Baza je ažurirana 01.12.2024. 

zaključno sa NN 120/24

EU 2024/2679

Uredba (EU) 2023/2854 Europskog parlamenta i Vijeća od 13. prosinca 2023. o usklađenim pravilima za pravedan pristup podacima i njihovu uporabu i o izmjeni Uredbe (EU) 2017/2394 i Direktive (EU) 2020/1828 (Akt o podacima)

REGISTAR ZAKONODAVSTVA EU - EU13 Industrijska politika i unutarnje tržište

Službeni link: 32023R2854 verzija: 22.12.2023. na snazi od 11.01.2024.

Uredba (EU) 2023/2854 Europskog parlamenta i Vijeća od 13. prosinca 2023. o usklađenim pravilima za pravedan pristup podacima i njihovu uporabu i o izmjeni Uredbe (EU) 2017/2394 i Direktive (EU) 2020/1828 (Akt o podacima)

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europske središnje banke (1),

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (2),

uzimajući u obzir mišljenje Odbora regija (3),

u skladu s redovnim zakonodavnim postupkom (4),

budući da:

(1)

Posljednjih su godina tehnologije temeljene na podacima imale transformacijske učinke na sve sektore gospodarstva. Širenje proizvoda povezanih s internetom osobito je povećalo količinu i potencijalnu vrijednost podataka za potrošače, poduzeća i društvo. Visokokvalitetni i interoperabilni podaci iz različitih područja povećavaju razinu konkurentnosti i inovacije te osiguravaju održiv gospodarski rast. Isti se podaci mogu upotrijebiti i ponovno upotrijebiti u različite svrhe i u neograničenom opsegu bez ikakvog gubitka kvalitete ili količine.

(2)

Prepreke dijeljenju podataka sprečavaju optimalnu raspodjelu podataka u korist društva. Te prepreke uključuju nedostatak poticaja za imatelje podataka da dobrovoljno sklope sporazume o dijeljenju podataka, nesigurnost s obzirom na prava i obveze povezane s podacima, troškove ugovaranja i implementacije tehničkih sučelja, visoku razinu fragmentacije informacija u izoliranim sustavima, loše upravljanje metapodacima, nepostojanje normi za semantičku i tehničku interoperabilnost, uska grla koja ometaju pristup podacima, nedostatak zajedničke prakse dijeljenja podataka i zlouporabu ugovornih neravnoteža u pogledu pristupa podacima i njihove uporabe.

 

(3)

U sektorima koje obilježava prisutnost mikropoduzeća, malih poduzeća i srednjih poduzeća kako su definirana u članku 2. Priloga Preporuci Komisije 2003/361/EZ (5) (MSP-ovi) često nedostaje digitalnih kapaciteta i vještina za prikupljanje, analizu i uporabu podataka, a pristup podacima često je ograničen ako ih jedan akter drži u sustavu ili zbog nedostatka interoperabilnosti među podacima, među podatkovnim uslugama ili preko granica.

(4)

Kako bi se odgovorilo na potrebe digitalnog gospodarstva i uklonile prepreke dobrom funkcioniranju unutarnjeg tržišta podataka, potrebno je utvrditi usklađeni okvir kojim se određuje tko ima pravo na uporabu podataka proizvoda ili podataka o povezanim uslugama, pod kojim uvjetima i na kojoj osnovi. Države članice u skladu s time ne bi trebale donositi ili održavati dodatne nacionalne zahtjeve u pogledu pitanja koja su obuhvaćena područjem primjene ove Uredbe, osim ako je u njoj to izričito predviđeno, jer bi to utjecalo na njezinu izravnu i jedinstvenu primjenu. Štoviše, djelovanjem na razini Unije ne bi trebalo dovoditi u pitanje obveze i odgovornosti iz međunarodnih trgovinskih sporazuma koje je sklopila Unija.

 

(5)

Ovom se Uredbom osigurava da korisnici povezanog proizvoda ili povezane usluge u Uniji mogu pravodobno pristupiti podacima koji su generirani uporabom tog povezanog proizvoda ili te povezane usluge i upotrebljavati ih, među ostalim i dijeljenjem tih podataka s trećim stranama po vlastitom izboru. Njome se imateljima podataka nameće obveza, u određenim okolnostima, stavljanja podataka na raspolaganje korisnicima i trećim stranama po izboru korisnika. Njome se također osigurava da imatelji podataka stavljaju podatke na raspolaganje primateljima podataka u Uniji pod poštenim, razumnim i nediskriminirajućim uvjetima te na transparentan način. Pravila privatnog prava ključna su u općem okviru za dijeljenje podataka. Ovom se Uredbom stoga prilagođavaju pravila ugovornog prava i sprečava iskorištavanje ugovornih neravnoteža koje ometaju pravedan pristup podacima i njihovu uporabu. Ovom se Uredbom također osigurava da imatelji podataka tijelima javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelima Unije stavljaju na raspolaganje podatke koji su potrebni za obavljanje specifične zadaće koja se obavlja u javnom interesu kad za tim postoji iznimna potreba. Osim toga, ovom se Uredbom nastoji olakšati promjena usluga obrade podataka i poboljšati interoperabilnost podataka te mehanizama i usluga dijeljenja podataka u Uniji. Ovu Uredbu ne bi trebalo tumačiti kao priznavanje ili dodjeljivanje bilo kakvih novih prava imateljima podataka da upotrebljavaju podatke generirane uporabom povezanog proizvoda ili povezane usluge.

(6)

Generiranje podataka rezultat je radnji najmanje dvaju aktera, posebno dizajnera ili proizvođača nekog povezanog proizvoda, koji u mnogim slučajevima može biti i pružatelj povezanih usluga, i korisnika povezanog proizvoda ili povezane usluge. Generiranje podataka dovodi do pitanjâ poštenosti u digitalnom gospodarstvu jer su podaci koje povezani proizvodi ili povezane usluge bilježe ulazni podaci važni za poslijeprodajne, pomoćne i druge usluge. Kako bi se ostvarile važne gospodarske pogodnosti podataka, među ostalim i dijeljenjem podataka na temelju dobrovoljnih sporazuma i razvojem stvaranja vrijednosti temeljenih na podacima od strane poduzeća iz Unije, prednost se daje općem pristupu dodjeli prava u pogledu pristupa podacima i uporabe podataka umjesto dodjeli isključivih prava pristupa i uporabe. Ovom se Uredbom predviđaju horizontalna pravila nakon kojih bi moglo slijediti pravo Unije ili nacionalno pravo kojim se odgovara na posebne situacije u relevantnim sektorima.

 

(7)

Temeljno pravo na zaštitu osobnih podataka zaštićeno je ponajprije uredbama (EU) 2016/679 (6) i (EU) 2018/1725 (7) Europskog parlamenta i Vijeća. Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (8) dodatno se štiti privatni život i povjerljivost komunikacija, među ostalim i s pomoću uvjeta za pohranu svih osobnih i neosobnih podataka u terminalnoj opremi te pristup tim podacima s terminalne opreme. Ti su zakonodavni akti Unije temelj za održivu i odgovornu obradu podataka, među ostalim i onda kada skupovi podataka uključuju kombinaciju osobnih i neosobnih podataka. Ovom se Uredbom dopunjuje i ne dovodi u pitanje pravo Unije o zaštiti osobnih podataka i privatnosti, a posebno uredbe (EU) 2016/679 i (EU) 2018/1725 te Direktiva 2002/58/EZ. Nijedna odredba ove Uredbe ne bi se trebala primjenjivati niti tumačiti na način kojim bi se umanjilo ili ograničilo pravo na zaštitu osobnih podataka ili pravo na privatnost i povjerljivost komunikacija. Svakom obradom osobnih podataka u skladu s ovom Uredbom trebalo bi se poštovati pravo Unije o zaštiti podataka, uključujući zahtjev u pogledu postojanja valjane pravne osnove za obradu u skladu s člankom 6. Uredbe (EU) 2016/679 i, ako je to relevantno, uvjete iz članka 9. te uredbe i iz članka 5. stavka 3. Direktive 2002/58/EZ. Ova Uredba nije pravna osnova za prikupljanje ili generiranje osobnih podataka od strane imatelja podataka. Ovom se Uredbom imateljima podataka nameće obveza stavljanja osobnih podataka na raspolaganje korisnicima ili trećim stranama po izboru korisnika i na zahtjev tog korisnika. Takav pristup trebao bi se omogućiti za osobne podatke koje obrađuje imatelj podataka na temelju bilo koje od pravnih osnova iz članka 6. Uredbe (EU) 2016/679. Ako korisnik nije ispitanik, ovom se Uredbom ne stvara pravna osnova za omogućavanje pristupa osobnim podacima ili za stavljanje osobnih podataka na raspolaganje trećoj strani te ovu Uredbu ne bi trebalo tumačiti kao da se njome imatelju podataka dodjeljuje bilo kakvo novo pravo na uporabu osobnih podataka generiranih uporabom povezanog proizvoda ili povezane usluge. U tim bi slučajevima moglo biti u interesu korisnika olakšati ispunjavanje zahtjevâ iz članka 6. Uredbe (EU) 2016/679. S obzirom na to da ova Uredba ne bi trebala negativno utjecati na prava ispitanikâ na zaštitu podataka, imatelj podataka može ispuniti zahtjeve u tim slučajevima, među ostalim anonimiziranjem osobnih podataka ili, ako lako dostupni podaci sadržavaju osobne podatke više ispitanika, prijenosom samo onih osobnih podataka koji se odnose na korisnika.

(8)

Načela smanjenja količine podataka te tehničke i integrirane zaštite podataka ključna su kad obrada uključuje znatne rizike za temeljna prava pojedinaca. Uzimajući u obzir najnovija dostignuća, sve strane u dijeljenju podataka, uključujući dijeljenje podataka obuhvaćeno područjem primjene ove Uredbe, trebale bi provesti tehničke i organizacijske mjere za zaštitu tih prava. Takve mjere uključuju ne samo pseudonimizaciju i šifriranje već i uporabu sve dostupnije tehnologije kojom se omogućuje primjena algoritama na podatke i stjecanje dragocjenog uvida bez njihova prijenosa među stranama ili nepotrebnog kopiranja samih neobrađenih ili strukturiranih podataka.

 

(9)

Osim ako je drukčije predviđeno u ovoj Uredbi, ona ne utječe na nacionalno ugovorno pravo, uključujući pravila o sastavljanju, valjanosti ili učinku ugovorâ, ili na posljedice raskida ugovora. Ovom se Uredbom dopunjuje i ne dovodi u pitanje pravo Unije čiji je cilj promicanje interesa potrošača i osiguravanje visoke razine zaštite potrošača, te zaštita njihova zdravlja, njihove sigurnosti i njihovih gospodarskih interesa, a osobito Direktiva Vijeća 93/13/EEZ (9) i direktive 2005/29/EZ (10) te 2011/83/EU (11) Europskog parlamenta i Vijeća.

(10)

Ovom se Uredbom ne dovode u pitanje pravni akti Unije i nacionalni pravni akti kojima se predviđa dijeljenje podataka, pristup podacima i njihova uporaba u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija ili pak u carinske i porezne svrhe, neovisno o pravnoj osnovi prema Ugovoru o funkcioniranju Europske unije (UFEU) na temelju koje su takvi pravni akti Unije doneseni, kao ni međunarodna suradnja u tom području, osobito na temelju Konvencije Vijeća Europe o kibernetičkom kriminalu (ETS br. 185) sastavljene u Budimpešti 23. studenoga 2001. Takvi akti uključuju uredbe (EU) 2021/784 (12), (EU) 2022/2065 (13) i (EU) 2023/1543 (14) Europskog parlamenta i Vijeća te Direktivu (EU) 2023/1544 Europskog parlamenta i Vijeća (15). Ova se Uredba ne primjenjuje na prikupljanje ili dijeljenje podataka, pristup podacima ili njihovu uporabu na temelju Uredbe (EU) 2015/847 Europskog parlamenta i Vijeća (16) i Direktive (EU) 2015/849 Europskog parlamenta i Vijeća (17). Ova se Uredba ne primjenjuje u područjima koja nisu obuhvaćena pravom Unije te u svakom slučaju ne utječe na nadležnosti država članica u pogledu javne sigurnosti, obrane ili nacionalne sigurnosti, carina i porezne uprave ili zdravlja i sigurnosti građana, neovisno o vrsti subjekta kojem su države članice povjerile obavljanje zadaća u vezi s tim nadležnostima.

 

(11)

Osim ako je to izričito predviđeno u ovoj Uredbi, ona ne bi trebala utjecati na pravo Unije kojim se uspostavljaju zahtjevi s obzirom na fizički dizajn i podatke za proizvode koji se stavljaju na tržište Unije.

(12)

Ovom se Uredbom dopunjuje i ne dovodi u pitanje pravo Unije čiji je cilj uspostava zahtjeva za pristupačnost određenih proizvoda i usluga, a posebno Direktiva (EU) 2019/882 Europskog parlamenta i Vijeća (18).

 

(13)

Ovom se Uredbom ne dovode u pitanje pravni akti Unije i nacionalni pravni akti kojima se predviđa zaštita prava intelektualnog vlasništva, uključujući direktive 2001/29/EZ (19), 2004/48/EZ (20) i (EU) 2019/790 (21) Europskog parlamenta i Vijeća.

(14)

Povezani proizvodi koji putem svojih sastavnih dijelova ili operativnih sustava pribavljaju, generiraju ili prikupljaju podatke o svojoj izvedbi, uporabi ili okruženju i koji te podatke mogu poslati putem elektroničke komunikacijske usluge, fizičke veze ili pristupa na uređaju, a često ih se naziva internetom stvari, trebali bi biti obuhvaćeni područjem primjene ove Uredbe, uz iznimku prototipa. Primjeri takvih elektroničkih komunikacijskih usluga osobito uključuju zemaljske telefonske mreže, televizijske kabelske mreže, satelitske mreže i mreže za komunikaciju bliskog polja. Povezani proizvodi nalaze se u svim segmentima gospodarstva i društva, među ostalim i u privatnoj, građevinskoj ili komercijalnoj infrastrukturi, vozilima, medicinskoj i rekreativnoj opremi, brodovima, zrakoplovima, opremi za kućanstvo i potrošačkoj robi, medicinskim i zdravstvenim uređajima ili poljoprivrednim i industrijskim strojevima. Proizvođačev odabir dizajna i, ako je to relevantno, pravo Unije ili nacionalno pravo kojim se odgovara na sektorske potrebe i ciljeve ili relevantne odluke nadležnih tijela trebali bi odrediti koje podatke povezani proizvod može staviti na raspolaganje.

 

(15)

Podaci predstavljaju digitalizaciju korisničkih radnji i događaja te bi stoga trebali biti dostupni korisniku. Pravila za pristup podacima iz povezanih proizvoda i povezanih usluga i njihovu uporabu na temelju ove Uredbe odnose se i na podatke proizvoda i na podatke o povezanim uslugama. Podaci proizvoda odnose se na podatke generirane uporabom povezanog proizvoda koje je proizvođač dizajnirao tako da ih korisnik, imatelj podataka ili treća strana, među ostalim i, ako je to relevantno, proizvođač, mogu dohvatiti iz povezanog proizvoda. Podaci o povezanim uslugama odnose se na podatke koji također predstavljaju digitalizaciju korisničkih radnji ili događaja, koji se odnose na povezani proizvod, a koje generira pružatelj tijekom pružanja povezane usluge. Podatke generirane uporabom povezanog proizvoda ili povezane usluge trebalo bi razumjeti kao da obuhvaćaju namjerno zabilježene podatke ili podatke koji neizravno proizlaze iz radnje korisnika, kao što su podaci o okruženju ili interakcijama povezanog proizvoda. To bi trebalo uključivati podatke o uporabi povezanog proizvoda koje generira korisničko sučelje ili se generiraju putem povezane usluge i ne bi trebalo biti ograničeno na informacije da je do takve uporabe došlo, već bi trebalo uključivati sve podatke koje povezani proizvod generira kao rezultat takve uporabe, kao što su podaci koje automatski generiraju senzori i podaci koje su zabilježile ugrađene aplikacije, uključujući aplikacije koje ukazuju na status i neispravnosti hardvera. To bi trebalo uključivati i podatke koje su povezani proizvod ili povezana usluga generirali tijekom razdobljâ mirovanja korisnika, primjerice kada korisnik odluči ne upotrebljavati povezani proizvod tijekom određenog razdoblja i umjesto toga odluči zadržati ga u stanju pripravnosti ili čak isključenog jer stanje povezanog proizvoda ili njegovih sastavnih dijelova, na primjer njegovih baterija, može varirati kada je povezani proizvod u stanju pripravnosti ili je isključen. Podaci koji nisu bitno izmijenjeni, što znači podaci u neobrađenom obliku, poznati i kao izvorni ili primarni podaci koji se odnose na podatkovne točke koje se automatski generiraju bez ikakvog daljnjeg oblika obrade, kao i podaci koji su prethodno obrađeni kako bi bili razumljivi i upotrebljivi prije naknadne obrade i analize obuhvaćeni su područjem primjene ove Uredbe. Takvi podaci uključuju podatke prikupljene od jednog senzora ili povezane skupine senzora kako bi prikupljeni podaci bili razumljiviji za šire scenarije uporabe utvrđivanjem fizikalne veličine ili kvalitete ili promjene fizikalne veličine kao što su temperatura, tlak, brzina protoka, zvuk, pH vrijednost, razina tekućine, položaj, ubrzanje ili brzina. Pojam „prethodno obrađeni podaci” ne bi trebalo tumačiti na način da se imatelju podataka nametne obveza da znatno ulaže u čišćenje i pretvaranje podataka. Podaci koje se mora staviti na raspolaganje trebali bi uključivati relevantne metapodatke, uključujući njihov osnovni kontekst i vremenski žig, kako bi podaci bili upotrebljivi, u kombinaciji s drugim podacima, kao što su podaci razvrstani i klasificirani s drugim podatkovnim točkama koje se na njih odnose, ili ponovno oblikovani u uobičajeno korišteni format. Takvi su podaci potencijalno vrijedni za korisnika i njima se podupiru inovacije i razvoj digitalnih i drugih usluga radi zaštite okoliša, zdravlja i kružnog gospodarstva, među ostalim i olakšavanjem održavanja i popravka dotičnih povezanih proizvoda. Protivno tome, za informacije o kojima se zaključuje iz takvih podataka ili informacije dobivene iz takvih podataka, koje su rezultat dodatnih ulaganja u dodjelu vrijednosti ili uvida iz podataka, posebno putem vlasničkih složenih algoritama, uključujući one koji su dio vlasničkog softvera, ne bi trebalo smatrati da su obuhvaćene područjem primjene ove Uredbe i stoga one ne bi trebale podlijegati obvezi imatelja podataka da ih stavi na raspolaganje korisniku ili primatelju podataka, osim ako se korisnik i imatelj podataka dogovore drukčije. Takvi bi podaci posebno mogli uključivati informacije dobivene s pomoću spajanja senzora čime se podaci izvode ili dobivaju iz više senzora, prikupljene u povezani proizvod, uporabom vlasničkih složenih algoritama i mogli bi podlijegati pravima intelektualnog vlasništva.

(16)

Ovom se Uredbom korisnicima povezanih proizvoda omogućuje da iskoriste poslijeprodajne, pomoćne i druge usluge koje se temelje na podacima prikupljenima iz senzora ugrađenih u takve proizvode jer prikupljanje tih podataka ima potencijalnu vrijednost za poboljšanje učinkovitosti povezanih proizvoda. Važno je razlikovati tržišta za pružanje takvih povezanih proizvoda opremljenih senzorima i povezanih usluga, s jedne strane, od tržištâ nepovezanog softvera i sadržaja, kao što su tekstualni, audio ili audiovizualni sadržaji koji su često obuhvaćeni pravima intelektualnog vlasništva, s druge strane. Slijedom navedenog, podaci koje takvi povezani proizvodi opremljeni senzorima generiraju kada korisnik bilježi, prenosi, prikazuje ili reproducira sadržaj, kao i sam sadržaj, koji je često obuhvaćen pravima intelektualnog vlasništva, među ostalim za uporabu u okviru internetske usluge, ne bi trebali biti obuhvaćeni ovom Uredbom. Ovom Uredbom ne bi trebali biti obuhvaćeni ni podaci koji su pribavljeni, generirani ili im je pristupljeno iz povezanog proizvoda ili su mu preneseni u svrhu pohrane ili drugih operacija obrade u ime drugih strana koje nisu korisnik, kao što to može biti slučaj kad je riječ o poslužiteljima ili infrastrukturi u oblaku kojom u cijelosti upravljaju njihovi vlasnici u ime trećih strana, među ostalim za uporabu u okviru internetske usluge.

 

(17)

Potrebno je utvrditi pravila u vezi s proizvodima koji su povezani s povezanom uslugom u trenutku kupnje, najma ili leasinga na takav način da bi odsutnost te usluge onemogućila povezanom proizvodu da obavlja jednu ili više svojih funkcija, ili koju proizvođač ili treća strana naknadno povezuju s proizvodom kako bi dodali ili prilagodili funkcionalnost povezanog proizvoda. Takve povezane usluge uključuju razmjenu podataka između povezanog proizvoda i pružatelja usluga i trebalo bi ih razumjeti kao da su izričito povezane s radom funkcija povezanog proizvoda, kao što su usluge kojima se, ako je to primjenjivo, povezanom proizvodu prenose naredbe koje mogu utjecati na njegovo djelovanje ili ponašanje. Usluge koje ne utječu na rad povezanog proizvoda i koje ne uključuju prijenos podataka ili naredbi pružatelja usluga povezanom proizvodu ne bi se trebale smatrati povezanim uslugama. Takve usluge mogle bi uključivati, na primjer, pomoćne usluge savjetovanja, analitičke ili financijske usluge ili redovite popravke i održavanje. Povezane usluge mogu se nuditi kao dio ugovora o kupoprodaji, najmu ili leasingu. Povezane usluge mogle bi se također pružati za proizvode iste vrste, a korisnici bi mogli razumno očekivati da će biti pružene uzimajući u obzir prirodu povezanog proizvoda i javne izjave prodavatelja, najmodavca, davatelja leasinga ili drugih osoba u prethodnim fazama lanca transakcija, uključujući proizvođača, ili izjave koje su dane u njihovo ime. Te povezane usluge mogu same generirati podatke vrijedne za korisnika neovisno o sposobnosti povezanog proizvoda s kojim su međusobno povezane da prikuplja podatke. Ova bi se Uredba trebala primjenjivati i na povezanu uslugu koju ne pruža sam prodavatelj, najmodavac ili davatelj leasinga, nego je pruža treća strana. Ova bi se Uredba trebala primjenjivati ako postoji sumnja o tome je li pružanje usluge dio ugovora o kupoprodaji, najmu ili leasingu. Ni opskrbu energijom ni osiguravanje povezivosti ne treba tumačiti kao povezane usluge na temelju ove Uredbe.

(18)

Korisnikom povezanog proizvoda trebalo bi smatrati fizičku ili pravnu osobu, kao što je poduzeće, potrošač ili tijelo javnog sektora, koja je vlasnik povezanog proizvoda ili je dobila određena privremena prava, na primjer na temelju ugovora o najmu ili leasingu, na pristup podacima pribavljenima iz povezanog proizvoda ili njihovu uporabu, ili koja prima povezane usluge za povezani proizvod. Ta prava pristupa ni na koji način ne bi trebala mijenjati ili zadirati u prava ispitanika koji mogu biti u interakciji s povezanim proizvodom ili povezanom uslugom u pogledu osobnih podataka koje generira povezani proizvod ili koji se generiraju tijekom pružanja povezane usluge. Korisnik snosi rizike i uživa koristi od uporabe povezanog proizvoda te bi također trebao imati pristup podacima koje povezani proizvod generira. Korisnik bi stoga trebao imati pravo na ostvarivanje koristi od podataka koje generiraju taj povezani proizvod i sve povezane usluge. Vlasnika, najmoprimca ili primatelja leasinga također bi trebalo smatrati korisnikom, uključujući u slučajevima u kojima se više subjekata može smatrati korisnicima. U kontekstu više korisnika svaki korisnik može na drugačiji način doprinijeti generiranju podataka i biti zainteresiran za nekoliko oblika uporabe, kao što su upravljanje voznim parkom u slučaju poduzeća za leasing ili rješenja za mobilnost za pojedince koji se koriste uslugom dijeljenja automobila.

 

(19)

Podatkovna pismenost odnosi se na vještine, znanje i razumijevanje koji korisnicima, potrošačima i poduzećima, osobito MSP-ovima, koji su obuhvaćeni područjem primjene ove Uredbe, omogućuju da postanu svjesni potencijalne vrijednosti podataka koje generiraju, proizvode i dijele, te da budu motivirani da ponude i pruže pristup tim podacima u skladu s relevantnim pravnim pravilima. Podatkovna pismenost ne bi se trebala zaustaviti na učenju o alatima i tehnologijama i njezin bi cilj trebao biti omogućiti građanima i poduzećima da imaju koristi od uključivog i pravednog tržišta podataka te ih osnažiti u tome. Mjerama za širenje podatkovne pismenosti i uvođenje odgovarajućih daljnjih mjera moglo bi se doprinijeti poboljšanju radnih uvjeta te u konačnici podržati konsolidaciju i inovacijski put podatkovnoga gospodarstva u Uniji. Nadležna tijela trebala bi promicati alate i donositi mjere za unapređenje podatkovne pismenosti među korisnicima i subjektima obuhvaćenima područjem primjene ove Uredbe te svijest o njihovim pravima i obvezama koje iz nje proizlaze.

(20)

U praksi nisu svi podaci koje generiraju povezani proizvodi ili povezane usluge jednostavno dostupni njihovim korisnicima, a mogućnosti u pogledu prenosivosti podataka koje generiraju proizvodi povezani s internetom često su ograničene. Korisnici ne mogu pribaviti podatke potrebne za korištenje uslugama popravka i drugim uslugama, a poduzeća ne mogu pokrenuti inovativne, praktične i učinkovitije usluge. U mnogim sektorima proizvođači mogu, na temelju vlastite kontrole tehničkog dizajna povezanih proizvoda ili povezanih usluga, utvrditi koji se podaci generiraju i kako im se može pristupiti iako nemaju zakonsko pravo na te podatke. Stoga je potrebno osigurati da su povezani proizvodi dizajnirani i proizvedeni te da su povezane usluge dizajnirane i da se pružaju tako da podaci proizvoda i podaci o povezanim uslugama, uključujući relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, među ostalim i u svrhu njihova dohvaćanja, uporabe ili dijeljenja, uvijek budu dostupni korisniku na jednostavan i siguran način, besplatno i u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu. Podaci proizvoda i podaci o povezanim uslugama koje imatelj podataka zakonito i bez nerazmjernog napora pribavi ili može zakonito pribaviti od povezanog proizvoda ili povezane usluge, primjerice dizajnom povezanog proizvoda, ugovorom imatelja podataka s korisnikom o pružanju povezanih usluga i svojim tehničkim sredstvima za pristup podacima, nazivaju se „lako dostupni podaci”. Lako dostupni podaci ne uključuju podatke generirane uporabom povezanog proizvoda ako se dizajnom povezanog proizvoda ne predviđa da se takvi podaci pohranjuju ili prenose izvan sastavnog dijela u kojem su generirani ili izvan povezanog proizvoda kao cjeline. Stoga ovu Uredbu ne bi trebalo razumjeti na način da se njome nameće obveza pohrane podataka na središnjoj računalnoj jedinici povezanog proizvoda. Nepostojanje takve obveze ne bi trebalo spriječiti proizvođača ili imatelja podataka da se dobrovoljno dogovori s korisnikom o provedbi takvih prilagodbi. Obvezama u pogledu dizajna iz ove Uredbe također se ne dovodi u pitanje načelo smanjenja količine podataka utvrđeno u članku 5. stavku 1. točki (c) Uredbe (EU) 2016/679 i ne bi ih trebalo razumjeti kao nametanje obveze dizajniranja povezanih proizvoda i povezanih usluga na način da oni pohranjuju ili na drugi način obrađuju bilo koje osobne podatke osim osobnih podataka koji su potrebni u vezi sa svrhom u koju se oni obrađuju. Pravo Unije ili nacionalno pravo moglo bi se uvesti kako bi se utvrdile daljnje pojedinosti, kao što su podaci proizvoda koji bi trebali biti dostupni iz povezanih proizvoda ili povezanih usluga, s obzirom na to da takvi podaci mogu biti ključni za učinkovit rad, popravak ili održavanje tih povezanih proizvoda ili tih povezanih usluga. Ako zbog naknadnih ažuriranja ili izmjena povezanog proizvoda ili povezane usluge koje provode proizvođač ili neka druga strana dođe do dodatnih dostupnih podataka ili se zbog toga ograniče prvotno dostupni podaci, korisnika bi trebalo obavijestiti o takvim promjenama u kontekstu ažuriranja ili izmjene.

 

(21)

Ako se više osoba ili subjekata smatra korisnicima, na primjer u slučaju suvlasništva, ili ako vlasnik, najmoprimac ili primatelj leasinga dijeli prava na pristup podacima ili njihovu uporabu, dizajnom povezanog proizvoda ili povezane usluge ili relevantnim sučeljem trebalo bi svakom korisniku omogućiti pristup podacima koje ti korisnici generiraju. Uporaba povezanih proizvoda kojom se generiraju podaci obično iziskuje uspostavu korisničkog računa. Takav račun omogućuje imatelju podataka, koji može biti proizvođač, da utvrdi identitet korisnika. Takav se račun također može upotrebljavati kao komunikacijsko sredstvo te za podnošenje i obradu zahtjevâ za pristup podacima. Ako je više proizvođača ili pružatelja povezanih usluga prodalo, iznajmilo ili dalo u leasing povezane proizvode ili pružilo povezane integrirane usluge istom korisniku, korisnik bi se trebao obratiti svakoj od stranaka s kojom ima ugovor. Proizvođači ili dizajneri povezanog proizvoda koji obično upotrebljava više osoba trebali bi uspostaviti potrebne mehanizme kako bi se za različite osobe omogućilo postojanje odvojenih korisničkih računa ili, ako je to relevantno, kako bi se omogućilo da se više osoba služi istim korisničkim računom. Rješenja koja se odnose na račune trebala bi korisnicima omogućiti da izbrišu svoje račune i s njima povezane podatke te bi korisnicima mogla omogućiti da ukinu pristup podacima, njihovu uporabu ili dijeljenje, ili da podnesu zahtjeve za takvo ukidanje, osobito uzimajući u obzir situacije kada se mijenja vlasništvo ili uporaba povezanog proizvoda. Korisniku bi pristup trebalo odobriti na temelju mehanizma običnog zahtjeva kojim se omogućuje automatsko izvršenje, a koji ne zahtijeva da proizvođač ili imatelj podataka provjeri ili odobri zahtjev. To znači da bi se podaci trebali staviti na raspolaganje samo kada korisnik doista želi pristupiti podacima. Ako automatizirano izvršenje zahtjeva za pristup podacima nije moguće, primjerice putem korisničkog računa ili prateće mobilne aplikacije koja se stavlja na raspolaganje s povezanim proizvodom ili povezanom uslugom, proizvođač bi korisnika trebao obavijestiti o načinu na koji se može pristupiti podacima.

(22)

Povezani proizvodi mogu biti dizajnirani tako da se određenim podacima može izravno pristupiti putem sustava pohrane podataka na uređaju ili s udaljenog poslužitelja kojem se ti podaci šalju. Pristup sustavu pohrane podataka na uređaju može se omogućiti putem kabelskih ili bežičnih lokalnih mreža povezanih s javno dostupnom elektroničkom komunikacijskom uslugom ili mobilnom mrežom. Poslužitelj može biti dio lokalnog poslužiteljskog kapaciteta proizvođača ili treće strane odnosno pružatelja usluga u oblaku. Za izvršitelje obrade kako su definirani u članku 4. točki 8. Uredbe (EU) 2016/679 ne smatra se da djeluju kao imatelji podataka. Međutim, voditelj obrade, kako je definiran u članku 4. točki 7. Uredbe (EU) 2016/679, može im izričito dodijeliti zadaću stavljanja podataka na raspolaganje. Povezani proizvodi mogu biti dizajnirani tako da korisniku ili trećoj strani omogućuju obradu podataka na povezanom proizvodu, na računalnom uređaju proizvođača ili u okruženju informacijske i komunikacije tehnologije (IKT) koje je odabrao korisnik ili treća strana.

 

(23)

Virtualni asistenti imaju sve veću ulogu u digitalizaciji potrošačkih i profesionalnih okruženja i služe kao sučelje koje je jednostavno za korištenje, za reprodukciju sadržaja, pribavljanje informacija ili aktivaciju proizvoda povezanih s internetom. Virtualni asistenti mogu djelovati kao jedinstveni pristupnik u, primjerice, pametnom kućnom okruženju i evidentirati znatne količine relevantnih podataka o načinu interakcije korisnika s proizvodima povezanima s internetom, uključujući one koje su proizveli drugi proizvođači, te mogu zamijeniti korištenje sučeljima proizvođača, kao što su zasloni osjetljivi na dodir ili aplikacije za pametne telefone. Korisnik će takve podatke možda htjeti staviti na raspolaganje proizvođačima koji su treća strana i tako aktivirati nove pametne usluge. Virtualni asistenti trebali bi biti obuhvaćeni pravima pristupa podacima predviđenima u ovoj Uredbi. Pravima pristupa podacima predviđenima u ovoj Uredbi trebali bi biti obuhvaćeni i podaci generirani kada korisnik komunicira s povezanim proizvodom putem virtualnog asistenta koji pruža subjekt koji nije proizvođač povezanog proizvoda. Međutim, ovom Uredbom trebali bi biti obuhvaćeni samo podaci koji proizlaze iz interakcije između korisnika i povezanog proizvoda ili povezane usluge putem virtualnog asistenta. Podaci koje stvara virtualni asistent koji nisu povezani s uporabom povezanog proizvoda ili povezane usluge nisu obuhvaćeni ovom Uredbom.

(24)

Prije sklapanja ugovora o kupoprodaji, najmu ili leasingu povezanog proizvoda, prodavatelj, najmodavac ili davatelj leasinga, koji može biti proizvođač, trebao bi korisniku na jasan i sveobuhvatan način pružiti informacije o podacima proizvoda koje povezani proizvod može generirati, uključujući vrstu, format i procijenjenu količinu takvih podataka. To bi moglo uključivati informacije o strukturama podataka, formatima podataka, rječnicima, klasifikacijskim shemama, taksonomijama i popisima oznaka, ako su dostupni, kao i jasne i dostatne informacije relevantne za izvršavanje pravâ korisnika o tome kako se podaci mogu pohraniti, dohvatiti ili kako im se može pristupiti, uključujući uvjete za uporabu i kvalitetu usluge sučeljâ za programiranje aplikacija ili, ako je to primjenjivo, pružanje kompletâ za razvoj softvera. Tom se obvezom osigurava transparentnost s obzirom na generirane podatke proizvoda i olakšava pristup korisniku. Obveza informiranja mogla bi se ispuniti na primjer održavanjem stabilnog jedinstvenog lokatora resursa (URL) na internetu, koji se može distribuirati kao internetska poveznica ili QR kod koji upućuju na relevantne informacije koje bi prodavač, najmodavac ili davatelj leasinga, koji može biti proizvođač, mogao pružiti korisniku prije sklapanja ugovora o kupoprodaji, najmu ili leasingu povezanog proizvoda. U svakom je slučaju potrebno korisniku omogućiti da pohrani informacije na način koji je dostupan za buduću uporabu i koji omogućuje nepromijenjeno reproduciranje pohranjenih informacija. Od imatelja podataka ne može se očekivati da pohranjuje podatke na neodređeno vrijeme s obzirom na potrebe korisnika povezanog proizvoda, ali bi trebao provoditi razumnu politiku zadržavanja podataka, ako je to primjenjivo, u skladu s načelom ograničenja pohrane u skladu s člankom 5. stavkom 1. točkom (e) Uredbe (EU) 2016/679, kojom se omogućuje djelotvorna primjena prava pristupa podacima predviđenih u ovoj Uredbi. Obveza pružanja informacija ne utječe na obvezu voditelja obrade podataka da ispitaniku pruži informacije u skladu s člancima 12., 13. i 14. Uredbe (EU) 2016/679. Potencijalni imatelj podataka trebao bi imati obvezu pružanja informacija prije sklapanja ugovora o pružanju povezane usluge, neovisno o tome sklapa li imatelj podataka ugovor o kupoprodaji, najmu ili leasingu povezanog proizvoda. Ako se informacije promijene tijekom vijeka trajanja povezanog proizvoda ili ugovornog razdoblja za povezanu uslugu, među ostalim ako se svrha u koju se ti podaci trebaju upotrebljavati promijeni u odnosu na izvorno navedenu svrhu, trebalo bi ih također pružiti korisniku.

 

(25)

Ovu Uredbu ne bi trebalo razumjeti kao da se njome dodjeljuju nova prava imateljima podataka da upotrebljavaju podatke proizvoda ili podatke o povezanim uslugama. Ako je proizvođač povezanog proizvoda imatelj podataka, osnova na temelju koje proizvođač može upotrebljavati neosobne podatke trebao bi biti ugovor između proizvođača i korisnika. Takav bi ugovor trebao biti dio sporazuma o pružanju povezane usluge, koji bi se mogao sklopiti zajedno s ugovorom o kupoprodaji, najmu ili leasingu povezanog proizvoda. Sve ugovorne odredbe prema kojima imatelj podataka može upotrebljavati podatke proizvoda ili podatke o povezanim uslugama trebale bi biti transparentne za korisnika, među ostalim i u pogledu svrha u koje imatelj podataka namjerava upotrebljavati podatke. Takve bi svrhe mogle uključivati poboljšanje funkcioniranja povezanog proizvoda ili povezanih usluga, razvoj novih proizvoda ili usluga, ili agregiranje podataka s ciljem stavljanja iz toga izvedenih podataka na raspolaganje trećim stranama, pod uvjetom da takvi izvedeni podaci ne omogućuju identifikaciju specifičnih podataka prenesenih imatelju podataka iz povezanog proizvoda ili da ne omogućuju trećoj strani da te podatke izvede iz skupa podataka. Svaka promjena ugovora trebala bi ovisiti o informiranom pristanku korisnika. Ovom se Uredbom stranke ne sprečava da se dogovore o ugovornim uvjetima čiji je učinak onemogućavanje ili ograničavanje imatelja podataka u uporabi neosobnih podataka ili određenih kategorija neosobnih podataka. Ovom se Uredbom također ne sprečava stranke da se dogovore o stavljanju podataka proizvoda ili podataka o povezanim uslugama na raspolaganje trećim stranama, izravno ili neizravno, uključujući, ako je to primjenjivo, preko drugog imatelja podataka. Štoviše, ovom se Uredbom ne sprečavaju sektorski regulatorni zahtjevi na temelju prava Unije ili nacionalnog prava usklađenog s pravom Unije, kojima bi se imatelju podataka onemogućila ili ograničila uporaba pojedinih takvih podataka na temelju jasno definiranih razloga iz sfere javne politike. Ovom se Uredbom korisnike ne sprečava da, u slučaju odnosa među poduzećima, stave podatke na raspolaganje trećim stranama ili imateljima podataka u skladu s bilo kojom zakonitom ugovornom odredbom, među ostalim i pristankom na ograničavanje ili zabranu daljnjeg dijeljenja takvih podataka, ili da dobiju proporcionalnu naknadu, na primjer u zamjenu za odricanje od svojeg prava na uporabu ili dijeljenje takvih podataka. Iako pojam „imatelj podataka” u načelu ne uključuje tijela javnog sektora, on može uključivati javna poduzeća.

(26)

Kako bi se potaknulo stvaranje likvidnih, pravednih i učinkovitih tržišta za neosobne podatke, korisnici povezanih proizvoda trebali bi moći dijeliti podatke s drugima, među ostalim u komercijalne svrhe, uz minimalan pravni i tehnički napor. Poduzećima je trenutačno često teško opravdati troškove osoblja ili računalstva koji su potrebni za pripremu skupova neosobnih podataka ili podatkovnih proizvoda i ponuditi ih potencijalnim drugim ugovornim strankama putem usluga podatkovnog posredovanja, uključujući tržišta podataka. Značajna prepreka dijeljenju neosobnih podataka za poduzeća stoga proizlazi iz nedostatka predvidljivosti gospodarske dobiti od ulaganja u održavanje i stavljanje na raspolaganje skupova podataka ili podatkovnih proizvoda. Kako bi se omogućio nastanak likvidnih, poštenih i učinkovitih tržišta za neosobne podatke u Uniji, mora se razjasniti koja stranka ima pravo nuditi takve podatke na tržištu. Korisnici bi stoga trebali imati pravo dijeliti neosobne podatke s primateljima podataka u komercijalne i nekomercijalne svrhe. Takvo dijeljenje podataka može provoditi izravno korisnik, ono se može provoditi na zahtjev korisnika, putem imatelja podataka ili putem usluga podatkovnog posredovanja. Usluge podatkovnog posredovanja, kako su regulirane Uredbom (EU) 2022/868 Europskog parlamenta i Vijeća (22), mogle bi olakšati podatkovno gospodarstvo uspostavljanjem komercijalnih odnosa između korisnika, primatelja podataka i trećih strana te mogu podržati korisnike u ostvarivanju njihova prava na uporabu podataka kao što je osiguravanje anonimizacije osobnih podataka ili agregiranja pristupa podacima za više pojedinačnih korisnika. Ako su podaci isključeni iz obveze imatelja podataka da ih stavi na raspolaganje korisnicima ili trećim stranama, opseg takvih podataka mogao bi se utvrditi u ugovoru o pružanju povezane usluge između korisnika i imatelja podataka, tako da korisnici mogu lako utvrditi koji su im podaci dostupni za dijeljenje s primateljima podataka ili s trećim stranama. Imatelji podataka ne bi smjeli stavljati na raspolaganje neosobne podatke proizvoda trećim stranama u komercijalne ili nekomercijalne svrhe osim radi ispunjenja svojeg ugovora s korisnikom, ne dovodeći u pitanje pravne zahtjeve na temelju prava Unije ili nacionalnog prava prema kojima je imatelj podataka dužan staviti podatke na raspolaganje. Ako je to relevantno, imatelji podataka trebali bi u okviru ugovora obvezati treće strane da ne dijele dalje podatke koje su dobili od njih.

 

(27)

U sektorima u kojima je koncentriran mali broj proizvođača koji opskrbljuju krajnje korisnike povezanim proizvodima, korisnicima bi mogle biti dostupne tek ograničene mogućnosti za pristup podacima, uporabu podataka i dijeljenje podataka. U takvim okolnostima ugovori mogu biti nedostatni za postizanje cilja jačanja položaja korisnika, što korisnicima otežava ostvarivanje vrijednosti od podataka generiranih povezanim proizvodom koji kupuju, unajmljuju ili uzimaju u leasing. Time se ograničavaju mogućnosti za inovativna manja poduzeća da rješenja temeljena na podacima ponude na konkurentan način i za raznovrsno podatkovno gospodarstvo u Uniji. Stoga bi se ova Uredba trebala temeljiti na nedavnom razvoju u određenim sektorima, kao što je Kodeks postupanja o dijeljenju poljoprivrednih podataka putem ugovora. Može se donijeti pravo Unije ili nacionalno pravo kako bi se odgovorilo na sektorske potrebe i ciljeve. Nadalje, imatelji podataka ne bi smjeli upotrebljavati lako dostupne podatke koji su neosobni podaci kako bi stekli uvid u gospodarsko stanje, imovinu ili proizvodne metode korisnika ili u njihovu uporabu od strane korisnika na bilo koji drugi način koji bi mogao ugroziti poslovni položaj tog korisnika na tržištima na kojima posluje. To bi moglo uključivati uporabu saznanja o ukupnim rezultatima poslovanja nekog poduzeća ili poljoprivrednog gospodarstva u pregovorima o ugovoru s korisnikom o mogućoj kupnji korisnikovih proizvoda ili poljoprivrednih proizvoda na njegovu štetu ili uporabu takvih informacija za unos u veće baze podataka na određenim tržištima kao cjelinama, na primjer baze podataka o prinosima usjeva za predstojeću sezonu žetve, jer bi takva uporaba mogla negativno utjecati na korisnika na neizravan način. Korisniku bi trebalo osigurati tehničko sučelje potrebno za upravljanje odobrenjima, po mogućnosti s granularnim mogućnostima odobrenja kao što su „dopusti jednom” ili „dopusti tijekom uporabe ove aplikacije ili usluge”, uključujući mogućnost povlačenja takvih odobrenja.

(28)

U ugovorima između imatelja podataka i potrošača kao korisnika povezanog proizvoda ili povezane usluge koji generiraju podatke primjenjuje se pravo Unije o zaštiti potrošača, osobito direktive 93/13/EEZ i 2005/29/EZ, kako bi se osiguralo da potrošač nije izložen nepoštenim ugovornim odredbama. Za potrebe ove Uredbe nepoštene ugovorne odredbe jednostrano nametnute pojedinom poduzeću ne bi trebale biti obvezujuće za to poduzeće.

 

(29)

Imatelji podataka mogu zahtijevati odgovarajuću identifikaciju korisnika kako bi provjerili ima li korisnik pravo pristupa podacima. U slučaju osobnih podataka koje obrađuje izvršitelj obrade u ime voditelja obrade, imatelji podataka trebali bi osigurati da izvršitelj obrade primi i obradi zahtjev za pristup.

(30)

Korisnik bi podatke trebao moći slobodno upotrebljavati u bilo koju zakonitu svrhu. To uključuje pružanje podataka koje je korisnik primio tijekom ostvarivanja svojih prava na temelju ove Uredbe trećoj strani koja nudi poslijeprodajnu uslugu koja može biti u konkurenciji s uslugom koju pruža imatelj podataka ili davanje upute imatelju podataka da to učini. Zahtjev bi trebao podnijeti korisnik ili ovlaštena treća strana koja djeluje u ime korisnika, uključujući pružatelja usluge podatkovnog posredovanja. Imatelji podataka trebali bi osigurati da su podaci stavljeni na raspolaganje trećoj strani u istoj mjeri točni, potpuni, pouzdani, relevantni i ažurirani kao i podaci kojima i sam imatelj podataka može ili ima pravo pristupiti na temelju uporabe povezanog proizvoda ili povezane usluge. Pri postupanju s podacima trebalo bi poštovati sva prava intelektualnog vlasništva. Važno je očuvati poticaje za ulaganje u proizvode s funkcionalnostima koje se temelje na uporabi podataka iz senzora ugrađenih u te proizvode.

 

(31)

Direktivom (EU) 2016/943 Europskog parlamenta i Vijeća (23) predviđa se da se pribavljanje, korištenje ili otkrivanje poslovne tajne smatra zakonitim, među ostalim, ako se takvo pribavljanje, korištenje ili otkrivanje zahtijeva ili dopušta pravom Unije ili nacionalnim pravom. Iako se ovom Uredbom od imatelja podataka zahtijeva da određene podatke otkriju korisnicima ili trećim stranama po izboru korisnika čak i ako se takvi podaci mogu zaštititi kao poslovne tajne, trebalo bi je tumačiti na način da se očuva zaštita poslovnih tajni u skladu s Direktivom (EU) 2016/943. U tom bi kontekstu imatelji podataka trebali moći od korisnika ili trećih strana po izboru korisnika zahtijevati da čuvaju povjerljivost podataka koji se smatraju poslovnim tajnama. Imatelji podataka trebali bi u tu svrhu utvrditi poslovne tajne prije otkrivanja i trebali bi se moći dogovoriti s korisnicima ili trećim stranama po izboru korisnika o potrebnim mjerama za očuvanje njihove povjerljivosti, među ostalim i uporabom modela ugovornih odredbi, sporazuma o povjerljivosti, strogih protokola o pristupu, tehničkih normi i primjenom kodeksa ponašanja. Osim upotrebe modela ugovornih odredbi koji treba izraditi i preporučiti Komisija, uspostava kodeksa ponašanja i tehničkih normi povezanih sa zaštitom poslovnih tajni pri postupanju s podacima mogla bi pomoći u postizanju cilja ove Uredbe te bi je trebalo poticati. Ako ne dođe do dogovora o potrebnim mjerama ili ako korisnik ili treća strana po izboru korisnika ne provede dogovorene mjere ili ugrozi povjerljivost poslovnih tajni, imatelj podataka trebao bi moći uskratiti ili suspendirati dijeljenje podataka koji su identificirani kao poslovne tajne. U takvim slučajevima imatelj podataka trebao bi korisniku ili trećoj strani bez nepotrebne odgode dostaviti odluku u pisanom obliku i obavijestiti nadležno tijelo države članice u kojoj imatelj podataka ima poslovni nastan da je uskratio ili suspendirao dijeljenje podataka i navesti koje mjere nisu dogovorene ili provedene te, ako je to relevantno, za koje je poslovne tajne ugrožena povjerljivost. Imatelji podataka u načelu ne mogu odbiti zahtjev za pristup podacima u skladu s ovom Uredbom isključivo na temelju toga što se određeni podaci smatraju poslovnom tajnom jer bi to potkopalo željene učinke ove Uredbe. Međutim, u iznimnim okolnostima imatelj podataka koji je nositelj poslovne tajne trebao bi moći, ovisno o pojedinačnom slučaju, odbiti zahtjev za određene podatke o kojima je riječ ako korisniku ili trećoj strani može dokazati da, unatoč tehničkim i organizacijskim mjerama koje je poduzeo korisnik ili koje je poduzela treća strana, vrlo vjerojatno može doći do teške gospodarske štete uslijed otkrivanja te poslovne tajne. Teška gospodarska šteta podrazumijeva ozbiljan i nepopravljiv gospodarski gubitak. Imatelj podataka trebao bi bez nepotrebne odgode korisniku ili trećoj strani obrazložiti svoje odbijanje u pisanom obliku i o tome obavijestiti nadležno tijelo. Takvo bi se obrazloženje trebalo temeljiti na objektivnim elementima kojima se dokazuje konkretan rizik od teške gospodarske štete za koju se očekuje da će proizaći iz otkrivanja određenih podataka i na razlozima zbog kojih se mjere poduzete za zaštitu traženih podataka ne smatraju dostatnima. U tom se kontekstu može uzeti u obzir mogući negativan učinak na kibernetičku sigurnost. Ne dovodeći u pitanje pravo na traženje pravne zaštite pred sudom države članice, ako korisnik ili treća strana želi osporiti odluku imatelja podataka da odbije ili da uskrati ili suspendira dijeljenje podataka, korisnik ili treća strana može podnijeti pritužbu nadležnom tijelu koje bi bez nepotrebne odgode trebalo odlučiti bi li i pod kojim uvjetima dijeljenje podataka trebalo započeti ili se nastaviti, ili se može dogovoriti s imateljem podataka da se predmet uputi tijelu za rješavanje sporova. Iznimke od prava pristupa podacima predviđene u ovoj Uredbi ni u kojem slučaju ne bi trebale ograničavati pravo ispitanika na pristup podacima ni pravo ispitanika na prenosivost podataka na temelju Uredbe (EU) 2016/679.

(32)

Cilj ove Uredbe nije samo poticanje razvoja novih i inovativnih povezanih proizvoda ili novih i inovativnih povezanih usluga i poticanje inovacija na poslijeprodajnim tržištima nego i poticanje razvoja potpuno novih usluga u sklopu kojih se upotrebljavaju dotični podaci, među ostalim onih koje se temelje na podacima iz raznih povezanih proizvoda ili povezanih usluga. Ovom se Uredbom istodobno nastoji izbjeći narušavanje poticaja za ulaganja u određenu vrstu povezanih proizvoda iz kojih se dobivaju podaci, primjerice uporabom podataka za razvoj konkurentnog povezanog proizvoda koji korisnici smatraju zamjenskim ili zamjenjivim, osobito na temelju značajki povezanog proizvoda, njegove cijene i namjene. Ovom se Uredbom ne predviđa zabrana razvoja povezane usluge koja upotrebljava podatke pribavljene na temelju ove Uredbe jer bi to imalo neželjeni odvraćajući učinak na inovacije. Zabranom uporabe podataka kojima se pristupa na temelju ove Uredbe za razvoj konkurentnog povezanog proizvoda štite se inovacijske aktivnosti imatelja podataka. Konkurira li povezani proizvod povezanom proizvodu iz kojeg potječu podaci ovisi o tome jesu li ta dva povezana proizvoda u konkurenciji na istom tržištu proizvoda. To se određuje na temelju utvrđenih načela prava tržišnog natjecanja Unije za definiranje relevantnog tržišta proizvoda. Međutim, zakonite svrhe za uporabu podataka mogle bi uključivati obrnuti inženjering, pod uvjetom da je on u skladu sa zahtjevima utvrđenima u ovoj Uredbi te u pravu Unije ili u nacionalnom pravu. To može biti slučaj u svrhu popravka ili produljenja životnog vijeka povezanog proizvoda ili pružanja poslijeprodajnih usluga za povezane proizvode.

 

(33)

Treća strana kojoj se podaci stavljaju na raspolaganje može biti fizička ili pravna osoba, kao što je potrošač, poduzeće, istraživačka organizacija, neprofitna organizacija ili subjekt koji djeluje u profesionalnom svojstvu. Kad stavlja podatke na raspolaganje trećoj strani, imatelj podataka ne bi trebao zloupotrijebiti svoj položaj radi stjecanja konkurentne prednosti na tržištima na kojima imatelj podataka i dotična treća strana mogu biti u izravnoj konkurenciji. Stoga imatelj podataka ne bi trebao upotrebljavati lako dostupne podatke kako bi stekao uvid u gospodarsko stanje, imovinu ili proizvodne metode treće strane ili u njihovu upotrebu od strane treće strane na bilo koji drugi način koji bi mogao ugroziti poslovni položaj te treće strane na tržištima na kojima ona posluje. Korisnik bi trebao moći dijeliti neosobne podatke s trećim stranama u komercijalne svrhe. Nakon dogovora s korisnikom i podložno odredbama ove Uredbe, treće strane trebale bi moći prava pristupa podacima koja im je dodijelio korisnik prenijeti drugim trećim stranama, među ostalim i u zamjenu za naknadu. Posrednici u području podataka među poduzećima i sustavi za upravljanje osobnim informacijama (PIMS), koji se u Uredbi (EU) 2022/868 nazivaju uslugama podatkovnog posredovanja, mogu podupirati korisnike ili treće strane u uspostavi poslovnih odnosa s neutvrđenim brojem potencijalnih drugih ugovornih stranaka u bilo koju zakonitu svrhu obuhvaćenu područjem primjene ove Uredbe. Oni bi mogli imati ključnu ulogu u agregiranju pristupa podacima kako bi se mogle olakšati analize velikih podataka ili strojno učenje, pod uvjetom da korisnici zadrže potpunu kontrolu nad time žele li pružiti svoje podatke za takvo agregiranje i nad komercijalnim uvjetima pod kojima se njihovi podaci moraju upotrebljavati.

(34)

Uporabom povezanog proizvoda ili povezane usluge mogu se, posebno ako je korisnik fizička osoba, generirati podaci koji se odnose na ispitanika. Obrada takvih podataka podliježe pravilima utvrđenima Uredbom (EU) 2016/679, među ostalim i ako su osobni te neosobni podaci u pojedinom skupu podataka neraskidivo povezani. Ispitanik može biti korisnik ili druga fizička osoba. Osobne podatke može zatražiti samo voditelj obrade ili ispitanik. Korisnik koji je ispitanik pod određenim okolnostima u skladu s Uredbom (EU) 2016/679 ima pravo pristupa osobnim podacima koji se odnose na tog korisnika te ova Uredba ne utječe na takva prava. Na temelju ove Uredbe korisnik koji je fizička osoba ima pravo i na pristup svim podacima generiranima uporabom povezanog proizvoda, bilo osobnim ili neosobnim. Ako korisnik nije ispitanik već poduzetnik, uključujući samostalnog poduzetnika, ali ne i u slučaju zajedničke uporabe povezanog proizvoda u kućanstvu, smatra se da je korisnik voditelj obrade. U skladu s tim, takav korisnik koji kao voditelj obrade namjerava zatražiti osobne podatke generirane uporabom povezanog proizvoda ili povezane usluge obvezan je imati pravnu osnovu za obradu podataka kako se zahtijeva člankom 6. stavkom 1. Uredbe (EU) 2016/679, kao što je privola ispitanika ili izvršavanje ugovora u kojem je ispitanik stranka. Takav bi korisnik trebao osigurati da ispitanik bude primjereno obaviješten o konkretnim, izričitim i legitimnim svrhama obrade tih podataka i o tome kako ispitanik može djelotvorno ostvariti svoja prava. Ako su imatelj podataka i korisnik zajednički voditelji obrade u smislu članka 26. Uredbe (EU) 2016/679, obvezni su na transparentan način međusobnim dogovorom utvrditi svoje odgovornosti u svrhu usklađenosti s tom uredbom. Trebalo bi se podrazumijevati da takav korisnik, nakon što se podaci stave na raspolaganje, može postati imatelj podataka ako taj korisnik ispunjava kriterije iz ove Uredbe i stoga podliježe obvezama stavljanja podataka na raspolaganje na temelju ove Uredbe.

 

(35)

Podaci proizvoda ili podaci o povezanim uslugama trebali bi se staviti na raspolaganje trećoj strani samo na zahtjev korisnika. Ovom se Uredbom u skladu s time dopunjuje pravo ispitanika predviđeno u članku 20. Uredbe (EU) 2016/679 da prime osobne podatke koji se na njih odnose u strukturiranom, uobičajenom i strojno čitljivom formatu kao i na prijenos tih podataka drugim voditeljima obrade ako se ti podaci obrađuju automatizirano na temelju članka 6. stavka 1. točke (a), članka 9. stavka 2. točke (a) ili na temelju ugovora u skladu s člankom 6. stavkom 1. točkom (b) te uredbe. Ispitanici imaju pravo i na izravan prijenos osobnih podataka od jednog voditelja obrade drugome, ali samo ako je to tehnički izvedivo. U članku 20. Uredbe (EU) 2016/679 navodi se da se to odnosi na podatke koje je dostavio ispitanik, ali se ne navodi je li za to potrebno aktivno postupanje ispitanika ili to vrijedi i za situacije u kojima povezani proizvod ili povezana usluga svojim dizajnom prati ponašanje ispitanika ili druge informacije povezane s njim na pasivan način. Pravima koja se pružaju na temelju ove Uredbe dopunjuje se pravo na primanje i prijenos osobnih podataka u skladu s člankom 20. Uredbe (EU) 2016/679 na više načina. Ovom se Uredbom korisnicima daje pravo na pristup svim podacima proizvoda ili podacima o povezanim uslugama i pravo na njihovo stavljanje na raspolaganje trećoj strani, bez obzira na njihovu prirodu kao osobnih podataka, na razlike između aktivno pruženih i pasivno zabilježenih podataka te neovisno o pravnoj osnovi obrade. Za razliku od članka 20. Uredbe (EU) 2016/679, ovom se Uredbom zahtijeva i osigurava tehnička izvedivost pristupa treće strane svim vrstama podataka koji su obuhvaćeni njezinim područjem primjene, bez obzira na to jesu li oni osobni ili neosobni, čime se osigurava da tehničke prepreke više ne ometaju ili sprečavaju pristup takvim podacima. Njome se imateljima podataka omogućuje i da odrede razumnu naknadu koju trebaju platiti treće strane, ali ne i korisnik, za troškove nastale pružanjem izravnog pristupa podacima koje je generirao povezani proizvod korisnika. Ako se imatelj podataka i treća strana ne mogu dogovoriti o uvjetima za takav izravan pristup, to ispitanika ni na koji način ne bi trebalo sprečavati da prava utvrđena u Uredbi (EU) 2016/679, uključujući pravo na prenosivost podataka, ostvari pravnim sredstvima u skladu s tom Uredbom. U tom kontekstu treba razumjeti da se u skladu s Uredbom (EU) 2016/679 imatelju podataka ili trećoj strani ugovorom ne dopušta obrada posebnih kategorija osobnih podataka.

(36)

Pristup svim podacima koji su pohranjeni u terminalnoj opremi i kojima se pristupa s takve opreme podliježe Direktivi 2002/58/EZ i zahtijeva privolu pretplatnika ili korisnika u smislu te direktive, osim ako je nužan za pružanje neke usluge informacijskog društva koju je izričito zatražio korisnik ili pretplatnik, ili isključivo u svrhu prijenosa komunikacije. Direktivom 2002/58/EZ štiti se cjelovitost terminalne opreme korisnika u odnosu na uporabu kapaciteta obrade i pohrane te na prikupljanje informacija. Oprema interneta stvari smatra se terminalnom opremom ako je izravno ili neizravno povezana s nekom javnom komunikacijskom mrežom.

 

(37)

Kako bi se spriječilo iskorištavanje korisnikâ, treće strane kojima su podaci stavljeni na raspolaganje na zahtjev korisnika trebale bi obrađivati te podatke samo u svrhe dogovorene s korisnikom i dijeliti ih s drugom trećom stranom samo ako je korisnik pristao na takvo dijeljenje podataka.

(38)

U skladu s načelom smanjenja količine podataka treće strane trebale bi pristupati samo onim informacijama koje su potrebne za pružanje usluge koju je zatražio korisnik. Nakon što treća strana dobije pristup podacima, trebala bi ih obrađivati u svrhe dogovorene s korisnikom, bez uplitanja imatelja podataka. Korisniku bi trebalo biti jednako lako trećoj strani odbiti ili ukinuti pristup podacima kao što mu je bilo taj pristup odobriti. Ni treće strane ni imatelji podataka ne bi trebali nepotrebno otežavati ostvarivanje izborâ ili pravâ korisnika, među ostalim i nuđenjem izborâ korisniku na način koji nije neutralan, ili prisiljavanjem korisnika, zavaravanjem korisnika ili manipuliranjem korisnikom, ili potkopavanjem ili narušavanjem autonomije, odlučivanja ili izborâ korisnika, među ostalim i uz pomoć korisničkog digitalnog sučelja ili njegova dijela. U tom se kontekstu treće strane ili imatelji podataka pri dizajniranju svojih digitalnih sučelja ne bi trebali oslanjati na takozvane tamne obrasce (engl. dark patterns). Tamni obrasci su tehnike koje se upotrebljavaju pri dizajniranju, a kojima se potrošače potiče ili dovođenjem u zabludu navodi na donošenje odluka koje za njih imaju negativne posljedice. Te manipulativne tehnike mogu se upotrebljavati da bi se korisnike, pogotovo ranjive potrošače, navelo na neželjeno ponašanje, da bi ih se zavaravalo poticanjem da donesu odluke o transakcijama u kojima će otkriti svoje podatke ili da bi se nerazumno utjecalo na donošenje odluka od strane korisnika usluge na način kojim se potkopava ili narušava njihova autonomija, donošenje odluka i izbor. Uobičajene i legitimne poslovne prakse koje su u skladu s pravom Unije ne bi se same po sebi trebale smatrati tamnim obrascima. Treće strane i imatelji podataka trebali bi ispunjavati svoje obveze u skladu s relevantnim pravom Unije, a posebno zahtjeve utvrđene u direktivama 98/6/EZ (24) i 2000/31/EZ (25) Europskog parlamenta i Vijeća i u direktivama 2005/29/EZ i 2011/83/EU.

 

(39)

Treće strane također bi se trebale suzdržati od uporabe podataka obuhvaćenih područjem primjene ove Uredbe za profiliranje pojedinaca, osim ako su takve aktivnosti obrade nužne za pružanje usluge koju je zatražio korisnik, među ostalim i u kontekstu automatiziranog donošenja odluka. Zahtjevom u pogledu brisanja podataka kad više nisu potrebni za svrhu dogovorenu s korisnikom, osim ako je drukčije dogovoreno u vezi s neosobnim podacima, dopunjuje se pravo ispitanika na brisanje podataka u skladu s člankom 17. Uredbe (EU) 2016/679. Ako je neka treća strana pružatelj usluge podatkovnog posredovanja, primjenjuju se zaštitne mjere za ispitanika predviđene Uredbom (EU) 2022/868. Treća strana podatke može upotrebljavati za razvoj novog i inovativnog povezanog proizvoda ili nove i inovativne povezane usluge, ali ne i za razvoj konkurentnog povezanog proizvoda.

(40)

Start-up, mala poduzeća, poduzeća koji se smatraju srednjim poduzećima u skladu s člankom 2. Priloga Preporuci 2003/361/EZ i poduzeća iz tradicionalnih sektora s manje razvijenim digitalnim kapacitetima teško dobivaju pristup relevantnim podacima. Cilj je ove Uredbe tim subjektima olakšati pristup podacima, istodobno osiguravajući da su odgovarajuće obveze u najvećoj mogućoj mjeri proporcionalne kako bi se izbjeglo opterećenje podacima. Istodobno se pojavio mali broj vrlo velikih poduzeća koja su zahvaljujući prikupljanju i agregiranju golemih količina podataka i tehnološkoj infrastrukturi za njihovu monetizaciju stekla znatnu gospodarsku moć. Ta vrlo velika poduzeća uključuju poduzetnike koji pružaju osnovne usluge platforme i koja kontroliraju cijele ekosustave platformi u digitalnom gospodarstvu i s kojima se postojeći ili novi tržišni subjekti ne mogu nadmetati ili im konkurirati. Uredbom (EU) 2022/1925 Europskog parlamenta i Vijeća (26) nastoje se ispraviti te neučinkovitosti i neravnoteže tako što se Komisiji omogućuje da za određenog poduzetnika utvrdi status „nadzornika pristupa” te se takvim nadzornicima pristupa nameće niz obveza, uključujući zabranu kombiniranja određenih podataka bez privole i obvezu osiguravanja djelotvornih prava na prenosivost podataka u skladu s člankom 20. Uredbe (EU) 2016/679. U skladu s Uredbom (EU) 2022/1925 i s obzirom na jedinstvenu sposobnost tih poduzetnika da pribave podatke, uključivanje nadzornika pristupa kao korisnikâ prava na pristup podacima nije potrebno za ostvarivanje cilja ove Uredbe, te bi stoga bilo nerazmjerno za imatelje podataka koji podliježu takvim obvezama. Takvim bi se uključivanjem vjerojatno ograničile i koristi ove Uredbe za MSP-ove, u kontekstu pravednosti distribucije vrijednosti iz podataka među akterima na tržištu. To znači da poduzetnik koji pruža osnovne usluge platforme i za kojeg je utvrđen status nadzornika pristupa ne može zatražiti pristup podacima korisnika generiranima uporabom povezanog proizvoda ili povezane usluge ili putem virtualnog asistenta na temelju ove Uredbe niti mu se takav pristup može odobriti. Nadalje, treće strane kojima se podaci stavljaju na raspolaganje na zahtjev korisnika ne smiju staviti podatke na raspolaganje nadzorniku pristupa. Primjerice, treća strana ne smije na nadzornika pristupa podugovaranjem prenijeti pružanje usluga. Međutim, to ne sprečava treće strane da se koriste uslugama obrade podataka koje nudi nadzornik pristupa. Također ne sprečava navedene poduzetnike da pribavljaju i upotrebljavaju iste podatke drugim zakonitim sredstvima. Prava pristupa predviđena u ovoj Uredbi doprinose većem izboru usluga za potrošače. S obzirom na to da se ne utječe na dobrovoljne sporazume između nadzornikâ pristupa i imateljâ podataka, ograničavanjem odobravanja pristupa nadzornicima pristupa ne bi ih se isključilo s tržišta niti bi ih se spriječilo u nuđenju njihovih usluga.

 

(41)

S obzirom na trenutačno stanje tehnologije, nametanje dodatnih obveza povezanih s dizajnom povezanih proizvoda koje proizvode ili dizajniraju mikropoduzeća i mala poduzeća ili povezanih usluga koje ona pružaju predstavljalo bi preveliko opterećenje za ta poduzeća. Međutim, to nije slučaj ako mikropoduzeće ili malo poduzeće ima partnersko poduzeće ili povezano poduzeće u smislu članka 3. Priloga Preporuci 2003/361/EZ koje se ne smatra mikropoduzećem ili malim poduzećem i ako su na mikropoduzeće ili malo poduzeće podugovaranjem preneseni proizvodnja ili dizajniranje povezanog proizvoda ili pružanje povezane usluge. U takvim situacijama poduzeće koje je podugovaranjem prenijelo proizvodnju ili dizajniranje na mikropoduzeće ili malo poduzeće može podugovaratelju platiti primjerenu naknadu. Mikropoduzeće ili malo poduzeće ipak može podlijegati zahtjevima utvrđenima ovom Uredbom kao imatelj podataka ako nije proizvođač povezanog proizvoda ili pružatelj povezanih usluga. Prijelazno razdoblje trebalo bi se primjenjivati na poduzeće koje se smatra srednjim poduzećem tijekom manje od godine dana i na povezane proizvode tijekom godine dana od datuma njihovog stavljanja na tržište od strane srednjeg poduzeća. Takvim jednogodišnjim razdobljem omogućilo bi se takvom srednjem poduzeću da se prilagodi i pripremi prije nego što se suoči s tržišnim natjecanjem na tržištu usluga za povezane proizvode koje proizvodi, na temelju prava pristupa predviđenih ovom Uredbom. Takvo se prijelazno razdoblje ne primjenjuje ako takvo srednje poduzeće ima partnersko poduzeće ili povezano poduzeće koje se ne smatra mikropoduzećem ili malim poduzećem ili ako je takvom srednjem poduzeću podugovaranjem prenesena proizvodnja ili dizajniranje povezanog proizvoda ili pružanje povezane usluge.

(42)

Uzimajući u obzir raznovrsnost povezanih proizvoda koji proizvode podatke različite prirode, količine i učestalosti, koji predstavljaju različite razine rizika u pogledu podataka i kibernetičke sigurnosti, te koji pružaju gospodarske mogućnosti različitih vrijednosti, a u svrhu osiguravanja dosljednosti praksi dijeljenja podataka na unutarnjem tržištu, uključujući među sektorima, te kako bi se potaknule i promicale pravedne prakse dijeljenja podataka čak i u područjima u kojima se ne predviđa takvo pravo na pristup podacima, ovom se Uredbom predviđaju horizontalna pravila o aranžmanima za pristup podacima kad god je imatelj podataka na temelju prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije obvezan staviti podatke na raspolaganje primatelju podataka. Takav pristup trebao bi se temeljiti na poštenim, razumnim, nediskriminirajućim i transparentnim uvjetima. Ta opća pravila o pristupu ne primjenjuju se na obveze stavljanja podataka na raspolaganje na temelju Uredbe (EU) 2016/679. Ta pravila ne utječu na dobrovoljno dijeljenje podataka. Neobvezujući model ugovornih odredbi za dijeljenje podataka među poduzećima koji treba izraditi i preporučiti Komisija može pomoći strankama da sklope ugovore koji uključuju poštene, razumne i nediskriminirajuće uvjete i koji se trebaju provoditi na transparentan način. Sklapanje ugovora koji mogu uključivati neobvezujući model ugovornih odredbi ne bi trebalo značiti da je pravo na dijeljenje podataka s trećim stranama na bilo koji način uvjetovano postojanjem takvog ugovora. Ako stranke ne bi mogle sklopiti ugovor o dijeljenju podataka, među ostalim uz potporu tijelâ za rješavanje sporova, pravo na dijeljenje podataka s trećim stranama izvršivo je pred nacionalnim sudovima.

 

(43)

Na temelju načela ugovorne slobode stranke bi u svojim ugovorima trebale i dalje moći slobodno u pregovorima dogovoriti precizne uvjete za stavljanje podataka na raspolaganje, unutar okvira za opća pravila o pristupu za stavljanje podataka na raspolaganje. Odredbe takvih ugovora mogle bi uključivati tehničke i organizacijske mjere, među ostalim i u vezi sa sigurnošću podataka.

(44)

Kako bi se osiguralo da su uvjeti za obvezni pristup podacima pošteni za obje ugovorne stranke, u općim pravilima o pravima pristupa podacima trebalo bi se upućivati na pravilo o izbjegavanju nepoštenih ugovornih odredbi.

 

(45)

Sporazumi o stavljanju podataka na raspolaganje sklopljeni u okviru odnosa među poduzećima, neovisno o tome jesu li stranke sporazuma velika poduzeća ili MSP-ovi, trebali bi biti nediskriminirajući u odnosu na usporedive kategorije primatelja podataka. Kako bi se nadoknadio nedostatak informacija o uvjetima sadržanim u različitim ugovorima, što primatelju podataka otežava procjenu jesu li uvjeti stavljanja podataka na raspolaganje nediskriminirajući, imatelji podataka trebali bi biti dužni dokazati da neka ugovorna odredba nije diskriminirajuća. Nije riječ o nezakonitoj diskriminaciji kada se imatelj podataka koristi različitim ugovornim odredbama za stavljanje podataka na raspolaganje ako su te razlike opravdane objektivnim razlozima. Tim se obvezama ne dovodi u pitanje Uredba (EU) 2016/679.

(46)

Kako bi se promicala kontinuirana ulaganja u generiranje i stavljanje na raspolaganje vrijednih podataka, uključujući ulaganja u relevantne tehničke alate, te istodobno izbjeglo prekomjerno opterećenje za pristup podacima i njihovu uporabu zbog čega dijeljenje podataka više ne bi bilo komercijalno održivo, ova Uredba sadržava načelo da imatelji podataka u odnosima među poduzećima mogu zatražiti razumnu naknadu ako su na temelju prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije obvezni staviti podatke na raspolaganje nekom primatelju podataka. Takvu naknadu ne bi trebalo smatrati plaćanjem za same podatke. Komisija bi trebala donijeti smjernice za izračun razumne naknade u podatkovnom gospodarstvu.

 

(47)

Prvo, razumna naknada za poštovanje obveze u skladu s pravom Unije ili u skladu s nacionalnim zakonodavstvom donesenim u skladu s pravom Unije u pogledu ispunjavanja zahtjeva za stavljanje podataka na raspolaganje može uključivati naknadu troškova nastalih stavljanjem podataka na raspolaganje. Ti troškovi mogu biti tehnički troškovi, kao što su troškovi potrebni za reprodukciju podataka, širenje podataka elektroničkim putem i njihovu pohranu, ali ne i troškovi prikupljanja ili proizvodnje podataka. Takvi tehnički troškovi mogu također uključivati troškove obrade potrebne za stavljanje podataka na raspolaganje, uključujući troškove povezane s formatiranjem podataka. Troškovi povezani sa stavljanjem podataka na raspolaganje također mogu uključivati troškove olakšavanja konkretnih zahtjeva za dijeljenje podataka. Mogu se razlikovati i ovisno o količini podataka te o aranžmanima utvrđenima za stavljanje podataka na raspolaganje. Dugoročnim aranžmanima između imateljâ podataka i primateljâ podataka, primjerice putem modela pretplate ili putem pametnih ugovora, mogu se smanjiti troškovi povezani sa stavljanjem podataka na raspolaganje u redovitim ili ponavljajućim transakcijama u poslovnom odnosu. Troškovi povezani sa stavljanjem podataka na raspolaganje specifični su za određeni zahtjev ili se odnose na više zahtjeva. U potonjem slučaju, jedan primatelj podataka ne bi trebao platiti pune troškove stavljanja podataka na raspolaganje. Drugo, razumna naknada može uključivati i maržu, osim u pogledu MSP-ova te neprofitnih istraživačkih organizacija. Marža može varirati ovisno o čimbenicima koji se odnose na same podatke, poput količine, formata ili prirode podataka. Maržom se mogu uzeti u obzir i troškovi prikupljanja podataka. Marža se stoga može smanjiti ako je imatelj podataka prikupio podatke za vlastito poslovanje bez značajnih ulaganja ili se može povećati ako su ulaganja u prikupljanje podataka za potrebe poslovanja imatelja podatka velika. Može se ograničiti ili čak isključiti u situacijama kada uporaba podataka od strane primatelja podataka ne utječe na vlastite aktivnosti imatelja podataka. Činjenica da se podaci zajednički generiraju povezanim proizvodom koji je u vlasništvu korisnika, koji je korisnik unajmio ili uzeo u leasing također bi mogla smanjiti iznos naknade u usporedbi s drugim situacijama u kojima podatke generira imatelj podataka, primjerice u okviru pružanja povezane usluge.

(48)

Nije potrebno intervenirati u slučaju dijeljenja podataka između velikih poduzeća ili ako je imatelj podataka malo ili srednje poduzeće, a primatelj podataka veliko poduzeće. U takvim se slučajevima smatra da su poduzeća sposobna u pregovorima postići dogovor o naknadi u granicama onoga što je razumno i nediskriminirajuće.

 

(49)

Kako bi se MSP-ove zaštitilo od prekomjernih gospodarskih opterećenja zbog kojih bi im bilo komercijalno preteško razviti i voditi inovativne poslovne modele, razumna naknada za stavljanje podataka na raspolaganje koju bi trebali platiti ne bi trebala biti veća od troškova koji su izravno povezani sa stavljanjem podataka na raspolaganje. Izravno povezani troškovi su oni troškovi koji se mogu pripisati pojedinačnim zahtjevima, uzimajući u obzir da će imatelj podataka morati trajno uspostaviti potrebna tehnička sučelja ili povezani softver te povezivost. Isti bi se režim trebao primjenjivati na neprofitne istraživačke organizacije.

(50)

U propisno opravdanim slučajevima, među ostalim i u slučajevima u kojima postoji potreba za zaštitom sudjelovanja potrošača i tržišnog natjecanja ili za promicanjem inovacija na određenim tržištima, može se u pravu Unije ili u nacionalnom zakonodavstvu donesenom u skladu s pravom Unije predvidjeti regulirana naknada za stavljanje na raspolaganje određenih vrsta podataka.

 

(51)

Transparentnost je važno načelo za osiguravanje da je naknada koju je zatražio neki imatelj podataka razumna ili, ako je primatelj podataka MSP ili neprofitna istraživačka organizacija, da naknada ne premašuje troškove izravno povezane sa stavljanjem podataka na raspolaganje primatelju podataka i da se može pripisati dotičnom pojedinačnom zahtjevu. Kako bi se primateljima podataka omogućilo da procijene i provjere je li naknada u skladu sa zahtjevima ove Uredbe, imatelj podataka trebao bi primatelju podataka pružiti dovoljno detaljne informacije za izračun naknade.

(52)

Osiguravanje pristupa alternativnim načinima rješavanja domaćih i prekograničnih sporova do kojih dolazi u vezi sa stavljanjem podataka na raspolaganje trebalo bi koristiti imateljima podataka i primateljima podataka i stoga ojačati povjerenje u dijeljenje podataka. Ako se stranke ne mogu dogovoriti o poštenim, razumnim i nediskriminirajućim uvjetima stavljanja podataka na raspolaganje, tijela za rješavanje sporova trebala bi im ponuditi jednostavno, brzo i jeftino rješenje. Iako se ovom Uredbom samo utvrđuju uvjeti koje tijela za rješavanje sporova moraju ispuniti kako bi bila certificirana, države članice mogu slobodno donijeti posebna pravila za postupak certificiranja, uključujući istek ili opoziv certifikacije. Odredbama ove Uredbe o rješavanju sporova ne bi se trebalo zahtijevati od država članica da osnuju tijela za rješavanje sporova.

 

(53)

Postupak rješavanja sporova na temelju ove Uredbe dobrovoljan je postupak kojim se korisnicima, imateljima podataka i primateljima podataka omogućuje da se dogovore o iznošenju svojih sporova pred tijela za rješavanje sporova. Stoga bi stranke trebale imati slobodu obratiti se tijelu za rješavanje sporova po vlastitom izboru, bilo unutar ili izvan država članica u kojima te stranke imaju poslovni nastan.

(54)

Kako bi se izbjegli slučajevi u kojima se isti spor pokreće pred dvama tijelima za rješavanje sporova ili više takvih tijela, osobito u prekograničnom kontekstu, tijelo za rješavanje sporova trebalo bi moći odbiti postupati po zahtjevu za rješavanje spora koji je već podnesen drugom tijelu za rješavanje sporova ili sudu države članice.

 

(55)

Kako bi se osigurala ujednačena primjena ove Uredbe, tijela za rješavanje sporova trebala bi uzeti u obzir neobvezujući model ugovornih odredbi koji treba izraditi i preporučiti Komisija, kao i pravo Unije ili nacionalno pravo kojim se utvrđuju obveze dijeljenja podataka ili smjernice koje izdaju sektorska tijela za primjenu takvog prava.

(56)

Strane u postupcima rješavanja sporova ne bi trebalo sprečavati u ostvarivanju njihovih temeljnih prava na djelotvoran pravni lijek i pošteno suđenje. Stoga odlukom o podnošenju spora tijelu za rješavanje sporova te strane ne bi trebalo lišiti njihova prava na traženje pravne zaštite pred sudom države članice. Tijela za rješavanje sporova trebala bi objavljivati godišnja izvješća o radu.

 

(57)

Imatelji podataka mogu primijeniti primjerene mjere tehničke zaštite kako bi spriječili nezakonito otkrivanje podataka ili pristup podacima. Međutim, tim se mjerama ne bi smjelo diskriminirati primatelje podataka niti ometati pristup podacima ili njihovu uporabu od strane korisnikâ podataka ili primateljâ podataka. U slučaju zlouporabe od strane primatelja podataka, kao što je obmanjivanje imatelja podataka pružanjem lažnih informacija s namjerom uporabe podataka u nezakonite svrhe, uključujući razvoj konkurentnog povezanog proizvoda na temelju tih podataka, imatelj podataka i, ako je to primjenjivo i ako nije riječ o istoj osobi, nositelj poslovne tajne ili korisnik mogu od treće strane ili primatelja podataka zatražiti da bez nepotrebne odgode provedu korektivne mjere. Sve takve zahtjeve, a posebno zahtjeve za okončanje proizvodnje, nuđenja ili stavljanja na tržište robe, izvedenih podataka ili usluga, kao i zahtjeve za okončanje uvoza, izvoza, skladištenja ili uništenja robe kojom se povređuje pravo, trebalo bi procijeniti s obzirom na njihovu proporcionalnost u odnosu na interese imatelja podataka, nositelja poslovne tajne ili korisnika.

(58)

Ako jedna strana ima jači pregovarački položaj, postoji rizik da bi u pregovorima o pristupu podacima mogla iskoristiti takav položaj na štetu druge ugovorne strane, a rezultat toga je da je pristup podacima komercijalno manje održiv, a ponekad i gospodarski neodrživ. Takve ugovorne neravnoteže štete svim poduzećima koja nemaju znatnu sposobnost pregovaranja o uvjetima pristupa podacima i možda nemaju izbora nego prihvatiti ugovorne odredbe po načelu „uzmi ili ostavi”. Stoga nepoštene ugovorne odredbe kojima se uređuje pristup podacima i njihova uporaba ili odgovornost i pravna sredstva za kršenje ili okončanje obveza povezanih s podacima ne bi trebale biti obvezujuće za poduzeća kad su te ugovorne odredbe jednostrano nametnute tim poduzećima.

 

(59)

U pravilima o ugovornim odredbama trebalo bi uzeti u obzir načelo ugovorne slobode kao ključni koncept u odnosima među poduzećima. Stoga ne bi sve ugovorne odredbe trebale podlijegati testu za utvrđivanje nepoštenih odredbi, nego samo one ugovorne odredbe koje su jednostrano nametnute. To se odnosi na situacije „uzmi ili ostavi” u kojima jedna strana postavlja određenu ugovornu odredbu, a drugo poduzeće ne može utjecati na sadržaj te odredbe unatoč pokušaju da o njemu pregovara. Ugovorna odredba koju jedna strana tek postavi i koju drugo poduzeće prihvati odnosno ugovorna odredba o kojoj su se ugovorne strane dogovorile u pregovorima i naknadno postigle dogovor o njoj u izmjenom obliku ne bi se trebala smatrati jednostrano nametnutom.

(60)

Nadalje, pravila o nepoštenim ugovornim odredbama trebala bi se primjenjivati samo na one elemente ugovora koji su povezani sa stavljanjem podataka na raspolaganje, odnosno ugovorne odredbe koje se odnose na pristup podacima i njihovu uporabu te odgovornost ili pravna sredstva za kršenje i okončanje obveza povezanih s podacima. Ostali dijelovi istog ugovora koji nisu povezani sa stavljanjem podataka na raspolaganje ne bi trebali podlijegati testu za utvrđivanje nepoštenih ugovornih odredbi utvrđenom u ovoj Uredbi.

 

(61)

Kriteriji za utvrđivanje nepoštenih ugovornih odredbi trebali bi se primjenjivati samo na pretjerane ugovorne odredbe kojima se zloupotrebljava snažniji pregovarački položaj. Velika većina ugovornih odredbi koje su u poslovnom smislu povoljnije za jednu stranu u odnosu na drugu, uključujući one koje su uobičajene u ugovorima među poduzećima, uobičajen su izraz načela ugovorne slobode i nastavljaju se primjenjivati. Za potrebe ove Uredbe grubo odstupanje od dobre poslovne prakse uključivalo bi, među ostalim, objektivno narušavanje sposobnosti strane kojoj je ugovorna odredba jednostrano nametnuta da zaštiti svoj legitimni poslovni interes u pogledu dotičnih podataka.

(62)

Kako bi se osigurala pravna sigurnost, ovom se Uredbom utvrđuje popis klauzula koje se uvijek smatraju nepoštenima i popis klauzula za koje se pretpostavlja da su nepoštene. U potonjem slučaju poduzeće koje nameće ugovornu odredbu trebalo bi moći oboriti pretpostavku nepoštenosti tako što će dokazati da ugovorna odredba navedena na popisu u ovoj Uredbi nije nepoštena u specifičnom slučaju o kojem je riječ. Ako se ugovorna odredba ne nalazi na popisu ugovornih odredbi koje se uvijek smatraju nepoštenima ili se pretpostavlja da su takve, primjenjuje se opća odredba o nepoštenosti. U tom pogledu, ugovorne odredbe popisane kao nepoštene ugovorne odredbe u ovoj Uredbi trebale bi služiti kao mjerilo za tumačenje opće odredbe o nepoštenosti. Naposljetku, neobvezujući model ugovornih odredbi za ugovore o razmjeni podataka među poduzećima koji treba izraditi i preporučiti Komisija mogao bi biti koristan i komercijalnim stranama tijekom postizanja dogovora o ugovorima. Ako se ugovorna odredba proglasi nepoštenom, dotični ugovor trebao bi se nastaviti primjenjivati bez te odredbe, osim ako se ta nepoštena ugovorna odredba ne može odvojiti od ostalih odredbi ugovora.

 

(63)

U iznimnim situacijama može biti potrebno da tijela javnog sektora, Komisija, Europska središnja banka ili tijela Unije pri obavljanju svojih zakonskih dužnosti u javnom interesu uporabe postojeće podatke, uključujući, ako je to relevantno, popratne metapodatke, kako bi odgovorila na izvanredna stanja ili u drugim iznimnim slučajevima. Iznimne potrebe su okolnosti koje su nepredvidive i vremenski ograničene, za razliku od drugih okolnosti koje bi mogle biti planirane, zakazane, periodične ili česte. Iako pojam „imatelj podataka” u pravilu ne uključuje tijela javnog sektora, on može uključivati javna poduzeća. Organizacije koje provode istraživanja i organizacije koje financiraju istraživanja također bi mogle biti organizirane kao tijela javnog sektora ili javnopravna tijela. Kako bi se ograničilo opterećenje poduzeća, mikropoduzeća i mala poduzeća trebala bi imati obvezu pružanja podataka tijelima javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelima Unije samo u situacijama iznimne potrebe ako su takvi podaci potrebni kako bi se odgovorilo na izvanredno stanje, a tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije ne može pribaviti takve podatke alternativnim sredstvima, na pravodoban i djelotvoran način pod jednakim uvjetima.

(64)

U slučaju izvanrednih stanja kao što su izvanredna stanja u području javnog zdravlja, izvanredna stanja koja su posljedica prirodnih katastrofa, uključujući one koje su pogoršane klimatskim promjenama i uništavanjem okoliša, te katastrofe velikih razmjera uzrokovane ljudskim djelovanjem kao što su veliki kibernetički sigurnosni incidenti, javni interes koji proizlazi iz uporabe podataka prevagnut će nad interesima imatelja podataka da slobodno raspolažu podacima koje imaju. U takvom bi slučaju imatelje podataka trebalo obvezati da podatke stave na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelima Unije na njihov zahtjev. Postojanje izvanrednog stanja trebalo bi utvrditi ili proglasiti u skladu s pravom Unije ili nacionalnim pravom i na temelju relevantnih postupaka, među ostalim i relevantnih postupaka relevantnih međunarodnih organizacija. U takvim slučajevima tijelo javnog sektora trebalo bi dokazati da se podaci koji su predmet zahtjeva inače ne bi mogli pribaviti na pravodoban i djelotvoran način te pod jednakim uvjetima, na primjer dobrovoljnim pružanjem podataka od strane drugog poduzeća ili uvidom u javnu bazu podataka.

 

(65)

Iznimna potreba može također proizaći iz situacija koje nisu hitne. U takvim bi slučajevima tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije trebalo dopustiti da zatraže samo neosobne podatke. Tijelo javnog sektora trebalo bi dokazati da su ti podaci potrebni za ispunjavanje specifične zadaće koja se obavlja u javnom interesu i koja je izričito predviđena zakonom, kao što je izrada službene statistike ili ublažavanje izvanrednog stanja ili oporavak od izvanrednog stanja. Osim toga, takav se zahtjev može podnijeti samo ako su tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije utvrdili određene podatke koji se inače ne bi mogli pribaviti na pravodoban i djelotvoran način i pod jednakim uvjetima te samo ako su iscrpili sva druga sredstva koja su im na raspolaganju za pribavljanje takvih podataka, kao što je pribavljanje podataka na temelju dobrovoljnih sporazuma, među ostalim i kupnjom neosobnih podataka na tržištu pri čemu se nude tržišne cijene, oslanjanjem na postojeće obveze stavljanja podataka na raspolaganje ili donošenjem novih zakonodavnih mjera kojima bi se mogla zajamčiti pravodobna dostupnost podataka. Trebali bi se ujedno primjenjivati uvjeti i načela kojima se uređuju zahtjevi kao što su oni koji se odnose na ograničenje svrhe, proporcionalnost, transparentnost i vremensko ograničenje. Ako se podnose zahtjevi za podatke koji su potrebni za izradu službenih statistika, tijelo javnog sektora koje je podnijelo zahtjev trebalo bi također dokazati dopušta li mu nacionalno pravo kupnju neosobnih podataka na tržištu.

(66)

Ova se Uredba ne bi trebala primjenjivati na dobrovoljne aranžmane za razmjenu podataka između privatnih i javnih subjekata niti ih prejudicirati, uključujući pružanje podataka od strane MSP-ova, te se njome ne dovode u pitanje pravni akti Unije kojima se predviđaju obavezni zahtjevi za informacije koje javni subjekti podnose privatnim subjektima. Ova Uredba ne bi trebala utjecati na obveze imatelja podataka da dostave podatke koji se temelje na potrebama neiznimne prirode, posebno ako je poznat raspon podataka i imateljâ podataka ili ako se podaci mogu redovito upotrebljavati, kao u slučaju obveza izvješćivanja i obveza unutarnjeg tržišta. Ova Uredba ne bi trebala utjecati ni na zahtjeve u pogledu pristupa podacima radi provjere usklađenosti s primjenjivim pravilima, među ostalim i u slučajevima u kojima tijela javnog sektora zadaću provjere usklađenosti dodjeljuju subjektima koji nisu tijela javnog sektora.

 

(67)

Ovom se Uredbom dopunjuje i ne dovodi u pitanje pravo Unije i nacionalno pravo kojima se osiguravaju pristup podacima u statističke svrhe i uporaba podataka u takve svrhe, osobito Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća (27) te nacionalni pravni akti koji se odnose na službene statistike.

(68)

Za potrebe obavljanja svojih zadaća u područjima sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili prekršaja ili izvršavanja kaznenih i administrativnih sankcija te prikupljanja podataka u porezne ili carinske svrhe, tijela javnog sektora, Komisija, Europska središnja banka ili tijela Unije trebala bi se oslanjati na vlastite ovlasti na temelju prava Unije ili nacionalnog prava. Prema tome, ova Uredba ne utječe na zakonodavne akte o dijeljenju podataka, pristupu podacima i uporabi podataka u tim područjima.

 

(69)

U skladu s člankom 6. stavcima 1. i 3. Uredbe (EU) 2016/679 na razini Unije potreban je razmjeran, ograničen i predvidljiv okvir kad je riječ o utvrđivanju pravne osnove kako bi imatelji podataka, u slučajevima iznimne potrebe, stavili podatke na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelima Unije, kako radi osiguravanja pravne sigurnosti tako i radi smanjenja administrativnog opterećenja poduzeća. U tu bi svrhu zahtjevi za podatke koje tijela javnog sektora, Komisija, Europska središnja banka i tijela Unije podnose imateljima podataka trebali biti konkretni, transparentni i razmjerni u pogledu njihova opsega i njihove granularnosti sadržaja. Svrha zahtjeva i namjena traženih podataka trebale bi biti konkretne i jasno pojašnjene, pri čemu bi subjektu koji podnosi zahtjev trebalo omogućiti odgovarajuću fleksibilnost kako bi mogao obavljati svoje specifične zadaće u javnom interesu. U zahtjevu bi se trebali poštovati i legitimni interesi imatelja podataka kojemu je zahtjev podnesen. Opterećenje imateljâ podataka trebalo bi svesti na najmanju moguću mjeru obvezivanjem subjekata koji podnose zahtjev da poštuju načelo „samo jednom” jer se time sprečava da više od jednog tijela javnog sektora ili Komisija, Europska središnja banka ili tijela Unije iste podatke zatraži više puta. Kako bi se osigurala transparentnost, subjekt koji traži podatke trebao bi bez nepotrebne odgode objaviti zahtjeve za podatke koje su podnijeli Komisija, Europska središnja banka ili tijela Unije. Europska središnja banka i tijela Unije trebali bi obavijestiti Komisiju o svojim zahtjevima. Ako je zahtjev za podatke podnijelo tijelo javnog sektora, to tijelo trebalo bi o zahtjevu obavijestiti i koordinatora podataka države članice u kojoj je tijelo javnog sektora osnovano. Trebalo bi osigurati da svi zahtjevi za podatke budu javno dostupni na internetu. Po primitku obavijesti o zahtjevu za podatke nadležno tijelo može odlučiti procijeniti zakonitost zahtjeva i izvršavati svoje funkcije u vezi s izvršavanjem i primjenom ove Uredbe. Koordinator podataka trebao bi osigurati da svi zahtjevi za podatke koje su podnijela tijela javnog sektora budu javno dostupni na internetu.

(70)

Cilj je obveze pružanja podataka osigurati da tijela javnog sektora, Komisija, Europska središnja banka ili tijela Unije raspolažu znanjem potrebnim za odgovor na izvanredna stanja, njihovo sprečavanje ili oporavak od njih ili za održavanje kapaciteta za ispunjavanje posebnih zadaća koje su izričito predviđene zakonom. Podaci koje su prikupili ti subjekti mogu biti poslovno osjetljivi. Stoga se ni Uredba (EU) 2022/868 ni Direktiva (EU) 2019/1024 Europskog parlamenta i Vijeća (28) ne bi trebale primjenjivati na podatke koji se stavljaju na raspolaganje na temelju ove Uredbe, a isti se podaci ne bi trebali smatrati otvorenima i dostupnima za ponovnu uporabu od trećih strana. Međutim, to ne bi trebalo utjecati na primjenjivost Direktive (EU) 2019/1024 na ponovnu uporabu službenih statistika za čiju su izradu upotrijebljeni podaci pribavljeni u skladu s ovom Uredbom, pod uvjetom da ta ponovna uporaba ne uključuje osnovne podatke. Osim toga, ako su ispunjeni uvjeti utvrđeni u ovoj Uredbi, ne bi trebalo biti utjecaja na mogućnost dijeljenja podataka za provođenje istraživanja ili za razvoj, izradu i diseminaciju službenih statistika. Tijelima javnog sektora također bi trebalo dopustiti da razmjenjuju podatke pribavljene u skladu s ovom Uredbom s drugim tijelima javnog sektora, Komisijom, Europskom središnjom bankom ili tijelima Unije kako bi se odgovorilo na iznimne potrebe zbog kojih su podaci zatraženi.

 

(71)

Imatelji podataka trebali bi imati mogućnost odbiti zahtjev koji su podnijela tijela javnog sektora, Komisija, Europska središnja banka ili tijelo Unije ili tražiti njegovu izmjenu, bez neopravdane odgode, a u svakom slučaju najkasnije u roku od pet ili 30 radnih dana, ovisno o prirodi iznimne potrebe na koju se poziva u zahtjevu. Ako je to relevantno, imatelj podataka trebao bi imati tu mogućnost ako nema kontrolu nad traženim podacima, odnosno ako nema neposredan pristup podacima i ne može utvrditi njihovu dostupnost. Trebao bi postojati valjan razlog za nestavljanje podataka na raspolaganje ako se može dokazati da je taj zahtjev sličan zahtjevu koji je u istu svrhu prethodno podnijelo drugo tijelo javnog sektora ili Komisija, Europska središnja banka ili tijelo Unije, a imatelj podataka obaviješten je o brisanju podataka u skladu s ovom Uredbom. Imatelj podataka koji odbija zahtjev ili traži njegovu izmjenu trebao bi tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije koji traže podatke dostaviti obrazloženje. Ako se na tražene skupove podataka primjenjuju prava na baze podataka sui generis na temelju Direktive 96/9/EZ Europskog parlamenta i Vijeća (29), imatelji podataka trebali bi ostvarivati svoja prava na način kojim se ne sprečava tijelo javnog sektora, Komisiju, Europsku središnju banku ili tijelo Unije da pribave podatke ili da ih dijele u skladu s ovom Uredbom.

(72)

U slučaju iznimne potrebe povezane s odgovorom na izvanredno stanje tijela javnog sektora trebala bi, kad god je to moguće, upotrebljavati neosobne podatke. Osobni podaci ne mogu se tražiti ako se radi o zahtjevima na temelju iznimne potrebe koja nije povezana s izvanrednim stanjem. Ako su zahtjevom obuhvaćeni osobni podaci, imatelj podataka trebao bi anonimizirati podatke. Ako je osobne podatke nužno uključiti u podatke koji se stavljaju na raspolaganje tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije, ili ako se anonimizacija pokaže nemogućom, subjekt koji traži podatke trebao bi dokazati nužnost te specifične i ograničene svrhe obrade. Trebalo bi poštovati primjenjiva pravila o zaštiti osobnih podataka. Stavljanje podataka na raspolaganje i njihova naknadna uporaba trebali bi biti popraćeni zaštitnim mjerama u pogledu prava i interesa pojedinaca na koje se ti podaci odnose.

 

(73)

Podaci stavljeni na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelima Unije na temelju iznimne potrebe trebali bi se upotrebljavati samo u svrhe za koje su zatraženi, osim ako je imatelj podataka koji je stavio podatke na raspolaganje izričito pristao na uporabu tih podataka u druge svrhe. Podatke bi trebalo izbrisati nakon što više nisu potrebni za svrhe navedene u zahtjevu, osim ako je dogovoreno drukčije, te bi o tome trebalo obavijestiti imatelja podataka. Ova se Uredba temelji na postojećim režimima pristupa u Uniji i državama članicama te se njome ne mijenja nacionalno pravo u području javnog pristupa dokumentima u kontekstu obveza transparentnosti. Podatke bi trebalo izbrisati nakon što više nisu potrebni za ispunjavanje tih obveza transparentnosti.

(74)

Tijela javnog sektora, Komisija, Europska središnja banka ili tijela Unije trebali bi pri ponovnoj uporabi podataka koje su dostavili imatelji podataka poštovati i postojeće primjenjivo pravo Unije ili nacionalno pravo i ugovorne obveze kojima podliježe imatelj podataka. Trebali bi se suzdržati od razvoja ili poboljšanja povezanog proizvoda ili povezane usluge koji se natječu s povezanim proizvodom ili povezanom uslugom imatelja podataka te od dijeljenja podataka s trećom stranom u te svrhe. Također bi trebali odati javno priznanje imateljima podataka na njihov zahtjev te bi trebali biti odgovorni za održavanje sigurnosti primljenih podataka. Ako je otkrivanje poslovnih tajni imatelja podataka tijelima javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelima Unije nužno za ispunjavanje svrhe u koju su podaci zatraženi, povjerljivost takvog otkrivanja trebalo bi zajamčiti prije otkrivanja podataka.

 

(75)

Ako je u pitanju zaštita važnog javnog dobra, primjerice odgovor na izvanredna stanja, ne bi trebalo očekivati da tijelo javnog sektora, Komisija, Europska središnja banka ili dotično tijelo Unije poduzećima osiguraju naknadu za pribavljene podatke. Izvanredna stanja rijetki su događaji, a uporaba podataka koji su u posjedu poduzeća nije potrebna u svim takvim izvanrednim stanjima. Istodobno, obveza pružanja podataka mogla bi predstavljati znatno opterećenje za mikropoduzeća i mala poduzeća. Stoga bi tim poduzećima trebalo dopustiti da traže naknadu čak i u kontekstu odgovora na izvanredno stanje. Stoga nije vjerojatno da će na poslovne aktivnosti imatelja podataka posljedično negativno utjecati pozivanje tijela javnog sektora, Komisije, Europske središnje banke ili tijela Unije na ovu Uredbu. Međutim, s obzirom na to da bi slučajevi iznimne potrebe, osim slučajeva u kojima se odgovara na izvanredna stanja, mogli biti češći, imatelji podataka trebali bi u tim slučajevima imati pravo na razumnu naknadu koja ne bi trebala premašiti tehničke i organizacijske troškove nastale pri ispunjavanju zahtjeva i razumnu maržu potrebnu za stavljanje podataka na raspolaganje tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije. Naknadu ne bi trebalo smatrati plaćanjem za same podatke niti bi je trebalo smatrati obveznom. Imatelji podataka ne bi trebali moći tražiti naknadu ako nacionalno pravo nacionalne zavode za statistiku ili druga nacionalna tijela odgovorna za izradu statistike sprečava da imateljima podataka osiguraju naknadu za stavljanje podataka na raspolaganje. Tijelo javnog sektora, Komisija, Europska središnja banka ili dotično tijelo Unije trebalo bi moći osporiti visinu naknade koju je zatražio imatelj podataka obraćanjem nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan.

(76)

Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije trebali bi imati pravo dijeliti podatke koje su pribavili na temelju zahtjeva s drugim subjektima ili osobama ako je to potrebno za obavljanje aktivnosti znanstvenog istraživanja ili analitičkih aktivnosti koje ne može samostalno obavljati, pod uvjetom da su te aktivnosti kompatibilne sa svrhom u koju su podaci zatraženi. O takvom dijeljenju trebali bi pravodobno obavijestiti imatelja podataka. Takvi se podaci pod istim okolnostima mogu dijeliti i s nacionalnim zavodima za statistiku i Eurostatom radi razvoja, izrade i diseminacije službenih statistika. Međutim, takve istraživačke aktivnosti trebale bi biti kompatibilne sa svrhom u koju su podaci zatraženi, a imatelja podataka trebalo bi obavijestiti o daljnjem dijeljenju podataka koje je pružio. Pojedinci koji provode istraživačke aktivnosti ili istraživačke organizacije s kojima se ti podaci mogu podijeliti trebali bi djelovati na neprofitnoj osnovi ili u kontekstu misije javnog interesa koju je priznala država. Organizacije na koje trgovačka poduzeća imaju značajan utjecaj koji takvim poduzećima omogućuje provođenje kontrole zbog strukturnih situacija koje bi mogle dovesti do povlaštenog pristupa rezultatima istraživanja ne bi se trebale smatrati istraživačkim organizacijama za potrebe ove Uredbe.

 

(77)

Kako bi se odgovorilo na prekogranično izvanredno stanje ili drugu iznimnu potrebu, zahtjevi za podatke mogu se uputiti imateljima podataka u državama članicama koje nisu države članice tijela javnog sektora koje je podnijelo zahtjev. U takvom slučaju tijelo javnog sektora koje je podnijelo zahtjev trebalo bi obavijestiti nadležno tijelo države članice u kojoj imatelj podataka ima poslovni nastan kako bi mu se omogućilo da razmotri zahtjev za podatke u odnosu na kriterije utvrđene u ovoj Uredbi. Isto bi se trebalo primjenjivati na zahtjeve za podatke koje su podnijeli Komisija, Europska središnja banka ili tijelo Unije. Ako su zatraženi osobni podaci, tijelo javnog sektora trebalo bi obavijestiti nadzorno tijelo odgovorno za praćenje primjene Uredbe (EU) 2016/679 u državi članici u kojoj tijelo javnog sektora osnovano. Dotično nadležno tijelo trebalo bi imati pravo savjetovati tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije da s tijelima javnog sektora države članice u kojoj imatelj podataka ima poslovni nastan surađuju kako bi se osiguralo što manje administrativno opterećenje za imatelja podataka. Ako nadležno tijelo ima obrazložene prigovore u pogledu usklađenosti zahtjeva za podatke s ovom Uredbom, trebalo bi odbiti taj zahtjev za podatke tijela javnog sektora, Komisije, Europske središnje banke ili tijela Unije, koji bi te prigovore trebali uzeti u obzir prije poduzimanja eventualnog daljnjeg djelovanja, među ostalim i podnošenja zahtjeva.

(78)

Sposobnost klijenata usluga obrade podataka, uključujući usluge računalstva u oblaku i usluge na rubu mreže, da zamijene jednu uslugu obrade podataka drugom, uz održavanje minimalne funkcionalnosti usluge i to bez nedostupnosti usluga, ili da se koriste uslugama više pružatelja istodobno bez nepotrebnih prepreka i troškova prijenosa podataka, ključan je uvjet za konkurentnije tržište s manjim preprekama za ulazak novih pružatelja usluga obrade podataka na tržište te za osiguravanje veće otpornosti za korisnike tih usluga. Klijenti koji imaju koristi od besplatnih ponuda također bi trebali imati koristi od odredbi o promjeni pružatelja utvrđenih u ovoj Uredbi kako te ponude ne bi dovele do situacije ovisnosti za klijente.

 

(79)

Uredbom (EU) 2018/1807 Europskog parlamenta i Vijeća (30) pružatelje usluga obrade podataka potiče se da izrade i djelotvorno provedu samoregulatorne kodekse ponašanja koji obuhvaćaju primjere najbolje prakse, među ostalim, radi olakšavanja promjene pružatelja uslugâ obrade podataka i prijenosa podataka. S obzirom na ograničeno prihvaćanje samoregulatornih okvira razvijenih u tu svrhu te na opću nedostupnost otvorenih standarda i sučelja, potrebno je donijeti skup minimalnih regulatornih obveza za pružatelje usluga obrade podataka kako bi se uklonile pretkomercijalne, komercijalne, tehničke, ugovorne i organizacijske prepreke, koje nisu ograničene na smanjenu brzinu prijenosa podataka prilikom odlaska klijenta, što ometa djelotvornu promjenu usluga obrade podataka.

(80)

Usluge obrade podataka trebale bi obuhvaćati usluge koje omogućuju sveprisutan mrežni pristup na zahtjev konfigurabilnom, nadogradivom i elastičnom zajedničkom skupu distribuiranih računalnih resursa. Ti računalni resursi uključuju resurse kao što su mreže, poslužitelji ili druge virtualne ili fizičke infrastrukture, softver, uključujući alate za razvoj softvera, pohranu, aplikacije i usluge. Sposobnost klijenata usluge obrade podataka da sebi samima jednostrano pružaju računalne sposobnosti, kao što je vrijeme poslužitelja ili mrežna pohrana, bez ljudske interakcije od strane pružatelja usluga obrade podataka, mogla bi se opisati kao sposobnost koja zahtijeva minimalan napor u pogledu upravljanja i podrazumijeva minimalnu interakciju između pružatelja usluga i klijenta. Pojam „sveprisutan” upotrebljava se kako bi se opisale računalne sposobnosti koje se pružaju putem mreže, a kojima se pristupa mehanizmima kojima se promiče uporaba heterogenih tankih ili debelih klijentskih platformi (od internetskih preglednika do mobilnih uređaja i radnih stanica). Pojam „nadogradiv” odnosi se na računalne resurse koje pružatelj usluga obrade podataka dodjeljuje fleksibilno, neovisno o zemljopisnoj lokaciji resursa, kako bi se odgovorilo na fluktuacije u potražnji. Pojam „elastičan ” upotrebljava se za opisivanje računalnih resursa koji se osiguravaju i isporučuju u skladu s potražnjom kako bi se raspoloživi resursi mogli brzo povećati ili smanjiti ovisno o radnom opterećenju. Pojam „djeljiv skup” upotrebljava se za opisivanje računalnih resursa koji se pružaju većem broju korisnika koji dijele zajednički pristup usluzi, pri čemu se obrada provodi odvojeno za svakog korisnika iako se usluga pruža putem iste elektroničke opreme. Pojam „distribuiran” upotrebljava se za opisivanje računalnih resursa koji se nalaze na različitim umreženim računalima ili uređajima te čija se međusobna komunikacija i koordinacija odvija slanjem poruka. Pojam „visokodistribuiran” upotrebljava se za opisivanje usluga obrade podataka koje uključuju obradu podataka bliže mjestu na kojem se podaci generiraju ili prikupljaju, primjerice u povezanom uređaju za obradu podataka. Očekuje se da će računalstvo na rubu mreže, koje predstavlja oblik takve visokodistribuirane obrade podataka, stvoriti nove poslovne modele i modele pružanja usluga u oblaku, koji bi od samog početka trebali biti otvoreni i interoperabilni.

 

(81)

Generički koncept „usluga obrade podataka” obuhvaća znatan broj usluga s vrlo širokim rasponom različitih svrha, funkcionalnosti i tehničkih konfiguracija. Prema uobičajenom shvaćanju pružateljâ i korisnikâ i u skladu sa široko korištenim standardima, usluge obrade podataka obuhvaćene su barem jednim od sljedeća tri modela pružanja usluga obrade podataka, odnosno infrastruktura kao usluga (IaaS), platforma kao usluga (PaaS) i softver kao usluga (SaaS). Ti modeli pružanja usluga predstavljaju specifičnu, upakiranu kombinaciju resursa IKT-a koje nudi pružatelj usluge obrade podataka. Ta tri temeljna modela pružanja usluga obrade podataka dodatno su dopunjena novim varijacijama, a svaki se sastoji od različite kombinacije resursa IKT-a, kao što su pohrana kao usluga i baza podataka kao usluga. Usluge obrade podataka mogu se kategorizirati na granularniji način i podijeliti u netaksativni popis skupova usluga obrade podataka koji imaju isti glavni cilj i glavne funkcionalnosti te istu vrstu modela obrade podataka, koji nisu povezani s operativnim značajkama usluge (usluga iste vrste). Usluge koje pripadaju istoj vrsti mogu imati isti model usluge obrade podataka, međutim može se činiti da dvije baze podataka imaju isti glavni cilj, ali nakon razmatranja njihova modela obrade podataka, modela distribucije i scenarija uporabe na koje su usmjerene, takve bi baze podataka mogle biti razvrstane u granularniju potkategoriju sličnih usluga. Usluge iste vrste mogu imati različite i konkurentne značajke kao što su izvedba, sigurnost, otpornost i kvaliteta usluge.

(82)

Ugrožavanje izdvajanja podataka koji se mogu izvesti i koji pripadaju klijentu od izvornog pružatelja usluga obrade podataka može spriječiti ponovnu uspostavu funkcionalnosti usluge u infrastrukturi odredišnog pružatelja usluga obrade podataka. Kako bi se olakšala izlazna strategija klijenta, izbjegle nepotrebne i opterećujuće zadaće te osiguralo da klijent zbog procesa promjene pružatelja ne izgubi nijedan od svojih podataka, izvorni pružatelj usluga obrade podataka trebao bi unaprijed obavijestiti klijenta o opsegu podataka koji se mogu izvesti nakon što klijent odluči prijeći na drugu uslugu drugog pružatelja usluga obrade podataka ili na lokalnu infrastrukturu IKT-a. Opseg podataka koji se mogu izvesti trebao bi obuhvaćati barem ulazne podatke i izlazne podatke, uključujući metapodatke, koji su izravno ili neizravno generirani ili su zajednički generirani, uporabom usluge obrade podataka od strane klijenta, isključujući imovinu ili podatke pružatelja usluge obrade podataka ili treće strane. Podaci koji se mogu izvesti ne bi smjeli uključivati imovinu ili podatke pružatelja usluga obrade podataka ili treće strane, koji su zaštićeni pravima intelektualnog vlasništva ili koji čine poslovne tajne tog pružatelja usluga obrade podataka ili te treće strane, ili podatke povezane s integritetom i sigurnošću usluge, a čijim će se izvozom pružatelje usluga obrade podataka izložiti ranjivostima u pogledu kibernetičke sigurnosti. Ta izuzeća ne bi trebala ometati ili odgađati proces promjene pružatelja.

 

(83)

Digitalni resursi odnose se na elemente u digitalnom obliku koje klijent ima pravo upotrebljavati, uključujući aplikacije i metapodatke povezane s konfiguracijom postavki, sigurnost i upravljanje pravima pristupa i kontrole te druge elemente kao što su oblici tehnologija virtualizacije, među ostalim virtualni strojevi i spremnici. Digitalni resursi mogu se prenijeti ako klijent ima pravo uporabe neovisno o ugovornom odnosu s uslugom obrade podataka s koje namjerava prijeći. Ti su drugi elementi ključni za djelotvornu uporabu podataka i aplikacija klijenta u okruženju odredišnog pružatelja usluga obrade podataka.

(84)

Cilj je ove Uredbe olakšati promjenu pružatelja usluga obrade podataka, što obuhvaća uvjete i radnje potrebne da bi klijent raskinuo ugovor o usluzi obrade podataka, sklopio jedan ili više novih ugovora s različitim pružateljima usluga obrade podataka, kako bi prenio svoje podatke koji se mogu izvesti i digitalne resurse te, ako je to primjenjivo, ostvario korist od funkcionalne ekvivalentnosti.

 

(85)

Promjena pružatelja operacija je koju inicira klijent i koja se sastoji od nekoliko koraka koji uključuju: izdvajanje podataka, što se odnosi na preuzimanje podataka iz ekosustava izvornog pružatelja usluga obrade podataka; pretvorbu, ako su podaci strukturirani tako da ne odgovaraju shemi ciljne lokacije; i učitavanje podataka na novoj odredišnoj lokaciji. U posebnoj situaciji opisanoj u ovoj Uredbi razdvajanje određene usluge od ugovora i njezino prebacivanje kod drugog pružatelja također se smatra promjenom pružatelja. Procesom promjene pružatelja ponekad, u ime klijenta, upravlja treća strana. U skladu s tim, sva prava i obveze klijenta utvrđene ovom Uredbom, uključujući obvezu suradnje u dobroj vjeri, trebalo bi razumjeti tako da se u tim okolnostima primjenjuju na tu treću stranu. Pružatelji usluga obrade podataka i klijenti imaju različite razine odgovornosti, ovisno o koracima procesa na koje se upućuje. Primjerice, izvorni pružatelj usluga obrade podataka odgovoran je za izdvajanje podataka u strojno čitljivi format, no podatke u novo okruženje trebaju učitati klijent i odredišni pružatelj usluga obrade podataka, osim ako je dogovorena posebna profesionalna usluga tranzicije. Klijent koji namjerava ostvariti prava povezana s promjenom pružatelja koja su predviđena u ovoj Uredbi trebao bi obavijestiti izvornog pružatelja usluga obrade podataka o odluci o promjeni pružatelja usluga obrade podataka, promjeni na lokalnu infrastrukturu IKT-a ili o brisanju imovine tog klijenta i podataka koji se mogu izvesti tog klijenta.

(86)

Funkcionalna ekvivalentnost znači ponovna uspostava, na temelju klijentovih podataka koji se mogu izvesti i klijentovih digitalnih resursa, minimalne razine funkcionalnosti u okruženju nove usluge obrade podataka za uslugu iste vrste nakon promjene pružatelja, ako odredišna usluga obrade podataka daje materijalno usporediv ishod kao odgovor na isti ulazni podatak za zajedničke značajke isporučene klijentu na temelju ugovora. Od pružatelja usluga obrade podataka može se očekivati da olakšaju funkcionalnu ekvivalentnost samo za one značajke koje i izvorne usluge obrade podataka i odredišne usluge obrade podataka nude neovisno. Ovom Uredbom ne uspostavlja se obveza olakšavanja funkcionalne ekvivalentnosti za pružatelje usluga obrade podataka koji nisu oni koji nude usluge modela isporuke IaaS.

 

(87)

Usluge obrade podataka upotrebljavaju se u raznim sektorima i razlikuju se po složenosti i vrsti usluge. To je važan aspekt koji treba uzeti u obzir u pogledu procesa premještanja i rokova. Međutim, na produljenje prijelaznog razdoblja zbog tehničke neizvedivosti kako bi se omogućio dovršetak procesa promjene u određenom roku trebalo bi se pozivati samo u opravdanim slučajevima. Teret dokazivanja u tom pogledu u potpunosti je na dotičnom pružatelju usluga obrade podataka. Time se ne dovodi u pitanje isključivo pravo klijenta da jednom produlji prijelazno razdoblje za razdoblje koje taj klijent smatra primjerenijim za vlastite potrebe. Klijent se može pozvati na to pravo na produljenje prije ili tijekom prijelaznog razdoblja, pri čemu se uzima u obzir to da ugovor ostaje primjenjiv tijekom prijelaznog razdoblja.

(88)

Naknade za promjenu jesu naknade koje pružatelji usluga obrade podataka nameću klijentima za proces promjene. Te su naknade obično namijenjene za prebacivanje troškova koji mogu nastati izvornom pružatelju usluga obrade podataka zbog procesa promjene na klijenta koji želi promijeniti pružatelja. Uobičajeni primjeri naknada za promjenu jesu troškovi povezani s prijenosom podataka od jednog pružatelja usluga obrade podataka do drugog ili u lokalnu infrastrukturu IKT-a („naknade za izlaz podataka”) ili troškovi nastali za posebne mjere podrške tijekom procesa promjene. Nepotrebno visoke naknade za izlaz podataka i druge neopravdane naknade koje nisu povezane sa stvarnim troškovima promjene odvraćaju klijente od promjene, ograničavaju slobodan protok podataka, mogu ograničiti tržišno natjecanje i za klijente uzrokovati učinke ovisnosti o određenom pružatelju usluga obrade podataka smanjenjem motivacije za odabir drugog ili dodatnog pružatelja usluga. Naknade za promjenu stoga bi trebalo ukinuti nakon tri godine od datuma stupanja na snagu ove Uredbe. Pružatelji usluga obrade podataka trebali bi do tog datuma moći nametnuti smanjene naknade za promjenu.

 

(89)

Izvorni pružatelj usluga obrade podataka trebao bi moći eksternalizirati određene zadaće i osigurati naknadu trećim stranama kako bi ispunio obveze predviđene u ovoj Uredbi. Klijent ne bi trebao snositi troškove koji proizlaze iz eksternalizacije usluga o kojoj je tijekom procesa promjene ugovor sklopio izvorni pružatelj usluga obrade podataka te bi se takvi troškovi trebali smatrati neopravdanima, osim ako obuhvaćaju rad koji je pružatelj usluga obrade podataka izvršio na zahtjev klijenta za dodatnom podrškom tijekom procesa promjene, a koji nadilazi obveze pružatelja usluga u pogledu promjene kako su izričito predviđene u ovo Uredbi. Ništa u ovoj Uredbi ne sprečava klijenta da trećim stranama osigura naknadu za podršku u procesu migracije odnosno ne sprečava strane da postignu dogovor o ugovorima o uslugama obrade podataka za određeno razdoblje, uključujući razmjerne sankcije za prijevremeni raskid ugovora kako bi se obuhvatio prijevremeni raskid takvih ugovora, u skladu s pravom Unije ili nacionalnim pravom. Kako bi se poticala konkurentnost, postupno ukidanje naknada povezanih s promjenom pružatelja usluga obrade podataka osobito bi trebalo uključivati naknade za izlaz podataka koje pružatelj usluga obrade podataka nameće klijentu. Standardne naknade za pružanje usluga obrade podataka same po sebi nisu naknade za promjenu. Te standardne naknade za usluge ne podliježu ukidanju naknada i ostaju primjenjive do prestanka primjene ugovora o pružanju relevantnih usluga. Ovom se Uredbom klijentu omogućuje da zatraži pružanje dodatnih usluga koje nadilaze obveze pružatelja u pogledu promjene na temelju ove Uredbe. Te dodatne usluge može izvršiti i naplatiti pružatelj usluga kada se one pružaju na zahtjev klijenta, a klijent unaprijed pristane na cijenu tih usluga.

(90)

Kako bi se prevladala ovisnost o određenom pružatelju usluga, koja narušava tržišno natjecanje i razvoj novih usluga, potreban je ambiciozan regulatorni pristup interoperabilnosti kojim se potiču inovacije. Interoperabilnost među uslugama obrade podataka uključuje višestruka sučelja i slojeve infrastrukture i softvera i rijetko se svodi na binarnu opciju kojom se procjenjuje je li ostvariva ili nije. Umjesto toga, izgradnja takve interoperabilnosti podliježe analizi troškova i koristi, koja je potrebna kako bi se utvrdilo vrijedi li težiti ostvarenju razumno predvidljivih rezultata. Norma ISO/IEC 19941:2017 važna je međunarodna norma koja predstavlja referencu za postizanje ciljeva ove Uredbe jer sadržava tehničke aspekte kojima se pojašnjava složenost takvog procesa.

 

(91)

Ako su pružatelji usluga obrade podataka klijenti usluga obrade podataka koje pruža pružatelj usluga koji je treća strana, imat će i sami koristi od djelotvornije promjene te će istodobno i dalje podlijegati obvezama iz ove Uredbe u pogledu ponude vlastitih usluga.

(92)

Od pružatelja usluga obrade podataka trebalo bi zahtijevati da u okviru svojih kapaciteta i razmjerno svojim obvezama ponude svu pomoć i potporu koje su potrebne za uspješan, djelotvoran i siguran proces promjene na uslugu drugog pružatelja usluga obrade podataka. Ovom se Uredbom od pružatelja usluga obrade podataka ne zahtijeva da razviju nove kategorije usluga obrade podataka, među ostalim unutar ili na temelju infrastrukture IKT-a različitih pružatelja usluga obrade podataka kako bi se zajamčila funkcionalna ekvivalentnost u okruženju koje nije njihov vlastiti sustav. Izvorni pružatelj usluga obrade podataka nema pristup okruženju odredišnog pružatelja usluga obrade podataka ni uvid u to okruženje. Funkcionalnu ekvivalentnost ne bi trebalo razumjeti kao obvezu izvornog pružatelja usluga obrade podataka da ponovno izgradi dotičnu uslugu unutar infrastrukture odredišnog pružatelja usluga obrade podataka. Umjesto toga, izvorni pružatelj usluga obrade podataka trebao bi poduzeti sve razumne mjere koje su u njegovoj moći kako bi olakšao proces postizanja funkcionalne ekvivalentnosti pružanjem kapaciteta, odgovarajućih informacija, dokumentacije, tehničke podrške i, prema potrebi, potrebnih alata.

 

(93)

Od pružatelja usluga obrade podataka trebalo bi zahtijevati i da uklone postojeće prepreke i ne nameću nove, među ostalim za klijente koji žele prijeći na lokalnu infrastrukturu IKT-a. Prepreke mogu, među ostalim, biti pretkomercijalne, komercijalne, tehničke, ugovorne ili organizacijske prirode. Od pružatelja usluga obrade podataka trebalo bi zahtijevati i da uklone prepreke razdvajanju određene pojedinačne usluge od drugih usluga obrade podataka koje se pružaju na temelju ugovora te da za relevantnu uslugu stave na raspolaganje mogućnost promjene pružatelja, ako ne postoje velike i dokazane tehničke prepreke koje sprečavaju takvo razdvajanje.

(94)

Tijekom cijelog procesa promjene trebalo bi održati visoku razinu sigurnosti. To znači da bi izvorni pružatelj usluga obrade podataka trebao proširiti razinu sigurnosti na koju se obvezao za uslugu na sve tehničke aranžmane za koje je taj pružatelj odgovoran tijekom procesa promjene, kao što su mrežne veze ili fizički uređaji. To ne bi trebalo utjecati na postojeća prava koja se odnose na raskid ugovorâ, uključujući ona uvedena Uredbom (EU) 2016/679 i Direktivom (EU) 2019/770 Europskog parlamenta i Vijeća (31). Ovu Uredbu ne bi trebalo razumjeti kao sprečavanje pružatelja usluga obrade podataka da klijentima pruža nove i poboljšane usluge, značajke i funkcionalnosti ili da se na toj osnovi natječe s drugim pružateljima usluga obrade podataka.

 

(95)

Informacije koje pružatelji usluga obrade podataka moraju pružiti klijentu mogle bi podržavati izlaznu strategiju klijenta. Te informacije trebale bi uključivati: postupke za pokretanje promjene usluge obrade podataka; strojno čitljive formate podataka u koje se mogu izvesti podaci korisnika; alate namijenjene za izvoz podataka, uključujući otvorena sučelje i informacije o kompatibilnosti s usklađenim normama ili zajedničkim specifikacijama utemeljenima na otvorenim specifikacijama interoperabilnosti; informacije o poznatim tehničkim restrikcijama i ograničenjima koji bi mogli utjecati na proces promjene; te procijenjeno vrijeme potrebno za dovršetak procesa promjene.

(96)

Kako bi se olakšale interoperabilnost i promjena usluga obrade podataka, korisnici i pružatelji usluga obrade podataka trebali bi razmotriti uporabu alata za provedbu i usklađenost, posebno onih koje je Komisija objavila u obliku Pravilnika EU-a o uslugama računalstva u oblaku i Smjernica o javnoj nabavi usluga obrade podataka. Posebice, standardne ugovorne klauzule korisne su jer doprinose rastu povjerenja u usluge obrade podataka, stvaranju uravnoteženijeg odnosa između korisnikâ i pružateljâ usluga obrade podataka te poboljšanju pravne sigurnosti u pogledu uvjeta koji se primjenjuju na promjenu usluga obrade podataka. U tom kontekstu bi korisnici i pružatelji usluga obrade podataka trebali razmotriti mogućnost uporabe standardnih ugovornih klauzula ili drugih samoregulatornih alata za usklađenost pod uvjetom da su u oni u potpunosti usklađeni s ovom Uredbom, koje su izradila relevantna tijela ili stručne skupine osnovani na temelju prava Unije.

 

(97)

Kako bi se olakšala promjena usluga obrade podataka, sve uključene strane, uključujući kako izvorne tako i odredišne pružatelje usluga obrade podataka, trebale bi surađivati u dobroj vjeri kako bi proces promjene učinile djelotvornim, kako bi omogućile siguran i pravodoban prijenos potrebnih podataka u uobičajenom, strojno čitljivom formatu i s pomoću otvorenih sučelja uz istovremeno izbjegavanje prekidâ u pružanju usluga i održavanje kontinuiteta usluge.

(98)

Usluge obrade podataka koje se odnose na usluge za koje je većina glavnih značajki izrađena po narudžbi kako bi se odgovorilo na posebne zahtjeve pojedinačnog klijenta ili ako su sve komponente razvijene za potrebe pojedinačnog klijenta trebale bi biti izuzete od pojedinih obveza koje se primjenjuju na promjenu usluge obrade podataka. To ne bi trebalo uključivati usluge koje pružatelj usluga obrade podataka nudi na širokoj komercijalnoj razini putem svojeg kataloga usluga. Jedna je od obveza pružatelja usluga obrade podataka da prije sklapanja ugovora propisno obavijesti potencijalne klijente takvih usluga o obvezama utvrđenima u ovoj Uredbi koje se ne primjenjuju na relevantne usluge. Ništa ne sprečava pružatelja usluga obrade podataka da kasnije uvede takve usluge u širim razmjerima, a u tom bi slučaju taj pružatelj morao ispuniti sve obveze u pogledu promjene koje su utvrđene u ovoj Uredbi.

 

(99)

U skladu s minimalnim zahtjevom da se omogući promjena pružatelja usluga obrade podataka, ovom se Uredbom također nastoji poboljšati interoperabilnost za paralelno korištenje višestrukim uslugama obrade podataka s komplementarnim funkcijama. To se odnosi na situacije u kojima klijenti ne raskinu ugovor kako bi prešli na drugog pružatelja usluga obrade podataka, već paralelno na interoperabilan način koriste više usluga različitih pružatelja kako bi iskoristili komplementarne funkcionalnosti različitih usluga u konfiguraciji sustava klijenta. Međutim, priznaje se da izlaz podataka od jednog pružatelja usluga obrade podataka do drugog kako bi se olakšalo paralelno korištenje uslugama može biti trajna aktivnost, za razliku od jednokratnog izlaza podataka potrebnog u sklopu procesa promjene. Pružatelji usluga obrade podataka trebali bi stoga i dalje moći nametati naknade za izlaz podataka koje ne premašuju stvarne troškove za potrebe paralelnog korištenja nakon tri godine od datuma stupanja na snagu ove Uredbe. To je važno, među ostalim, za uspješnu primjenu strategija s više oblaka kojima se klijentima omogućuje provedba strategija IKT-a otpornih na buduće promjene i kojima se smanjuje ovisnost o pojedinačnim pružateljima usluga obrade podataka. Olakšavanje pristupa koji se sastoji od više oblaka za klijente usluga obrade podataka može pridonijeti i povećanju njihove digitalne operativne otpornosti, kako je za institucije koje pružaju financijske usluge prepoznato u Uredbi (EU) 2022/2554 Europskog parlamenta i Vijeća (32).

(100)

Očekuje se da će otvorene specifikacije i norme interoperabilnosti razvijene u skladu s Prilogom II. Uredbi (EU) br. 1025/2012 Europskog parlamenta i Vijeća (33) u području interoperabilnosti i prenosivosti omogućiti okruženje u oblaku s više prodavatelja, što je ključni zahtjev za otvorene inovacije u europskom podatkovnom gospodarstvu. S obzirom na to da je ograničena prihvaćenost na tržištu normi utvrđenih u okviru inicijative za koordinaciju normizacije računalstva u oblaku (CSC) dovršene 2016., također je potrebno da se Komisija osloni na sudionike na tržištu kako bi razvila relevantne otvorene specifikacije interoperabilnosti da bi se držao korak s brzim tempom tehnološkog razvoja u toj industriji. Takve otvorene specifikacije interoperabilnosti Komisija zatim može usvojiti u obliku zajedničkih specifikacija. Osim toga, ako tržišni procesi nisu pokazali sposobnost za uspostavu zajedničkih specifikacija ili normi kojima se olakšava djelotvorna interoperabilnost oblaka na razinama platforme kao usluge i softvera kao usluge, Komisija bi trebala moći, na temelju ove Uredbe i u skladu s Uredbom (EU) br. 1025/2012, zatražiti od europskih tijela za normizaciju da razviju takve norme za određene vrste usluge za koje takve norme još ne postoje. Povrh toga, Komisija će poticati sudionike na tržištu da razviju relevantne otvorene specifikacije interoperabilnosti. Nakon savjetovanja s dionicima Komisija bi trebala moći provedbenim aktima propisati uporabu usklađenih normi za interoperabilnost ili zajedničkih specifikacija za određene vrste usluga upućivanjem na Unijin središnji repozitorij normi za interoperabilnost usluga obrade podataka. Pružatelji usluga obrade podataka trebali bi osigurati kompatibilnost s tim usklađenim normama i zajedničkim specifikacijama utemeljenima na otvorenim specifikacijama interoperabilnosti, što ne bi smjelo imati negativan utjecaj na sigurnost ili cjelovitost podataka. Na usklađene norme za interoperabilnost usluga obrade podataka i otvorene specifikacije interoperabilnosti upućivat će se samo ako su u skladu s kriterijima navedenima u ovoj Uredbi, koji imaju isto značenje kao zahtjevi iz Priloga II. Uredbi (EU) br. 1025/2012, i aspektima interoperabilnosti definiranima u međunarodnoj normi ISO/IEC 19941:2017. Osim toga, pri normizaciji trebalo bi u obzir uzeti potrebe MSP-ova.

 

(101)

Treće zemlje mogu donijeti zakone, propise i druge pravne akte čiji je cilj izravan prijenos neosobnih podataka koji se nalaze izvan njihovih granica, među ostalim u Uniji, ili pružanje pristupa tim podacima tijelima vlasti. Presude sudova ili odluke drugih pravosudnih ili upravnih tijela, uključujući tijela kaznenog progona u trećim zemljama kojima se zahtijeva takav prijenos ili takav pristup neosobnim podacima trebale bi biti izvršive kad se temelje na međunarodnom sporazumu, kao što je ugovor o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije ili države članice. U drugim slučajevima mogu nastati situacije u kojima je zahtjev za prijenos neosobnih podataka ili za pružanje pristupa neosobnim podacima koji proizlazi iz prava treće zemlje u suprotnosti s obvezom zaštite takvih podataka na temelju prava Unije ili na temelju nacionalnog prava relevantne države članice, posebno u pogledu zaštite temeljnih prava pojedinca, kao što su pravo na sigurnost i pravo na djelotvoran pravni lijek ili temeljni interesi države članice povezani s nacionalnom sigurnošću ili obranom kao i zaštita poslovno osjetljivih podataka, uključujući zaštitu poslovnih tajni, te zaštita prava intelektualnog vlasništva, uključujući njezine ugovorne obveze u pogledu povjerljivosti u skladu s takvim pravom. Ako ne postoje međunarodni sporazumi kojima se uređuju takva pitanja, prijenos neosobnih podataka ili pristup neosobnim podacima trebalo bi dopustiti samo ako je provjereno da se u pravnom sustavu treće zemlje zahtijeva da se navedu razlozi i proporcionalnost odluke, da su sudski nalog ili odluka specifične prirode te da obrazloženi prigovor adresata podliježe preispitivanju koje provodi nadležni sud treće zemlje, koji je ovlašten propisno uzeti u obzir relevantne pravne interese pružatelja takvih podataka. Kad god je to moguće u skladu s uvjetima zahtjeva za pristup podacima koje je podnijelo tijelo treće zemlje, pružatelj usluga obrade podataka trebao bi moći o tome obavijestiti klijenta na čije se podatke zahtjev odnosi prije odobravanja pristupa tim podacima kako bi se provjerilo je li takav pristup potencijalno u sukobu s pravom Unije ili nacionalnim pravom, kao što je pravo o zaštiti poslovno osjetljivih podataka, među ostalim i zaštita poslovnih tajni i prava intelektualnog vlasništva te ugovorne obveze u pogledu povjerljivosti.

(102)

Radi daljnjeg jačanja povjerenja u podatke važno je da se zaštitne mjere kojima se osigurava da građani Unije, tijela javnog sektora i poduzeća imaju kontrolu nad svojim podacima provode u najvećoj mogućoj mjeri. Osim toga, trebalo bi poštovati pravo, vrijednosti i norme Unije u pogledu, među ostalim, sigurnosti, zaštite podataka i privatnosti te zaštite potrošača. Kako bi se spriječio nezakonit pristup tijelâ trećih zemalja neosobnim podacima, pružatelji usluga obrade podataka koji podliježu ovoj Uredbi, kao što su usluge računalstva u oblaku i usluge na rubu mreže, trebali bi poduzeti sve razumne mjere za sprečavanje pristupa sustavima u kojima su pohranjeni neosobni podaci, uključujući, ako je to relevantno, šifriranjem podataka, čestim revizijama, provjerom poštovanja relevantnih programa certificiranja jamstva sigurnosti i izmjenom korporativnih politika.

 

(103)

Normizacija i semantička interoperabilnost trebale bi imati ključnu ulogu u pružanju tehničkih rješenja za osiguravanje interoperabilnosti u okviru i između zajedničkih europskih podatkovnih prostora, koji su interoperabilni okviri specifični za određenu svrhu ili sektor ili obuhvaćaju nekoliko sektora te sadržavaju zajedničke norme i prakse za dijeljenje ili zajedničku obradu podataka, među ostalim, razvoj novih proizvoda i usluga, znanstveno istraživanje ili inicijative civilnog društva. Ovom se Uredbom utvrđuju određeni osnovni zahtjevi u pogledu interoperabilnosti. Sudionici u podatkovnim prostorima koji nude podatke ili podatkovne usluge drugim sudionicima, koji su subjekti koji olakšavaju dijeljenje podataka ili sudjeluju u dijeljenju podataka unutar zajedničkih europskih podatkovnih prostora, uključujući imatelje podataka, trebali bi ispunjavati te zahtjeve u mjeri u kojoj se to odnosi na elemente pod njihovom kontrolom. Usklađenost s tim pravilima može se osigurati poštovanjem bitnih zahtjeva utvrđenih u ovoj Uredbi ili pretpostaviti u slučaju usklađenosti s usklađenim normama ili zajedničkim specifikacijama na temelju pretpostavke sukladnosti. Kako bi se olakšala sukladnost sa zahtjevima u pogledu interoperabilnosti, potrebno je predvidjeti pretpostavku sukladnosti interoperabilnih rješenja koja ispunjavaju usklađene norme ili njihove dijelove u skladu s Uredbom (EU) br. 1025/2012, koja čini referentni okvir za izradu normi kojima se predviđaju takve pretpostavke. Komisija bi trebala procijeniti prepreke za interoperabilnost i dati prednost potrebama normizacije, na temelju kojih može zahtijevati od jedne ili više europskih organizacija za normizaciju, u skladu s Uredbom (EU) br. 1025/2012, da izrade nacrt usklađenih normi koje ispunjavaju bitne zahtjeve utvrđene u ovoj Uredbi. Ako takvi zahtjevi Komisije ne rezultiraju usklađenim normama ili ako takve usklađene norme nisu dovoljne za osiguravanje sukladnosti s bitnim zahtjevima ove Uredbe, Komisija bi trebala moći donijeti zajedničke specifikacije u tim područjima pod uvjetom da pritom propisno poštuje ulogu i funkcije organizacija za normizaciju. Zajedničke specifikacije trebalo bi donositi samo kao iznimno zamjensko rješenje za olakšavanje usklađenosti s bitnim zahtjevima ove Uredbe, ili ako je proces normizacije blokiran ili ako dođe do kašnjenja u uspostavi odgovarajućih usklađenih normi. Ako je kašnjenje posljedica tehničke složenosti dotične norme, Komisija bi to trebala uzeti u obzir prije razmatranja utvrđivanja zajedničkih specifikacija. Zajedničke specifikacije trebalo bi izraditi na otvoren i uključiv način te bi trebalo uzeti u obzir, ako je to relevantno, savjete Europskog odbora za inovacije u području podataka (EDIB) osnovanog Uredbom (EU) 2022/868. Osim toga, mogle bi se donijeti zajedničke specifikacije u različitim sektorima, u skladu sa sektorskim pravom Unije ili nacionalnim sektorskim pravom, na temelju posebnih potreba tih sektora. Nadalje, Komisiji bi trebalo omogućiti da propiše izradu usklađenih normi za interoperabilnost usluga obrade podataka.

(104)

Kako bi se promicala interoperabilnost alatâ za automatizirano izvršavanje sporazuma o dijeljenju podataka, potrebno je utvrditi bitne zahtjeve za pametne ugovore koje stručnjaci izrađuju za druge ili ih uključuju u aplikacije kojima se podupire provedba sporazumâ o dijeljenju podataka. Kako bi se olakšala sukladnost takvih pametnih ugovora s navedenim bitnim zahtjevima, potrebno je predvidjeti pretpostavku sukladnosti pametnih ugovora koji ispunjavaju usklađene norme ili njihove dijelove u skladu s Uredbom (EU) br. 1025/2012. Pojam „pametan ugovor” u ovoj Uredbi tehnološki je neutralan. Pametni ugovori mogu se, na primjer, povezati s elektroničkim poslovnim knjigama. Bitni zahtjevi trebali bi se primjenjivati samo na prodavatelje pametnih ugovora, ali ne i na slučajeve u kojima oni razvijaju pametne ugovore unutar poduzeća isključivo za internu uporabu. Bitni zahtjev za osiguravanje da se pametni ugovori mogu prekinuti i raskinuti podrazumijeva uzajamnu suglasnost stranaka sporazuma o dijeljenju podataka. Uporaba pametnih ugovora za automatizirano izvršenje sporazuma o zaštiti potrošača i dalje ne utječe ili i dalje ne bi trebala utjecati na primjenjivost relevantnih pravila građanskog prava, ugovornog prava te prava o zaštiti potrošača na takve sporazume.

 

(105)

Kako bi dokazao ispunjavanje bitnih zahtjeva ove Uredbe, prodavatelj pametnog ugovora ili, ako takav prodavatelj ne postoji, osoba čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršenja sporazuma radi stavljanja podataka na raspolaganje u kontekstu ove Uredbe ili izvršenja dijela takvog sporazuma, trebao bi provesti ocjenjivanje sukladnosti i izdati EU izjavu o sukladnosti. Takva ocjena sukladnosti trebala bi podlijegati općim načelima utvrđenima u Uredbi (EZ) br. 765/2008 Europskog parlamenta i Vijeća (34) i Odluci (EZ) br. 768/2008 Europskog parlamenta i Vijeća (35).

(106)

Osim obveze profesionalnih programera pametnih ugovora da budu usklađeni s bitnim zahtjevima, također je važno potaknuti te sudionike u podatkovnim prostorima koji nude podatke ili podatkovne usluge drugim sudionicima u zajedničkim europskim podatkovnim prostorima i među njima da podrže interoperabilnost alatâ za dijeljenje podataka, uključujući pametne ugovore.

 

(107)

Kako bi se osigurali primjena i izvršavanje ove Uredbe, države članice trebale bi imenovati jedno ili više nadležnih tijela. Ako država članica imenuje više nadležnih tijela, također bi trebala jedno od njih imenovati koordinatorom podataka. Nadležna tijela trebala bi međusobno surađivati. U okviru izvršavanja svojih istražnih ovlasti u skladu s primjenjivim nacionalnim postupcima nadležna tijela trebala bi moći tražiti i pribaviti informacije, posebno u vezi s aktivnostima subjekata u okviru svoje nadležnosti i, među ostalim u kontekstu zajedničkih istraga, uzimajući propisno u obzir činjenicu da bi mjere nadzora i izvršavanja koje se odnose na subjekt u nadležnosti druge države članice trebalo donijeti nadležno tijelo te druge države članice, ako je to relevantno, u skladu s postupcima koji se odnose na prekograničnu suradnju. Nadležna tijela trebala bi pravodobno jedna drugima pružati pomoć, posebno kada nadležno tijelo u državi članici posjeduje relevantne informacije za istragu koju provode nadležna tijela u drugim državama članicama ili može prikupiti takve informacije kojima nadležna tijela u državi članici u kojoj subjekt ima poslovni nastan nemaju pristup. Nadležna tijela i koordinatori podataka trebali bi biti navedeni u javnom registru koji održava Komisija. Koordinator podataka mogao bi biti dodatno sredstvo za olakšavanje suradnje u prekograničnim situacijama, primjerice kada nadležno tijelo iz određene države članice ne zna kojem bi se tijelu trebalo obratiti u državi članici koordinatora podataka, na primjer ako je slučaj povezan s više nadležnih tijela ili sektora. Koordinator podataka trebao bi, među ostalim, djelovati kao jedinstvena kontaktna točka za sva pitanja povezana s primjenom ove Uredbe. Ako nije imenovan koordinator podataka, nadležno tijelo trebalo bi preuzeti zadaće dodijeljene koordinatoru podataka u skladu s ovom Uredbom. Tijela odgovorna za nadzor usklađenosti s pravom o zaštiti podataka i nadležna tijela imenovana u skladu s pravom Unije ili nacionalnim pravom trebala bi biti odgovorna za primjenu ove Uredbe u svojim područjima nadležnosti. Kako bi se izbjegli sukobi interesa, nadležna tijela odgovorna za primjenu i izvršavanje ove Uredbe u području stavljanja podataka na raspolaganje slijedom zahtjeva na temelju iznimne potrebe ne bi trebala imati pravo na podnošenje takvog zahtjeva.

(108)

Kako bi ostvarile svoja prava na temelju ove Uredbe, fizičke i pravne osobe trebale bi imati pravo tražiti pravnu zaštitu za povrede njihovih prava na temelju ove Uredbe podnošenjem pritužaba. Koordinator podataka trebao bi na zahtjev dostaviti fizičkim i pravnim osobama sve informacije potrebne za podnošenje pritužaba odgovarajućem nadležnom tijelu. Ta bi tijela trebala biti obvezna surađivati kako bi se osigurali primjerena obrada te djelotvorno i pravodobno rješavanje pritužbe. Kako bi se iskoristio mehanizam mreže za suradnju u području zaštite potrošača i omogućile predstavničke tužbe, ovom se Uredbom mijenjaju prilozi Uredbi (EU) 2017/2394 Europskog parlamenta i Vijeća (36) te Direktivi (EU) 2020/1828 Europskog parlamenta i Vijeća (37).

 

(109)

Nadležna tijela trebala bi osigurati da povrede obveza utvrđenih u ovoj Uredbi podliježu sankcijama. Takve sankcije mogle bi uključivati novčane kazne, upozorenja, opomene ili naloge za usklađivanje poslovne prakse s obvezama koje se nameću ovom Uredbom. Sankcije koje utvrđuju države članice trebale bi biti učinkovite, proporcionalne i odvraćajuće te bi njima trebalo uzimati u obzir preporuke EDIB-a, čime bi se doprinijelo postizanju najveće moguće razine dosljednosti u utvrđivanju i primjeni sankcija. Prema potrebi, nadležna tijela trebala bi primijeniti privremene mjere kako bi ograničila učinke navodne povrede dok je istraga te povrede u tijeku. Pritom bi trebala voditi računa o, među ostalim, prirodi, težini, opsegu i trajanju povrede s obzirom na javni interes o kojem je riječ, opsegu i vrsti provedenih aktivnosti te gospodarskoj sposobnosti počinitelja povrede. Trebala bi voditi računa i o tome krši li počinitelj povrede sustavno ili opetovano svoje obveze na temelju ove Uredbe. Kako bi se osiguralo poštovanje načela ne bis in idem, a osobito kako bi se izbjeglo da se ista povreda obveza utvrđenih u ovoj Uredbi sankcionira više od jedanput, država članica koja namjerava izvršavati svoju nadležnost u odnosu na počinitelja povrede koji nema poslovni nastan u Uniji i koji nije imenovao pravnog zastupnika u Uniji trebala bi o tome bez nepotrebne odgode obavijestiti sve koordinatore podataka kao i Komisiju.

(110)

EDIB bi trebao savjetovati Komisiju i pomagati joj u koordinaciji nacionalnih praksi i politika o temama obuhvaćenima ovom Uredbom te u ostvarivanju njezinih ciljeva u vezi s tehničkom normizacijom radi poboljšanja interoperabilnosti. Također bi trebao imati ključnu ulogu u olakšavanju sveobuhvatnih rasprava među nadležnim tijelima o primjeni i izvršavanju ove Uredbe. Ta razmjena informacija osmišljena je kako bi se povećao djelotvoran pristup pravosuđu te izvršavanje i pravosudna suradnja diljem Unije. Među ostalim funkcijama, nadležna tijela trebala bi se koristiti EDIB-om kao platformom za evaluaciju, koordinaciju i donošenje preporuka o određivanju sankcija za povrede ove Uredbe. Njime bi se nadležnim tijelima trebalo omogućiti da, uz pomoć Komisije, koordiniraju optimalan pristup određivanju i izricanju takvih sankcija. Tim se pristupom sprečava fragmentacija, a državama članicama omogućuje fleksibilnost te bi trebao dovesti do djelotvornih preporuka kojima se podupire dosljedna primjena ove Uredbe. EDIB bi trebao imati i savjetodavnu ulogu u procesima normizacije i u donošenju zajedničkih specifikacija putem provedbenih akata, u donošenju delegiranih akata radi uspostavljanja mehanizma praćenja naknada za promjenu koje nameću pružatelji usluga obrade podataka te radi dodatnog utvrđivanja bitnih zahtjeva u pogledu interoperabilnosti podataka, mehanizama i usluga dijeljenja podataka kao i zajedničkih europskih podatkovnih prostora. EDIB bi također trebao savjetovati Komisiju i pomagati joj pri donošenju smjernica kojima se utvrđuju specifikacije interoperabilnosti za funkcioniranje zajedničkih europskih podatkovnih prostora.

 

(111)

Kako bi pomogla poduzećima u izradi ugovora i dogovaranju ugovora u pregovorima, Komisija bi trebala izraditi i preporučiti neobvezujuće modele ugovornih odredbi za ugovore o dijeljenju podataka među poduzećima, ako je potrebno uzimajući u obzir uvjete u konkretnim sektorima te postojeće prakse s mehanizmima dobrovoljnog dijeljenja podataka. Ti modeli ugovornih odredbi trebali bi prije svega biti praktičan alat za pomoć, posebno MSP-ovima, za sklapanje ugovora. Široka i cjelovita uporaba tih modela ugovornih odredbi trebala bi imati povoljan učinak i na oblikovanje ugovorâ o pristupu podacima i njihovoj uporabi te bi stoga u širem smislu trebala dovesti do poštenijih ugovornih odnosa pri pristupu podacima i njihovom dijeljenju.

(112)

Kako bi se uklonio rizik da se imatelji podataka u bazama podataka koji su pribavljeni ili generirani s pomoću fizičkih komponenata povezanog proizvoda, kao što su senzori, i povezane usluge ili drugih strojno generiranih podataka pozovu na pravo sui generis na temelju članka 7. Direktive 96/9/EZ i time osobito ometaju djelotvorno ostvarivanje prava korisnika na pristup podacima i njihovu uporabu te pravo na dijeljenje podataka s trećim stranama na temelju ove Uredbe, trebalo bi pojasniti da se pravo sui generis ne primjenjuje na takve baze podataka. To ne utječe na moguću primjenu prava sui generis na temelju članka 7. Direktive 96/9/EZ na baze podataka koje sadržavaju podatke koji su izvan područja primjene ove Uredbe, pod uvjetom da su ispunjeni zahtjevi u pogledu zaštite na temelju stavka 1. tog članka.

 

(113)

Kako bi se uzeli u obzir tehnički aspekti usluga obrade podataka, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a u vezi s dopunom ove Uredbe kako bi se uspostavio mehanizam praćenja naknada za promjenu koje na tržištu nameću pružatelji usluga obrade podataka i kako bi se dodatno utvrdili bitni zahtjevi u pogledu interoperabilnosti za sudionike u podatkovnim prostorima koji drugim sudionicima nude podatke ili podatkovne usluge. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. (38). Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(114)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Uredbe provedbene ovlasti trebalo bi dodijeliti Komisiji u vezi s donošenjem zajedničkih specifikacija za osiguravanje interoperabilnosti podataka, mehanizama i usluga dijeljenja podataka te zajedničkih europskih podatkovnih prostora, zajedničkih specifikacija za interoperabilnost usluga obrade podataka i zajedničkih specifikacija za interoperabilnost pametnih ugovora. Provedbene ovlasti trebalo bi dodijeliti Komisiji i u svrhu objavljivanja upućivanja na usklađene norme i zajedničke specifikacije za interoperabilnost usluga obrade podataka u Unijinu središnjem repozitoriju normi za interoperabilnost usluga obrade podataka. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (39).

 

(115)

Ovom se Uredbom ne bi trebala dovoditi u pitanje pravila koja se odnose na zadovoljavanje potreba specifičnih za pojedinačne sektore ili područja od javnog interesa. Takva pravila mogu uključivati dodatne zahtjeve u pogledu tehničkih aspekata pristupa podacima, kao što su sučelja za pristup podacima ili način na koji se može pružiti pristup podacima, primjerice izravno iz proizvoda ili putem usluga podatkovnog posredovanja. Takva pravila mogu uključivati i ograničenja prava imateljâ podataka na pristup korisničkim podacima ili njihovu uporabu ili druge aspekte koji nadilaze pristup podacima i njihovu uporabu, kao što su aspekti upravljanja ili sigurnosni zahtjevi, uključujući zahtjeve u pogledu kibernetičke sigurnosti. Ovom se Uredbom također ne bi trebala dovoditi u pitanje konkretnija pravila u kontekstu razvoja zajedničkih europskih podatkovnih prostora ni, podložno iznimkama predviđenima u ovoj Uredbi, pravo Unije i nacionalno pravo kojim se predviđa pristup podacima i odobrava uporaba podataka za potrebe znanstvenog istraživanja.

(116)

Ova Uredba ne bi smjela utjecati na primjenu pravilâ o tržišnom natjecanju, osobito članaka 101. i 102. UFEU-a. Mjere predviđene u ovoj Uredbi ne bi se smjele upotrebljavati za ograničavanje tržišnog natjecanja na način koji je protivan UFEU-u.

 

(117)

Kako bi se akterima obuhvaćenima područjem primjene ove Uredbe omogućilo da se prilagode novim pravilima utvrđenima u ovoj Uredbi i da uvedu potrebne tehničke aranžmane, ta bi se pravila trebala primjenjivati od 12. rujna 2025.

(118)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka i s Europskim odborom za zaštitu podataka u skladu s člankom 42. stavcima 1. i 2. Uredbe (EU) 2018/1725, a oni su dali svoje mišljenje 4. svibnja 2022.

 

(119)

S obzirom na to da ciljeve ove Uredbe, odnosno osiguravanje poštenog pristupa u raspodjeli vrijednosti iz podataka među akterima u podatkovnom gospodarstvu i poticanje pravednog pristupa podacima i njihove uporabe kako bi se doprinijelo uspostavi pravog unutarnjeg tržišta za podatke, ne mogu dostatno ostvariti države članice nego se zbog opsega ili učinaka djelovanja oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva,

DONIJELI SU OVU UREDBU:

POGLAVLJE I.

OPĆE ODREDBE

Članak 1.

Predmet i područje primjene

1.   Ovom se Uredbom utvrđuju usklađena pravila, među ostalim, o:

(a)

stavljanju podataka proizvoda i podataka o povezanim uslugama na raspolaganje korisniku povezanog proizvoda ili povezane usluge;

 

(b)

stavljanju podataka na raspolaganje primateljima podataka od strane imateljâ podataka;

 

(c)

stavljanju podataka na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci i tijelima Unije, ako postoji iznimna potreba za tim podacima radi obavljanja specifične zadaće koja se obavlja u javnom interesu, od strane imateljâ podataka;

 

(d)

olakšavanju promjene usluga obrade podataka;

 

(e)

uvođenju zaštitnih mjera protiv nezakonitog pristupa trećih strana neosobnim podacima; i

 

(f)

razvoju standarda interoperabilnosti za pristup podacima, prijenos podataka i uporabu podataka.

2.   Ovom Uredbom obuhvaćeni su osobni i neosobni podaci, uključujući sljedeće vrste podataka, u sljedećim kontekstima:

(a)

poglavlje II. primjenjuje se na podatke, uz iznimku sadržaja, koji se odnose na učinkovitost, uporabu i okruženje povezanih proizvoda i povezanih usluga;

 

(b)

poglavlje III. primjenjuje se na sve podatke privatnog sektora koji podliježu zakonskim obvezama dijeljenja podataka;

 

(c)

poglavlje IV. primjenjuje se na sve podatke privatnog sektora kojima se pristupa i koji se upotrebljavaju na temelju ugovora među poduzećima;

 

(d)

poglavlje V. primjenjuje se na sve podatke privatnog sektora s naglaskom na neosobne podatke;

 

(e)

poglavlje VI. primjenjuje se na sve podatke i usluge koje obrađuju pružatelji usluga obrade podataka;

 

(f)

poglavlje VII. primjenjuje se na sve neosobne podatke koje pružatelji usluga obrade podataka čuvaju u Uniji.

3.   Ova se Uredba primjenjuje na:

(a)

proizvođače povezanih proizvoda stavljenih na tržište u Uniji i pružatelje povezanih usluga, neovisno o mjestu poslovnog nastana tih proizvođača i pružatelja usluga;

 

(b)

korisnike, u Uniji, povezanih proizvoda ili povezanih usluga kako su navedeni u točki (a);

 

(c)

imatelje podataka, neovisno o njihovu mjestu poslovnog nastana, koji podatke stavljaju na raspolaganje primateljima podataka u Uniji;

 

(d)

primatelje podataka u Uniji kojima se podaci stavljaju na raspolaganje;

 

(e)

tijela javnog sektora, Komisiju, Europsku središnju banku i tijela Unije, koji od imatelja podataka zahtijevaju da stave podatke na raspolaganje ako postoji iznimna potreba za tim podacima radi izvršavanja specifične zadaće koja se obavlja u javnom interesu i na imatelje podataka koji te podatke dostavljaju kao odgovor na takav zahtjev;

 

(f)

pružatelje usluga obrade podataka, neovisno o njihovu mjestu poslovnog nastana, koji pružaju takve usluge klijentima u Uniji;

 

(g)

sudionike u podatkovnim prostorima i prodavatelje aplikacija koje se koriste pametnim ugovorima i osobe čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršenja sporazuma.

4.   Ako se u ovoj Uredbi upućuje na povezane proizvode ili povezane usluge, smatra se da takva upućivanja uključuju i virtualne asistente ako su u oni interakciji s povezanim proizvodom ili povezanom uslugom.

5.   Ovom se Uredbom ne dovodi u pitanje pravo Unije i nacionalno pravo o zaštiti osobnih podataka, privatnosti i povjerljivosti komunikacija i cjelovitosti terminalne opreme koje se primjenjuje na osobne podatke koji se obrađuju u vezi s pravima i obvezama utvrđenima u njoj, osobito uredbe (EU) 2016/679 i (EU) 2018/1725 te Direktiva 2002/58/EZ, uključujući ovlasti i nadležnosti nadzornih tijela te prava ispitanika. U mjeri u kojoj su korisnici ispitanici, pravima utvrđenima u poglavlju II. ove Uredbe dopunjuju se prava ispitanikâ na pristup i prava na prenosivost podataka iz članka 15., odnosno članka 20. Uredbe (EU) 2016/679. U slučaju proturječnosti između ove Uredbe i prava Unije o zaštiti osobnih podataka ili privatnosti, ili nacionalnog zakonodavstva donesenog u skladu s takvim pravom Unije, prednost ima relevantno pravo Unije ili nacionalno pravo o zaštiti osobnih podataka ili privatnosti.

6.   Ova se Uredba ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka između privatnih i javnih subjekata niti ih dovodi u pitanje, a osobito se ne primjenjuje na dobrovoljne aranžmane za dijeljenje podataka.

Ova Uredba ne utječe na pravne akte Unije ili nacionalne pravne akte kojima se predviđa dijeljenje podataka, pristup podacima i njihova uporaba u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija ili pak u carinske ili porezne svrhe, osobito na uredbe (EU) 2021/784, (EU) 2022/2065 i (EU) 2023/1543 te Direktivu (EU) 2023/1544 ili međunarodnu suradnju u tom području. Ova se Uredba ne primjenjuje na prikupljanje ili dijeljenje podataka, pristup podacima ili uporabu podataka na temelju Uredbe (EU) 2015/847 i Direktive (EU) 2015/849. Ova se Uredba ne primjenjuje u područjima koja nisu obuhvaćena pravom Unije te u svakom slučaju ne utječe na nadležnosti država članica u pogledu javne sigurnosti, obrane ili nacionalne sigurnosti, neovisno o vrsti subjekta kojem su države članice povjerile obavljanje zadaća u vezi s tim nadležnostima, ili njihovu ovlast za zaštitu drugih ključnih državnih funkcija, uključujući osiguranje teritorijalne cjelovitosti države i očuvanje javnog poretka. Ova Uredba ne utječe na nadležnosti država članica u pogledu carina i porezne uprave ili zdravlja i sigurnosti građana.

7.   Ovom se Uredbom dopunjuje samoregulatorni pristup iz Uredbe (EU) 2018/1807 dodavanjem opće primjenjivih obveza u pogledu promjene pružatelja usluga u oblaku.

8.   Ovom se Uredbom ne dovode u pitanje pravni akti Unije i nacionalni pravni akti kojima se predviđa zaštita prava intelektualnog vlasništva, posebno direktive 2001/29/EZ, 2004/48/EZ i (EU) 2019/790.

9.   Ovom se Uredbom dopunjuje i ne dovodi u pitanje pravo Unije čiji je cilj promicanje interesa potrošača i osiguravanje visoke razine zaštite potrošača i zaštita njihova zdravlja, sigurnosti i gospodarskih interesa, posebno direktive 93/13/EEZ, 2005/29/EZ i 2011/83/EU.

10.   Ovom se Uredbom ne isključuje sklapanje dobrovoljnih zakonitih ugovora o dijeljenju podataka, uključujući ugovore sklopljene na recipročnoj osnovi, koji su u skladu sa zahtjevima utvrđenima u ovoj Uredbi.

Članak 2.

Definicije

Za potrebe ove Uredbe, primjenjuju se sljedeće definicije:

1.

„podaci” znači svaki digitalni prikaz akata, činjenica ili informacija i svaka kompilacija tih akata, činjenica ili informacija, među ostalim u obliku zvučnog, vizualnog ili audiovizualnog zapisa;

 

2.

„metapodaci” znači strukturiran opis sadržaja ili uporabe podataka kojim se olakšavaju pronalaženje i uporaba tih podataka;

 

3.

„osobni podaci” znači osobni podaci kako su definirani u članku 4. točki 1. Uredbe (EU) 2016/679;

 

4.

„neosobni podaci” znači podaci koji nisu osobni podaci;

 

5.

„povezani proizvod” znači predmet koji pribavlja, generira ili prikuplja podatke koji se odnose na njegovu uporabu ili okruženje, koji može prenositi podatke proizvoda putem elektroničke komunikacijske usluge, fizičke veze ili pristupa na uređaju i čija glavna funkcija nisu pohrana, obrada ili prijenos podataka u ime bilo koje strane koja nije korisnik;

 

6.

„povezana usluga” znači digitalna usluga, osim elektroničke komunikacijske usluge, uključujući softver, koja je povezana s proizvodom u trenutku kupnje, najma ili leasinga na takav način da bi njezina odsutnost spriječila povezani proizvod u izvršavanju jedne ili više njegovih funkcija ili koju proizvođač ili treća strana naknadno povezuju s proizvodom radi proširivanja, ažuriranja ili prilagođavanja funkcija povezanog proizvoda;

 

7.

„obrada” znači svaki postupak ili niz postupaka koji se obavljaju na podacima ili skupovima podataka, bilo automatiziranim ili neautomatiziranim sredstvima, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, dohvat, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

 

8.

„usluga obrade podataka” znači digitalna usluga koja se pruža klijentu i kojom se omogućuje sveprisutan mrežni pristup na zahtjev zajedničkom skupu konfigurabilnih, nadogradivih i elastičnih računalnih resursa centralizirane, distribuirane ili visoko distribuirane prirode koja se može brzo osigurati i isporučiti uz minimalan napor upravljanja ili minimalnu interakciju pružatelja usluga;

 

9.

„usluga iste vrste” znači skup usluga obrade podataka koje imaju isti glavni cilj, isti model usluge obrade podataka i iste glavne funkcionalnosti;

 

10.

„usluga podatkovnog posredovanja” znači usluga podatkovnog posredovanja kako je definirana u članku 2. točki 11. Uredbe (EU) 2022/868;

 

11.

„ispitanik” znači ispitanik kako je navedeno u članku 4. točki 1. Uredbe (EU) 2016/679;

 

12.

„korisnik” znači fizička ili pravna osoba koja je vlasnik povezanog proizvoda ili na koju su u okviru ugovora prenesena privremena prava na uporabu tog povezanog proizvoda ili koja prima povezane usluge;

 

13.

„imatelj podataka” znači fizička ili pravna osoba koja ima pravo ili obvezu, u skladu s ovom Uredbom, primjenjivim pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije, upotrebljavati ili stavljati na raspolaganje podatke, uključujući, ako je to dogovoreno ugovorom, podatke proizvoda ili podatke o povezanim uslugama koje je dohvatila ili generirala tijekom pružanja povezane usluge;

 

14.

„primatelj podataka” znači fizička ili pravna osoba koja djeluje u svrhe povezane sa svojom trgovačkom, poslovnom, obrtničkom ili profesionalnom djelatnošću, osim korisnika povezanog proizvoda ili povezane usluge, kojoj imatelj podataka stavlja na raspolaganje podatke, uključujući treću stranu slijedom zahtjeva korisnika upućenog imatelju podataka ili u skladu s pravnom obvezom na temelju prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije;

 

15.

„podaci proizvoda” znači podaci generirani uporabom povezanog proizvoda koje je proizvođač dizajnirao tako da ih korisnik, imatelj podataka ili treća strana, uključujući, ako je to relevantno, proizvođač, mogu dohvatiti putem elektroničke komunikacijske usluge, fizičke veze ili pristupa na uređaju;

 

16.

„podaci o povezanim uslugama” znači podaci koji predstavljaju digitalizaciju korisničkih radnji ili događaja koji se odnose na povezani proizvod, koje je korisnik zabilježio namjerno ili koji su generirani kao nusproizvod djelovanja korisnika tijekom pružanja povezane usluge od strane pružatelja;

 

17.

„lako dostupni podaci” znači podaci proizvoda i podaci o povezanim uslugama koje imatelj podataka zakonito pribavi ili može zakonito pribaviti iz povezanog proizvoda ili povezane usluge, bez nerazmjernog napora koji nadilazi jednostavnu radnju;

 

18.

„poslovna tajna” znači poslovna tajna kako je definirana u članku 2. točki 1. Uredbe (EU) 2016/943;

 

19.

„nositelj poslovne tajne” znači nositelj poslovne tajne kako je definiran u članku 2. točki 2. Uredbe (EU) 2016/943;

 

20.

„izrada profila” znači izrada profila kako je definirana u članku 4. točki 4. Uredbe (EU) 2016/679;

 

21.

„stavljanje na raspolaganje na tržištu” znači svaka isporuka povezanog proizvoda za distribuciju, potrošnju ili uporabu na tržištu Unije u okviru trgovačke djelatnosti uz plaćanje ili besplatno;

 

22.

„stavljanje na tržište” znači prvo stavljanje povezanog proizvoda na raspolaganje na tržištu Unije;

 

23.

„potrošač” znači bilo koja fizička osoba koja djeluje u svrhe koje su izvan okvira njezine trgovačke, poslovne, obrtničke ili profesionalne djelatnosti;

 

24.

„poduzeće” znači fizička ili pravna osoba koja u vezi s ugovorima i praksama obuhvaćenima ovom Uredbom djeluje u svrhe povezane sa svojom trgovačkom, poslovnom, obrtničkom ili profesionalnom djelatnošću;

 

25.

„malo poduzeće” znači malo poduzeće kako je definirano u članku 2. stavku 2. Priloga Preporuci 2003/361/EZ;

 

26.

„mikropoduzeće” znači mikropoduzeće kako je definirano u članku 2. stavku 3. Priloga Preporuci 2003/361/EZ;

 

27.

„tijela Unije” znači tijela, uredi i agencije Unije osnovani aktima donesenima na temelju Ugovora o Europskoj uniji, UFEU-a ili Ugovora o osnivanju Europske zajednice za atomsku energiju odnosno na temelju tih akata;

 

28.

„tijelo javnog sektora” znači nacionalna, regionalna ili lokalna tijela država članica i javnopravna tijela država članica ili udruženja koja je osnovalo jedno takvo tijelo ili više njih ili jedno takvo tijelo javnog sektora ili više njih;

 

29.

„izvanredno stanje” znači iznimna situacija, vremenski ograničena, kao što su izvanredno stanje u području javnog zdravlja, izvanredno stanje koje proizlazi iz prirodnih katastrofa, katastrofa velikih razmjera uzrokovana ljudskim djelovanjem, uključujući veliki kibernetički sigurnosni incident, koja negativno utječe na stanovništvo Unije, ili državu članicu ili njezin dio, uz opasnost od teških i trajnih posljedica na životne uvjete ili gospodarsku stabilnost, financijsku stabilnost ili od znatne i brze degradacije gospodarske imovine u Uniji ili dotičnoj državi članici, a utvrđuje se i službeno proglašava u skladu s relevantnim postupcima na temelju prava Unije ili nacionalnog prava;

 

30.

„klijent” znači fizička ili pravna osoba koja je stupila u ugovorni odnos s pružateljem usluga obrade podataka s ciljem korištenja jednom ili više uslugom obrade podataka;

 

31.

„virtualni asistenti” znači softver koji može obrađivati naloge, zadaće ili pitanja, uključujući one koji se temelje na zvučnim i pisanim unosima, gestama ili pokretima te koji na temelju tih naloga, zadaća ili pitanja pruža pristup ostalim uslugama ili upravlja funkcijama povezanih proizvoda;

 

32.

„digitalni resursi” znači elementi u digitalnom obliku, uključujući aplikacije, za koje klijent ima pravo uporabe, neovisno o ugovornom odnosu s uslugom obrade podataka koju namjerava promijeniti;

 

33.

„lokalna infrastruktura IKT-a” znači infrastruktura IKT-a i računalni resursi koji su u vlasništvu klijenta, koje je klijent unajmio ili uzeo u leasing, a nalaze se u podatkovnom centru samog klijenta te njima upravlja klijent ili treća strana;

 

34.

„promjena” znači proces koji uključuje izvornog pružatelja usluga obrade podataka, klijenta usluge obrade podataka i, ako je to relevantno, odredišnog pružatelja usluga obrade podataka, u kojem klijent usluge obrade podataka prelazi s korištenja jednom uslugom obrade podataka na drugu uslugu iste vrste ili na drugu uslugu koju nudi drugi pružatelj usluga obrade podataka ili na lokalnu infrastrukturu IKT-a, među ostalim izdvajanjem, pretvaranjem i učitavanjem podataka;

 

35.

„naknade za izlaz podataka” znači naknade za prijenos podataka koje se naplaćuju klijentima za izdvajanje njihovih podataka putem mreže iz infrastrukture IKT-a pružatelja usluga obrade podataka u sustav drugog pružatelja ili u lokalnu infrastrukturu IKT-a;

 

36.

„naknade za promjenu” znači naknade, osim standardnih naknada za usluge ili sankcija za prijevremeni raskid ugovora, koje pružatelj usluga obrade podataka nameće klijentu za radnje propisane ovom Uredbom za promjenu, tj. prebacivanje na sustav drugog pružatelja usluga ili na lokalnu infrastrukturu IKT-a, uključujući naknade za izlaz podataka;

 

37.

„funkcionalna ekvivalentnost” znači ponovna uspostava, na temelju klijentovih podataka koji se mogu izvesti i klijentovih digitalnih resursa, minimalne razine funkcionalnosti u okruženju nove usluge obrade podataka iste vrste usluge nakon procesa promjene, ako odredišna usluga obrade podataka daje materijalno usporediv rezultat kao odgovor na isti ulazni podatak za zajedničke značajke isporučene klijentu na temelju ugovora;

 

38.

„podaci koji se mogu izvesti” za potrebe članaka od 23. do 31. i članka 35. znači ulazni podaci i izlazni podaci, uključujući metapodatke, koji su izravno ili neizravno generirani ili su zajednički generirani, klijentovim korištenjem uslugom obrade podataka, isključujući imovinu ili podatke pružateljâ usluga obrade podataka odnosno imovinu ili podatke trećih strana, koji su zaštićeni pravima intelektualnog vlasništva ili koji čine poslovne tajne;

 

39.

„pametni ugovor” znači računalni program koji se upotrebljava za automatizirano izvršenje sporazuma ili njegova dijela, pri čemu se upotrebljava slijed elektroničkih zapisa podataka i osigurava njihova cjelovitost i točnost kronološkog redoslijeda;

 

40.

„interoperabilnost” znači sposobnost dvaju ili više podatkovnih prostora ili komunikacijskih mreža, sustava, povezanih proizvoda, aplikacija ili komponenata da razmjenjuju i upotrebljavaju podatke radi obavljanja svojih funkcija;

 

41.

„otvorena specifikacija interoperabilnosti” znači tehnička specifikacija u području informacijske i komunikacijske tehnologije usmjerena na postizanje interoperabilnosti među uslugama obrade podataka;

 

42.

„zajedničke specifikacije” znači dokument koji nije norma, koji sadržava tehnička rješenja koja služe kao sredstvo za ispunjavanje određenih zahtjeva i obveza utvrđenih u okviru ove Uredbe;

 

43.

„usklađena norma” znači usklađena norma kako je definirana u članku 2. točki 1. podtočki (c) Uredbe (EU) br. 1025/2012;

POGLAVLJE II.

DIJELJENJE PODATAKA IZMEĐU PODUZEĆA I POTROŠAČA TE MEĐU PODUZEĆIMA

Članak 3.

Obveza osiguravanja pristupa korisniku podacima proizvoda i podacima o povezanim uslugama

1.   Povezani proizvodi osmišljavaju se i proizvode, a povezane usluge osmišljavaju se i pružaju tako da su podaci proizvoda i podaci o povezanim uslugama, uključujući relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, dostupni korisniku automatski, na jednostavan i siguran način, besplatno, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu, te da su mu, ako je to relevantno i tehnički izvedivo, izravno dostupni.

2.   Prije sklapanja ugovora o kupoprodaji, najmu ili leasingu povezanog proizvoda, prodavatelj, najmodavac ili davatelj leasinga, koji mogu biti proizvođač, pruža korisniku barem informacije o sljedećem, na jasan i razumljiv način:

(a)

vrsti, formatu i procijenjenoj količini podataka proizvoda koje povezani proizvod može generirati;

 

(b)

može li povezani proizvod generirati podatke kontinuirano i u stvarnom vremenu;

 

(c)

može li povezani proizvod pohranjivati podatke na uređaju ili na udaljenom poslužitelju, uključujući, ako je to primjenjivo, predviđeno trajanje zadržavanja;

 

(d)

načinu na koji korisnik može pristupiti podacima, dohvatiti podatke ili ih, ako je to relevantno, obrisati, uključujući tehnička sredstva s pomoću kojih se to može učiniti kao i njihove uvjete za uporabu i kvalitetu usluge.

3.   Prije sklapanja ugovora o pružanju povezane usluge pružatelj takve povezane usluge pruža korisniku barem informacije o sljedećem, na jasan i razumljiv način:

(a)

prirodi, procijenjenoj količini i učestalosti prikupljanja podataka proizvoda za koje se očekuje da će ih potencijalni imatelj podataka pribaviti i, ako je to relevantno, aranžmanima za pristup korisnika takvim podacima ili dohvaćanje takvih podataka, među ostalim i aranžmanima za pohranu potencijalnog imatelja podataka i trajanju zadržavanja podataka;

 

(b)

prirodi i procijenjenoj količini podataka o povezanim uslugama koje je potrebno generirati i aranžmanima za pristup korisnika takvim podacima ili dohvaćanje takvih podataka, među ostalim i aranžmanima za pohranu potencijalnog imatelja podataka i trajanju zadržavanja podataka;

 

(c)

tome očekuje li potencijalni imatelj podataka da će on sam upotrebljavati lako dostupne podatke i o svrhama u koje se ti podaci moraju upotrebljavati te o tome namjerava li dopustiti jednoj ili više trećih strana da upotrebljavaju podatke u svrhe dogovorene s korisnikom;

 

(d)

identitetu potencijalnog imatelja podataka, kao što su njegov trgovački naziv i geografska adresa na kojoj ima poslovni nastan, i, ako je to primjenjivo, drugih strana koje obrađuju podatke;

 

(e)

sredstvima komunikacije kojima se omogućuju brzo stupanje u kontakt s potencijalnim imateljem podataka i učinkovita komunikacija s njim;

 

(f)

načinu na koji korisnik može zatražiti da se podaci dijele s trećom stranom, i ako je to primjenjivo, da se obustavi dijeljenje podataka;

 

(g)

pravu korisnika da nadležnom tijelu imenovanom u skladu s člankom 37. podnese pritužbu zbog navodne povrede bilo koje od odredbi ovog poglavlja;

 

(h)

tome je li potencijalni imatelj podataka nositelj poslovnih tajni sadržanih u podacima kojima se može pristupiti preko povezanog proizvoda ili koji su generirani tijekom pružanja povezane usluge i, ako potencijalni imatelj podataka nije nositelj poslovne tajne, identitet nositelja poslovne tajne;

 

(i)

trajanju ugovora između korisnika i potencijalnog imatelja podataka te aranžmanima za raskid takvog ugovora.

Članak 4.

Prava i obveze korisnikâ i imateljâ podataka u pogledu pristupa podacima proizvoda i podacima o povezanim uslugama, uporabe tih podataka i njihova stavljanja na raspolaganje

1.   Ako korisnik ne može izravno pristupiti podacima iz povezanog proizvoda ili povezane usluge, imatelji podataka korisniku bez nepotrebne odgode stavljaju na raspolaganje lako dostupne podatke, kao i relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, jednake kvalitete koja je dostupna imatelju podataka, na jednostavan i siguran način, besplatno, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu te, ako je to relevantno i tehnički izvedivo, kontinuirano i u stvarnom vremenu. To se provodi na temelju običnog zahtjeva upućenog elektroničkim putem ako je to tehnički izvedivo.

2.   Korisnici i imatelji podataka mogu ugovorom ograničiti ili zabraniti pristup podacima, njihovu uporabu ili daljnje dijeljenje ako bi takva obrada mogla ugroziti sigurnosne zahtjeve povezanog proizvoda, kako su utvrđeni pravom Unije ili nacionalnim pravom, što bi dovelo do teškog štetnog učinka na zdravlje, sigurnost ili zaštitu fizičkih osoba. Sektorska tijela mogu u tom kontekstu pružiti korisnicima i imateljima podataka tehničko stručno znanja. Ako imatelj podataka odbije dijeliti podatke u skladu s ovim člankom, o tome obavješćuje nadležno tijelo imenovano u skladu s člankom 37.

3.   Ne dovodeći u pitanje pravo korisnika da u bilo kojem trenutku zatraži pravnu zaštitu pred sudom države članice, korisnik može, u vezi sa svakim sporom s imateljem podataka koji se odnosi na ugovorna ograničenja ili zabrane iz stavka 2.:

(a)

u skladu s člankom 37. stavkom 5. točkom (b) podnijeti pritužbu nadležnom tijelu; ili

 

(b)

dogovoriti se s imateljem podataka da se predmet uputi tijelu za rješavanje sporova u skladu s člankom 10. stavkom 1.

4.   Imatelji podataka ne smiju neopravdano otežavati ostvarivanje izborâ ili prava korisnika na temelju ovog članka, među ostalim i nuđenjem izborâ korisniku na način koji nije neutralan ili potkopavanjem ili narušavanjem autonomije, odlučivanja ili izborâ korisnika putem strukture, dizajna, funkcije ili načina rada korisničkog digitalnog sučelja ili njegova dijela.

5.   Kako bi se provjerilo ispunjava li fizička ili pravna osoba uvjete da bi se smatrala korisnikom za potrebe stavka 1., imatelj podataka ne smije zahtijevati od te osobe da pruži nikakve informacije osim onih koje su potrebne. Imatelji podataka ne smije čuvati nikakve informacije, osobito evidencijske podatke, o pristupu korisnika traženim podacima osim onih koje su potrebne za ispravno izvršavanje korisnikova zahtjeva za pristup te za sigurnost i održavanje podatkovne infrastrukture.

6.   Poslovne tajne čuvaju se i otkrivaju trećim stranama samo ako, prije otkrivanja, imatelj podataka i korisnik poduzmu sve potrebne mjere za očuvanje povjerljivosti poslovnih tajni, osobito u odnosu na treće strane. Imatelj podataka ili, ako nije riječ o istoj osobi, nositelj poslovne tajne, identificira podatke koji su zaštićeni kao poslovne tajne, među ostalim u relevantnim metapodacima, i dogovara s korisnikom razmjerne tehničke i organizacijske mjere potrebne za očuvanje povjerljivosti podijeljenih podataka, posebno u odnosu na treće strane, kao što su modeli ugovornih odredbi, sporazumi o povjerljivosti, strogi protokoli o pristupu, tehnički standardi i primjena kodeksa ponašanja.

7.   Ako se ne postigne sporazum o potrebnim mjerama iz stavka 6. ili ako korisnik ne provede mjere dogovorene u skladu sa stavkom 6. ili ugrozi povjerljivost poslovnih tajni, imatelj podataka može uskratiti ili, ovisno o slučaju, suspendirati dijeljenje podataka koji su identificirani kao poslovne tajne. Odluka imatelja podataka mora biti propisno obrazložena i mora se dostaviti korisniku u pisanom obliku bez nepotrebne odgode. U takvim slučajevima imatelj podataka obavješćuje nadležno tijelo imenovano u skladu s člankom 37. da je uskratio ili suspendirao dijeljenje podataka i navodi koje mjere nisu dogovorene ili provedene te, ako je to relevantno, za koje je poslovne tajne ugrožena povjerljivost.

8.   U iznimnim okolnostima, ako imatelj podataka koji je nositelj poslovne tajne može dokazati da će vrlo vjerojatno pretrpjeti tešku ekonomsku štetu od otkrivanja poslovnih tajni, unatoč tehničkim i organizacijskim mjerama koje je poduzeo korisnik u skladu sa stavkom 6. ovog članka, taj imatelj podataka može na pojedinačnoj osnovi odbiti zahtjev za pristup dotičnim podacima. Taj dokaz mora biti propisno obrazložen na temelju objektivnih elemenata, posebno izvršivosti zaštite poslovnih tajni u trećim zemljama, prirodi i razini povjerljivosti traženih podataka te jedinstvenosti i inovativnosti povezanog proizvoda te se mora dostaviti korisniku u pisanom obliku bez nepotrebne odgode. Ako imatelj podataka odbije podijeliti podatke u skladu s ovim stavkom, o tome obavješćuje nadležno tijelo imenovano u skladu s člankom 37.

9.   Ne dovodeći u pitanje pravo korisnika da u bilo kojem trenutku zatraži pravnu zaštitu pred sudom države članice, korisnik koji želi osporiti odluku imatelja podataka da odbije ili da uskrati ili da suspendira dijeljenje podataka u skladu sa stavcima 7. i 8., može:

(a)

u skladu s člankom 37. stavkom 5. točkom (b) podnijeti pritužbu nadležnom tijelu koje bez nepotrebne odgode odlučuje mora li se i pod kojim uvjetima dijeljenje podataka započeti ili nastaviti; ili

 

(b)

dogovoriti se s imateljem podataka da se predmet uputi tijelu za rješavanje sporova u skladu s člankom 10. stavkom 1.

10.   Korisnik ne smije upotrebljavati podatke pribavljene na temelju zahtjeva iz stavka 1. za razvoj povezanog proizvoda koji je u konkurenciji s proizvodom iz kojeg podaci potječu, ne smije dijeliti te podatke s trećom stranom s tom namjerom te ne smije upotrebljavati takve podatke kako bi stekao uvid u gospodarsko stanje, imovinu i proizvodne metode proizvođača, ili ako je to primjenjivo, imatelja podataka.

11.   Korisnik ne smije radi dobivanja pristupa podacima primjenjivati sredstva prisile ili zloupotrebljavati nedostatke u tehničkoj infrastrukturi imatelja podataka namijenjenoj zaštiti podataka.

12.   Ako korisnik nije ispitanik čiji se osobni podaci traže, imatelj podataka sve osobne podatke generirane uporabom povezanog proizvoda ili povezane usluge stavlja na raspolaganje korisniku samo ako postoji valjana pravna osnova za obradu u skladu s člankom 6. Uredbe (EU) 2016/679 i, ako je to relevantno, ako su ispunjeni uvjeti iz članka 9. te uredbe i članka 5. stavka 3. Direktive 2002/58/EZ.

13.   Imatelj podataka smije upotrebljavati lako dostupne podatke koji su neosobni podaci samo na temelju ugovora s korisnikom. Imatelj podataka ne smije upotrebljavati takve podatke kako bi stekao uvid u gospodarsko stanje, imovinu i proizvodne metode korisnika ili korisnikovu uporabu tih podataka na bilo koji drugi način kojim bi se mogao ugroziti poslovni položaj tog korisnika na tržištima na kojima je korisnik aktivan.

14.   Imatelji podataka ne smiju stavljati na raspolaganje neosobne podatke proizvoda trećim stranama u komercijalne ili nekomercijalne svrhe osim radi ispunjenja svojeg ugovora s korisnikom. Ako je to relevantno, imatelji podataka ugovorom obvezuju treće strane da ne dijele dalje podatke koje su dobili od njih.

Članak 5.

Pravo korisnika na dijeljenje podataka s trećim stranama

1.   Imatelj podataka na zahtjev korisnika ili strane koja djeluje u ime korisnika trećoj strani bez nepotrebne odgode stavlja na raspolaganje lako dostupne podatke, kao i relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, jednake kvalitete koja je dostupna imatelju podataka, na jednostavan i siguran način, besplatno za korisnika, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu te, ako je to relevantno i tehnički izvedivo, kontinuirano i u stvarnom vremenu. Imatelj podataka stavlja podatke na raspolaganje trećoj strani u skladu s člancima 8. i 9.

2.   Stavak 1. ne primjenjuje se na lako dostupne podatke u kontekstu ispitivanja novih povezanih proizvoda, tvari ili postupaka koji još nisu stavljeni na tržište, osim ako je njihova uporaba dopuštena trećoj strani ugovorom.

3.   Svaki poduzetnik za kojeg je utvrđen status nadzornika pristupa u skladu s člankom 3. Uredbe (EU) 2022/1925 nije prihvatljiva treća strana na temelju ovog članka i stoga ne smije:

(a)

vrbovati ili komercijalno poticati korisnika na bilo koji način, među ostalim i pružanjem novčane ili bilo koje druge naknade, da podatke koje je korisnik pribavio na temelju zahtjeva iz članka 4. stavka 1. stavi na raspolaganje za jednu od njegovih usluga;

 

(b)

vrbovati ili komercijalno poticati korisnika da od imatelja podataka zatraži da stavi podatke na raspolaganje za jednu od njegovih usluga u skladu sa stavkom 1. ovog članka;

 

(c)

primati podatke od korisnika koje je korisnik pribavio na temelju zahtjeva iz članka 4. stavka 1.

4.   Kako bi se provjerilo ispunjava li fizička ili pravna osoba uvjete da bi se smatrala korisnikom odnosno trećom stranom za potrebe stavka 1., korisnik ili treća strana nisu obvezni pružiti nikakve informacije osim onih koje su potrebne. Imatelji podataka ne smiju čuvati nikakve informacije, osobito evidencijske podatke, o pristupu treće strane traženim podacima osim onih koje su potrebne za ispravno izvršavanje zahtjeva treće strane za pristup te za sigurnost i održavanje podatkovne infrastrukture.

5.   Treća strana ne smije radi dobivanja pristupa podacima primjenjivati sredstva prisile ili zloupotrebljavati nedostatke u tehničkoj infrastrukturi imatelja podataka namijenjenoj zaštiti podataka.

6.   Imatelj podataka ne smije upotrebljavati lako dostupne podatke kako bi stekao uvid u gospodarsko stanje, imovinu i proizvodne metode ili uporabu, na bilo koji drugi način, tih podataka od strane treće strane kojim bi se mogao ugroziti poslovni položaj treće strane na tržištima na kojima je treća strana aktivna, osim ako je treća strana dala dopuštenje za takvu uporabu i ako ima tehničku mogućnost u svakom trenutku jednostavno povući to dopuštenje.

7.   Ako korisnik nije ispitanik čiji se osobni podaci traže, sve osobne podatke generirane uporabom povezanog proizvoda ili povezane usluge imatelj podataka stavlja na raspolaganje trećoj strani samo ako postoji valjana pravna osnova za obradu u skladu s člankom 6. Uredbe (EU) 2016/679 i, ako je to relevantno, ako su ispunjeni uvjeti iz članka 9. te uredbe i članka 5. stavka 3. Direktive 2002/58/EZ.

8.   Ako se imatelj podataka i treća strana ne dogovore o aranžmanima za prijenos podataka, to ne smije otežavati, sprečavati ili ometati ostvarivanje pravâ ispitanika na temelju Uredbe (EU) 2016/679 te posebno prava na prenosivost podataka u skladu s člankom 20. te uredbe.

9.   Poslovne tajne čuvaju se i otkrivaju se trećim stranama samo u mjeri u kojoj je takvo otkrivanje nužno za ispunjavanje svrhe o kojoj su se dogovorili korisnik i treća strana. Imatelj podataka ili, ako nije riječ o istoj osobi, nositelj poslovne tajne, identificira podatke koji su zaštićeni kao poslovne tajne, među ostalim i u relevantnim metapodacima, i dogovara s trećom stranom sve razmjerne tehničke i organizacijske mjere potrebne za očuvanje povjerljivosti podijeljenih podataka, kao što su modeli ugovornih odredbi, sporazumi o povjerljivosti, strogi protokoli o pristupu, tehnički standardi i primjena kodeksa ponašanja.

10.   Ako se ne postigne sporazum o potrebnim mjerama iz stavka 9. ovog članka ili ako treća strana ne provede mjere dogovorene u skladu sa stavkom 9. ovog članka ili ugrozi povjerljivost poslovnih tajni, imatelj podataka može uskratiti ili, ovisno o slučaju, suspendirati dijeljenje podataka koji su identificirani kao poslovne tajne. Odluka imatelja podataka mora biti propisno obrazložena i mora se dostaviti trećoj strani u pisanom obliku bez nepotrebne odgode. U takvim slučajevima imatelj podataka obavješćuje nadležno tijelo imenovano u skladu s člankom 37. da je uskratio ili suspendirao dijeljenje podataka i navodi koje mjere nisu dogovorene ili provedene te, ako je to relevantno, za koje je poslovne tajne ugrožena povjerljivost.

11.   U iznimnim okolnostima, ako imatelj podataka koji je nositelj poslovne tajne može dokazati da će vrlo vjerojatno pretrpjeti tešku gospodarsku štetu od otkrivanja poslovnih tajni, unatoč tehničkim i organizacijskim mjerama koje je poduzela treća strana u skladu sa stavkom 9. ovog članka, taj imatelj podataka može na pojedinačnoj osnovi odbiti zahtjev za pristup dotičnim podacima. Taj dokaz mora biti propisno obrazložen na temelju objektivnih elemenata, posebno izvršivosti zaštite poslovnih tajni u trećim zemljama, prirodi i razini povjerljivosti traženih podataka te jedinstvenosti i inovativnosti povezanog proizvoda te se mora dostaviti trećoj strani u pisanom obliku bez nepotrebne odgode. Ako imatelj podataka odbije podijeliti podatke u skladu s ovim stavkom, o tome obavješćuje nadležno tijelo imenovano u skladu s člankom 37.

12.   Ne dovodeći u pitanje pravo treće strane da u bilo kojem trenutku zatraži pravnu zaštitu pred sudom države članice, treća strana koja želi osporiti odluku imatelja podataka da odbije ili da uskrati ili suspendira dijeljenje podataka u skladu sa stavcima 10. i 11., može učiniti sljedeće:

(a)

u skladu s člankom 37. stavkom 5. točkom (b) podnijeti pritužbu nadležnom tijelu koje bez nepotrebne odgode odlučuje mora li se i pod kojim uvjetima dijeljenje podataka započeti ili nastaviti; ili

 

(b)

dogovoriti se s imateljem podataka da se predmet uputi tijelu za rješavanje sporova u skladu s člankom 10. stavkom 1.

13.   Pravo iz stavka 1. ne smije negativno utjecati na prava ispitanika na temelju primjenjivog prava Unije o zaštiti osobnih podataka i primjenjivog nacionalnog prava o zaštiti osobnih podataka.

Članak 6.

Obveze trećih strana koje primaju podatke na zahtjev korisnika

1.   Treća strana obrađuje podatke koji su joj stavljeni na raspolaganje na temelju članka 5. samo u svrhe i pod uvjetima dogovorenima s korisnikom i podložno pravu Unije o zaštiti osobnih podataka i nacionalnom pravu o zaštiti osobnih podataka, uključujući prava ispitanika u mjeri u kojoj se to odnosi na osobne podatke. Treća strana briše podatke kad više nisu potrebni za dogovorenu svrhu, osim ako je drukčije dogovoreno s korisnikom u vezi s neosobnim podacima.

2.   Treća strana ne smije:

(a)

neopravdano otežavati ostvarivanje izborâ ili pravâ korisnika na temelju članka 5. i ovog članka, među ostalim i nuđenjem izborâ korisniku na način koji nije neutralan, ili prisiljavanjem korisnika, zavaravanjem korisnika ili manipuliranjem korisnikom, ili potkopavanjem ili narušavanjem autonomije, odlučivanja ili izborâ korisnika, među ostalim uz pomoć korisničkog digitalnog sučelja ili njegova dijela;

 

(b)

neovisno o članku 22. stavku 2. točkama (a) i (c) Uredbe (EU) 2016/679, upotrebljavati podatke koje primi za izradu profila, osim ako je to potrebno za pružanje usluge koju je zatražio korisnik;

 

(c)

stavljati podatke koje primi na raspolaganje drugoj trećoj strani, osim ako se podaci stavljaju na raspolaganje na temelju ugovora s korisnikom i pod uvjetom da druga treća strana poduzme sve potrebne mjere dogovorene između imatelja podataka i treće strane kako bi se očuvala povjerljivost poslovnih tajni;

 

(d)

stavljati podatke koje primi na raspolaganje poduzetniku za kojeg je utvrđen status nadzornika pristupa u skladu s člankom 3. Uredbe (EU) 2022/1925;

 

(e)

upotrebljavati podatke koje primi za razvoj proizvoda koji je u konkurenciji s povezanim proizvodom iz kojeg potječu podaci kojima je pristupljeno ili ih dijeliti s drugom trećom stranom u tu svrhu; treće strane također ne smiju upotrebljavati neosobne podatke proizvoda ili neosobne podatke o povezanim uslugama koji su im stavljeni na raspolaganje kako bi stekle uvid u gospodarsko stanje, imovinu i proizvodne metode imatelja podataka ili uporabu od strane imatelja podataka;

 

(f)

upotrebljavati podatke koje primi na način koji negativno utječe na sigurnost povezanog proizvoda ili povezane usluge;

 

(g)

zanemariti posebne mjere dogovorene s imateljem podataka ili nositeljem poslovnih tajni u skladu s člankom 5. stavkom 9. i ugroziti povjerljivost poslovnih tajni;

 

(h)

sprečavati korisnika koji je potrošač, među ostalim i na temelju ugovora, da podatke koje primi stavi na raspolaganje drugim stranama.

Članak 7.

Područje primjene obveza povezanih s dijeljenjem podataka između poduzeća i potrošača te među poduzećima

1.   Obveze iz ovog poglavlja ne primjenjuju se na podatke generirane uporabom povezanih proizvoda koje je proizvelo ili dizajniralo mikropoduzeće ili malo poduzeće odnosno povezanih usluga koje je pružilo mikropoduzeće ili malo poduzeće, pod uvjetom da to poduzeće nema partnersko poduzeće ili povezano poduzeće u smislu članka 3. Priloga Preporuci 2003/361/EZ, koje se ne smatra mikropoduzećem ili malim poduzećem i ako na mikropoduzeće i malo poduzeće nisu podugovaranjem preneseni proizvodnja ili dizajniranje povezanog proizvoda odnosno pružanje povezane usluge.

Isto se primjenjuje na podatke generirane uporabom povezanih proizvoda koje je proizvelo odnosno povezanih usluga koje je pružilo poduzeće koje se smatra srednjim poduzećem u skladu s člankom 2. Priloga Preporuci 2003/361/EZ tijekom manje od godine dana i na povezane proizvode tijekom godine dana nakon datuma njihovog stavljanja na tržište od strane srednjeg poduzeća.

2.   Svaka ugovorna odredba kojom se, na štetu korisnika, isključuje primjena prava korisnika iz ovog poglavlja, odstupa od tih prava ili mijenja njihov učinak nije obvezujuća za korisnika.

POGLAVLJE III.

OBVEZE IMATELJA PODATAKA KOJI SU U SKLADU S PRAVOM UNIJE OBVEZNI STAVITI PODATKE NA RASPOLAGANJE

Članak 8.

Uvjeti pod kojima imatelji podataka stavljaju podatke na raspolaganje primateljima podataka

1.   Ako je, u odnosima među poduzećima, imatelj podataka obvezan staviti podatke na raspolaganje primatelju podataka u skladu s člankom 5. ili u skladu s drugim primjenjivim pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije, s primateljem podataka dogovara aranžmane za stavljanje podataka na raspolaganje i to čini pod poštenim, razumnim i nediskriminirajućim uvjetima te na transparentan način u skladu s ovim poglavljem i poglavljem IV.

2.   Ugovorna odredba koja se odnosi na pristup podacima i njihovu uporabu ili na odgovornosti i pravna sredstva u slučaju kršenja ili okončanja obveza povezanih s podacima nije obvezujuća ako čini nepoštenu ugovornu odredbu u smislu članka 13. ili ako se njome, na štetu korisnika, isključuje primjena prava korisnika iz poglavlja II., odstupa od tih prava ili mijenja njihov učinak.

3.   Imatelj podataka pri stavljanju podataka na raspolaganje ne smije, u pogledu aranžmana za stavljanje podataka na raspolaganje, diskriminirati usporedive kategorije primatelja podataka, uključujući partnerska poduzeća ili povezana poduzeća imatelja podataka. Ako primatelj podataka smatra da su uvjeti pod kojima su mu podaci stavljeni na raspolaganje diskriminirajući, imatelj podataka bez nepotrebne odgode primatelju podataka na temelju njegova obrazloženog zahtjeva pruža informacije iz kojih je vidljivo da nije bilo diskriminacije.

4.   Imatelj podataka ne smije stavljati podatke na raspolaganje primatelju podataka, među ostalim ni na isključivoj osnovi, osim ako to od njega zatraži korisnik u skladu s poglavljem II.

5.   Imatelji podataka i primatelji podataka nisu obvezni pružiti nikakve informacije osim onih koje su potrebne za provjeru usklađenosti s dogovorenim ugovornim odredbama za stavljanje podataka na raspolaganje ili s njihovim obvezama na temelju ove Uredbe ili drugog primjenjivog prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije.

6.   Osim ako je drukčije predviđeno u pravu Unije, uključujući članak 4. stavak 6. i članak 5. stavak 9. ove Uredbe, ili u nacionalnom zakonodavstvu donesenom u skladu s pravom Unije, obvezom stavljanja podataka na raspolaganje primatelju podataka ne obvezuje se na otkrivanje poslovnih tajni.

Članak 9.

Naknada za stavljanje podataka na raspolaganje

1.   Naknada za stavljanje podataka na raspolaganje u odnosima među poduzećima o kojoj su se dogovorili imatelj podataka i primatelj podataka mora biti nediskriminirajuća i razumna i može uključivati maržu.

2.   Kada se dogovaraju o naknadi imatelj podataka i primatelj podataka posebno uzimaju u obzir:

(a)

troškove nastale pri stavljanju podataka na raspolaganje, uključujući posebno troškove potrebne za formatiranje podataka, širenje podataka elektroničkim putem i njihovu pohranu;

 

(b)

ulaganja u prikupljanje i izradu podataka, ako je to primjenjivo, uzimajući u obzir jesu li druge strane doprinijele pribavljanju, generiranju ili prikupljanju dotičnih podataka.

3.   Naknada iz stavka 1. može također ovisiti o količini, formatu i prirodi podataka.

4.   Ako je primatelj podataka MSP ili neprofitna istraživačka organizacija i ako takav primatelj podataka nema partnerska poduzeća ili povezana poduzeća koja se ne smatraju MSP-ovima, dogovorena naknada ne smije premašiti troškove iz stavka 2. točke (a).

5.   Komisija donosi smjernice za izračun razumne naknade, uzimajući u obzir savjete Europskog odbora za inovacije u području podataka (EDIB) iz članka 42.

6.   Ovim se člankom ne sprečava da se drugim pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije isključi naknada za stavljanje podataka na raspolaganje ili predvidi niža naknada.

7.   Imatelj podataka primatelju podataka pruža informacije u kojima se osnova za izračun naknade navodi dovoljno detaljno kako bi primatelj podataka mogao procijeniti jesu li ispunjeni zahtjevi iz stavaka od 1. do 4.

Članak 10.

Rješavanje sporova

1.   Korisnici, imatelji podataka i primatelji podataka imaju pristup tijelu za rješavanje sporova koje je certificirano u skladu sa stavkom 5. ovog članka radi rješavanja sporova u skladu s člankom 4. stavcima 3. i 9. i člankom 5. stavkom 12. kao i sporova povezanih s poštenim, razumnim i nediskriminirajućim uvjetima za stavljanje podataka na raspolaganje i transparentnim načinom stavljanja podataka na raspolaganje u skladu s ovim poglavljem i poglavljem IV.

2.   Tijela za rješavanje sporova obavješćuju dotične strane o naknadama ili mehanizmima za određivanje naknada prije nego što te strane zatraže donošenje odluke.

3.   Za sporove upućene tijelu za rješavanje sporova u skladu s člankom 4. stavcima 3. i 9. i člankom 5. stavkom 12., ako tijelo za rješavanje sporova spor riješi u korist korisnika ili primatelja podataka, imatelj podataka snosi sve naknade koje naplaćuje tijelo za rješavanje sporova i nadoknađuje tom korisniku ili tom primatelju podataka sve ostale razumne troškove koji su mu nastali u vezi s rješavanjem spora. Ako tijelo za rješavanje sporova spor riješi u korist imatelja podataka, korisnik ili primatelj podataka nije obvezan nadoknaditi naknade ili ostale troškove koje je imatelj podataka platio ili mora platiti u vezi s rješavanjem spora, osim ako tijelo za rješavanje sporova utvrdi da je korisnik ili primatelj podataka očito postupao u zloj vjeri.

4.   Klijenti i pružatelji usluga obrade podataka imaju pristup tijelu za rješavanje sporova koje je certificirano u skladu sa stavkom 5. ovog članka radi rješavanja sporova povezanih s kršenjem pravâ klijenata i obveza pružateljâ usluga obrade podataka u skladu s člancima od 23. do 31.

5.   Država članica u kojoj je tijelo za rješavanje sporova uspostavljeno certificira to tijelo, na njegov zahtjev, ako je dokazalo da ispunjava sve sljedeće uvjete:

(a)

nepristrano je i neovisno te odluke mora donositi u skladu s jasnim, nediskriminirajućim i pravednim poslovnikom;

 

(b)

ima potrebno stručno znanje, posebno u vezi s poštenim, razumnim i nediskriminirajućim uvjetima, uključujući naknadu, te u vezi sa stavljanjem podataka na raspolaganje na transparentan način, koje tom tijelu omogućuje da djelotvorno utvrdi te uvjete;

 

(c)

lako je dostupno s pomoću elektroničke komunikacijske tehnologije;

 

(d)

sposobno je donositi svoje odluke brzo, djelotvorno i troškovno učinkovito, na najmanje jednom službenom jeziku Unije.

6.   Države članice obavješćuju Komisiju o tijelima za rješavanje sporova koja su certificirana u skladu sa stavkom 5. Komisija objavljuje popis tih tijela na posebnim internetskim stranicama i ažurira ga.

7.   Tijelo za rješavanje sporova odbija postupati po zahtjevu za rješavanje spora koji je već podnesen drugom tijelu za rješavanje sporova ili sudu države članice.

8.   Tijelo za rješavanje sporova stranama pruža mogućnost da u razumnom roku iznesu svoja stajališta o pitanjima koja su podnijele tom tijelu. U tom kontekstu svakoj strani u sporu dostavljaju se podnesci druge strane u sporu i izjave stručnjaka. Stranama se pruža mogućnost da iznesu primjedbe na te podneske i izjave.

9.   Tijelo za rješavanje sporova donosi svoju odluku o pitanju koje mu je upućeno u roku od 90 dana od primitka zahtjeva u skladu sa stavcima 1. i 4. Ta odluka mora biti u pisanom obliku ili mora biti zabilježena na trajnom nosaču podataka te mora biti potkrijepljena obrazloženjem.

10.   Tijela za rješavanje sporova izrađuju i objavljuju godišnja izvješća o radu. Takva godišnja izvješća sadržavaju posebno sljedeće opće informacije:

(a)

objedinjene ishode sporova;

 

(b)

prosječno vrijeme potrebno za rješavanje sporova;

 

(c)

najčešće razloge za sporove.

11.   Kako bi se olakšala razmjena informacija i najboljih praksi, tijelo za rješavanje sporova može odlučiti uključiti preporuke u izvješće iz stavka 10. o tome kako se problemi mogu izbjeći ili riješiti.

12.   Odluka tijela za rješavanje sporova obvezujuća je za strane samo ako su izričito pristale na njezinu obvezujuću prirodu prije početka postupka rješavanja spora.

13.   Ovaj članak ne utječe na pravo strana da zatraže djelotvoran pravni lijek pred sudom države članice.

Članak 11.

Mjere tehničke zaštite o neovlaštenoj uporabi ili otkrivanju podataka

1.   Imatelj podataka može primijeniti primjerene mjere tehničke zaštite, uključujući pametne ugovore i šifriranje, kako bi spriječio neovlašten pristup podacima, uključujući metapodatke, i kako bi osigurao usklađenost s člancima 4., 5., 6., 8. i 9., kao i s dogovorenim ugovornim odredbama za stavljanje podataka na raspolaganje. Takvim mjerama tehničke zaštite ne smije se diskriminirati primatelje podataka niti se smije ugrožavati pravo korisnika na pribavljanje kopije podataka, dohvaćanje podataka, uporabu podataka ili pristup podacima, na pružanje podataka trećim stranama u skladu s člankom 5. ili bilo koje pravo treće strane u skladu s pravom Unije ili nacionalnim zakonodavstvom donesenim u skladu s pravom Unije. Korisnici, treće strane i primatelji podataka ne smiju izmijeniti niti ukloniti takve mjere tehničke zaštite osim ako je imatelj podataka za to dao suglasnost.

2.   U okolnostima iz stavka 3. treća strana ili primatelj podataka bez nepotrebne odgode postupa u skladu sa zahtjevima imatelja podataka i, ako je to primjenjivo i ako nije riječ o istoj osobi, nositelja poslovne tajne ili korisnika:

(a)

za brisanje podataka koje je na raspolaganje stavio imatelj podataka i svih njihovih kopija;

 

(b)

za okončanje proizvodnje, nuđenja ili stavljanja na tržište ili uporabe robe, izvedenih podataka ili usluga, koji su proizvedeni na temelju znanja stečenog uporabom takvih podataka ili uvoza, izvoza ili pohrane robe kojom je počinjena povreda u te svrhe i uništavanje sve robe kojom je počinjena povreda ako postoji ozbiljan rizik da će nezakonita uporaba tih podataka prouzročiti znatnu štetu imatelju podataka, nositelju poslovne tajne ili korisniku ili ako takva mjera ne bi bila nerazmjerna s obzirom na interese imatelja podataka, nositelja poslovne tajne ili korisnika;

 

(c)

za obavješćivanje korisnika o neovlaštenoj uporabi ili otkrivanju podataka te o mjerama poduzetima kako bi se zaustavili neovlaštena uporaba ili otkrivanje podataka;

 

(d)

za nadoknadu strani koja je žrtva zlouporabe ili otkrivanja takvih podataka kojima je nezakonito pristupljeno ili koji su nezakonito upotrijebljeni.

3.   Stavak 2. primjenjuje se ako je treća strana ili primatelj podataka:

(a)

za potrebe pribavljanja podataka pružio lažne informacije imatelju podataka, primijenio obmanjujuća sredstva ili sredstva prisile ili zloupotrijebio nedostatke u tehničkoj infrastrukturi imatelja podataka namijenjenoj zaštiti podataka;

 

(b)

u neovlaštene svrhe upotrijebio podatke koji su stavljeni na raspolaganje, uključujući razvoj konkurentnog povezanog proizvoda u smislu članka 6. stavka 2. točke (e);

 

(c)

nezakonito otkrio podatke drugoj strani;

 

(d)

nije održao tehničke i organizacijske mjere dogovorene u skladu s člankom 5. stavkom 9.; ili

 

(e)

izmijenio ili uklonio mjere tehničke zaštite koje primjenjuje imatelj podataka u skladu sa stavkom 1. ovog članka bez suglasnosti imatelja podataka.

4.   Stavak 2. primjenjuje se i ako korisnik izmijeni ili ukloni mjere tehničke zaštite koje primjenjuje imatelj podataka ili ne održi tehničke i organizacijske mjere koje je korisnik poduzeo u dogovoru s imateljem podataka ili, ako nije riječ o istoj osobi, nositeljem poslovnih tajni, kako bi očuvao poslovne tajne, kao i u pogledu bilo koje druge strane koja prima podatke od korisnika slijedom povrede ove Uredbe.

5.   Ako je primatelj podataka povrijedio članak 6. stavak 2. točku (a) ili točku (b), korisnici imaju ista prava kao i imatelji podataka u skladu sa stavkom 2. ovog članka.

Članak 12.

Opseg obveza imatelja podataka koji su u skladu s pravom Unije obvezni staviti podatke na raspolaganje

1.   Ovo se poglavlje primjenjuje ako je, u odnosima među poduzećima, na temelju članka 5. ili na temelju primjenjivog prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije imatelj podataka obvezan staviti podatke na raspolaganje primatelju podataka.

2.   Ugovorna odredba u sporazumu o dijeljenju podataka kojom se, na štetu jedne strane ili, ako je to primjenjivo, na štetu korisnika, isključuje primjena ovog poglavlja, odstupa od ovog poglavlja ili mijenja njegov učinak, nije obvezujuća za tu stranu.

POGLAVLJE IV.

NEPOŠTENE UGOVORNE ODREDBE POVEZANE S PRISTUPOM PODACIMA I NJIHOVOM UPORABOM MEĐU PODUZEĆIMA

Članak 13.

Nepoštene ugovorne odredbe jednostrano nametnute drugom poduzeću

1.   Ugovorna odredba koja se odnosi na pristup podacima i njihovu uporabu ili na odgovornost i pravna sredstva u slučaju kršenja ili okončanja obveza povezanih s podacima, a koju je jedno poduzeće jednostrano nametnulo drugom poduzeću nije obvezujuća za potonje poduzeće ako je nepoštena.

2.   Ugovorna odredba koja odražava obvezne odredbe prava Unije ili odredbe prava Unije koje bi se primjenjivale da to pitanje nije uređeno ugovornim odredbama ne smatra se nepoštenom.

3.   Ugovorna je odredba nepoštena ako je takve prirode da njezina primjena znatno odstupa od dobre poslovne prakse u pristupu podacima i njihovoj uporabi te je suprotna dobroj vjeri i poštenom poslovanju.

4.   Posebno, ugovorna je odredba nepoštena za potrebe stavka 3. ako je njezin cilj ili učinak:

(a)

isključiti ili ograničiti odgovornost strane koja je jednostrano nametnula odredbu zbog namjernog činjenja ili krajnje nepažnje;

 

(b)

isključiti pravna sredstva dostupna strani kojoj je odredba jednostrano nametnuta u slučaju neizvršenja ugovornih obveza ili isključiti odgovornost strane koja je jednostrano nametnula odredbu u slučaju kršenja tih obveza;

 

(c)

dati strani koja je jednostrano nametnula odredbu isključivo pravo da utvrdi jesu li dostavljeni podaci u skladu s ugovorom ili da tumači bilo koju ugovornu odredbu.

5.   Za potrebe stavka 3. pretpostavlja se da je ugovorna odredba nepoštena ako je njezin cilj ili učinak:

(a)

neprimjereno ograničiti pravna sredstva u slučaju neizvršenja ugovornih obveza ili odgovornost u slučaju kršenja tih obveza ili proširiti odgovornost poduzeća kojem je odredba jednostrano nametnuta;

 

(b)

omogućiti strani koja je jednostrano nametnula odredbu pristup podacima druge ugovorne strane i njihovu uporabu na način koji znatno šteti legitimnim interesima druge ugovorne strane, osobito ako takvi podaci sadržavaju poslovno osjetljive podatke ili su zaštićeni poslovnim tajnama ili pravima intelektualnog vlasništva;

 

(c)

spriječiti stranu kojoj je odredba jednostrano nametnuta da upotrebljava podatke koje je dostavila ili generirala tijekom razdoblja ugovora ili ograničiti uporabu tih podataka u takvoj mjeri da ta strana nema pravo upotrebljavati takve podatke, prikupljati ih, pristupati im ili ih nadzirati ili iskorištavati njihovu vrijednost na primjeren način;

 

(d)

spriječiti stranu kojoj je odredba jednostrano nametnuta da raskine ugovor u razumnom roku;

 

(e)

spriječiti stranu kojoj je odredba jednostrano nametnuta da pribavi kopiju podataka koje je dostavila ili generirala tijekom razdoblju ugovora ili u razumnom roku nakon raskida ugovora;

 

(f)

omogućiti strani koja je jednostrano nametnula odredbu da raskine ugovor uz nerazumno kratak otkazni rok, uzimajući u obzir svaku razumnu mogućnost za drugu ugovornu stranu da prijeđe na alternativnu i usporedivu uslugu te financijsku štetu prouzročenu takvim raskidom ugovora, osim kad za to postoje ozbiljni razlozi;

 

(g)

omogućiti strani koja je jednostrano nametnula odredbu da znatno izmijeni cijenu utvrđenu u ugovoru ili bilo koji drugi bitan uvjet povezan s prirodom, formatom, kvalitetom ili količinom podataka koji se dijele, ako u ugovoru nije naveden ni valjan razlog ni pravo druge strane da raskine ugovor u slučaju takve izmjene.

Prvi podstavak točka (g) ne utječe na odredbe prema kojima strana koja je jednostrano nametnula odredbu zadržava pravo jednostrano izmijeniti odredbe ugovora na neodređeno vrijeme, pod uvjetom da je u ugovoru naveden valjan razlog za takvu jednostranu izmjenu, da je stranka koja je jednostrano nametnula odredbu dužna obavijestiti drugu ugovornu stranku uz razuman otkazni rok o svakoj takvoj izmjeni koju namjerava provesti te da druga ugovorna strana u slučaju izmjene može besplatno raskinuti ugovor.

6.   U smislu ovog članka ugovorna se odredba smatra jednostrano nametnutom ako ju je predložila jedna ugovorna strana, a druga ugovorna strana nije mogla utjecati na njezin sadržaj unatoč pokušaju da o njemu pregovara. Teret dokazivanja da odredba nije jednostrano nametnuta snosi ugovorna strana koja je ugovornu odredbu predložila. Ugovorna strana koja je predložila spornu ugovornu odredbu ne može se pozivati na to da je ugovorna odredba nepoštena ugovorna odredba.

7.   Ako je nepoštena ugovorna odredba odvojiva od ostalih odredbi ugovora, ostale su odredbe obvezujuće.

8.   Ovaj se članak ne primjenjuje na ugovorne odredbe kojima se utvrđuje glavni predmet ugovora ili na primjerenost cijene u odnosu na podatke dostavljene u zamjenu.

9.   Strane ugovora iz stavka 1. ne smiju isključiti primjenu ovog članka, odstupiti od njega niti mijenjati njegove učinke.

POGLAVLJE V.

STAVLJANJE PODATAKA NA RASPOLAGANJE TIJELIMA JAVNOG SEKTORA, KOMISIJI, EUROPSKOJ SREDIŠNJOJ BANCI I TIJELIMA UNIJE NA TEMELJU IZNIMNE POTREBE

Članak 14.

Obveza stavljanja podataka na raspolaganje na temelju iznimne potrebe

Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije dokaže iznimnu potrebu, kako je utvrđeno u članku 15., za uporabom određenih podataka, među ostalim i relevantnih metapodataka potrebnih za tumačenje tih podataka i njihovu uporabu, radi ispunjavanja svojih zakonskih obveza u javnom interesu, imatelji podataka koji su pravne osobe, osim tijelâ javnog sektora, i koji posjeduju te podatke stavljaju ih na raspolaganje na propisno obrazložen zahtjev.

Članak 15.

Iznimna potreba za uporabom podataka

1.   Iznimna potreba za uporabom određenih podataka u smislu ovog poglavlja ograničena je u pogledu vremena i područja primjene te se smatra da postoji samo u nekoj od sljedećih okolnosti:

(a)

ako su traženi podaci potrebni kako bi se odgovorilo na izvanredno stanje, a tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije takve podatke ne može pravodobno i djelotvorno pribaviti na drugi način pod jednakim uvjetima;

 

(b)

u okolnostima koje nisu obuhvaćene točkom (a) i samo ako se to odnosi na neosobne podatke, pri čemu:

i.

tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije djeluje na temelju prava Unije ili nacionalnog prava te je utvrdilo da ga nedostatak određenih podataka onemogućava u izvršavanju specifične zadaće koja se obavlja u javnom interesu, koja je izričito predviđena zakonom, kao što je izrada službene statistike ili ublažavanje izvanrednog stanja ili oporavak od izvanrednog stanja; i

 

ii.

tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije iscrpilo je sva ostala sredstva koja su mu na raspolaganju za pribavljanje takvih podataka, uključujući kupnju neosobnih podataka na tržištu po tržišnim cijenama ili oslanjanje na postojeće obveze stavljanja podataka na raspolaganje ili donošenje novih zakonodavnih mjera kojima se može osigurati pravodobna dostupnost podataka.

2.   Stavak 1. točka (b) ne primjenjuje se na mikropoduzeća i mala poduzeća.

3.   Obveza da tijelo javnog sektora dokaže da nije moglo pribaviti neosobne podatke kupnjom tih podataka na tržištu ne primjenjuje se ako je specifična zadaća koja se obavlja u javnom interesu izrada službene statistike i ako kupnja takvih podataka nije dopuštena nacionalnim pravom.

Članak 16.

Odnos s drugim obvezama stavljanja podataka na raspolaganje tijelima javnog sektora, Komisiji, Europskoj središnjoj banci i tijelima Unije

1.   Ovo poglavlje ne utječe na obveze utvrđene u pravu Unije ili nacionalnom pravu u svrhu izvješćivanja, ispunjavanja zahtjevâ za pristup informacijama ili dokazivanja ili provjere usklađenosti s pravnim obvezama.

2.   Ovo se poglavlje ne primjenjuje na tijela javnog sektora, Komisiju, Europsku središnju banku ili tijela Unije koji provode aktivnosti za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili prekršaja ili za izvršavanje kaznenih sankcija ili na carinsku ili poreznu upravu. Ovo poglavlje ne utječe na primjenjivo pravo Unije i primjenjivo nacionalno pravo koje se odnosi na sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili prekršaja ili na izvršavanje kaznenih ili administrativnih sankcija ili na carinsku ili poreznu upravu.

Članak 17.

Zahtjevi za stavljanje podataka na raspolaganje

1.   Kad zahtijeva podatke na temelju članka 14., tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije:

(a)

navodi koji se podaci zahtijevaju, uključujući relevantne metapodatke potrebne za tumačenje i uporabu tih podataka;

 

(b)

dokazuje da su ispunjeni potrebni uvjeti za postojanje iznimne potrebe kako je navedeno u članku 15. u čiju su svrhu podaci zatraženi;

 

(c)

objašnjava svrhu zahtjeva, predviđenu uporabu traženih podataka, među ostalim, ako je to primjenjivo, upotrebljava li ih treća strana u skladu sa stavkom 4. ovog članka, trajanje te uporabe i, ako je to relevantno, način na koji se obradom osobnih podataka odgovara na iznimnu potrebu;

 

(d)

navodi, ako je moguće, kada se očekuje da će sve stranke koje imaju pristup podacima izbrisati podatke;

 

(e)

obrazlaže odabir imatelja podataka kojem je zahtjev upućen;

 

(f)

navodi sva druga tijela javnog sektora ili Komisiju, Europsku središnju banku ili tijela Unije i treće strane za koje se očekuje da se traženi podaci s njima dijele;

 

(g)

ako su zatraženi osobni podaci, navodi sve tehničke i organizacijske mjere koje su potrebne i razmjerne za provedbu načelâ zaštite podataka i potrebne zaštitne mjere, kao što je pseudonimizacija, te može li imatelj podataka primijeniti anonimizaciju prije stavljanja podataka na raspolaganje;

 

(h)

navodi pravnu odredbu kojom se tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije koji su podnijeli zahtjev dodjeljuje specifična zadaća koja se obavlja u javnom interesu, a koja je relevantna za zahtjev za podatke;

 

(i)

navodi rok do kojeg se podaci moraju staviti na raspolaganje i rok iz članka 18. stavka 2. do kojeg imatelj podataka može odbiti zahtjev ili zatražiti njegovu izmjenu;

 

(j)

ulaže maksimalne napore za izbjegavanje da ispunjavanje zahtjeva za podatke dovede do odgovornosti imatelja podataka za povredu prava Unije ili nacionalnog prava.

2.   Zahtjev za podatke podnesen na temelju stavka 1. ovog članka:

(a)

podnosi se u pisanom obliku i sastavljen je na jasnom, jezgrovitom i jednostavnom jeziku razumljivom imatelju podataka;

 

(b)

precizan je u pogledu vrste traženih podataka i odgovara podacima nad kojima imatelj podataka ima kontrolu u trenutku podnošenja zahtjeva;

 

(c)

razmjeran je iznimnoj potrebi i propisno obrazložen s obzirom na granularnost i količinu traženih podataka te učestalost pristupa traženim podacima;

 

(d)

poštuje legitimne ciljeve imatelja podataka, uz preuzimanje obveze osiguravanja zaštite poslovnih tajni u skladu s člankom 19. stavkom 3., te uzimajući u obzir troškove i trud potrebne za stavljanje podataka na raspolaganje;

 

(e)

odnosi se na neosobne podatke, a samo ako se dokaže da to nije dovoljno da se odgovori na iznimnu potrebu za uporabom podataka, u skladu s člankom 15. stavkom 1. točkom (a), zahtijeva osobne podatke u pseudonimiziranom obliku te utvrđuje tehničke i organizacijske mjere koje se moraju poduzeti radi zaštite podataka;

 

(f)

obavješćuje imatelja podataka o sankcijama koje u skladu s člankom 40. izriče nadležno tijelo imenovano u skladu s člankom 37. u slučaju neispunjavanja zahtjeva;

 

(g)

ako je zahtjev podnijelo tijelo javnog sektora, dostavlja se koordinatoru podataka iz članka 37. države članice u kojoj je tijelo javnog sektora koje je podnijelo zahtjev osnovano, koji zahtjev objavljuje na internetu bez nepotrebne odgode osim ako koordinator podataka smatra da bi takva objava ugrozila javnu sigurnost;

 

(h)

ako je zahtjev podnijela Komisija, Europska središnja banka ili tijelo Unije, stavlja se na raspolaganje na internetu bez nepotrebne odgode;

 

(i)

ako su zatraženi osobni podaci, o tome se bez nepotrebne odgode obavješćuje nadzorno tijelo odgovorno za praćenje primjene Uredbe (EU) 2016/679 u državi članici u kojoj je tijelo javnog sektora osnovano.

Europska središnja banka i tijela Unije obavješćuju Komisiju o svojim zahtjevima.

3.   Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije podatke pribavljene na temelju ovog poglavlja ne stavlja na raspolaganje za ponovnu uporabu kako je definirana u članku 2. točki 2. Uredbe (EU) 2022/868 ili članku 2. točki 11. Direktive (EU) 2019/1024. Uredba (EU) 2022/868 i Direktiva (EU) 2019/1024 ne primjenjuju se na podatke u posjedu tijelâ javnog sektora pribavljene na temelju ovog poglavlja.

4.   Stavkom 3. ovog članka ne sprečava se tijelo javnog sektora, Komisiju, Europsku središnju banku ili tijelo Unije da podatke pribavljene na temelju ovog poglavlja razmjenjuje s drugim tijelom javnog sektora ili Komisijom, Europskom središnjom bankom ili tijelom Unije radi obavljanja zadaća iz članka 15., kako je navedeno u zahtjevu u skladu sa stavkom 1. točkom (f) ovog članka, ili da podatke stavlja na raspolaganje trećoj strani ako su toj trećoj strani delegirali, u okviru javno dostupnog sporazuma, tehničke preglede ili druge funkcije. Obveze tijelâ javnog sektora u skladu s člankom 19., osobito zaštitne mjere za čuvanje povjerljivosti poslovnih tajni, primjenjuju se i na takve treće strane. Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije dostavlja ili stavlja na raspolaganje podatke na temelju ovog stavka, o tome bez nepotrebne odgode obavješćuje imatelja podataka od kojeg su podaci primljeni.

5.   Ako imatelj podataka smatra da su njegova prava na temelju ovog poglavlja povrijeđena prijenosom podataka ili stavljanjem podataka na raspolaganje, može podnijeti pritužbu nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.

6.   Komisija izrađuje predložak za zahtjeve na temelju ovog članka.

Članak 18.

Ispunjavanje zahtjevâ za podatke

1.   Imatelj podataka koji primi zahtjev za stavljanje podataka na raspolaganje na temelju ovog poglavlja bez nepotrebne odgode stavlja podatke na raspolaganje tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije koje je podnijelo zahtjev, pri čemu uzima u obzir potrebne tehničke, organizacijske i pravne mjere.

2.   Ne dovodeći u pitanje posebne potrebe u pogledu dostupnosti podataka definirane u pravu Unije ili u nacionalnom pravu, imatelj podataka može odbiti zahtjev za stavljanje podataka na raspolaganje na temelju ovog poglavlja ili zatražiti njegovu izmjenu bez nepotrebne odgode, a u svakom slučaju najkasnije pet radnih dana nakon primitka zahtjeva za dostavu podataka koji su potrebni kako bi se odgovorilo na izvanredno stanje te bez nepotrebne odgode i u svakom slučaju najkasnije 30 radnih dana nakon primitka takvog zahtjeva u drugim slučajevima iznimne potrebe na temelju bilo kojeg od sljedećih razloga:

(a)

imatelj podataka nema kontrolu nad traženim podacima;

 

(b)

sličan zahtjev u istu svrhu prethodno je podnijelo drugo tijelo javnog sektora ili Komisija, Europska središnja banka ili tijelo Unije, a imatelj podataka nije obaviješten o brisanju podataka u skladu s člankom 19. stavkom 1. točkom (c);

 

(c)

zahtjev ne ispunjava uvjete utvrđene u članku 17. stavcima 1. i 2.

3.   Ako imatelj podataka odluči odbiti zahtjev ili zatražiti njegovu izmjenu u skladu sa stavkom 2. točkom (b), navodi koje je tijelo javnog sektora ili Komisija, Europska središnja banka ili tijelo Unije prethodno podnijelo zahtjev u istu svrhu.

4.   Ako traženi podaci uključuju osobne podatke, imatelj podataka propisno anonimizira podatke, osim ako ispunjavanje zahtjeva za stavljanje podataka na raspolaganje tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije iziskuje otkrivanje osobnih podataka. U takvim slučajevima imatelj podataka pseudonimizira podatke.

5.   Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije želi osporiti odbijanje imatelja podataka da dostavi tražene podatke, ili ako imatelj podataka želi osporiti zahtjev, a to se pitanje ne može riješiti odgovarajućom izmjenom zahtjeva, pitanje se upućuje nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.

Članak 19.

Obveze tijelâ javnog sektora, Komisije, Europske središnje banke i tijelâ Unije

1.   Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije koje primi podatke u skladu sa zahtjevom podnesenim na temelju članka 14.:

(a)

ne smije upotrebljavati podatke na način koji nije u skladu sa svrhom u koju su podaci zatraženi;

 

(b)

moralo je provesti tehničke i organizacijske mjere kojima se čuvaju povjerljivost i cjelovitost traženih podataka i sigurnost prijenosâ podataka, osobito osobnih podataka, te zaštititi prava i slobode ispitanikâ;

 

(c)

mora izbrisati podatke čim više nisu potrebni za navedenu svrhu i bez nepotrebne odgode obavijestiti imatelja podataka te pojedince ili organizacije koji su primili podatke u skladu s člankom 21. stavkom 1. da su podaci izbrisani, osim ako se arhiviranje podataka zahtijeva u skladu s pravom Unije ili nacionalnim pravom o javnom pristupu dokumentima u kontekstu obveza u pogledu transparentnosti.

2.   Tijelo javnog sektora, Komisija, Europska središnja banka, tijelo Unije ili treća strana koja primi podatke na temelju ovog poglavlja:

(a)

ne smije iskorištavati podatke ili uvid u ekonomsko stanje, imovinu i proizvodne ili operativne metode imatelja podataka za razvoj ili unapređenje povezanog proizvoda ili povezane usluge koji su u konkurenciji s povezanim proizvodom ili povezanom uslugom imatelja podataka;

 

(b)

ne smije dijeliti podatke s drugom trećom stranom u bilo koju od svrha iz točke (a).

3.   Otkrivanje poslovnih tajni tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije zahtijeva se samo u mjeri u kojoj je to nužno za postizanje svrhe zahtjeva na temelju članka 15. U tom slučaju imatelj podataka ili, ako nije riječ o istoj osobi, nositelj poslovne tajne utvrđuje koji su podaci zaštićeni kao poslovne tajne, uključujući u relevantnim metapodacima. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije, prije otkrivanja poslovnih tajni, poduzimaju sve potrebne i primjerene tehničke i organizacijske mjere kako bi očuvali povjerljivost poslovnih tajni, što prema potrebi uključuje uporabu modela ugovornih odredbi, tehničkih standarda i primjenu kodeksa ponašanja.

4.   Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije odgovorno je za sigurnost podataka koje prima.

Članak 20.

Naknada u slučaju iznimne potrebe

1.   Imatelji podataka koji nisu mikropoduzeća i mala poduzeća besplatno stavljaju na raspolaganje podatke koji su potrebni kako bi se odgovorilo na izvanredno stanje u skladu s člankom 15. stavkom 1. točkom (a). Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije koji su primili podatke odaju javno priznanje imatelju podataka ako to imatelj podataka zatraži.

2.   Imatelj podataka ima pravo na poštenu naknadu za stavljanje podataka na raspolaganje slijedom ispunjavanja zahtjeva podnesenog u skladu s člankom 15. stavkom 1. točkom (b). Takva naknada pokriva tehničke i organizacijske troškove nastale zbog ispunjavanja zahtjeva, uključujući, ako je to primjenjivo, troškove anonimizacije, pseudonimizacije, agregiranja i tehničke prilagodbe te razumnu maržu. Na zahtjev tijela javnog sektora, Komisije, Europske središnje banke ili tijela Unije imatelj podataka pruža informacije o osnovi za izračun troškova i razumne marže.

3.   Stavak 2. primjenjuje se i ako mikropoduzeće i malo poduzeće zatraže naknadu za stavljanje podataka na raspolaganje.

4.   Imatelji podataka nemaju pravo na naknadu za stavljanje podataka na raspolaganje slijedom ispunjavanja zahtjeva podnesenog u skladu s člankom 15. stavkom 1. točkom (b) ako je specifična zadaća koja se obavlja u javnom interesu izrada službene statistike i ako kupnja podataka nije dopuštena nacionalnim pravom. Države članice obavješćuju Komisiju ako kupnja podataka za izradu službene statistike nije dopuštena nacionalnim pravom.

5.   Ako se tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije ne složi s razinom naknade koju je zatražio imatelj podataka, može podnijeti pritužbu nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.

Članak 21.

Dijeljenje podataka pribavljenih u kontekstu iznimne potrebe s istraživačkim organizacijama ili tijelima za statistiku

1.   Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije ima pravo dijeliti podatke dobivene na temelju ovog poglavlja:

(a)

s pojedincima ili organizacijama radi provođenja znanstvenih istraživanja ili analiza usklađenih sa svrhom u koju su podaci zatraženi; ili

 

(b)

s nacionalnim zavodima za statistiku i Eurostatom radi izrade službene statistike.

2.   Pojedinci ili organizacije koji prime podatke na temelju stavka 1. moraju djelovati na neprofitnoj osnovi ili u kontekstu misije javnog interesa priznate u pravu Unije ili nacionalnom pravu. To ne uključuje organizacije na koje komercijalna poduzeća imaju znatan utjecaj, što vjerojatno može rezultirati povlaštenim pristupom rezultatima istraživanja.

3.   Pojedinci ili organizacije koji prime podatke na temelju stavka 1. ovog članka moraju ispunjavati iste obveze koje se primjenjuju na tijela javnog sektora, Komisiju, Europsku središnju banku ili tijela Unije na temelju članka 17. stavka 3. i članka 19.

4.   Neovisno o članku 19. stavku 1. točki (c), pojedinci ili organizacije koji prime podatke na temelju stavka 1. ovog članka mogu zadržati podatke primljene u svrhu u koju su podaci zatraženi najviše šest mjeseci nakon što tijela javnog sektora, Komisija, Europska središnja banka i tijela Unije izbrišu te podatke.

5.   Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije podatke namjerava dostaviti ili staviti na raspolaganje na temelju stavka 1. ovog članka, o tome bez nepotrebne odgode obavješćuje imatelja podataka od kojeg su podaci primljeni te navodi identitet i podatke za kontakt organizacije ili pojedinca koji primaju podatke, svrhu dostave podataka ili stavljanja podataka na raspolaganje, razdoblje u kojem se podaci trebaju upotrebljavati te poduzete mjere tehničke zaštite i organizacijske mjere, među ostalim i ako je riječ o osobnim podacima ili poslovnim tajnama. Ako se imatelj podataka ne slaže s dostavom podataka ili stavljanjem podataka na raspolaganje, može podnijeti pritužbu nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.

Članak 22.

Uzajamna pomoć i prekogranična suradnja

1.   Tijela javnog sektora, Komisija, Europska središnja banka i tijela Unije surađuju i međusobno si pomažu s ciljem dosljedne provedbe ovog poglavlja.

2.   Podaci razmijenjeni u kontekstu pomoći zatražene i pružene na temelju stavka 1. ne smiju se upotrebljavati na način koji nije u skladu sa svrhom u koju su zatraženi.

3.   Ako tijelo javnog sektora namjerava zatražiti podatke od imatelja podataka s poslovnim nastanom u drugoj državi članici, o toj namjeri najprije obavješćuje nadležno tijelo u toj državi članici imenovano u skladu s člankom 37. Ta se obveza primjenjuje i na zahtjeve Komisije, Europske središnje banke i tijelâ Unije. Zahtjev razmatra nadležno tijelo države članice u kojoj imatelj podataka ima poslovni nastan.

4.   Nakon razmatranja zahtjeva s obzirom na uvjete utvrđene u članku 17., relevantno nadležno tijelo bez nepotrebne odgode poduzima jednu od sljedećih radnji:

(a)

dostavlja zahtjev imatelju podataka i, ako je to primjenjivo, savjetuje tijelo javnog sektora, Komisiju, Europsku središnju banku ili tijelo Unije koje je podnijelo zahtjev o potrebi, ovisno o slučaju, da surađuje s tijelima javnog sektora države članice u kojoj imatelj podataka ima poslovni nastan kako bi se smanjilo administrativno opterećenje za imatelja podataka pri ispunjavanju zahtjeva;

 

(b)

odbija zahtjev zbog propisno obrazloženih razloga, u skladu s ovim poglavljem.

Tijelo javnog sektora, Komisija, Europska središnja banka i tijelo Unije koje je podnijelo zahtjev uzima u obzir savjete relevantnog nadležnog tijela i razloge koje je to tijelo navelo u skladu s prvim podstavkom prije poduzimanja bilo kakve daljnje radnje kao što je ponovno podnošenje zahtjeva, ako je to primjenjivo.

POGLAVLJE VI.

PROMJENA USLUGE OBRADE PODATAKA

Članak 23.

Uklanjanje prepreka djelotvornoj promjeni

Pružatelji usluga obrade podataka poduzimaju mjere predviđene u člancima 25., 26., 27., 29. i 30. kako bi se klijentima omogućilo da prijeđu na uslugu obrade podataka, koja obuhvaća uslugu iste vrste, a koju pruža drugi pružatelj usluga obrade podataka ili na lokalnu infrastrukturu IKT-a ili, ako je relevantno, da istodobno koriste više pružatelja usluga obrade podataka. Ponajprije, pružatelji usluga obrade podataka ne smiju nametati pretkomercijalne, komercijalne, tehničke, ugovorne i organizacijske prepreke te moraju ukloniti takve prepreke koje sprečavaju klijente da:

(a)

raskinu ugovor o usluzi obrade podataka nakon isteka maksimalnog otkaznog roka i uspješnog dovršetka procesa promjene, u skladu s člankom 25.;

 

(b)

sklope nove ugovore s drugim pružateljem usluga obrade podataka koji pruža uslugu iste vrste;

 

(c)

prenesu klijentove podatke koji se mogu izvesti i klijentove digitalne resurse drugom pružatelju usluga obrade podataka ili na lokalnu infrastrukturu IKT-a, među ostalim i nakon iskorištavanja besplatne ponude;

 

(d)

u skladu s člankom 24., postignu funkcionalnu ekvivalentnost u korištenju novom uslugom obrade podataka u okruženju IKT-a drugog pružatelja usluga obrade podataka koji pruža uslugu iste vrste;

 

(e)

razdvoje, ako je to tehnički izvedivo, usluge obrade podataka iz članka 30. stavka 1. od drugih usluga obrade podataka koje pruža pružatelj usluga obrade podataka.

Članak 24.

Opseg tehničkih obveza

Odgovornosti pružateljâ usluga obrade podataka kako su utvrđene u člancima 23., 25., 29., 30. i 34. primjenjuju se samo na usluge, ugovore ili komercijalne prakse koje pruža izvorni pružatelj usluga obrade podataka.

Članak 25.

Ugovorne odredbe koje se odnose na promjenu

1.   Prava klijenta i obveze pružatelja usluga obrade podataka koje se odnose na promjenu pružatelja takvih usluga ili, ako je to primjenjivo, na prebacivanje na lokalnu infrastrukturu IKT-a jasno se navode u pisanom ugovoru. Pružatelj usluga obrade podataka stavlja taj ugovor na raspolaganje klijentu prije potpisivanja ugovora na način kojim se klijentu omogućuje da pohrani i reproducira ugovor.

2.   Ne dovodeći u pitanje Direktivu (EU) 2019/770, ugovor iz stavka 1. ovog članka sadržava barem sljedeće:

(a)

klauzule kojima se klijentu omogućuju da se na zahtjev prebaci na uslugu obrade podataka koju nudi drugi pružatelj usluga obrade podataka ili da sve podatke koji se mogu izvesti i digitalne resurse premjesti na lokalnu infrastrukturu IKT-a bez nepotrebne odgode i u svakom slučaju najkasnije u obveznom maksimalnom prijelaznom razdoblju od 30 kalendarskih dana, koje počinje nakon isteka maksimalnog otkaznog roka iz točke (d), a tijekom kojeg se ugovor o pružanju usluge i dalje primjenjuje i tijekom kojeg pružatelj usluga obrade podataka:

i.

u procesu promjene pruža razumnu pomoć klijentu i trećim stranama koje je klijent ovlastio;

 

ii.

postupa s dužnom pažnjom radi održavanja kontinuiteta poslovanja te nastavlja pružati funkcije ili usluge na temelju ugovora;

 

iii.

pruža jasne informacije o poznatim rizicima za kontinuitet u pružanju funkcija ili usluga od strane izvornog pružatelja usluga obrade podataka;

 

iv.

osigurava održavanje visoke razine sigurnosti tijekom cijelog procesa promjene, osobito sigurnosti podataka tijekom njihova prijenosa i kontinuirane sigurnosti podataka tijekom razdoblja dohvata navedenog u točki (g), u skladu s primjenjivim pravom Unije ili nacionalnim pravom;

 

(b)

obvezu pružatelja usluga obrade podataka da podupire izlaznu strategiju klijenta koja je relevantna za ugovorene usluge, među ostalim pružanjem svih relevantnih informacija;

 

(c)

klauzulu kojom se utvrđuje da se ugovor smatra raskinutim te da se klijenta obavješćuje o raskidu u jednom od sljedećih slučajeva:

i.

ako je to primjenjivo, nakon uspješnog dovršetka procesa promjene;

 

ii.

nakon isteka maksimalnog otkaznog roka iz točke (d) ako klijent ne želi promijeniti pružatelja usluga, nego želi izbrisati svoje podatke koji se mogu izvesti i svoje digitalne resurse nakon otkazivanja usluge;

 

(d)

maksimalni otkazni rok za pokretanje procesa promjene, koji ne smije biti dulji od dva mjeseca;

 

(e)

iscrpno navođenje svih kategorija podataka i digitalnih resursa koji se mogu prenijeti tijekom procesa promjene, uključujući barem sve podatke koji se mogu izvesti;

 

(f)

iscrpno navođenje kategorija podataka koji su specifični za interno funkcioniranje pružateljeve usluge obrade podataka, a koje treba izuzeti od podataka koji se mogu izvesti u skladu s točkom (e) ovog stavka ako postoji rizik od povrede pružateljevih poslovnih tajnih, pod uvjetom da se takvim iznimkama ne ometa niti odgađa proces promjene predviđen u članku 23.;

 

(g)

minimalno razdoblje za dohvat podataka od najmanje 30 kalendarskih dana, koje počinje nakon isteka prijelaznog razdoblja o kojem su se dogovorili klijent i pružatelj usluga obrade podataka u skladu s točkom (a) ovog stavka i stavkom 4.;

 

(h)

klauzulu kojom se jamči potpuno brisanje svih podataka koji se mogu izvesti i digitalnih resursa koje izravno generira klijent, ili koji se izravno odnose na klijenta, nakon isteka razdoblja dohvata iz točke (g) ili nakon isteka alternativnoga dogovorenog razdoblja na datum koji je kasniji od datuma isteka razdoblja dohvata iz točke (g), pod uvjetom da je proces promjene uspješno dovršen;

 

(i)

naknade za promjenu koje mogu nametnuti pružatelji usluga obrade podataka u skladu s člankom 29.

3.   Ugovor iz stavka 1. uključuje klauzule kojima se predviđa da klijent može obavijestiti pružatelja usluga obrade podataka o svojoj odluci da izvrši jednu ili više sljedećih radnji nakon isteka maksimalnog otkaznog roka iz stavka 2. točke (d):

(a)

prebaci se na drugog pružatelja usluga obrade podataka, u kojem slučaju klijent daje potrebne pojedinosti tom pružatelju;

 

(b)

prebaci se na lokalnu infrastrukturu IKT-a;

 

(c)

izbriše svoje podatke koji se mogu izvesti i digitalne resurse.

4.   Ako je obvezno maksimalno prijelazno razdoblje kako je predviđeno u stavku 2. točki (a) tehnički neizvedivo, pružatelj usluga obrade podataka o tome obavješćuje klijenta u roku od 14 radnih dana od podnošenja zahtjeva za promjenu i propisno obrazlaže tehničku neizvedivost te navodi alternativno prijelazno razdoblje koje ne smije biti dulje od sedam mjeseci. U skladu sa stavkom 1. kontinuitet pružanja usluge osigurava se tijekom cijelog alternativnog prijelaznog razdoblja.

5.   Ne dovodeći u pitanje stavak 4., ugovor iz stavka 1. uključuje klauzule kojima se klijentu daje pravo da jednom produlji prijelazno razdoblje za razdoblje koje klijent smatra primjerenim za svoje potrebe.

Članak 26.

Obveza informiranja za pružatelje usluga obrade podataka

Pružatelj usluga obrade podataka klijentu pruža:

(a)

informacije o dostupnim postupcima za promjenu usluge obrade podataka i prijenos na uslugu obrade podataka, uključujući informacije o dostupnim metodama i formatima promjene i prijenosa, kao i o tehničkim i drugim ograničenjima koja su poznata pružatelju usluga obrade podataka.

 

(b)

upućivanje na ažurirani internetski registar koji vode pružatelj usluga obrade podataka, s pojedinostima o svim podatkovnim strukturama i formatima podataka kao i o relevantnim normama i otvorenim specifikacijama interoperabilnosti, u kojem su dostupni podaci koji se mogu izvesti navedeni u članku 25. stavku 2. točki (e).

Članak 27.

Obveza postupanja u dobroj vjeri

Sve uključene strane, uključujući odredišne pružatelje usluga obrade podataka, surađuju u dobroj vjeri kako bi proces promjene bio djelotvoran te kako bi se njime omogućio pravodoban prijenos podataka i održao kontinuitet usluge obrade podataka.

Članak 28.

Ugovorne obveze transparentnosti u vezi s međunarodnim pristupom i prijenosom

1.   Pružatelji usluga obrade podataka stavljaju na raspolaganje sljedeće informacije na svojim internetskim stranicama i te informacije ažuriraju:

(a)

jurisdikciji kojoj podliježe infrastruktura IKT-a uvedena radi obrade podataka u okviru njihovih pojedinačnih usluga;

 

(b)

opći opis tehničkih, organizacijskih i ugovornih mjera koje je donio pružatelj usluga obrade podataka kako bi spriječio međunarodni pristup tijelâ vlasti neosobnim podacima koji se čuvaju u Uniji ili međunarodni prijenos neosobnih podataka koji se čuvaju u Uniji ako bi takav pristup ili prijenos bili protivni pravu Unije ili nacionalnom pravu relevantne države članice.

2.   Internetske stranice iz stavka 1. navode se u ugovoru o svim uslugama obrade podataka koje nude pružatelji usluga obrade podataka.

Članak 29.

Postupno ukidanje naknada za promjenu

1.   Pružatelji usluga obrade podataka ne smiju klijentu za proces promjene nametnuti nikakve naknade za promjenu od 12. siječnja 2027.

2.   Pružatelji usluga obrade podataka smiju klijentu za proces promjene nametnuti snižene naknade za promjenu od 11. siječnja 2024. do 12. siječnja 2027.

3.   Snižene naknade za promjenu iz stavka 2. ne smiju premašiti troškove nastale pružatelju usluga obrade podataka koji su izravno povezani s dotičnim procesom promjene.

4.   Prije sklapanja ugovora s klijentom pružatelji usluga obrade podataka pružaju potencijalnom klijentu jasne informacije o standardnim naknadama za usluge i sankcijama za prijevremeni raskid ugovora koje se može nametnuti, kao i o sniženim naknadama za promjenu koje se može nametnuti tijekom vremenskog okvira iz stavka 2.

5.   Ako je to relevantno, pružatelji usluga obrade podataka pružaju klijentu informacije o uslugama obrade podataka koje uključuju vrlo složenu ili skupu promjenu ili za koje promjena nije moguća bez znatnog zadiranja u podatke, digitalne resurse ili strukturu usluge.

6.   Ako je to primjenjivo, pružatelji usluga obrade podataka informacije iz stavaka 4. i 5. stavljaju na raspolaganje klijentima tako što ih objavljuju u posebnom odjeljku na svojim internetskim stranicama ili na bilo koji drugi lako dostupan način.

7.   Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 45. radi dopune ove Uredbe uspostavljanjem mehanizma praćenja kojim bi se Komisiji omogućilo praćenje naknada za promjenu koje nameću pružatelji usluga obrade podataka na tržištu i tako osiguralo da se ukidanje i smanjenje naknada za promjenu, na temelju stavaka 1. i 2. ovog članka, postigne u skladu s rokovima utvrđenima u tim stavcima.

Članak 30.

Tehnički aspekti promjene pružatelja

1.   Pružatelji usluga obrade podataka koje se odnose na nadogradive i elastične računalne resurse ograničene na infrastrukturne elemente kao što su poslužitelji, mreže i virtualni resursi potrebni za upravljanje infrastrukturom, ali koji ne pružaju pristup operativnim uslugama, softveru i aplikacijama koji se pohranjuju na tim infrastrukturnim elementima, na njima na drugi način obrađuju ili na njih uvode, u skladu s člankom 27. poduzimaju sve razumne mjere koje su im dostupne kako bi klijentu olakšali da, nakon promjene, tj. prebacivanja na uslugu koja obuhvaća istu vrstu usluga, postigne funkcionalnu ekvivalentnost pri korištenju odredišnom uslugom obrade podataka. Izvorni pružatelj usluga obrade podataka olakšava proces promjene osiguravanjem kapaciteta, odgovarajućih informacija, dokumentacije, tehničke podrške i, prema potrebi, potrebnih alata.

2.   Pružatelji usluga obrade podataka, osim onih iz stavka 1., stavljaju otvorena sučelja na raspolaganje besplatno i u jednakoj mjeri svim svojim klijentima i dotičnim odredišnim pružateljima usluga obrade podataka kako bi olakšali proces promjene. Ta sučelja moraju uključivati dovoljno informacija o dotičnoj usluzi kako bi se omogućio razvoj softvera za komunikaciju s uslugama, u svrhe prenosivosti i interoperabilnosti podataka.

3.   Za usluge obrade podataka osim onih iz stavka 1. ovog članka, pružatelji usluga obrade podataka osiguravaju kompatibilnost sa zajedničkim specifikacijama utemeljenima na otvorenim specifikacijama interoperabilnosti ili usklađenim normama za interoperabilnost najmanje 12 mjeseci nakon što su upućivanja na te zajedničke specifikacije ili usklađene norme za interoperabilnost usluga obrade podataka objavljene u Unijinu središnjem repozitoriju normi za interoperabilnost usluga obrade podataka nakon objave povezanih provedbenih akata u Službenom listu Europske unije u skladu s člankom 35. stavkom 8.

4.   Pružatelji usluga obrade podataka, osim onih iz stavka 1. ovog članka, ažuriraju internetski registar iz članka 26. točke (b) u skladu sa svojim obvezama na temelju stavka 3. ovog članka.

5.   U slučaju promjene između usluga iste vrste, za koju zajedničke specifikacije ili usklađene norme za interoperabilnost iz stavka 3. ovog članka nisu objavljene u Unijinu središnjem repozitoriju normi za interoperabilnost usluga obrade podataka u skladu s člankom 35. stavkom 8., pružatelj usluga obrade podataka na zahtjev klijenta sve podatke koji se mogu izvesti izvozi u strukturiranom, uobičajenom i strojno čitljivom formatu.

6.   Pružatelji usluga obrade podataka nisu obvezni razviti nove tehnologije ili usluge ili usluge ili digitalne resurse koji su zaštićeni pravima intelektualnog vlasništva ili koji čine poslovnu tajnu niti otkriti ili prenijeti klijentu ili drugom pružatelju usluga obrade podataka niti ugroziti sigurnost i cjelovitost usluge klijenta ili pružatelja.

Članak 31.

Poseban režim za određene usluge obrade podataka

1.   Obveze utvrđene u članku 23. točki (d), članku 29. i članku 30. stavcima 1. i 3. ne primjenjuju se na usluge obrade podataka čija je većina glavnih značajki prilagođena ispunjavanju posebnih potreba pojedinačnog klijenta ili ako su sve komponente razvijene za potrebe pojedinačnog klijenta te ako se te usluge obrade podataka ne nude na širokoj komercijalnoj osnovi putem kataloga usluga pružatelja usluga obrade podataka.

2.   Obveze utvrđene u ovom poglavlju ne primjenjuju se na usluge obrade podataka koje se pružaju kao verzija u svrhu ispitivanja i evaluacije koja nije namijenjena proizvodnji te tijekom ograničenog razdoblja.

3.   Prije sklapanja ugovora o pružanju usluga obrade podataka iz ovog članka pružatelj usluga obrade podataka obavješćuje potencijalnog klijenta o obvezama iz ovog poglavlja koje se ne primjenjuju.

POGLAVLJE VII.

NEZAKONITI MEĐUNARODNI PRISTUP TIJELA VLASTI NEOSOBNIM PODACIMA I NEZAKONITI MEĐUNARODNI PRIJENOS NEOSOBNIH PODATAKA TIJELIMA VLASTI

Članak 32.

Međunarodni pristup tijela vlasti i međunarodni prijenos tijelima vlasti

1.   Pružatelji usluga obrade podataka poduzimaju sve prikladne tehničke, organizacijske i pravne mjere, uključujući ugovore, kako bi spriječili međunarodni pristup tijelâ vlasti i pristup tijelâ vlasti trećih zemalja neosobnim podacima koji se čuvaju u Uniji i međunarodni prijenos tijelima vlasti neosobnih podataka koji se čuvaju u Uniji ako bi takav prijenos odnosno pristup bili protivni pravu Unije ili nacionalnom pravu relevantne države članice, ne dovodeći u pitanje stavak 2. ili 3.

2.   Svaka odluka ili presuda suda treće zemlje i svaka odluka upravnog tijela treće zemlje kojom se od pružatelja usluga obrade podataka zahtijeva da prenese neosobne podatke koji su obuhvaćeni područjem primjene ove Uredbe i koji se čuvaju u Uniji odnosno da omogući pristup takvim neosobnim podacima priznaje se ili je izvršiva na bilo koji način samo ako se temelji na međunarodnom sporazumu, kao što je ugovor o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije, ili bilo kojem takvom sporazumu između treće zemlje koja je podnijela zahtjev i države članice.

3.   Ako ne postoji međunarodni sporazum kako je naveden u stavku 2., a pružatelj usluga obrade podataka adresat je odluke ili presude suda treće zemlje ili odluke upravnog tijela treće zemlje kojom se nalaže da se neosobni podaci koji su obuhvaćeni područjem primjene ove Uredbe i koji se čuvaju u Uniji prenesu odnosno da se omogući pristup takvim neosobnim podacima i ako bi postupanje u skladu s takvom odlukom moglo dovesti adresata u sukob s pravom Unije ili s nacionalnim pravom relevantne države članice, ti se podaci prenose tom tijelu treće zemlje odnosno tom tijelu treće zemlje omogućuje se pristup tim podacima samo:

(a)

ako se u sustavu treće zemlje zahtijeva da se navedu razlozi za takvu odluku ili presudu i razmjernost takve odluke ili presude te se zahtijeva da takva odluka ili presuda budu specifične prirode, na primjer, uspostavljanjem dostatne veze s određenim osumnjičenim osobama ili s povredama;

 

(b)

ako obrazloženi prigovor adresata podliježe preispitivanju od strane nadležnog suda treće zemlje; i

 

(c)

ako je nadležni sud treće zemlje koji izdaje odluku ili presudu ili preispituje odluku upravnog tijela ovlašten na temelju prava te treće zemlje propisno uzeti u obzir relevantne pravne interese pružatelja podataka zaštićene pravom Unije ili nacionalnim pravom relevantne države članice.

Adresat odluke ili presude može zatražiti mišljenje relevantnog nacionalnog tijela ili tijela vlasti nadležnog za međunarodnu suradnju u pravnim stvarima kako bi se utvrdilo jesu li uvjeti utvrđeni u prvom podstavku ispunjeni, posebno ako smatra da bi se odluka mogla odnositi na poslovne tajne i druge poslovno osjetljive podatke kao i na sadržaj zaštićen pravima intelektualnog vlasništva ili da prijenos može dovesti do ponovne identifikacije. Relevantno nacionalno tijelo ili relevantno nacionalno tijelo vlasti može se savjetovati s Komisijom. Ako adresat smatra da bi odluka ili presuda mogla ugroziti nacionalnu sigurnost ili obrambene interese Unije ili njezinih država članica, traži mišljenje relevantnog nacionalnog tijela ili relevantnog nacionalnog tijela vlasti kako bi se utvrdilo odnose li se traženi podaci na nacionalnu sigurnost ili obrambene interese Unije ili njezinih država članica. Ako adresat ne primi odgovor u roku od mjesec dana ili ako se u mišljenju takvog nacionalnog tijela ili takvog nacionalnog tijela vlasti zaključi da uvjeti utvrđeni u prvom podstavku nisu ispunjeni, adresat na temelju tih razloga može odbiti zahtjev za prijenos neosobnih podataka odnosno pristup neosobnim podacima.

EDIB iz članka 42. savjetuje Komisiju i pomaže joj u izradi smjernica za procjenu ispunjavanja uvjeta utvrđenih u prvom podstavku ovog stavka.

4.   Ako su uvjeti utvrđeni u stavku 2. ili 3. ispunjeni, pružatelj usluga obrade podataka dostavlja najmanju dopuštenu količinu podataka kao odgovor na zahtjev, na temelju razumnog tumačenja tog zahtjeva od strane pružatelja ili relevantnog nacionalnog tijela ili relevantnog nacionalnog tijela vlasti iz stavka 3. drugog podstavka.

5.   Pružatelj usluga obrade podataka obavješćuje klijenta o postojanju zahtjeva tijela treće zemlje za pristup njegovim podacima prije nego što postupi u skladu s tim zahtjevom, osim ako zahtjev služi u svrhu izvršavanja zakonodavstva i sve dok je to potrebno kako bi se očuvala djelotvornost izvršavanja zakonodavstva.

POGLAVLJE VIII.

INTEROPERABILNOST

Članak 33.

Bitni zahtjevi u pogledu interoperabilnosti podataka, mehanizama i usluga dijeljenja podataka te zajedničkih europskih podatkovnih prostora

1.   Sudionici u podatkovnim prostorima koji nude podatke ili podatkovne usluge drugim sudionicima moraju ispunjavati sljedeće bitne zahtjeve radi olakšavanja interoperabilnosti podataka, mehanizama i usluga dijeljenja podataka te zajedničkih europskih podatkovnih prostora, koji su interoperabilni okviri specifični za određenu namjenu ili sektor ili međusektorski interoperabilni okviri koji sadržavaju zajedničke norme i prakse za dijeljenje ili zajedničku obradu podataka radi, među ostalim, razvoja novih proizvoda i usluga, znanstvenog istraživanja ili inicijativa civilnog društva:

(a)

sadržaj skupa podataka, ograničenja uporabe, licencije, metodologija prikupljanja podataka, kvaliteta podataka i nesigurnost moraju biti dovoljno opisani, ako je to primjenjivo, u strojno čitljivom formatu, kako bi se primatelju omogućilo pronalaženje podataka, pristup tim podacima i njihova uporaba;

 

(b)

strukture podataka, formati podataka, rječnici, sustavi klasifikacije, taksonomije te popisi kodova, ako su dostupni, moraju biti opisani na javno dostupan i dosljedan način;

 

(c)

tehnička sredstva za pristup podacima, kao što su sučelja za programiranje aplikacija, te uvjeti njihove uporabe i kvaliteta usluge moraju biti dovoljno opisani da omoguće automatski pristup podacima i prijenos podataka među stranama, među ostalim i kontinuirano, u obliku skupnog preuzimanja ili u stvarnom vremenu u strojno čitljivom formatu, ako je to tehnički izvedivo i ne ometa dobro funkcioniranje povezanog proizvoda;

 

(d)

ako je to primjenjivo, moraju se osigurati sredstva za omogućivanje interoperabilnosti alata za automatizaciju izvršenja sporazumâ o dijeljenju podataka, kao što su pametni ugovori.

Zahtjevi mogu biti generički ili se mogu odnositi na specifične sektore, pri čemu se u potpunosti uzima u obzir međusobna povezanost sa zahtjevima koji proizlaze iz drugog prava Unije ili nacionalnog prava.

2.   Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 45. ove Uredbe radi dopune ove Uredbe dodatnim utvrđivanjem bitnih zahtjeva utvrđenih u stavku 1. ovog članka, u vezi s onim zahtjevima koji po svojoj prirodi ne mogu proizvesti željeni učinak osim ako su dodatno utvrđeni u obvezujućim pravnim aktima Unije te kako se bi na odgovarajući način odražavala tehnološka i tržišna kretanja.

Pri donošenju delegiranih akata Komisija uzima u obzir savjete EDIB-a u skladu s člankom 42. točkom (c) podtočkom iii.

3.   Smatra se da sudionici u podatkovnim prostorima koji nude podatke ili podatkovne usluge drugim sudionicima u podatkovnim prostorima koji udovoljavaju usklađenim normama ili njihovim dijelovima, na koje su upućivanja objavljena u Službenom listu Europske unije, ispunjavaju bitne zahtjeve utvrđene u stavku 1. u mjeri u kojoj su ti zahtjevi obuhvaćeni takvim usklađenim normama ili njihovi dijelovima.

4.   Komisija u skladu s člankom 10. Uredbe (EU) br. 1025/2012 traži od jedne europske organizacije za normizaciju ili više njih da izrade usklađene norme koje ispunjavaju bitne zahtjeve utvrđene u stavku 1. ovog članka.

5.   Komisija može provedbenim aktima donijeti zajedničke specifikacije koje obuhvaćaju neke od bitnih zahtjeva utvrđenih u stavku 1. ili sve takve zahtjeve ako su ispunjeni sljedeći uvjeti:

(a)

Komisija je u skladu s člankom 10. stavkom 1. Uredbe (EU) br. 1025/2012 zatražila od jedne europske organizacije za normizaciju ili više njih da izradi usklađenu normu koja ispunjava bitne zahtjeve utvrđene u stavku 1. ovog članka te:

i.

zahtjev nije prihvaćen;

 

ii.

usklađene norme koje se odnose na taj zahtjev nisu dostavljene u roku određenom u skladu s člankom 10. stavkom 1. Uredbe (EU) br. 1025/2012; ili

 

iii.

usklađene norme nisu u skladu sa zahtjevom; i

 

(b)

upućivanje na usklađene norme koje obuhvaćaju relevantne bitne zahtjeve utvrđene u stavku 1. ovog članka nije objavljeno u Službenom listu Europske unije u skladu s Uredbom (EU) br. 1025/2012 niti se objava takvog upućivanja očekuje u razumnom roku.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 46. stavka 2.

6.   Prije izrade nacrta provedbenog akta iz stavka 5. ovog članka Komisija obavješćuje odbor iz članka 22. Uredbe (EU) br. 1025/2012 da smatra da su uvjeti iz stavka 5. ovog članka ispunjeni.

7.   Pri izradi nacrta provedbenog akta iz stavka 5. Komisija uzima u obzir savjete EDIB-a i stajališta drugih relevantnih tijela ili stručnih skupina te se na odgovarajući način savjetuje sa svim relevantnim dionicima.

8.   Smatra se da sudionici u podatkovnim prostorima koji nude podatke ili podatkovne usluge drugim sudionicima u podatkovnim prostorima koji udovoljavaju zajedničkim specifikacijama utvrđenima provedbenim aktima iz stavka 5. ili njihovim dijelovima ispunjavaju bitne zahtjeve utvrđene u stavku 1. u mjeri u kojoj su ti zahtjevi obuhvaćeni takvim zajedničkim specifikacijama ili njihovim dijelovima.

9.   Ako europska organizacija za normizaciju usvoji usklađenu normu te je predloži Komisiji u svrhu objavljivanja upućivanja na tu usklađenu normu u Službenom listu Europske unije, Komisija ocjenjuje usklađenu normu u skladu s Uredbom (EU) br. 1025/2012. Ako se u Službenom listu Europske unije objavi upućivanje na usklađenu normu, Komisija stavlja izvan snage provedbene akte iz stavka 5. ovog članka ili njihove dijelove koji obuhvaćaju iste bitne zahtjeve kao što su oni obuhvaćeni tom usklađenom normom.

10.   Ako država članica smatra da zajednička specifikacija ne ispunjava u potpunosti bitne zahtjeve utvrđene u stavku 1., ona o tome obavješćuje Komisiju dostavljanjem detaljnog objašnjenja. Komisija ocjenjuje to detaljno objašnjenje te, ako je to primjereno, mijenja provedbeni akt kojim se utvrđuje dotična zajednička specifikacija.

11.   Komisija može donijeti smjernice uzimajući u obzir prijedlog EDIB-a u skladu s člankom 30. točkom (h) Uredbe (EU) 2022/868 kojima se utvrđuju interoperabilni okviri zajedničkih normi i praksi za funkcioniranje zajedničkih europskih podatkovnih prostora.

Članak 34.

Interoperabilnost u svrhu paralelnog korištenja uslugom obrade podataka

1.   Zahtjevi utvrđeni u članku 23., članku 24., članku 25. stavku 2. točki (a) podtočkama ii. i iv., točkama (e) i (f) i članku 30. stavcima od 2. do 5. također se primjenjuju mutatis mutandis na pružatelje usluga obrade podataka radi olakšavanja interoperabilnosti u svrhu paralelnog korištenja uslugom obrade podataka.

2.   Ako se usluga obrade podataka koristi paralelno s drugom uslugom obrade podataka, pružatelji usluga obrade podataka mogu nametnuti naknade za izlaz podataka, ali samo u svrhu prebacivanja nastalih troškova za izlaz podataka i bez premašivanja takvih troškova.

Članak 35.

Interoperabilnost usluga obrade podataka

1.   Otvorene specifikacije interoperabilnosti i usklađene norme za interoperabilnost usluga obrade podataka:

(a)

postižu, ako je to tehnički izvedivo, interoperabilnost među različitim uslugama obrade podataka koje obuhvaćaju uslugu iste vrste;

 

(b)

poboljšavaju prenosivost digitalnih resursa među različitim uslugama obrade podataka koje obuhvaćaju uslugu iste vrste;

 

(c)

olakšavaju, ako je to tehnički izvedivo, funkcionalnu ekvivalentnost različitih usluga obrade podataka iz članka 30. stavka 1. koje obuhvaćaju uslugu iste vrste;

 

(d)

nemaju negativan utjecaj na sigurnost i cjelovitost usluga obrade podataka i podataka;

 

(e)

osmišljene su na takav način da omogućavaju tehnički napredak i uključivanje novih funkcija i inovacija u usluge obrade podataka.

2.   Otvorene specifikacije interoperabilnosti i usklađene norme za interoperabilnost usluga obrade podataka na odgovarajući način odgovaraju na:

(a)

aspekte interoperabilnosti u oblaku koji se odnose na interoperabilnost prometa podataka, sintaktičku interoperabilnost, semantičku interoperabilnost podataka, interoperabilnost u pogledu ponašanja te interoperabilnost politike;

 

(b)

aspekte prenosivosti podataka u oblaku koji se odnose na sintaktičku prenosivost podataka, semantičku prenosivost podataka i prenosivost podatkovnih politika;

 

(c)

aspekte aplikacija u oblaku koji se odnose na sintaktičku prenosivost aplikacija, prenosivost uputa za aplikacije, prenosivost metapodataka aplikacija, prenosivost u pogledu ponašanja aplikacija te prenosivost politika aplikacija.

3.   Otvorene specifikacije interoperabilnosti moraju biti u skladu s Prilogom II. Uredbi (EU) br. 1025/2012.

4.   Nakon što uzme u obzir relevantne međunarodne i europske norme i inicijative za samoregulaciju, Komisija može, u skladu s člankom 10. stavkom 1. Uredbe (EU) br. 1025/2012, zatražiti od jedne europske organizacije za normizaciju ili više njih da izrade usklađene norme koje ispunjavaju bitne zahtjeve utvrđene u stavcima 1. i 2. ovog članka.

5.   Komisija provedbenim aktima može donijeti zajedničke specifikacije utemeljene na otvorenim specifikacijama interoperabilnosti koje obuhvaćaju sve bitne zahtjeve utvrđene u stavcima 1. i 2.

6.   Pri izradi nacrta provedbenog akta iz stavka 5. ovog članka Komisija uzima u obzir stajališta relevantnih nadležnih tijela iz članka 37. stavka 5. točke (h) i drugih relevantnih tijela ili stručnih skupina te se na odgovarajući način savjetuje sa svim relevantnim dionicima.

7.   Ako država članica smatra da zajednička specifikacija ne ispunjava u potpunosti bitne zahtjeve utvrđene u stavcima 1. i 2., ona o tome obavješćuje Komisiju dostavljanjem detaljnog objašnjenja. Komisija ocjenjuje to detaljno pojašnjenje te može, ako je to primjereno, izmijeniti provedbeni akt kojim se utvrđuje dotična zajednička specifikacija.

8.   Za potrebe članka 30. stavka 3. Komisija provedbenim aktima objavljuje upućivanja na usklađene norme i zajedničke specifikacije za interoperabilnost usluga obrade podataka u Unijinu središnjem repozitoriju normi za interoperabilnost usluga obrade podataka.

9.   Provedbeni akti iz ovog članka donose se u skladu s postupkom ispitivanja iz članka 46. stavka 2.

Članak 36.

Bitni zahtjevi u pogledu pametnih ugovora za izvršavanje sporazumâ o dijeljenju podataka

1.   Prodavatelj aplikacije u kojoj se koriste pametni ugovori ili, ako takav prodavatelj ne postoji, osoba čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršavanja sporazuma o stavljanju podataka na raspolaganje ili njegova dijela osigurava da ti pametni ugovori ispunjavaju sljedeće bitne zahtjeve:

(a)

stabilnost i kontrola pristupa radi osiguravanja da je pametni ugovor osmišljen tako da omogućuje mehanizme kontrole pristupa i vrlo visok stupanj stabilnosti kako bi se izbjegle funkcionalne pogreške i postigla otpornost na manipulaciju trećih strana;

 

(b)

sigurno okončanje i prekid radi osiguravanja da postoji mehanizam za okončanje kontinuiranog izvršavanja transakcija i da pametni ugovor uključuje interne funkcije kojima se ugovor može vratiti na početne postavke ili mu se može narediti da zaustavi ili prekine izvršavanje operacije, a posebno kako bi se izbjegla buduća slučajna izvršenja;

 

(c)

arhiviranje i kontinuitet podataka radi osiguravanja, u okolnostima u kojima se pametni ugovor mora raskinuti ili obustaviti, da postoji mogućnost za arhiviranje podataka o transakcijama, logike pametnog ugovora i koda radi vođenja evidencije o prijašnjim operacijama provedenima na podacima (mogućnost revizije);

 

(d)

kontrola pristupa radi osiguravanja da je pametni ugovor zaštićen strogim mehanizmima kontrole pristupa na razini upravljanja i na razini pametnih ugovora; i

 

(e)

dosljednost radi osiguravanja dosljednosti s uvjetima sporazuma o dijeljenju podataka koji se izvršava pametnim ugovorom.

2.   Prodavatelj pametnog ugovora ili, ako takav prodavatelj ne postoji, osoba čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršavanja sporazuma o stavljanju podataka na raspolaganje ili njegova dijela provodi ocjenjivanje sukladnosti u cilju ispunjenja bitnih zahtjeva utvrđenih u stavku 1. te, nakon ispunjenja tih zahtjeva, izdaje EU izjavu o sukladnosti.

3.   Sastavljanjem EU izjave o sukladnosti prodavatelj aplikacije u kojoj se koriste pametni ugovori ili, ako takav prodavatelj ne postoji, osoba čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršavanja sporazuma o stavljanju podataka na raspolaganje ili njegova dijela odgovorni su za usklađenost s bitnim zahtjevima utvrđenima u stavku 1.

4.   Smatra se da pametni ugovor koji udovoljava usklađenim normama ili njihovim relevantnim dijelovima, na koje su upućivanja objavljena u Službenom listu Europske unije, ispunjava bitne zahtjeve utvrđene u stavka 1. u mjeri u kojoj su ti zahtjevi obuhvaćeni takvim usklađenim normama ili njihovim dijelovima.

5.   Komisija u skladu s člankom 10. Uredbe (EU) br. 1025/2012 traži od jedne europske organizacije za normizaciju ili više njih da izrade usklađene norme koje ispunjavaju bitne zahtjeve utvrđene u stavku 1. ovog članka.

6.   Komisija može provedbenim aktima donijeti zajedničke specifikacije koje obuhvaćaju neke od bitnih zahtjeva utvrđenih u stavku 1. ili sve takve zahtjeve ako su ispunjeni sljedeći uvjeti:

(a)

Komisija je u skladu s člankom 10. stavkom 1. Uredbe (EU) br. 1025/2012 zatražila od jedne europske organizacije za normizaciju ili više njih da izradi usklađenu normu koja ispunjava bitne zahtjeve utvrđene u stavku 1. ovog članka te:

i.

zahtjev nije prihvaćen;

 

ii.

usklađene norme koje se odnose na taj zahtjev nisu dostavljene u roku određenom u skladu s člankom 10. stavkom 1. Uredbe (EU) br. 1025/2012; ili

 

iii.

usklađene norme nisu u skladu sa zahtjevom; i

 

(b)

upućivanje na usklađene norme koje obuhvaćaju relevantne bitne zahtjeve utvrđene u stavku 1. ovog članka nije objavljeno u Službenom listu Europske unije u skladu s Uredbom (EU) br. 1025/2012 niti se objava takvog upućivanja očekuje u razumnom roku.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 46. stavka 2.

7.   Prije izrade nacrta provedbenog akta iz stavka 6. ovog članka Komisija obavješćuje odbor iz članka 22. Uredbe (EU) br. 1025/2012 da smatra da su uvjeti iz stavka 6. ovog članka ispunjeni.

8.   Pri izradi nacrta provedbenog akta iz stavka 6. Komisija uzima u obzir savjete EDIB-a i stajališta drugih relevantnih tijela ili stručnih skupina te se na odgovarajući način savjetuje sa svim relevantnim dionicima.

9.   Smatra se da prodavatelj pametnog ugovora ili, ako takav prodavatelj ne postoji, osoba čija trgovačka, poslovna ili profesionalna djelatnost uključuje uvođenje pametnih ugovora za druge u kontekstu izvršavanja sporazuma o stavljanju podataka na raspolaganje ili njegova dijela koji udovoljava zajedničkim specifikacijama utvrđenima provedbenim aktima iz stavka 6. ili njihovim dijelovima ispunjavaju bitne zahtjeve utvrđene u stavku 1. u mjeri u kojoj su ti zahtjevi obuhvaćeni takvim zajedničkim specifikacijama ili njihovim dijelovima.

10.   Ako europska organizacija za normizaciju usvoji usklađenu normu te je predloži Komisiji u svrhu objavljivanja upućivanja na tu usklađenu normu u Službenom listu Europske unije, Komisija ocjenjuje usklađenu normu u skladu s Uredbom (EU) br. 1025/2012. Ako se u Službenom listu Europske unije objavi upućivanje na usklađenu normu, Komisija stavlja izvan snage provedbene akte iz stavka 6. ovog članka ili njihove dijelove koji obuhvaćaju iste bitne zahtjeve kao što su oni obuhvaćeni tom usklađenom normom.

11.   Ako država članica smatra da zajednička specifikacija ne ispunjava u potpunosti bitne zahtjeve utvrđene u stavku 1., ona o tome obavješćuje Komisiju dostavljanjem detaljnog objašnjenja. Komisija ocjenjuje to detaljno objašnjenje te može, ako je to primjereno, izmijeniti provedbeni akt kojim se utvrđuje dotična zajednička specifikacija.

POGLAVLJE IX.

PROVEDBA I IZVRŠAVANJE

Članak 37.

Nadležna tijela i koordinatori podataka

1.   Svaka država članica imenuje jedno ili više nadležnih tijela koja će biti odgovorna za primjenu i izvršavanje ove Uredbe (nadležna tijela). Države članice mogu osnovati jedno ili više novih tijela ili se mogu osloniti na postojeća tijelima.

2.   Ako država članica imenuje više nadležnih tijela, među njima imenuje koordinatora podataka kako bi olakšala suradnju među nadležnim tijelima i pomogla subjektima obuhvaćenima područjem primjene ove Uredbe u vezi sa svim pitanjima koja se odnose na primjenu i izvršavanje. Nadležna tijela surađuju međusobno pri izvršavanju svojih zadaća i ovlasti koje su im dodijeljene na temelju stavka 5.

3.   Nadzorna tijela odgovorna za praćenje primjene Uredbe (EU) 2016/679 odgovorna su za praćenje primjene ove Uredbe u mjeri u kojoj se to odnosi na zaštitu osobnih podataka. Poglavlja VI. i VII. Uredbe (EU) 2016/679 primjenjuju se mutatis mutandis.

Europski nadzornik za zaštitu podataka odgovoran je za praćenje primjene ove Uredbe u mjeri u kojoj se ona odnosi na Komisiju, Europsku središnju banku ili tijela Unije. Ako je to relevantno, članak 62. Uredbe (EU) 2018/1725 primjenjuje se mutatis mutandis.

Zadaće i ovlasti nadzornih tijela iz ovog stavka izvršavaju se s obzirom na obradu osobnih podataka.

4.   Ne dovodeći u pitanje stavak 1. ovog članka:

(a)

u vezi s posebnim sektorskim pitanjima pristupa podacima i uporabe podataka povezanima s primjenom ove Uredbe poštuje se nadležnost sektorskih tijela;

 

(b)

nadležno tijelo odgovorno za primjenu i izvršavanje članaka od 23. do 31. te članaka 34. i 35. mora imati iskustvo u području podataka i elektroničkim komunikacijskim uslugama.

5.   Države članice osiguravaju da su zadaće i ovlasti nadležnih tijela jasno definirane i da uključuju:

(a)

promicanje podatkovne pismenosti i informiranje korisnika i subjekata obuhvaćenih područjem primjene ove Uredbe o pravima i obvezama koji se na njoj temelje;

 

(b)

rješavanje pritužaba koje proizlaze iz navodnih povreda ove Uredbe, među ostalim u vezi s poslovnim tajnama, i istraživanje predmeta pritužaba, u mjeri u kojoj je to primjereno, te redovito obavješćivanje podnositelja pritužaba, ako je to relevantno u skladu s nacionalnim pravom, o napretku i ishodu istrage, i to u razumnom roku, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadležnim tijelom;

 

(c)

provedbu istraga o pitanjima koja se odnose na primjenu ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadležnog tijela ili drugog tijela javne vlasti;

 

(d)

izricanje učinkovitih, proporcionalnih i odvraćajućih financijskih sankcija koje mogu uključivati periodične sankcije i sankcije s retroaktivnim učinkom, ili pokretanje sudskih postupaka radi izricanja novčanih kazni;

 

(e)

praćenje tehnološkog i relevantnog komercijalnog razvoja koji je važan za stavljanje podataka na raspolaganje i njihovu uporabu;

 

(f)

suradnju s nadležnim tijelima drugih država članica i, ako je relevantno, s Komisijom ili EDIB-om, radi osiguravanja dosljedne i učinkovite primjene ove Uredbe, među ostalim i razmjene svih relevantnih informacija elektroničkim putem, bez nepotrebne odgode, među ostalim i u pogledu stavka 10. ovog članka;

 

(g)

suradnju s relevantnim nadležnim tijelima odgovornima za provedbu drugih pravnih akata Unije ili nacionalnih pravnih akata, među ostalim i s tijelima nadležnima u području podataka i za elektroničke komunikacijske usluge, s nadzornim tijelom odgovornim za praćenje primjene Uredbe (EU) 2016/679 ili sa sektorskim tijelima, kako bi se osiguralo dosljedno izvršavanje ove Uredbe u odnosu na drugo pravo Unije i nacionalno pravo;

 

(h)

suradnju s relevantnim nadležnim tijelima kako bi se osiguralo dosljedno izvršavanje članaka od 23. do 31. te članaka 34. i 35. u odnosu na drugo pravo Unije i samoregulaciju koji se primjenjuju na pružatelje usluga obrade podataka;

 

(i)

osiguravanje da se naknade za promjenu ukinu u skladu s člankom 29.;

 

(j)

razmatranje zahtjeva za podatke podnesenih na temelju poglavlja V.

Ako je imenovan, koordinator podataka olakšava suradnju iz prvog podstavka točaka (f), (g) i (h) i pomaže nadležnim tijelima na njihov zahtjev.

6.   Koordinator podataka, ako je takvo nadležno tijelo imenovano:

(a)

djeluje kao jedinstvena kontaktna točka za sva pitanja povezana s primjenom ove Uredbe;

 

(b)

osigurava da su na internetu javno dostupni zahtjevi za stavljanje podataka na raspolaganje koje su podnijela tijela javnog sektora u slučaju iznimne potrebe iz poglavlja V. i promiče dobrovoljne sporazume o dijeljenju podataka između tijelâ javnog sektora i imateljâ podataka;

 

(c)

jednom godišnje obavješćuje Komisiju o odbijanjima o kojima je obaviješteno na temelju članka 4. stavaka 2. i 8. te članka 5. stavka 11.

7.   Države članice obavješćuju Komisiju o nazivima nadležnih tijela te o njihovim zadaćama i ovlastima te, ako je to primjenjivo, o nazivu odnosno imenu koordinatora podataka. Komisija vodi javni registar tih tijela.

8.   Pri obavljanju svojih zadaća i izvršavanju svojih ovlasti u skladu s ovom Uredbom nadležna tijela nepristrana su i nisu pod vanjskim utjecajem, bilo izravnim ili neizravnim, te ne traže niti primaju upute u pogledu pojedinačnih slučajeva od nijednog drugog tijela javne vlasti odnosno nijedne privatne strane.

9.   Države članice osiguravaju da nadležna tijela raspolažu dostatnim ljudskim i tehničkim resursima i relevantnim stručnim znanjem za djelotvorno obavljanje svojih zadaća u skladu s ovom Uredbom.

10.   Subjekti obuhvaćeni područjem primjene ove Uredbe podliježu nadležnosti države članice u kojoj imaju poslovni nastan. Ako subjekt ima poslovni nastan u više država članica, smatra se da je u nadležnosti države članice u kojoj ima glavni poslovni nastan, odnosno u kojoj ima mjesto poslovanja ili registrirano sjedište iz kojeg se obavljaju glavne financijske funkcije i operativna kontrola.

11.   Svi subjekti koji su obuhvaćeni područjem primjene ove Uredbe i koji stavljaju povezane proizvode na raspolaganje ili nude usluge u Uniji, a nemaju poslovni nastan u Uniji, moraju imenovati pravnog zastupnika u jednoj od država članica.

12.   Za potrebe osiguravanja usklađenosti s ovom Uredbom subjekt obuhvaćen područjem primjene ove Uredbe koji stavlja povezane proizvode na raspolaganje ili nudi usluge u Uniji ovlašćuje pravnog zastupnika kako bi se osim tom subjektu ili umjesto njemu nadzorna tijela obraćala tom pravnom zastupniku u vezi sa svim pitanjima povezanima s tim subjektom. Taj pravni zastupnik surađuje s nadležnim tijelima i na zahtjev im pruža sveobuhvatan prikaz mjera i radnji koje je poduzeo subjekt koji je obuhvaćen područjem primjene ove Uredbe i koji stavlja povezane proizvode na raspolaganje ili nudi usluge u Uniji kako bi osigurao usklađenost s ovom Uredbom.

13.   Smatra se da je subjekt koji je obuhvaćen područjem primjene ove Uredbe i koji stavlja povezane proizvode na raspolaganje ili nudi usluge u Uniji u nadležnosti države članice u kojoj se nalazi njegov pravni zastupnik. Imenovanjem pravnog zastupnika od strane takvog subjekta ne dovode se u pitanje odgovornost takvog subjekta i bilo kakvi pravni postupci koji bi mogli biti pokrenuti protiv takvog subjekta. Dok subjekt ne imenuje pravnog zastupnika u skladu s ovim člankom u nadležnosti je svih država članica, ako je to primjenjivo, za potrebe osiguravanja primjene i izvršavanja ove Uredbe. Svako nadležno tijelo može izvršavati svoju nadležnost, među ostalim izricanjem učinkovitih, proporcionalnih i odvraćajućih sankcija, pod uvjetom da subjekt nije predmetom drugog postupka izvršavanja na temelju ove Uredbe, koji vodi drugo nadležno tijelo zbog istih činjenica.

14.   Nadležna tijela ovlaštena su od korisnika, imatelja podataka ili primatelja podataka, ili njihovih pravnih zastupnika, koji su u nadležnosti njihove države članice zatražiti sve informacije potrebne za provjeru usklađenosti s ovom Uredbom. Svaki zahtjev za informacije mora biti razmjeran izvršenju povezane zadaće i obrazložen.

15.   Ako nadležno tijelo u jednoj državi članici traži pomoć ili mjere izvršavanja od nadležnog tijela u drugoj državi članici, ono podnosi obrazložen zahtjev. Nadležno tijelo po primitku takvog zahtjeva bez nepotrebne odgode dostavlja odgovor u kojem navodi koje su radnje poduzete ili se planiraju poduzeti.

16.   Nadležna tijela poštuju načela povjerljivosti i čuvanja profesionalne i poslovne tajne te štite osobne podatke u skladu s pravom Unije ili nacionalnim pravom. Sve informacije razmijenjene u kontekstu zahtjeva za pomoć i pružene u skladu s ovim člankom smiju se upotrebljavati samo u vezi s onim pitanjem za koje su zatražene.

Članak 38.

Pravo na podnošenje pritužbe

1.   Ne dovodeći u pitanje bilo koje drugo pravno sredstvo u upravnom ili sudskom postupku, fizičke i pravne osobe imaju pravo podnijeti pritužbu, pojedinačno ili, prema potrebi, kolektivno, relevantnom nadležnom tijelu u državi članici njihova uobičajenog boravišta, mjesta rada ili poslovnog nastana ako smatraju da su njihova prava iz ove Uredbe povrijeđena. Koordinator podataka na zahtjev dostavlja fizičkim i pravnim osobama sve informacije potrebne za podnošenje pritužbi odgovarajućem nadležnom tijelu.

2.   Nadležno tijelo kojem je podnesena pritužba obavješćuje podnositelja pritužbe u skladu s nacionalnim pravom o tijeku postupka i donesenoj odluci.

3.   Nadležna tijela surađuju kako bi djelotvorno i pravodobno obradila i riješila pritužbe, među ostalim razmjenom svih relevantnih informacija elektroničkim putem, bez nepotrebne odgode. Ta suradnja ne utječe na mehanizme suradnje predviđene poglavljima VI. i VII. Uredbe (EU) 2016/679 i Uredbom (EU) 2017/2394.

Članak 39.

Pravo na djelotvoran pravni lijek

1.   Neovisno o pravnim sredstvima u upravnom ili izvansudskom postupku, svaka pogođena fizička i pravna osoba ima pravo na djelotvoran pravni lijek u odnosu na pravno obvezujuće odluke koje su donijela nadležna tijela.

2.   Ako nadležno tijelo ne postupi na temelju pritužbe, svaka pogođena fizička i pravna osoba, u skladu s nacionalnim pravom, ima pravo na djelotvoran pravni lijek ili pristup preispitivanju koje provodi nepristrano tijelo s odgovarajućim stručnim znanjem.

3.   Postupci na temelju ovog članka pokreću se pred sudovima države članice nadležnog tijela protiv kojeg se pravno sredstvo podnosi pojedinačno ili, ako je to relevantno, kolektivno putem zastupnikâ jedne fizičke ili pravne osobe ili više njih.

Članak 40.

Sankcije

1.   Države članice utvrđuju pravila o sankcijama koje se primjenjuju na povrede ove Uredbe i poduzimaju sve potrebne mjere radi osiguranja njihove provedbe. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.

2.   Države članice do 12. rujna 2025. obavješćuju Komisiju o tim pravilima i mjerama te je bez odgode obavješćuju o svim naknadnim izmjenama koje na njih utječu. Komisija redovito ažurira i održava lako dostupan javni registar tih mjera.

3.   Države članice uzimaju u obzir preporuke EDIB-a i sljedeće netaksativne kriterije za izricanje sankcija za povrede ove Uredbe:

(a)

prirodu, težinu, opseg i trajanje povrede;

 

(b)

sve mjere koje je poduzela strana koja je počinila povredu kako bi ublažila ili popravila štetu prouzročenu povredom;

 

(c)

sve prethodne povrede koje je počinio počinitelj povrede;

 

(d)

financijske koristi koje je počinitelj stekao ili gubitke koje je izbjegao zbog povrede, u mjeri u kojoj se takve koristi ili gubici mogu pouzdano utvrditi;

 

(e)

sve ostale otegotne ili olakotne okolnosti koje su primjenjive na konkretni slučaj;

 

(f)

godišnji promet počinitelja povrede u prethodnoj financijskoj godini u Uniji.

4.   Za povrede obveza utvrđenih u poglavljima II., III. i V. ove Uredbe nadzorna tijela odgovorna za praćenje primjene Uredbe (EU) 2016/679 mogu u okviru svoje nadležnosti izreći upravne novčane kazne u skladu s člankom 83. Uredbe (EU) 2016/679 do iznosa iz članka 83. stavka 5. te uredbe.

5.   Za povrede obveza utvrđenih u poglavlju V. ove Uredbe Europski nadzornik za zaštitu podataka može u okviru svoje nadležnosti izreći upravne novčane kazne u skladu s člankom 66. Uredbe (EU) 2018/1725 do iznosa iz članka 66. stavka 3. te uredbe.

Članak 41.

Modeli ugovornih odredbi i standardne ugovorne klauzule

Komisija prije 12. rujna 2025. izrađuje i preporučuje neobvezujući model ugovornih odredbi o pristupu podacima i njihovoj uporabi, uključujući odredbe o razumnoj naknadi i zaštiti poslovnih tajni, te neobvezujuće standardne ugovorne klauzule za ugovore o računalstvu u oblaku kako bi pomogla stranama u izradi ugovora s pravednim, razumnim i nediskriminirajućim ugovornim pravima i obvezama i u postizanju dogovora o tim ugovorima u pregovorima.

Članak 42.

Uloga EDIB-a

EDIB, osnovan kao stručna skupina Komisije na temelju članka 29. Uredbe (EU) 2022/868, u kojem su predstavljena nadležna tijela, podupire dosljednu primjenu ove Uredbe:

(a)

savjetovanjem Komisije i pomaganjem Komisiji u vezi s razvojem dosljedne prakse nadležnih tijela u izvršavanju poglavlja II., III., V. i VII.;

 

(b)

olakšavanjem suradnje među nadležnim tijelima putem izgradnje kapaciteta i razmjene informacija, osobito uspostavom metoda za učinkovitu razmjenu informacija povezanih s izvršavanjem prava i obveza na temelju poglavlja II., III. i V. u prekograničnim slučajevima, uključujući koordinaciju u pogledu određivanja sankcija;

 

(c)

savjetovanjem Komisije i pomaganjem Komisiji u vezi s:

i.

time treba li zatražiti izradu usklađenih normi iz članka 33. stavka 4., članka 35. stavka 4. i članka 36. stavka 5.;

 

ii.

izradom provedbenih akata iz članka 33. stavka 5., članka 35. stavaka 5. i 8. i članka 36. stavka 6.;

 

iii.

izradom delegiranih akata iz članka 29. stavka 7. i članka 33. stavka 2.; i

 

iv.

donošenjem smjernica kojima se utvrđuju interoperabilni okviri zajedničkih normi i praksi za funkcioniranje zajedničkih europskih podatkovnih prostora iz članka 33. stavka 11.

POGLAVLJE X.

PRAVO SUI GENERIS NA TEMELJU DIREKTIVE 96/9/EZ

Članak 43.

Baze podataka koje sadržavaju određene podatke

Pravo sui generis predviđeno u članku 7. Direktive 96/9/EZ ne primjenjuje se ako su podaci pribavljeni ili generirani putem povezanog proizvoda ili povezane usluge obuhvaćenih područjem primjene ove Uredbe, osobito u vezi s njezinim člancima 4. i 5.

POGLAVLJE XI.

ZAVRŠNE ODREDBE

Članak 44.

Drugi pravni akti Unije kojima se uređuju prava i obveze u pogledu pristupa podacima i njihove uporabe

1.   Posebne obveze u pogledu stavljanja na raspolaganje podataka među poduzećima, između poduzeća i potrošača te u iznimnim slučajevima između poduzeća i javnih tijela u pravnim aktima Unije koji su stupili na snagu 11. siječnja 2024. ili prije toga datuma te u delegiranim ili provedbenim aktima koji se na njima temelje ostaju nepromijenjene.

2.   Ovom se Uredbom ne dovodi u pitanje pravo Unije kojim se utvrđuju, s obzirom na potrebe sektora, zajedničkog europskog podatkovnog prostora ili područja od javnog interesa, dodatni zahtjevi, posebno u odnosu na:

(a)

tehničke aspekte pristupa podacima;

 

(b)

ograničenja pravâ imateljâ podataka na pristup određenim podacima koje dostavljaju korisnici ili na njihovu uporabu;

 

(c)

aspekte osim pristupa podacima i njihove uporabe.

3.   Ovom Uredbom, uz iznimku poglavlja V., ne dovode se u pitanje pravo Unije i nacionalno pravo o pristupu podacima u svrhu znanstvenog istraživanja i odobravanju uporabe podataka u tu svrhu.

Članak 45.

Izvršavanje delegiranja ovlasti

1.   Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

2.   Ovlast za donošenje delegiranih akata iz članka 29. stavka 7. i članka 33. stavka 2. dodjeljuje se Komisiji na neodređeno vrijeme počevši od 11. siječnja 2024.

3.   Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 29. stavka 7. i članka 33. stavka 2. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

4.   Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

5.   Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

6.   Delegirani akt donesen na temelju članka 29. stavka 7. ili članka 33. stavka 2. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od tri mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za tri mjeseca na inicijativu Europskog parlamenta ili Vijeća.

Članak 46.

Postupak odbora

1.   Komisiji pomaže odbor osnovan Uredbom (EU) 2022/868. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2.   Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

Članak 47.

Izmjena Uredbe (EU) 2017/2394

U Prilogu Uredbi (EU) 2017/2394 dodaje se sljedeća točka:

„29.

Uredba (EU) 2023/2854 Europskog parlamenta i Vijeća od 13. prosinca 2023. o usklađenim pravilima za pravedan pristup podacima i njihovu uporabu i o izmjeni Uredbe (EU) 2017/2394 i Direktive (EU) 2020/1828 (Akt o podacima) (SL L, 2023/2854, 22.12.2023., ELI: http://data.europa.eu/eli/reg/2023/2854/oj).”.

Članak 48.

Izmjena Direktive (EU) 2020/1828

U Prilogu I. Direktivi (EU) 2020/1828 dodaje se sljedeća točka:

„68.

Uredba (EU) 2023/2854 Europskog parlamenta i Vijeća od 13. prosinca 2023. o usklađenim pravilima za pravedan pristup podacima i njihovu uporabu i o izmjeni Uredbe (EU) 2017/2394 i Direktive (EU) 2020/1828 (Akt o podacima) (SL L, 2023/2854, 22.12.2023., ELI: http://data.europa.eu/eli/reg/2023/2854/oj).”.

Članak 49.

Evaluacija i preispitivanje

1.   Komisija provodi evaluaciju ove Uredbe i podnosi izvješće o glavnim nalazima evaluacije Europskom parlamentu, Vijeću i Europskom gospodarskom i socijalnom odboru do 12. rujna 2028. Tom se evaluacijom posebno ocjenjuje sljedeće:

(a)

situacije koje treba smatrati situacijama iznimne potrebe za potrebe članka 15. ove Uredbe i primjene poglavlja V. ove Uredbe u praksi, osobito iskustvo tijelâ javnog sektora, Komisije, Europske središnje banke i tijela Unije u primjeni poglavlja V. ove Uredbe; broj i ishod postupaka upućenih nadležnom tijelu na temelju članka 18. stavka 5. o primjeni poglavlja V. ove Uredbe, kako su izvijestila nadležna tijela; utjecaj drugih obveza utvrđenih u pravu Unije ili nacionalnom pravu za potrebe ispunjavanja zahtjevâ za pristup informacijama; utjecaj mehanizama dobrovoljnog dijeljenja podataka, kao što su oni koje su uspostavile organizacije za podatkovni altruizam priznate na temelju Uredbe (EU) 2022/868, na ispunjavanje ciljeva poglavlja V. ove Uredbe i uloga osobnih podataka u kontekstu članka 15. ove Uredbe, uključujući razvoj tehnologija za unapređenje zaštite privatnosti;

 

(b)

učinak ove Uredbe na uporabu podataka u gospodarstvu, među ostalim na inovacije u području podataka, prakse monetizacije podataka i usluge podatkovnog posredovanja, kao i na dijeljenje podataka unutar zajedničkih europskih podatkovnih prostora;

 

(c)

pristupačnost i uporaba različitih kategorija i vrsta podataka;

 

(d)

isključivanje određenih kategorija poduzeća kao korisnika na temelju članka 5.;

 

(e)

izostanak bilo kakvog utjecaja na prava intelektualnog vlasništva;

 

(f)

učinak na poslovne tajne, među ostalim i na zaštitu od njihova nezakonitog pribavljanja, uporabe i otkrivanja, kao i učinak mehanizma koji imatelju podataka omogućuje da odbije korisnikov zahtjev na temelju članka 4. stavka 8. i članka 5. stavka 11., uzimajući pritom u obzir, u mjeri u kojoj je to moguće, eventualnu reviziju Direktive (EU) 2016/943;

 

(g)

je li popis nepoštenih ugovornih odredbi iz članka 13. ažuriran s obzirom na nove poslovne prakse i brz tempo razvoja inovacija na tržištu;

 

(h)

promjene u ugovornim praksama pružateljâ usluga obrade podataka te dovodi li to do dovoljne usklađenosti s člankom 25.;

 

(i)

smanjenje naknada koje nameću pružatelji usluga obrade podataka za proces promjene, u skladu s postupnim ukidanjem naknada za promjenu na temelju članka 29.

 

(j)

interakcija ove Uredbe s drugim pravnim aktima Unije koji su važni za podatkovno gospodarstvo;

 

(k)

sprečavanje nezakonitog pristupa tijelâ vlasti neosobnim podacima;

 

(l)

učinkovitost režima izvršavanja na temelju članka 37.;

 

(m)

učinak ove Uredbe na MSP-ove s obzirom na njihovu inovacijsku sposobnost i na dostupnost usluga obrade podataka za korisnike u Uniji te opterećenje u vezi s ispunjavanjem novih obveza.

2.   Komisija provodi evaluaciju ove Uredbe i podnosi izvješće o glavnim nalazima evaluacije Europskom parlamentu, Vijeću i Europskom gospodarskom i socijalnom odboru do 12. rujna 2028. Tom se evaluacijom ocjenjuje učinak članaka od 23. do 31. te članaka 34. i 35., osobito u pogledu određivanja cijena i raznovrsnosti usluga obrade podataka koje se nude u Uniji, s posebnim naglaskom na pružateljima koji su MSP-ovi.

3.   Države članice dostavljaju Komisiji sve potrebne informacije za izradu izvješća iz stavaka 1. i 2.

4.   Na temelju izvješća iz stavaka 1. i 2. Komisija može, prema potrebi, podnijeti zakonodavni prijedlog Europskom parlamentu i Vijeću radi izmjene ove Uredbe.

Članak 50.

Stupanje na snagu i primjena

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Primjenjuje se od 12. rujna 2025.

Obveza koja proizlazi iz članka 3. stavka 1. primjenjuje se na povezane proizvode i usluge koje su s njima povezane i koji su stavljeni na tržište nakon 12. rujna 2026.

Poglavlje III. primjenjuje se samo u odnosu na obveze stavljanja podataka na raspolaganje na temelju prava Unije ili nacionalnog zakonodavstva donesenog u skladu s pravom Unije, a koje stupi na snagu nakon 12. rujna 2025.

Poglavlje IV. primjenjuje se na ugovore sklopljene nakon 12. rujna 2025.

Poglavlje IV. primjenjuje se od 12. rujna 2027. na ugovore sklopljene 12. rujna 2025. ili prije toga datuma pod uvjetom da:

(a)

sklopljeni su na neodređeno vrijeme; ili

 

(b)

istječu barem 10 godina od 11. siječnja 2024.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Strasbourgu 13. prosinca 2023.

Za Europski parlament

Predsjednica

R. METSOLA

Za Vijeće

Predsjednik

P. NAVARRO RÍOS

(1)   SL C 402, 19.10.2022., str. 5.

(2)   SL C 365, 23.9.2022., str. 18.

(3)   SL C 375, 30.9.2022., str. 112.

(4)  Stajalište Europskog parlamenta od 9. studenoga 2023. (još nije objavljeno u Službenom listu) i odluka Vijeća od 27. studenoga 2023.

(5)  Preporuka Komisije 2003/361/EZ od 6. svibnja 2003. o definiciji mikropoduzeća te malih i srednjih poduzeća (SL L 124, 20.5.2003., str. 36.).

(6)  Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(7)  Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).

(8)  Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

(9)  Direktiva Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (SL L 95, 21.4.1993., str. 29.).

(10)  Direktiva 2005/29/EZ Europskog parlamenta i Vijeća od 11. svibnja 2005. o nepoštenoj poslovnoj praksi poslovnog subjekta u odnosu prema potrošaču na unutarnjem tržištu i o izmjeni Direktive Vijeća 84/450/EEZ, direktiva 97/7/EZ, 98/27/EZ i 2002/65/EZ Europskog parlamenta i Vijeća, kao i Uredbe (EZ) br. 2006/2004 Europskog parlamenta i Vijeća („Direktiva o nepoštenoj poslovnoj praksi”) (SL L 149, 11.6.2005., str. 22.).

(11)  Direktiva 2011/83/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravima potrošača, izmjeni Direktive Vijeća 93/13/EEZ i Direktive 1999/44/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Direktive Vijeća 85/577/EEZ i Direktive 97/7/EZ Europskog parlamenta i Vijeća (SL L 304, 22.11.2011., str. 64.).

(12)  Uredba (EU) 2021/784 Europskog parlamenta i Vijeća od 29. travnja 2021. o borbi protiv širenja terorističkog sadržaja na internetu (SL L 172, 17.5.2021., str. 79.).

(13)  Uredba (EU) 2022/2065 Europskog parlamenta i Vijeća od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ (Akt o digitalnim uslugama) (SL L 277, 27.10.2022., str. 1.).

(14)  Uredba (EU) 2023/1543 Europskog parlamenta i Vijeća оd 12. srpnja 2023. o europskim nalozima za dostavljanje i europskim nalozima za čuvanje elektroničkih dokaza u kaznenim postupcima i za izvršenje kazni zatvora nakon kaznenog postupka (SL L 191, 28.7.2023., str. 118.).

(15)  Direktiva (EU) 2023/1544 Europskog parlamenta i Vijeća оd 12. srpnja 2023. o utvrđivanju usklađenih pravila za imenovanje imenovanih poslovnih nastana i pravnih zastupnika za potrebe prikupljanja elektroničkih dokaza u kaznenim postupcima (SL L 191, 28.7.2023., str. 181.).

(16)  Uredba (EU) 2015/847 Europskog parlamenta i Vijeća od 20. svibnja 2015. o informacijama koje su priložene prijenosu novčanih sredstava i o stavljanju izvan snage Uredbe (EZ) br. 1781/2006 (SL L 141, 5.6.2015., str. 1.).

(17)  Direktiva (EU) 2015/849 Europskog parlamenta i Vijeća od 20. svibnja 2015. o sprečavanju korištenja financijskog sustava u svrhu pranja novca ili financiranja terorizma, o izmjeni Uredbe (EU) br. 648/2012 Europskog parlamenta i Vijeća te o stavljanju izvan snage Direktive 2005/60/EZ Europskog parlamenta i Vijeća i Direktive Komisije 2006/70/EZ (SL L 141, 5.6.2015., str. 73.).

(18)  Direktiva (EU) 2019/882 Europskog parlamenta i Vijeća od 17. travnja 2019. o zahtjevima za pristupačnost proizvoda i usluga (SL L 151, 7.6.2019., str. 70.).

(19)  Direktiva 2001/29/EZ Europskog parlamenta i Vijeća od 22. svibnja 2001. o usklađivanju određenih aspekata autorskog i srodnih prava u informacijskom društvu (SL L 167, 22.6.2001., str. 10.).

(20)  Direktiva 2004/48/EZ Europskog parlamenta i Vijeća od 29. travnja 2004. o provedbi prava intelektualnog vlasništva (SL L 157, 30.4.2004., str. 45.).

(21)  Direktiva (EU) 2019/790 Europskog parlamenta i Vijeća od 17. travnja 2019. o autorskom i srodnim pravima na jedinstvenom digitalnom tržištu i izmjeni direktiva 96/9/EZ i 2001/29/EZ (SL L 130, 17.5.2019., str. 92.).

(22)  Uredba (EU) 2022/868 Europskog parlamenta i Vijeća od 30. svibnja 2022. o europskom upravljanju podacima i izmjeni Uredbe (EU) 2018/1724 (Akt o upravljanju podacima) (SL L 152, 3.6.2022., str. 1.).

(23)  Direktiva (EU) 2016/943 Europskog parlamenta i Vijeća od 8. lipnja 2016. o zaštiti neotkrivenih znanja i iskustva te poslovnih informacija (poslovne tajne) od nezakonitog pribavljanja, korištenja i otkrivanja (SL L 157, 15.6.2016., str. 1.).

(24)  Direktiva 98/6/EZ Europskog parlamenta i Vijeća od 16. veljače 1998. o zaštiti potrošača prilikom isticanja cijena proizvoda ponuđenih potrošačima (SL L 80, 18.3.1998., str. 27.).

(25)  Direktiva 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini) (SL L 178, 17.7.2000., str. 1.).

(26)  Uredba (EU) 2022/1925 Europskog parlamenta i Vijeća od 14. rujna 2022. o pravednim tržištima s mogućnošću neograničenog tržišnog natjecanja u digitalnom sektoru i izmjeni direktiva (EU) 2019/1937 i (EU) 2020/1828 (Akt o digitalnim tržištima) (SL L 265, 12.10.2022., str. 1.).

(27)  Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju Odbora za statistički program Europskih zajednica (SL L 87, 31.3.2009., str. 164.).

(28)  Direktiva (EU) 2019/1024 Europskog parlamenta i Vijeća od 20. lipnja 2019. o otvorenim podatcima i ponovnoj uporabi informacija javnog sektora (SL L 172, 26.6.2019., str. 56.).

(29)  Direktiva 96/9/EZ Europskog parlamenta i Vijeća od 11. ožujka 1996. o pravnoj zaštiti baza podataka (SL L 77, 27.3.1996., str. 20.).

(30)  Uredba (EU) 2018/1807 Europskog parlamenta i Vijeća od 14. studenoga 2018. o okviru za slobodan protok neosobnih podataka u Europskoj uniji (SL L 303, 28.11.2018., str. 59.).

(31)  Direktiva (EU) 2019/770 Europskog parlamenta i Vijeća od 20. svibnja 2019. o određenim aspektima ugovora o isporuci digitalnog sadržaja i digitalnih usluga (SL L 136, 22.5.2019., str. 1.).

(32)  Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1.).

(33)  Uredba (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012. o europskoj normizaciji, o izmjeni direktiva Vijeća 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (SL L 316, 14.11.2012., str. 12.).

(34)  Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).

(35)  Odluka br. 768/2008/EZ Europskog parlamenta i Vijeća od 9. srpnja 2008. o zajedničkom okviru za stavljanje na tržište proizvoda i o stavljanju izvan snage Odluke Vijeća 93/465/EEZ (SL L 218, 13.8.2008., str. 82.).

(36)  Uredba (EU) 2017/2394 Europskog parlamenta i Vijeća od 12. prosinca 2017. o suradnji između nacionalnih tijela odgovornih za izvršavanje propisâ o zaštiti potrošača i o stavljanju izvan snage Uredbe (EZ) br. 2006/2004 (SL L 345, 27.12.2017., str. 1.).

(37)  Direktiva (EU) 2020/1828 Europskog parlamenta i Vijeća od 25. studenoga 2020. o predstavničkim tužbama za zaštitu kolektivnih interesa potrošačâ i stavljanju izvan snage Direktive 2009/22/EZ (SL L 409, 4.12.2020., str. 1.).

(38)   SL L 123, 12.5.2016., str. 1.

(39)  Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0847 (electronic edition)

 

 

Copyright © Ante Borić