Celovit pregled akta o podatkih, vključno z njegovimi cilji in delovanjem v praksi.
Zakaj zakon o podatkih?
Akt o podatkih je zakon, namenjen krepitvi podatkovnega gospodarstva EU in spodbujanju konkurenčnega podatkovnega trga s povečanjem dostopnosti in uporabnosti podatkov (zlasti industrijskih podatkov), spodbujanjem inovacij, ki temeljijo na podatkih, in povečanjem razpoložljivosti podatkov. Da bi to dosegli, zakon o podatkih zagotavlja pravičnost pri dodeljevanju vrednosti podatkov med akterji v podatkovnem gospodarstvu. Pojasnjuje, kdo lahko uporabi katere podatke in pod katerimi pogoji.
V zadnjih letih se je na evropskem trgu hitro povečala razpoložljivost proizvodov, povezanih z internetom („povezani proizvodi“). Ti proizvodi, ki skupaj sestavljajo omrežje, znano kot internet stvari (IoT), znatno povečujejo količino podatkov, ki so na voljo za ponovno uporabo v EU. To predstavlja ogromen potencial za inovacije in konkurenčnost v EU.
Zakon o podatkih uporabnikom povezanih produktov (podjetij ali posameznikov, ki imajo v lasti, zakupu ali najemu takšnega produkta) daje večji nadzor nad podatki, ki jih ustvarjajo, hkrati pa ohranja spodbude za tiste, ki vlagajo v podatkovne tehnologije. Poleg tega določa splošne pogoje za primere, ko je podjetje pravno zavezano deliti podatke z drugim podjetjem.
Akt o podatkih vključuje tudi ukrepe za povečanje pravičnosti in konkurence na evropskem trgu v oblaku ter za zaščito podjetij pred nepoštenimi pogodbenimi pogoji v zvezi z souporabo podatkov, ki jih nalagajo močnejši akterji. Vzpostavlja tudi mehanizem, prek katerega lahko organi javnega sektorja zahtevajo podatke od podjetja, kjer obstaja izjemna potreba, na primer v izrednih razmerah v javnem sektorju, in določa jasna pravila o tem, kako bi bilo treba take zahteve vložiti. Poleg tega uvaja zaščitne ukrepe za preprečevanje dostopa vladnih organov iz tretjih držav do neosebnih podatkov, kadar bi bilo to v nasprotju s pravom EU ali nacionalnim pravom. Nazadnje, akt o podatkih opredeljuje bistvene zahteve v zvezi z interoperabilnostjo, da se zagotovi nemoten pretok podatkov med sektorji in državami članicami, kar omogoča skupni evropski podatkovni prostor, ter med ponudniki storitev obdelave podatkov.
Akt o podatkih je bil 22. decembra 2023 objavljen v Uradnem listu EU in se bo začel uporabljati 12. septembra 2025.
Akt o podatkih dopolnjuje akt o upravljanju podatkov, ki je prvi rezultat v okviru evropske strategije za podatke. Akt o upravljanju podatkov se je začel uporabljati septembra 2023. Medtem ko akt o upravljanju podatkov povečuje zaupanje v prostovoljne mehanizme za souporabo podatkov, akt o podatkih zagotavlja pravno jasnost glede dostopa do podatkov in njihove uporabe.
Skupaj z drugimi ukrepi politike in možnostmi financiranja bosta ti uredbi prispevali k vzpostavitvi enotnega trga EU za podatke, s čimer bo Evropa postala vodilna v podatkovnem gospodarstvu z izkoriščanjem potenciala vse večjih količin podatkov, zlasti industrijskih, v korist evropskega gospodarstva in družbe.
Obravnavana vprašanja
V skladu s splošnimi določbami (poglavje I), ki določajo področje uporabe uredbe in ključne izraze, je akt o podatkih razdeljen na šest glavnih poglavij:
Poglavje II o souporabi podatkov med podjetji in med podjetji in potrošniki v okviru interneta stvari: uporabniki predmetov interneta stvari lahko dostopajo do podatkov, ki jih soustvarjajo z uporabo povezanega izdelka, in jih uporabljajo.
Poglavje III o souporabi podatkov med podjetji: to pojasnjuje pogoje souporabe podatkov, kadar je podjetje po zakonu, vključno z Zakonom o podatkih, dolžno deliti podatke z drugim podjetjem.
Poglavje IV o nepoštenih pogodbenih pogojih: te določbe ščitijo vsa podjetja, zlasti MSP, pred nepoštenimi pogodbenimi pogoji, ki se jim naložijo.
Poglavje V o souporabi podatkov med podjetji in državo: organi javnega sektorja bodo lahko v nekaterih primerih izjemne potrebe sprejemali odločitve, ki bodo temeljile na dokazih, in sicer z ukrepi za dostop do nekaterih podatkov, ki jih hrani zasebni sektor.
Poglavje VI o zamenjavi storitev obdelave podatkov: ponudniki storitev računalništva v oblaku in računalništva na robu morajo izpolnjevati minimalne zahteve, da se olajša interoperabilnost in omogoči preklapljanje.
Poglavje VII o nezakonitem dostopu tretjih držav do podatkov: neosebni podatki, shranjeni v EU, so zaščiteni pred nezakonitimi zahtevami tuje vlade za dostop.
Poglavje VIII o interoperabilnosti: udeleženci v podatkovnih prostorih morajo izpolnjevati merila, ki omogočajo pretok podatkov znotraj podatkovnih prostorov in med njimi. Repozitorij EU bo določil ustrezne standarde in specifikacije za interoperabilnost v oblaku.
Poglavje IX o izvrševanju: Države članice morajo imenovati enega ali več pristojnih organov za spremljanje in izvrševanje akta o podatkih. Kadar je imenovan več kot en organ, je treba imenovati „koordinatorja podatkov“, ki bo deloval kot enotna kontaktna točka na nacionalni ravni.
Poglavje II: Izmenjava podatkov med podjetji in med podjetji in potrošniki v okviru trga interneta stvari
Zakaj?
Ključni cilj zakona o podatkih je ustvariti pravičnost v podatkovnem gospodarstvu in omogočiti uporabnikom, da izkoristijo vrednost podatkov, ki jih ustvarijo z uporabo povezanih izdelkov, ki jih imajo v lasti, najamejo ali zakupijo.
Zakon o podatkih omogoča uporabnikom povezanih izdelkov (npr. povezanih avtomobilov, medicinskih naprav in naprav za fitnes, industrijskih ali kmetijskih strojev) in povezanih storitev (tj. vse, kar bi povzročilo, da bi se povezani izdelek obnašal na poseben način, kot je aplikacija za prilagoditev svetlosti luči ali uravnavanje temperature hladilnika), dostop do podatkov, ki jih soustvarjajo z uporabo povezanih izdelkov/povezanih storitev.
Razpoložljivost takšnih podatkov bo znatno vplivala na gospodarstvo. Podatki, ki jih ustvarijo povezani proizvodi in povezane storitve, se lahko na primer uporabijo za spodbujanje poprodajnih in pomožnih storitev ter za ustvarjanje popolnoma novih storitev, ki koristijo podjetjem in potrošnikom.
Primeri povezanih izdelkov: potrošniški proizvodi (npr. povezani avtomobili, naprave za spremljanje zdravja, naprave za pametne domove), drugi proizvodi (npr. letala, roboti, industrijski stroji).
Primer povezane storitve: uporabnik kupi pralni stroj in namesti aplikacijo, ki mu omogoča merjenje vpliva cikla pranja na okolje na podlagi podatkov iz različnih senzorjev v stroju in ustrezno prilagodi cikel. Ta aplikacija se šteje za povezano storitev.
Primeri poprodajnih in pomožnih storitev: storitve popravil in vzdrževanja, zavarovanje na podlagi podatkov.
Vrste podatkov s področja uporabe
Poglavje II zakona o podatkih o souporabi podatkov med podjetji in med podjetji in potrošniki se uporablja za vse neobdelane in predhodno obdelane podatke, pridobljene z uporabo povezanega izdelka ali povezane storitve, ki je imetniku podatkov takoj na voljo (npr. proizvajalec povezanega izdelka/ponudnika povezane storitve), tj. podatke, do katerih je mogoče brez nesorazmernega napora enostavno dostopati in ki presegajo preprosto delovanje. To velja za osebne in neosebne podatke, vključno z ustreznimi metapodatki.
Ti podatki vključujejo podatke, zbrane iz enega senzorja ali povezane skupine senzorjev, kot so temperatura, tlak, hitrost pretoka, zvok, vrednost pH, nivo tekočine, položaj, pospešek ali hitrost.
Izpeljani ali izpeljani podatki in vsebina (npr. visoko obogateni podatki, avdiovizualno gradivo) ne spadajo v področje uporabe. Poleg tega zakon o podatkih ne posega v zakone o varstvu pravic intelektualne lastnine.
Na primer, če uporabnik gleda film na svojem povezanem televizorju, sam film ni v obsegu, vendar so podatki o svetlosti zaslona vključeni v obseg.
V praksi
Poglavje II zakona o podatkih omogoča uporabnikom (tj. vsaki pravni ali fizični osebi, ki ima v lasti, najame ali zakupi povezan izdelek) dostop do podatkov, ki jih ustvarijo z uporabo povezanega izdelka ali povezane storitve. Če želi uporabnik te podatke deliti z drugim subjektom ali posameznikom (v nadaljnjem besedilu:tretja oseba), lahko to stori neposredno ali pa lahko od imetnika podatkov zahteva, da jih posreduje tretji osebi po lastni izbiri (razen vratarjev v skladu z aktom o digitalnih trgih). Imetnik podatkov je običajno podjetje, ki izdeluje povezan izdelek ali zagotavlja povezano storitev. Imetnik podatkov mora imeti z uporabnikom sklenjeno pogodbo (npr. prodajno pogodbo, najemno pogodbo, pogodbo o povezanih storitvah itd.), v kateri so opredeljene pravice v zvezi z dostopom, uporabo in souporabo podatkov, ki jih ustvari povezani izdelek ali povezana storitev. Pomembno je opozoriti, da imetnik podatkov brez soglasja uporabnika ne more uporabljati nobenih neosebnih podatkov, ki jih ustvari izdelek.
Kot primer in ob upoštevanju, da zadevna pogodba določa natančne vloge:
-
Podjetje upravlja buldožer: imetnik podatkov bi bil običajno proizvajalec buldožerja, uporabnik pa bi bil podjetje, ki upravlja buldožer.
-
Če nekdo kupi povezan hladilnik in prenese aplikacijo, ki mu pomaga uravnavati optimalno temperaturo za vsebino hladilnika, bi lahko obstajala dva imetnika podatkov, in sicer subjekt, ki je dal hladilnik na trg, in subjekt, ki ponuja povezano storitev (aplikacija), in samo en uporabnik (lastnik hladilnika).
Akt o podatkih vključuje več mehanizmov, ki uporabnikom olajšajo uporabo teh določb: imetniki podatkov morajo uporabniku zagotoviti informacije o vrsti podatkov, ki jih bodo ustvarili pri uporabi povezanega izdelka ali povezane storitve (vključno z obsegom, pogostostjo zbiranja itd.); uporabniki bi morali imeti možnost zahtevati dostop do podatkov s preprostim postopkom in imetniki podatkov morajo dati podatke brezplačno na voljo uporabnikom.
Omejitve uporabe podatkov
Da se podjetja ne bi odvrnila od naložb v produkte, ki ustvarjajo podatke, pridobljenih podatkov ni mogoče uporabiti za razvoj konkurenčnega povezanega izdelka. Zakon o podatkih ne prepoveduje konkurence v povezanih ali poprodajnih storitvah. Poleg tega v skladu z aktom o podatkih imetnik podatkov ni dolžan deliti podatkov s tretjimi osebami s sedežem zunaj EU.
Zakon o podatkih je v celoti skladen s pravili o varstvu podatkov, zlasti s splošno uredbo o varstvu podatkov. Kadar uporabnik ni posameznik, na katerega se nanašajo osebni podatki, se lahko osebni podatki dajo na voljo le, če obstaja veljavna pravna podlaga (npr. privolitev). To je pomembno, saj sogenerirani podatki pogosto vsebujejo osebne in neosebne podatke, ki jih je morda težko ločiti.
Spodbuja razvoj povezanih proizvodov in storitev, ki temeljijo na novih tokovih podatkov, kar je še posebej pomembno za manjša podjetja. Poleg tega za mikro in mala podjetja kot proizvajalce ali ponudnike povezanih storitev ne veljajo enake obveznosti kot za večja podjetja.
Da bi zavarovali poslovne skrivnosti, ne da bi pri tem ogrozili cilj zakona o podatkih, da bi bilo na voljo več podatkov, se lahko imetnik podatkov in uporabnik/tretja oseba dogovorita o nekaterih ukrepih za ohranitev zaupnosti poslovnih skrivnosti. Če se ti ukrepi ne spoštujejo, lahko imetnik podatkov zadrži ali prekine souporabo podatkov. Imetnik podatkov lahko zavrne izmenjavo podatkov le, če lahko dokaže, da je zelo verjetno, da bo zaradi razkritja poslovnih skrivnosti utrpel resno gospodarsko škodo.
Imetnik in uporabnik podatkov se lahko dogovorita za omejitev souporabe podatkov, če obstaja tveganje, da bi bile varnostne zahteve povezanega izdelka ogrožene, kar bi imelo resne škodljive učinke na zdravje, varnost ali zaščito ljudi. Te zahteve morajo biti določene v zakonodaji EU ali nacionalni zakonodaji.
Če imetnik podatkov začasno prekliče, zadrži ali zavrne izmenjavo podatkov zaradi varovanja poslovnih skrivnosti ali varnostnih zahtev, mora o tem obvestiti pristojni nacionalni organ. Uporabniki lahko izpodbijajo tako odločitev bodisi pred pristojnim sodiščem države članice bodisi s pritožbo pri pristojnem organu ali po dogovoru z imetnikom podatkov pred organom za reševanje sporov.
Poglavje III: Pravila o obvezni izmenjavi podatkov med podjetji
Zakaj?
Akt o podatkih uvaja pravila za primere, ko ima podjetje (v nadaljnjem besedilu: imetnik podatkov) pravno obveznost v skladu s pravom EU ali nacionalnim pravom, da da podatke na voljo drugemu podjetju (v nadaljnjem besedilu: prejemnik podatkov), tudi v okviru podatkov interneta stvari. Pogoji za souporabo podatkov morajo biti pravični, razumni in nediskriminatorni.
Kot spodbuda za souporabo podatkov lahko imetniki podatkov, ki morajo deliti podatke, od prejemnika podatkov zahtevajo „razumno nadomestilo“.
Vrste podatkov s področja uporabe
Poglavje III zakona o podatkih se uporablja za vse podatke (tako osebne kot neosebne), ki jih ima podjetje, vključno s primeri iz poglavja II zakona o podatkih.
V praksi
Imetniki podatkov lahko zahtevajo razumno nadomestilo za dajanje podatkov na voljo prejemniku podatkov. To bi lahko vključevalo stroške, nastale zaradi dajanja podatkov na voljo, ter tehnične stroške, povezane z razširjanjem in shranjevanjem. Vendar se mikropodjetjem, MSP in neprofitnim raziskovalnim organizacijam ne sme zaračunati več kot stroški, nastali zaradi dajanja podatkov na voljo.
Za zaščito imetnikov podatkov zakon o podatkih vključuje neizčrpen seznam ukrepov za odpravo primerov, v katerih je tretja oseba ali uporabnik nezakonito dostopal do podatkov ali jih uporabil. Imetnik podatkov bi lahko na primer zahteval, da kršitelj preneha proizvajati zadevni izdelek ali uniči podatke, ki jih je pridobil nezakonito, ali zahteva odškodnino.
Vse obveznosti souporabe podatkov, ki so veljale pred zakonom o podatkih, ostanejo nespremenjene. Obveznosti iz prihodnje (sektorske) zakonodaje bi bilo treba uskladiti z določbami poglavja III akta o podatkih.
Poglavje IV: Nepošteni pogodbeni pogoji
Zakaj?
Pogodbena svoboda je bistvena za odnose med podjetji. Vendar je cilj akta o podatkih zaščititi vsa evropska podjetja, ki želijo pridobiti podatke, zlasti mala in srednja podjetja, pred nepoštenimi pogodbenimi pogoji, in sicer z ukrepi za posredovanje v primerih, ko je eno od podjetij v boljšem pogajalskem položaju (npr. zaradi svoje velikosti trga) in nalaga pogoj, o katerem se ni mogoče pogajati (v nadaljnjem besedilu: prevzem ali pusti), ki se nanaša na dostop do podatkov in njihovo uporabo na drugi strani.
Vrste podatkov s področja uporabe
Ta pravila zajemajo vse osebne in neosebne podatke, ki jih hrani zasebni subjekt, do katerega dostopa in se uporablja na podlagi pogodbe med podjetji.
V praksi
Enostransko vsiljeni pogoji „vzemi ali pusti“ so lahko predmet preizkusa nepoštenosti, kadar se nanašajo na dajanje podatkov na voljo.
Zakon o podatkih določa neizčrpen seznam pogojev, ki se vedno štejejo za nepoštene (npr. ki bi izključili ali omejili odgovornost stranke, ki je enostransko naložila pogoj za naklepna dejanja ali hudo malomarnost), in pogojev, za katere se domneva, da so nepošteni (npr. ki bi neprimerno omejili pravna sredstva v primeru neizpolnjevanja pogodbenih obveznosti ali odgovornosti v primeru kršitve teh obveznosti ali razširili odgovornost podjetja, ki mu je bil pogoj enostransko naložen). Če se pogoj šteje za nepoštenega, ni več veljaven – kjer je to mogoče, se preprosto loči od stika. Če se domneva, da je nepošten, lahko subjekt, ki je določil pogoj, poskuša dokazati, da pogoj ni nepošten.
Poglavje V: Izmenjava podatkov med podjetji in državo
Zakaj?
Podatki, ki jih hranijo zasebni subjekti, so lahko bistveni za to, da organ javnega sektorja opravlja nalogo v javnem interesu. Poglavje V zakona o podatkih omogoča organom javnega sektorja dostop do takih podatkov pod določenimi pogoji, kadar obstaja izjemna potreba. Slednje se nanaša na nepredvidljive in časovno omejene razmere, v katerih so podatki, ki jih hrani zasebni subjekt, potrebni za izvajanje naloge javnega interesa, zlasti za izboljšanje z dokazi podprtega odločanja. Izredne potrebe vključujejo javne izredne razmere (kot so večje naravne nesreče ali nesreče, ki jih povzroči človek, pandemije in kibernetski incidenti) in nenujne razmere (za optimizacijo prometnih tokov bi se lahko na primer uporabili zbirni in anonimizirani podatki iz voznikovih sistemov GPS).
Zakon o podatkih bo javnim organom zagotovil pravočasen in zanesljiv dostop do takih podatkov, ne da bi podjetjem nalagal nepotrebno upravno breme.
Vrste podatkov v okviru področja uporabe
V poglavju V so vsi podatki vključeni v področje uporabe, s poudarkom na neosebnih podatkih.
Poglavje V zakona o podatkih o souporabi podatkov med podjetji in državo razlikuje med dvema scenarijema:
-
Za odziv na izredne razmere v javnem sektorju bi moral organ javnega sektorja zahtevati neosebne podatke. Če pa to ne zadostuje za odziv na situacijo, se lahko zahtevajo osebni podatki. Če je mogoče, bi moral imetnik podatkov te podatke anonimizirati.
-
V nenujnih primerih lahko organi javnega sektorja zahtevajo le neosebne podatke.
Ključne zainteresirane strani
Subjekti, ki imajo pravico zahtevati podatke, vključujejo organe javnega sektorja držav članic ter nekatere institucije, organe in agencije EU. Ti subjekti lahko podatke pod določenimi pogoji delijo tudi z organizacijami, ki izvajajo raziskave in financirajo.
V okviru zahtev med podjetji in državo so imetniki podatkov običajno zasebni subjekti, lahko pa vključujejo tudi javna podjetja.
V praksi
Organ javnega sektorja lahko pod določenimi pogoji od imetnika podatkov zahteva, da brez nepotrebnega odlašanja da na voljo nekatere podatke za odziv na izredne razmere v javnem sektorju. Zakon o podatkih opredeljuje izredne razmere v javnem sektorju; vendar je njegov obstoj določen v skladu z nacionalnimi postopki ali zakoni ali predpisi EU.
Za izjemne potrebe, ki niso povezane z izrednimi razmerami v javnem sektorju, lahko organ javnega sektorja zahteva, da neosebni podatki izpolnijo posebno nalogo, ki je v javnem interesu in ki jo določa zakon, če lahko organ javnega sektorja dokaže, da do podatkov ni mogel dostopati na druge načine.
V obeh primerih (nujni in nenujni) morajo zahteve upoštevati številna stroga načela in pogoje. Zahteve morajo biti na primer specifične, pregledne in sorazmerne, poslovne skrivnosti je treba varovati, podatke pa je treba izbrisati, ko niso več potrebni.
Spodnja tabela vsebuje povzetke, ki jih podjetja lahko zahtevajo za zagotavljanje podatkov organu javnega sektorja v zvezi s tem.
Nadomestilo za dajanje podatkov na voljo v skladu s poglavjem V zakona o podatkih
| Podjetja, ki niso mikro in mala podjetja, lahko zahtevajo: | Mikro in mala podjetja lahko zahtevajo: | |
| Izredne razmerev javnem sektorju | Podjetja lahko zahtevajo, da organ javnega sektorja, ki prejme podatke, prizna in javno prizna njihov prispevek podatkov. | Razumno plačilo, ki ne presega nastalih tehničnih in organizacijskih stroškov + javna potrditev, na zahtevo |
| Nenujne razmere | Razumno plačilo, ki ne presega nastalih tehničnih in organizacijskih stroškov (razen za pripravo uradne statistike) | Ni relevantno (izvzeto iz obveznosti zagotavljanja podatkov) |
Da bi se čim bolj zmanjšalo breme za podjetja, več kot en organ javnega sektorja ne more zahtevati istih podatkov več kot enkrat (načelo „samo enkrat“). Zato mora koordinator podatkov javno objaviti vse zahteve (razen če obstajajo pomisleki glede varnosti).
Poglavje VI: Preklapljanje med storitvami obdelave podatkov
Zakaj?
Da bi zagotovili konkurenčen trg v EU, bi morali imeti uporabniki storitev obdelave podatkov (vključno s storitvami v oblaku in na robu) možnost nemotenega prehoda z enega ponudnika na drugega. Vendar se stranke trenutno soočajo s številnimi ovirami, vključno z visokimi pristojbinami, povezanimi na primer z umikom podatkov, dolgotrajnimi postopki in pomanjkanjem interoperabilnosti med ponudniki, kar lahko povzroči izgubo podatkov in aplikacij.
Z zakonom o podatkih bo prehod prost, hiter in tekoč. To bo koristilo strankam, ki lahko svobodno izberejo storitve, ki najbolje ustrezajo njihovim potrebam, in ponudnikom, ki bodo imeli koristi od večjega nabora strank.
Obseg
Poglavje VI zakona o podatkih se uporablja za ponudnike storitev obdelave podatkov (tj. digitalne storitve, ki omogočajo vseprisotni dostop do omrežja in dostop do omrežja na zahtevo, kot so omrežja, strežniki ali druga virtualna ali fizična infrastruktura in programska oprema). Podatki, ki so ključni za zamenjavo, vključujejo vhodne in izhodne podatke, vključno z metapodatki, ki jih ustvari stranka z uporabo storitve, razen podatkov, zaščitenih s pravicami intelektualne lastnine, ali ki predstavljajo poslovno skrivnost ponudnika storitev.
V praksi
Da bi odpravili neravnovesje moči med ponudniki in strankami na trgu v oblaku, zakon o podatkih določa minimalne zahteve za vsebino pogodb v oblaku. Zlasti stranke iz zasebnega in javnega sektorja bodo imele koristi od veliko večje preglednosti pogodb.
Zakon o podatkih vključuje ukrepe, s katerimi se strankam zagotovi hiter in nemoten prehod z enega ponudnika storitev obdelave podatkov (v nadaljnjem besedilu: ponudnik storitev) na drugega ponudnika („namembni“) ter brez izgube podatkov ali funkcionalnosti aplikacij. Ponudniki platforme in programske opreme kot storitve morajo na primer dati na voljo odprte vmesnike in vsaj izvažati podatke v splošno uporabljani in strojno berljivi obliki. Ponudniki infrastrukture kot storitve morajo sprejeti ukrepe, s katerimi omogočijo, da stranka, kadar preide na storitev iste vrste, dobi bistveno primerljive rezultate kot odgovor na isti vložek za značilnosti, ki si jih delita obe storitvi („funkcionalna enakovrednost“). Kot primer takega ukrepa bo moral ponudnik vira morda uporabiti orodja za prenos računalniških delovnih obremenitev z ene tehnologije virtualizacije na drugo.
Vsi ponudniki morajo odstraniti ovire, s katerimi se lahko srečujejo njihove stranke, ko želijo preklopiti na drugega ponudnika ali hkrati uporabljati več storitev.
Zakon o podatkih bo v celoti odpravil tudi stroške zamenjave, vključno s pristojbinami za umik podatkov (tj. pristojbine za prenos podatkov), od 12. januarja 2027. To pomeni, da ponudniki svojim strankam ne bodo mogli zaračunati postopkov, ki so potrebni za olajšanje zamenjave ali umika podatkov. Vendar lahko ponudniki kot prehodni ukrep v prvih treh letih po začetku veljavnosti akta o podatkih (od 11. januarja 2024 do 12. januarja 2027) svojim strankam še vedno zaračunajo stroške, nastale zaradi zamenjave in prenosa podatkov.
Poglavje VII: Nezakonit dostop vlade tretjih držav
Zakaj?
Včasih je namen odločbe ali sodbe, ki jo izda država zunaj EU (v nadaljnjem besedilu: tretja država), omogočiti vladni dostop do neosebnih podatkov, ki se obdelujejo in hranijo v EU, ter njihov prenos. Vendar je lahko v nekaterih primerih odobritev dostopa do takih podatkov ali njihovega prenosa dejansko nezakonita, zlasti kadar je zahteva v nasprotju z zakonodajo EU in jamstvi glede varstva temeljnih pravic posameznikov, interesov nacionalne varnosti ali poslovno občutljivih podatkov.
Akt o podatkih temelji na aktu o upravljanju podatkov v zvezi z določbami, namenjenimi preprečevanju nezakonitega vladnega dostopa tretjih držav in prenosa neosebnih podatkov, ki se hranijo v EU. Takšne določbe ne vplivajo na redno izmenjavo podatkov med podjetji. Povečujejo preglednost in pravno varnost v zvezi s postopkom in pogoji, pod katerimi lahko vladni organi, ki niso državljani EU, dostopajo do neosebnih podatkov ali jih prenašajo.
Vrste podatkov s področja uporabe
Vse neosebne podatke, ki jih v EU hrani ponudnik storitve obdelave podatkov.
V praksi
Akt o podatkih ne prepoveduje čezmejnega prenosa podatkov, temveč zagotavlja, da varstvo podatkov v EU potuje z vsemi podatki, prenesenimi zunaj EU.
V zvezi s tem akt o podatkih določa pravila in zaščitne ukrepe za zahteve tujega javnega sektorja za dostop do neosebnih podatkov, ki se hranijo v Uniji. Te določbe ne vplivajo na zakonito mednarodno sodelovanje na področju kazenskega pregona.
Če ni mednarodnega sporazuma, ki bi urejal dostop vlade tretje države do neosebnih podatkov, ki se nahajajo v EU, se lahko podatki prenesejo ali dostopajo do njih le pod posebnimi pogoji. Ti pogoji se nanašajo na nekatera jamstva za zaščito evropskih pravic, ki jih mora izpolnjevati pravni sistem tretje države, vključno z zahtevo po navedbi razlogov in oceni sorazmernosti v sklepu. Ponudnik storitev obdelave podatkov, na katerega se nanaša taka odločba, lahko stopi v stik z ustreznim nacionalnim organom, da oceni, ali so izpolnjeni pogoji iz akta o podatkih. Da bi Evropska komisija lažje ocenila, ali so ti pogoji izpolnjeni, bo skupaj z Evropskim odborom za podatkovne inovacije (strokovno skupino, ustanovljeno na podlagi akta o upravljanju podatkov) pripravila smernice za lažjo izmenjavo najboljših praks in prednostno obravnavo medsektorskih standardov interoperabilnosti.
Ponudniki storitev obdelave podatkov bi morali sprejeti vse razumne ukrepe (npr. šifriranje, revizije, upoštevanje certifikacijskih shem), da bi preprečili dostop do sistemov, v katerih shranjujejo neosebne podatke. Te ukrepe je treba objaviti na njihovih spletnih straneh. Poleg tega bi morali, kadar je to mogoče, svoje stranke obvestiti, preden jim omogočijo dostop do svojih podatkov.
Poglavje VIII: Interoperabilnost
Zakaj?
Standardi in interoperabilnost so ključni za zagotavljanje, da se lahko podatki iz različnih virov uporabljajo znotraj skupnih evropskih podatkovnih prostorov in med njimi za spodbujanje raziskav in razvoj novih proizvodov ali storitev. V ta namen akt o podatkih določa nekatere bistvene zahteve, ki jih morajo izpolnjevati udeleženci v podatkovnih prostorih in ki jih lahko Evropska komisija podrobneje opredeli z delegiranimi akti.
Njegov namen je tudi zagotoviti interoperabilnost med storitvami obdelave podatkov; to je bistvenega pomena, če želijo stranke imeti koristi od lažje zamenjave.
Ključne zainteresirane strani
To poglavje je namenjeno udeležencem podatkovnih prostorov, ki ponujajo podatke ali storitve na podlagi podatkov drugim udeležencem in ki omogočajo souporabo podatkov v podatkovnih prostorih ali sodelujejo pri njej.
Naslavlja tudi prodajalce pametnih pogodb in ponudnike storitev obdelave podatkov.
V praksi
Udeleženci podatkovnega prostora bi morali izpolnjevati več bistvenih zahtev, da se omogoči pretok podatkov znotraj podatkovnih prostorov in med njimi. Na primer, opis podatkovnih struktur, oblik zapisa podatkov in besednjakov, če so na voljo, bi moral biti javno dostopen. Poleg tega bi bilo treba zagotoviti sredstva za zagotovitev interoperabilnosti sporazumov o souporabi podatkov, kot so pametne pogodbe.
Akt o podatkih prav tako pripravlja temelje za povečanje interoperabilnosti storitev obdelave podatkov s harmoniziranimi standardi in odprtimi specifikacijami za interoperabilnost.
Poleg tega določa zahteve za prodajalce pametnih pogodb za avtomatizirano izvajanje sporazumov o souporabi podatkov, na primer za zagotovitev, da pravilno izvajajo določbe sporazuma o souporabi podatkov in vzdržijo manipulacije s strani tretjih oseb.
Komisija bo ocenila ovire za interoperabilnost in prednostno razvrstila potrebe po standardizaciji, na podlagi katerih lahko od evropskih organizacij za standardizacijo zahteva, da pripravijo harmonizirane standarde, ki so skladni z zgoraj navedenimi zahtevami.
Če zahteva ne privede do harmoniziranega standarda ali če standard ne zadostuje za zagotovitev skladnosti z aktom o podatkih, lahko Komisija sprejme skupne specifikacije kot nadomestno rešitev. Razviti bi jih bilo treba na odprt in vključujoč način, ob upoštevanju povratnih informacij Evropskega odbora za podatkovne inovacije.
Poglavje IX: Izvrševanje in splošne določbe
Države članice bodo imenovale enega ali več (novih ali obstoječih) pristojnih organov za zagotovitev učinkovitega izvajanja akta o podatkih. Kadar je več pristojnih organov, morajo države članice enega izmed njih imenovati za „koordinatorja podatkov“. Koordinator podatkov bo deloval kot točka „vse na enem mestu“ za vsa vprašanja, povezana z izvajanjem akta o podatkih na nacionalni ravni, kar bo olajšalo uporabo za podjetja in javne organe. Na primer, če podjetje zahteva odškodnino zaradi kršitve svojih pravic v skladu z zakonom o podatkih, bi moral koordinator podatkov (na zahtevo) zagotoviti vse potrebne informacije, da bi mu pomagal vložiti pritožbo pri ustreznem pristojnem organu. Koordinator podatkov bo tudi olajšal sodelovanje v čezmejnih primerih, na primer kadar pristojni organ iz določene države članice ne ve, kateri organ bi se moral obrniti v državi članici koordinatorja podatkov.
Komisija bo vodila javni register pristojnih organov in koordinatorjev podatkov.
Evropski odbor za podatkovne inovacije bo spodbujal razprave med pristojnimi organi, na primer za usklajevanje in sprejemanje priporočil o določanju kazni za kršitve akta o podatkih. Kazni določijo pristojni organi, v skladu z zakonom o podatkih pa bi morale obstajati učinkovite, sorazmerne in odvračilne kazni.
Države članice lahko, če želijo, ustanovijo certificirane organe za reševanje sporov, ki strankam, ki se ne morejo dogovoriti o poštenih, razumnih in nediskriminatornih pogojih za dajanje podatkov na voljo, pomagajo. Stranke se lahko obrnejo na kateri koli organ za reševanje sporov – bodisi v državi članici, v kateri imajo sedež, bodisi v drugi državi članici.
Certificirani mehanizmi za reševanje sporov in specializirani pristojni organi bodo podjetjem, zlasti malim podjetjem, olajšali uveljavljanje njihovih pravic v skladu z zakonom o podatkih, saj zadevnim strankam ponujajo preprosto, hitro in poceni rešitev.
Kaj je naslednje?
Evropska strategija za podatke določa pot EU, da postane vodilna v podatkovnem gospodarstvu. To bo doseženo z vzpostavitvijo evropskega enotnega trga za podatke, na katerem se lahko podatki varno in zaupanja vredno prenašajo med sektorji in državami članicami v korist gospodarstva in družbe. Z zagotavljanjem pravičnosti pri dodeljevanju vrednosti podatkov med zainteresiranimi stranmi je akt o podatkih ključni element za doseganje te vizije.
Zakon o podatkih se bo začel uporabljati 12. septembra 2025.
Za pomoč podjetjem pri uporabi teh novih pravil bo Komisija priporočila sklop vzorčnih pogodbenih pogojev, ki bodo podjetjem v pomoč pri sklepanju pravičnih, razumnih in nediskriminatornih pogodb o souporabi podatkov (poglavji II in III akta o podatkih). Ti pogoji bodo zagotovili tudi smernice o primernem nadomestilu in varovanju poslovnih skrivnosti. Komisija bo priporočila tudi sklop nezavezujočih standardnih pogodbenih klavzul za pogodbe o računalništvu v oblaku med uporabniki storitev v oblaku in ponudniki storitev v oblaku. Ustanovljena je bila strokovna skupina za pomoč Komisiji pri pripravi takšnih pogojev in klavzul, ki jih namerava priporočiti do jeseni 2025.
Komisija bo v treh letih od začetka njegove uporabe ocenila učinek akta o podatkih. Na tej podlagi lahko Komisija po potrebi predlaga spremembo zakona.
Pravno obvestilo
Ta dokument se ne bi smel obravnavati kot reprezentativen za uradno stališče Evropske komisije.