode kako bi odgovorio na izvanredno stanje. Zakon o podacima definira izvanredno stanje; međutim, njegovo postojanje utvrđuje se u skladu s nacionalnim ili europskim postupcima ili zakonima.
Za iznimne potrebe koje nisu povezane s izvanrednim stanjem, tijelo javnog sektora može zatražiti da se neosobnim podacima ispuni posebna zadaća od javnog interesa koja je predviđena zakonom ako tijelo javnog sektora može dokazati da nije moglo pristupiti podacima drugim sredstvima.
U oba slučaja (hitna i nehitna) zahtjevi moraju biti u skladu s nizom strogih načela i uvjeta. Na primjer, zahtjevi moraju biti konkretni, transparentni i razmjerni, poslovne tajne moraju biti zaštićene, a podaci se moraju izbrisati nakon što više nisu potrebni.
U tablici u nastavku sažeto je prikazano što poduzeća u tom kontekstu mogu zatražiti za dostavljanje podataka tijelu javnog sektora.
Naknada za stavljanje podataka na raspolaganje na temelju poglavlja V. Zakona o podacima
| Poduzeća koja nisu mikropoduzeća i mala poduzeća mogu zatražiti: | Mikropoduzeća i mala poduzeća mogu zatražiti: | |
| Izvanredno stanje | Poduzeća mogu zatražiti da tijelo javnog sektora primatelj prizna i javno prizna svoj doprinos podacima. | Razumna naknada koja ne premašuje nastale tehničke i organizacijske troškove + javno priznanje, na zahtjev |
| Nehitna situacija | Razumna naknada koja ne premašuje nastale tehničke i organizacijske troškove (osim za izradu službene statistike) | Nije primjenjivo (izuzeto od obveze pružanja podataka) |
Kako bi se opterećenje poduzeća svelo na najmanju moguću mjeru, više od jednog tijela javnog sektora ne može više od jednog tijela javnog sektora zatražiti iste podatke („načelo samo jednom”). Iz tog razloga koordinator podataka mora javno objaviti sve zahtjeve (osim ako postoji sigurnosni problem).
Poglavlje VI.: Prebacivanje između usluga obrade podataka
Zašto?
Kako bi se osiguralo konkurentno tržište u EU-u, korisnici usluga obrade podataka (uključujući usluge u oblaku i na rubu mreže) trebali bi moći neometano prijeći s jednog pružatelja usluga na drugog. Međutim, potrošači se trenutačno suočavaju s nizom prepreka, uključujući visoke naknade povezane s, primjerice, uklanjanjem podataka, dugotrajnim postupcima i nedostatkom interoperabilnosti među pružateljima usluga, što može dovesti do gubitka podataka i aplikacija.
Zakon o podacima učinit će prebacivanje slobodnim, brzim i fluidnim. To će koristiti korisnicima, koji mogu slobodno birati usluge koje najbolje odgovaraju njihovim potrebama, kao i pružateljima usluga, koji će imati koristi od većeg broja korisnika.
Opseg
Poglavlje VI. Zakona o podacima primjenjuje se na pružatelje usluga obrade podataka (tj. digitalne usluge koje omogućuju sveprisutan pristup mreži i pristup mreži na zahtjev, kao što su mreže, poslužitelji ili druga virtualna ili fizička infrastruktura i softver). Podaci koji su ključni za promjenu pružatelja obuhvaćaju ulazne i izlazne podatke, uključujući metapodatke, generirane uporabom usluge od strane korisnika, isključujući podatke zaštićene pravima intelektualnog vlasništva ili koji čine poslovnu tajnu pružatelja usluga.
U praksi
Kako bi se prevladala neravnoteža snage između pružatelja i kupaca na tržištu računalstva u oblaku, Aktom o podacima utvrđuju se minimalni zahtjevi za sadržaj ugovora u oblaku. Konkretno, kupci iz privatnog i javnog sektora imat će koristi od mnogo veće ugovorne transparentnosti.
Zakon o podacima uključuje mjere kojima se osigurava da korisnici mogu brzo i neometano prijeći s jednog pružatelja usluga obrade podataka („pružatelj izvora”) na drugog („odredište”) bez gubitka podataka ili funkcionalnosti aplikacija. Na primjer, pružatelji platforme i softvera kao usluge moraju staviti otvorena sučelja na raspolaganje i, u najmanju ruku, izvoziti podatke u uobičajeno upotrebljavanom i strojno čitljivom formatu. Pružatelji infrastrukture kao usluge moraju poduzeti mjere kako bi olakšali da, ako korisnik prijeđe na uslugu iste vrste, korisnik dobije materijalno usporedive rezultate kao odgovor na isti ulaz za značajke koje obje usluge dijele („funkcionalna istovjetnost”). Kao primjer takve mjere pružatelj izvora možda će morati upotrebljavati alate za prebacivanje radnog opterećenja računala s jedne virtualizacijske tehnologije na drugu.
Svi pružatelji usluga dužni su ukloniti prepreke s kojima se njihovi klijenti mogu suočiti kada se žele prebaciti na drugog pružatelja usluga ili koristiti nekoliko usluga u isto vrijeme.
Osim toga, Aktom o podacima u potpunosti će se ukinuti naknade za prebacivanje, uključujući naknade za izlaz podataka (tj. naknade za prijenos podataka), od 12. siječnja 2027. To znači da pružatelji neće moći naplaćivati naknade svojim klijentima za operacije koje su potrebne za olakšavanje promjene pružatelja usluga ili za izlazak podataka. Međutim, kao prijelazna mjera tijekom prve tri godine nakon stupanja na snagu Akta o podacima (od 11. siječnja 2024. do 12. siječnja 2027.), pružatelji i dalje mogu svojim klijentima naplatiti troškove nastale u vezi s promjenom pružatelja usluga i uklanjanjem podataka.
Poglavlje VII.: Nezakonit pristup vlade trećih zemalja
Zašto?
Ponekad se odlukom ili presudom koju je donijela zemlja izvan EU-a („treća zemlja”) vladi želi omogućiti pristup i prijenos neosobnih podataka koji se obrađuju i pohranjuju unutar EU-a. Međutim, u određenim slučajevima odobravanje pristupa takvim podacima ili njihov prijenos može biti nezakonit, posebno ako je zahtjev u suprotnosti sa zakonodavstvom EU-a i jamstvima o zaštiti temeljnih prava pojedinaca, interesa nacionalne sigurnosti ili poslovno osjetljivih podataka.
Akt o podacima u skladu je s Aktom o upravljanju podacima s obzirom na odredbe čiji je cilj sprečavanje nezakonitog pristupa vladinih tijela trećih zemalja i prijenosa neosobnih podataka u EU-u. Takve odredbe ne utječu na redovitu razmjenu podataka među poduzećima. Njima se povećava transparentnost i pravna sigurnost u pogledu postupka i uvjeta pod kojima neosobnim podacima mogu pristupiti ili ih mogu prenijeti državna tijela izvan EU-a.
Vrste podataka u području primjene
Svi neosobni podaci u posjedu pružatelja usluge obrade podataka u EU-u.
U praksi
Aktom o podacima ne zabranjuje se prekogranični protok podataka, ali se osigurava da zaštita podataka u EU-u putuje svim podacima koji se prenose izvan EU-a.
U tom kontekstu Aktom o podacima utvrđuju se pravila i zaštitne mjere za zahtjeve stranog tijela javnog sektora za pristup neosobnim podacima u Uniji. Te odredbe ne utječu na legitimnu međunarodnu suradnju u području izvršavanja zakonodavstva.
Ako ne postoji međunarodni sporazum kojim se uređuje pristup vlade trećih zemalja neosobnim podacima koji se nalaze unutar EU-a, podaci se mogu prenijeti ili im se može pristupiti samo pod posebnim uvjetima. Ti se uvjeti odnose na određena jamstva kojima se štite europska prava koja pravni sustav treće zemlje mora ispuniti, uključujući zahtjev za navođenje razloga i procjenu proporcionalnosti u odluci. Pružatelj usluga obrade podataka na koji se odnosi takva odluka može se obratiti relevantnom nacionalnom tijelu kako bi procijenio jesu li ispunjeni uvjeti utvrđeni u Aktu o podacima. Kako bi lakše procijenila jesu li ti uvjeti ispunjeni, Europska komisija izradit će smjernice zajedno s Europskim odborom za inovacije u području podataka (stručna skupina osnovana u skladu s Aktom o upravljanju podacima kako bi se olakšala razmjena najboljih praksi i prednost dala međusektorskim standardima interoperabilnosti).
Pružatelji usluga obrade podataka trebali bi poduzeti sve razumne mjere (npr. šifriranje, revizije, pridržavanje programa certificiranja) kako bi spriječili pristup sustavima u kojima pohranjuju neosobni podaci. Te bi mjere trebalo objaviti na njihovim internetskim stranicama. Osim toga, kad god je to moguće, trebali bi obavijestiti svoje klijente prije nego što omoguće pristup svojim podacima.
Poglavlje VIII.: Interoperabilnost
Zašto?
Standardi i interoperabilnost ključni su kako bi se osiguralo da se podaci iz različitih izvora mogu upotrebljavati unutar zajedničkih europskih podatkovnih prostora i među njima radi poticanja istraživanja i razvoja novih proizvoda ili usluga. U tu svrhu Aktom o podacima utvrđuju se neki bitni zahtjevi koje sudionici u podatkovnim prostorima moraju ispunjavati i koje Europska komisija može dodatno utvrditi delegiranim aktima.
Njome se također nastoji osigurati interoperabilnost među uslugama obrade podataka; to je ključno kako bi kupci imali koristi od lakšeg prebacivanja.
Ključni dionici
Ovo poglavlje usmjereno je na sudionike podatkovnih prostora koji drugim sudionicima nude podatke ili usluge temeljene na podacima i koji olakšavaju ili sudjeluju u razmjeni podataka unutar podatkovnih prostora.
Odnosi se i na dobavljače pametnih ugovora, kao i na pružatelje usluga obrade podataka.
U praksi
Sudionici podatkovnog prostora trebali bi ispunjavati nekoliko bitnih zahtjeva kako bi se omogućio protok podataka unutar podatkovnih prostora i među njima. Na primjer, opis struktura podataka, formata podataka i rječnika, ako su dostupni, trebao bi biti javno dostupan. Osim toga, trebalo bi osigurati interoperabilnost sporazuma o razmjeni podataka, kao što su pametni ugovori.
Aktom o podacima također se priprema teren za povećanje interoperabilnosti usluga obrade podataka putem usklađenih normi i otvorenih specifikacija interoperabilnosti.
Osim toga, njome se utvrđuju zahtjevi za dobavljače pametnih ugovora za automatizirano izvršavanje sporazuma o razmjeni podataka, na primjer kako bi se osiguralo da oni pravilno provode odredbe sporazuma o razmjeni podataka i da se odupru manipulaciji trećih strana.
Komisija će procijeniti prepreke interoperabilnosti i dati prednost potrebama normizacije na temelju kojih može zatražiti od europskih organizacija za normizaciju da izrade usklađene norme koje su u skladu s prethodno navedenim zahtjevima.
Ako zahtjev ne dovede do usklađene norme ili ako norma nije dovoljna za osiguravanje usklađenosti s Aktom o podacima, Komisija može donijeti zajedničke specifikacije kao zamjensko rješenje. Oni bi se trebali razvijati na otvoren i uključiv način, uzimajući u obzir povratne informacije Europskog odbora za inovacije u području podataka.
Poglavlje IX.: Provedba i opće odredbe
Države članice imenovat će jedno ili više (novih ili postojećih) nadležnih tijela kako bi se osigurala učinkovita provedba Akta o podacima. Kad god postoji više nadležnih tijela, države članice moraju odrediti jedno od njih kao „koordinatora podataka”. Koordinator podataka djelovat će kao „jedinstvena kontaktna točka” za sva pitanja povezana s provedbom Akta o podacima na nacionalnoj razini, čime će se olakšati primjena za poduzeća i javna tijela. Na primjer, ako poduzeće zatraži pravnu zaštitu zbog povrede svojih prava na temelju Zakona o podacima, koordinator podataka trebao bi (na zahtjev) dostaviti sve potrebne informacije kako bi mu pomogao da podnese pritužbu odgovarajućem nadležnom tijelu. Koordinator podataka olakšat će i suradnju u prekograničnim situacijama, primjerice kada nadležno tijelo iz određene države članice ne zna kojem tijelu treba pristupiti u državi članici koordinatora podataka.
Komisija će voditi javni registar nadležnih tijela i koordinatora podataka.
Europski odbor za inovacije u području podataka olakšat će rasprave među nadležnim tijelima, primjerice radi koordinacije i donošenja preporuka o određivanju kazni za povrede Akta o podacima. Kazne određuju nadležna tijela, a u skladu s Aktom o podacima trebale bi postojati učinkovite, proporcionalne i odvraćajuće kazne.
Države članice mogu, ako to žele, osnovati ovlaštena tijela za rješavanje sporova koja pomažu strankama koje se ne mogu dogovoriti o poštenim, razumnim i nediskriminirajućim uvjetima za stavljanje podataka na raspolaganje. Stranke imaju slobodu obratiti se bilo kojem tijelu za rješavanje sporova – u državi članici u kojoj imaju poslovni nastan ili u drugoj državi članici.
Certificirani mehanizmi za rješavanje sporova i specijalizirana nadležna tijela olakšat će poduzećima, posebno malim poduzećima, ostvarivanje njihovih prava iz Akta o podacima jer uključenim stranama nude jednostavno, brzo i jeftino rješenje.
Što je sljedeće?
Europskom strategijom za podatke utvrđuje se put prema kojem EU može postati predvodnik u podatkovnom gospodarstvu. To će se postići stvaranjem jedinstvenog europskog tržišta podataka na kojem se podaci mogu prenositi između sektora i država članica na siguran i pouzdan način u korist gospodarstva i društva. Budući da se osigurava pravednost u raspodjeli vrijednosti podataka među dionicima, Akt o podacima ključan je element za postizanje te vizije.
Akt o podacima počet će se primjenjivati 12. rujna 2025.
Kako bi se poduzećima pomoglo u svladavanju tih novih pravila, Komisija će preporučiti skup modela ugovornih uvjeta kako bi se poduzećima pomoglo u sklapanju poštenih, razumnih i nediskriminirajućih ugovora o razmjeni podataka (poglavlja II. i III. Akta o podacima). Tim će se uvjetima pružiti i smjernice o razumnoj naknadi i zaštiti poslovnih tajni. Komisija će preporučiti i niz neobvezujućih standardnih ugovornih klauzula za ugovore o računalstvu u oblaku između korisnika usluga u oblaku i pružatelja usluga u oblaku. Osnovana je stručna skupina koja će Komisiji pomoći u izradi takvih uvjeta i klauzula te ih namjerava preporučiti do jeseni 2025.
U roku od tri godine od početka njegove primjene Komisija će provesti evaluaciju učinka Akta o podacima. Na temelju toga, ako je potrebno, Komisija može predložiti izmjenu Zakona.
Pravna obavijest
Ovaj se dokument ne bi trebao smatrati predstavnikom službenog stajališta Europske komisije.