Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog Akt o podacima - u primjeni od rujna 2025.

Akt o podacima - u primjeni od rujna 2025.

Svi članci
30.04.2025.

Akt o podacima kao izazov za zaštitu podataka

Ne samo zaštitu podataka, već i njihovo dijeljenje pod određenim okolnostima - taj će zadatak tvrtke preuzeti od rujna 2025. godine kada se Uredba(EU) 2023/2854 od 13. prosinca 2023., poznata kao Akt o podacima, mora provesti kao izravno primjenjivo pravo država članica. To zahtijeva od zaposlenika koji su interno odgovorni za zaštitu podataka da se unaprijed upoznaju s novim obvezama.

Uloga tijela za zaštitu podataka također se mijenja. U budućnosti, ako se dvije tvrtke spore oko otkrivanja podataka o kupcima, tijelo za zaštitu podataka će, ako je potrebno, naložiti da se pristup mora odobriti u skladu sa zahtjevima Akta o podacima.

Bitan sadržaj

Akt o podacima ima za cilj razbiti postojeće monopole na pristup podacima s umreženih uređaja na način da bi i drugi gospodarski subjekti mogli koristiti podatke generirane tijekom korištenja umreženih uređaja. Također, tvrtke i privatne osobe koje same koriste umrežene uređaje će imati pristup podacima koje njihovi uređaji generiraju. Fokus je na takozvanim internet stvarima - to su povezani proizvodi koji putem svojih sastavnih dijelova ili operativnih sustava pribavljaju, generiraju ili prikupljaju podatke o svojoj izvedbi, uporabi ili okruženju i koji te podatke mogu poslati putem elektroničke komunikacijske usluge, fizičke veze ili pristupa na uređaju (na primjer: umreženi strojevi, vozila, kućanski aparati, televizori te medicinska i fitness oprema). 

Do sada je situacija često bila da proizvodi redovito šalju podatke o korištenju i, na primjer, trošenju pojedinačnih dijelova ili usluga njihovim proizvođačima. To proizvođačima vozila, na primjer, pruža važne povratne informacije o korištenju njihovih automobila, od kojih bi mogle imati koristi i radionice ili proizvođači rezervnih dijelova. Međutim, do sada uglavnom nisu imali besplatan pristup. Isto vrijedi i za korisnike.

Akt o podacima namijenjen je omogućivanju i pojedincima i korporativnim kupcima koji su kupili proizvod s pristupom internetu da sami odrede kome se otkrivaju podaci generirani tijekom korištenja. Ovi novi uvidi u početku će omogućiti samim korisnicima da procijene svoje ponašanje korištenja i optimiziraju vlastite procese. Korisnici će također moći radionicama ili proizvođačima rezervnih dijelova, na primjer, pružiti analizu podataka koje generira uređaj putem licencnih ugovora. Akt o podacima sadrži odredbe o pravednom strukturiranju takvih ugovora.

  • Primjer: Vlasnik vozila želi da se njegovo vozilo pregleda u radionici po njegovom izboru. Akt o podacima osigurava da radionica primi sve podatke o korištenju koje je vozilo prenijelo proizvođaču. Od toga bi posebno trebali imati koristi operateri koji nisu ovlaštene radionice proizvođača.
  • Primjer: Umrežena električna četkica za zube šalje podatke o statistici korištenja putem interneta u oblak kako bi korisnici mogli pristupiti statistikama u aplikaciji. Akt o podacima omogućuje korisniku četkice za zube pregled svih sirovih podataka, čak i ako ih aplikacija ne prikazuje ili ih prikazuje samo u agregiranom obliku. Treće strane, poput stomatoloških istraživačkih institucija ili proizvođača zamjenskih glava četkica, također mogu imati koristi od statistike.
  • Primjer: Kontejneri koji se koriste u teretnom prijevozu obično imaju brojne integrirane senzore koji bilježe lokaciju, istrošenost raznih komponenti i incidente poput neobičnih kutova nagiba ili neovlaštenih otvaranja. Ove se informacije online šalju proizvođaču ili najmodavcu kontejnera. Akt o podacima stvara mogućnosti pristupa, na primjer za brodarske tvrtke koje žele optimizirati svoje rute ili za proizvođače rezervnih dijelova za istrošene kontejnere.

Akt o podacima sadrži brojne nove zakonske obveze:

Pristup podacima: Pristup podacima od strane tvrtki trećih strana je u središtu Akta o podacima. Pravo pristupa odnosi se na sve vrste podataka - i osobne podatke i neosobne podatke.

Prema cilju regulative, sve vrste podataka mogu se dijeliti s trećim stranama pod određenim okolnostima, ali osobni podaci mogu se dijeliti samo ako regulativa o zaštiti podataka to ne sprječava. Međutim, u mnogim slučajevima neće postojati zakonska osnova za otkrivanje osobnih podataka. Kao rezultat toga, temeljne obveze Akta o podacima zapravo se uglavnom odnose na neosobne podatke. Procjenu postoji li osobna referenca i bi li u tom slučaju prijenos podataka bio u skladu s GDPR-om može smisleno i obvezujuće ispitati i odlučiti samo osoblje odgovorno za zaštitu podataka u tvrtki (DPO).

  • Primjer: Podaci s umrežene četkice za zube pružaju informacije o zdravlju osobe koja je koristi. Takve se informacije smiju dijeliti s trećim stranama samo ako je dotična osoba dala svoj pristanak. Međutim, ne postoji osobna referenca koja bi spriječila otkrivanje ako su podaci koje pohranjuje proizvođač anonimizirani. U tom slučaju, na primjer, agregirane informacije o stupnju istrošenosti svih glava četkice mogu se poslati proizvođačima rezervnih dijelova.

Ukoliko je to „relevantno i tehnički izvedivo“ (čl. 3. st. 1. Akta o podacima), pristup se mora odobriti izravno putem sučelja ili korisničkog portala. U suprotnom, potreban je zahtjev za pristup, o kojem se mora odlučivati individualno.

Propisi za hitne slučajeve: Podaci umreženih uređaja moraju se otkriti javnim tijelima u slučaju iznimne nužde, poput prirodnih katastrofa i drugih izvanrednih situacija. U pojedinačnim slučajevima, ovlaštena tijela mogu izdati obvezujući nalog za otkrivanje određenih podataka ako je to potrebno za rješavanje izvanredne situacije i ne mogu se učinkovito i brzo prikupiti na bilo koji drugi način.

Podaci tada moraju biti dostupni osim ako to nije zabranjeno regulativom o zaštiti podataka. Istraživačke institucije ili statistički uredi također mogu primiti podatke u određenim slučajevima.

  • Primjer: Tijekom olujnog udara, Ministarstvo unutarnjih poslova traži podatke s umreženih brojila električne energije u stambenim zgradama kako bi izvuklo zaključke o stupnju poplave u nekom području.
  • Primjer: U slučaju akutne nestašice prirodnog plina tijekom jake zime, nadležno tijelo traži podatke od energetskih tvrtki ili operatera plinovodne mreže.

Prebacivanje u oblak: Propisi o prelasku iz oblaka u oblak ekonomski su značajni. U budućnosti, pružatelji usluga obrade podataka moraju poduzeti tehničke mjere kako bi osigurali da korisnici mogu lako prijeći na alternativnog pružatelja usluga. To će prekinuti prethodne učinke vezanosti. Umjesto toga, u budućnosti se moraju uspostaviti procesi koji će omogućiti jednostavno "premještanje" podataka s jednog pružatelja usluga u oblaku na drugog. Akt o podacima također ograničava ugovorne obveze koje stoje na putu prelaska.

  • Primjer: Sportašica želi promijeniti svoj povezani ručni sat i nastaviti ažurirati statistiku iz prošlosti pohranjenu u oblaku prethodnog proizvođača.

Međunarodni podatkovni promet: Pružatelji usluga obrade podataka moraju osigurati da podaci ostanu u europskom podatkovnom prostoru ako bi prijenos u treću zemlju bio u suprotnosti s domaćim zakonodavstvom. Zahtjevi se razlikuju od onih iz GDPR-a, koji u načelu zabranjuje sve prijenose osobnih podataka u zemlje bez odgovarajuće razine zaštite podataka i dopušta ih samo uz dodatne pravne i, ako je potrebno, tehničke mjere. Za neosobne podatke logika je obrnuta: u načelu je svaki prijenos u treće zemlje dopušten, ali je u iznimnim slučajevima podložan ograničenjima.

Obveze provedbe u društvima

Obveze koje proizlaze iz Akta o podacima zahtijevaju temeljitu pripremu u dotičnim tvrtkama. Dodirne točke s GDPR-om su očite. Stoga je važno interno uključiti zaposlenike odgovorne za zaštitu podataka. Ključne provedbene aktivnosti su:

1. Provjerite područje primjene: Nisu sve tvrtke koje obrađuju podatke također podložne obvezama prema Aktu o podacima.

Područje primjene u početku uključuje subjekte koji se bave umreženim uređajima kao proizvođači, vlasnici podataka ili korisnici. Posebne obveze primjenjuju se i na usluge obrade podataka i pružatelje usluga u oblaku. Prava pristupa vlasti u slučaju nužde također potencijalno utječu na gotovo sve tvrtke, bez obzira koriste li umrežene uređaje. Iznimke se primjenjuju na mala poduzeća. Međutim, čak i za tvrtke koje nisu podložne nikakvim ili samo minimalnim obvezama, vrijedi pobliže pogledati Akt o podacima. Akt im može ponuditi prilike da imaju koristi od podataka koje su proizvođači prethodno držali izolirano.

2. Izradite pregled podataka: Svatko tko je obvezan dati pristup informacijama prvo bi trebao dobiti pregled o tome koji su podaci dostupni.

Zapis o aktivnostima obrade u skladu s člankom 30. GDPR-a može biti početna točka za to. Međutim, on sadrži samo obradu osobnih podataka, dok Akt o podacima također zahtijeva da se uzmu u obzir podaci bez osobne reference. Osim pripreme za zakonske obveze koje proizlaze iz Akta o podacima, pregled podataka može poslužiti i za prepoznavanje potencijala za optimizaciju procjene vlastite zalihe podataka. Samo sveobuhvatan, centralizirani pregled može otkriti koje su informacije dostupne u odgovarajućim odjelima koje bi mogle biti od interesa za druga područja.

  • Primjer : Odjel za održavanje logističke tvrtke prikuplja podatke senzora iz kontejnera, željezničkih vagona i kamiona. U određenim okolnostima, ove informacije mogu biti korisne i za optimizaciju planiranja ruta. Međutim, to se može postići samo ako je odjel odgovoran za organizaciju dostavnih ruta svjestan postojanja i formata podataka senzora.

3. Pojasnite osobnu referencu: Na pitanje treba li trećim stranama odobriti pristup podacima može se smisleno odgovoriti samo ako se zna jesu li dotične informacije osobne ili ne. To će možda trebati ponovno procijeniti u svjetlu Akta o podacima.

Definicija osobnih podataka nije se promijenila. Međutim, u slučajevima sumnje, prije je bilo uobičajeno i razumno pretpostaviti da se radi o osobnim podacima i podvrgnuti ih zaštiti GDPR-a. U budućnosti se mora napraviti jasnija razlika. Mora biti moguće precizno navesti je li neki podatak neosoban i stoga se mora otkriti ili je osoban i stoga se mora uskratiti ako je potrebno (propisano da se smije odbiti pristup). Posebno se moraju provjeriti mješoviti skupovi podataka. Zajednički skupovi podataka koji se sastoje od podataka s osobnom referencom i bez nje do sada su se uglavnom klasificirali kao osobni podaci. U budućnosti će biti potrebno razlikovanje ovisno o određenom datumu u mješovitom skupu podataka.

4. Poslovne tajne: Zaštita podataka nije jedina moguća prepreka pristupu podacima.

Na primjer, zahtjevi za pristup mogu se odbiti na temelju toga da su dotični podaci poslovne tajne. Da bi se to postiglo, potrebno je moći dokazati da ne postoji samo subjektivna želja da se informacije zadrže za sebe. Umjesto toga, mora postojati objektivna potreba za povjerljivošću u smislu da bi otkrivanje informacija rezultiralo štetom. Klasifikacija podataka kao poslovne tajne trebala bi se u skladu s tim zabilježiti u pregledu podataka.
5. Postavljanje sučelja: Umreženi proizvodi uvijek bi trebali biti dizajnirani na način da korisnici mogu lako pristupiti, koristiti i dijeliti podatke koje generiraju.

Prilikom odobravanja pristupa, mora se voditi računa o sigurnom prijenosu koji neovlaštene treće strane ne mogu vidjeti. Za tu svrhu trebali bi postojati prikladna sučelja i/ili internetski portali s korisničkim računima. Međutim, izravan pristup putem sučelja nije obavezan u svakom slučaju. Na proizvođaču je da odluči u kojoj je mjeri izravan pristup „relevantan i tehnički izvediv“ u smislu članka 3. stavka 1. Odluka proizvođača mora biti razumljiva, a pažljivo obrazloženje treba biti dokumentirano.
6. Pripremite ugovore: Svatko tko je u budućnosti obvezan sklapati licencne ugovore s korisnicima i primateljima podataka trebao bi pripremiti odgovarajuće predloške. Isto se odnosi i na svako potrebno upravljanje privolama. Uglavnom ispitanici daju svoju privolu kako bi se njihovi podaci mogli obrađivati.

  • Primjer: Ako proizvođač vozila mora predati podatke senzora proizvođaču rezervnih dijelova, uvjeti za to moraju biti navedeni u ugovoru. Konkretno, obje strane trebaju se dogovoriti o cijeni. Obje strane trebaju biti spremne za takve pregovore tako što će unaprijed definirati ključne točke i imati pripremljene primjere ugovora. Ako podaci o vozilu pružaju informacije o ponašanju vlasnika ili korisnika tijekom vožnje, pristup podacima može zahtijevati privolu tih osoba. Formulacija privole ne bi trebala biti prepuštena krajnjem kupcu, već bi je trebale sastaviti uključene tvrtke.

7. Transparentnost: Akt o podacima sadrži obveze informiranja, uključujući i prilikom sklapanja ugovora za mrežni proizvod. Tekstovi koje treba pripremiti slični su informacijama o zaštiti podataka prema članku 13. GDPR-a. Mogu biti usmjereni i na druge adresate jer kupci uređaja nisu nužno i korisnici. Ipak, ima smisla standardizirati sadržaj dokumenata koji objašnjavaju postupke obrade u skladu sa Aktom o padacima i GDPR-om

Interakcija između GDPR-a i Akta o podacima

Akt o podacima "primjenjuje se bez obzira na (...) regulativu o zaštiti osobnih podataka". Članak 1. stavak 5. stoga propisuje da odredbe Akta o podacima ne utječu na GDPR. Odredba također pojašnjava da u slučaju sukoba između dvaju pravnih akata, GDPR ima prednost. Oba pravna akta su europske uredbe istog ranga, ali im je predviđeno kolizijsko pravilo u korist zaštite podataka. To znači da obje uredbe treba što je više moguće uskladiti u njihovoj primjeni. Samo tamo gdje se pojavi nepomirljiva suprotnost, relevantna odredba Akta o podacima ne smije se primijeniti u konkretnom slučaju kako bi se osigurala potpuna provedba zaštite osobnih podataka.

U praksi to znači da se ne može odobriti pristup podacima koji nisu obuhvaćeni dopuštenom obradom podataka prema GDPR-u. To se odnosi samo na one odredbe Akta o podacima koje se odnose na osobne podatke.

Primjenjuju se mnoge odredbe Akta o podacima. međutim, izričito samo za neosobne podatke. Jedan primjer su propisi o međunarodnom protoku
podataka u članku 31. GDPR-a. Poglavlje V. GDPR-a konačno regulira uvjete pod kojima se osobni podaci mogu slati u treće zemlje, dok se nova ograničenja Akta o podacima izričito primjenjuju samo na neosobne podatke. Stoga u ovom području nema dodirnih točaka između Akta o podacima i GDPR-a, što znači da se oba pravna akta primjenjuju paralelno. Međutim, srž Akta o podacima odnosi se na obje vrste podataka: prava pristupa za korisnike i treće strane primjenjuju se i na osobne i na neosobne podatke. Pristup osobnim podacima također je prijenos ili otkrivanje, tj. obrada prema GDPR-u.

Prema pravilu o koliziji odredba u članku 1. stavku 5. GDPR-a, prilikom odobravanja pristupa treba paziti da se ne naruše prava na zaštitu podataka. Posljedično, to znači da pristup neosobnim podacima mora biti odobren u svakom trenutku ako su ispunjeni uvjeti, ali pristup osobnim podacima mora biti odobren samo ako GDPR to ne sprječava. Stoga, čak i ako su ispunjeni uvjeti Akta o podacima, osobni podaci mogu se otkriti samo ako za to postoji pravna osnova u skladu s člankom 6. GDPR-a. U slučaju posebno osjetljivih podataka u smislu članka 9. stavka 1. GDPR-a, mora postojati i dopuštenje prema stavku 2. U suprotnom, zahtjev za pristup valjan prema Aktu o podacima mora se odbiti ili se ne smije aktivirati sučelje.

  • Primjer: Sat za trčanje sportaša prikuplja podatke o njegovoj razini kondicije. Akt o podacima ne sprječava sportaša da postavi sučelje putem kojeg može pristupiti vlastitim statistikama trčanja u aplikaciji. Trkač stoga ima odgovarajuće pravo pristupa prema Aktu o podacima.

Ako je tijelo koje traži pristup za sebe ili treću stranu ujedno i ispitanik u smislu članka 4. br. 1. GDPR-a, pravna osnova prema članku 6. GDPR-a obično ne predstavlja problem. Ispitnik tada može dati i privolu za prijenos podataka. Ovisno o specifičnoj formulaciji, sam zahtjev također se može smatrati implicitnom privolom. Mogući su i ugovori između ispitanika i treće strane, koji zajedno s člankom 6. stavkom 1. lit. b) GDPR-a čine pravnu osnovu za otkrivanje. Ako ispitanik koji traži pristup nije ujedno i ispitanik u smislu GDPR-a, u pojedinačnim slučajevima kao moguća pravna osnova može se uzeti mogući prevladavajući legitimni interes u skladu s člankom 6. stavkom 1. točkom f) GDPR-a ili primjenjivi ugovor u skladu s točkom b). Alternativno, za očekivati je da će tvrtke koje žele koristiti osobne podatke u budućnosti tražiti od ispitanika (u većini slučajeva) da daju svoj pristanak.

  • Primjer: Ako druga tijela poput fitness aplikacija  ili zdravstvenih osiguravajućih društava žele preuzeti podatke s trkačkog sata sportaša, potrebna im je pravna osnova prema GDPR-u. Ovdje treba napomenuti da su informacije o kondicijskom stanju sportaša zdravstveni podaci u skladu s člankom 9. stavkom 1. GDPR-a. U pravilu se to može otkriti samo ako je sportaš na to pristao. Odgovarajuća sučelja prema IT sustavima trećih strana stoga se moraju aktivirati tek nakon što se osigura da su ispunjeni uvjeti za prijenos podataka.
  • Primjer: Kako bi optimizirao svoju uslugu popravka, automobilski klub želi zatražiti podatke o korištenju vozila koji su trenutno dostupni samo od odgovarajućih proizvođača. Kako bi zahtjev za pristup uskladio s GDPR-om, automobilski klub ima mogućnost zatražiti od svojih članova da daju unaprijed formuliranu suglasnost odgovarajućim proizvođačima. S jedne strane, klub može sam prikupiti izjave o suglasnosti i priložiti ih svom zahtjevu za pristup proizvođačima. Alternativno, klub može zatražiti od svojih članova da sami pošalju svoje suglasnosti odgovarajućem proizvođaču vozila.

Sadržajno, pravo pristupa prema Aktu o podacima snažno se preklapa s pravom na prenosivost podataka prema članku 20. GDPR-a ako je korisnik ujedno i ispitanik. Sadržajno, zahtjev prema Aktu o podacima ide dalje jer obuhvaća i neosobne podatke.

Ako se zahtjevi za pristup podnose jer nije postavljeno sučelje za izravan pristup, tumačenjem se mora utvrditi koji je od dva zahtjeva podnesen. U slučaju sumnje, mora se pretpostaviti da su zahtjevi prema GDPR-u i Zakonu o podacima podneseni paralelno ako ne postoji izričito ograničenje. Posljedica toga je da se isti podaci ponekad mogu tražiti prema različitim propisima.

Ako se nadzorna tijela prema Aktu o podacima i GDPR-u razlikuju, iste činjenice mogu se prijaviti objema tijelima i oba tijela ih mogu pokrenuti nadzor.

Osim zakonitosti pristupa podacima, oba pravna akta preklapaju se u pogledu sigurnosti podataka.

Akt o podacima i GDPR obvezuju uključene strane da osiguraju sigurnost razmjene podataka i da su podaci koji ih primaju zaštićeni od neovlaštenog pristupa tehničkim i organizacijskim mjerama.

Ovaj zahtjev iz čl. 32 GDPR-a vrlo je sličan čl. 4. st. 6., čl. 5., čl. 17. st. 1. t. g) i čl. 19. st. 1. točka b) Akta o podacima. Ovi propisi sadrže zahtjev za uspostavljanjem tehničkih i organizacijskih mjera kako bi se osigurala povjerljivost za određene konstelacije. Što su to konkretno i koliko se proteže razina zaštite koja se treba uspostaviti procjenjuje se u oba pravna akta prema pristupu temeljenom na riziku i to na temelju vrijednosti zaštite podataka, vjerojatnosti napada (incidenta) i okolnosti pojedinog slučaja. GDPR i Akt o podacima imaju isti cilj i istu metodologiju stoga je preporučljivo provoditi jedinstvene zaštitne mjere bez obzira na osobnu prirodu podataka.

Službeni nadzor

Glavni sadržaj Akta o podacima strukturiran je u obliku građanskopravnih zahtjeva za pristup podacima, koji se mogu potkrijepiti ugovorima o licenci. Provedba prava stoga je također prvenstveno usmjerena na ostvarivanje privatnih zahtjeva putem građanskog prava. Međutim, Akt o podacima također predviđa regulatornu strukturu.

Dvostupanjski nadzor

Prema članku 37. Akta o zaštiti podataka, nadzor je podijeljen u dva dijela.

Prvo, svaka država članica mora odrediti „glavno nadzorno tijelo“ za sve konstelacije koje se ne odnose na zaštitu osobnih podataka. Međutim, ako se nadzorni slučaj odnosi na osobne podatke, tijela odgovorna za praćenje GDPR-a automatski su ujedno i nadzorno tijelo prema Aktu o podacima u skladu s člankom 37. stavkom 3 Akta. Samo u prvom slučaju postoji prostor za provedbu od strane država članica.

U drugom slučaju nema se što provoditi jer pravo EU-a jasno određuje tijela za zaštitu podataka osnovana prema GDPR-u. Zakonodavna namjera je razumljiva. Pitanja o tome treba li se pristup osobnim podacima odobriti prema Aktu o podacima prvenstveno će se mjeriti time isključuju li to zahtjevi GDPR-a. O tome može s obvezujućim učinkom odlučiti samo tijelo koje je ionako odgovorno za nadzor GDPR-a. Stoga se u slučajevima koji uključuju osobne podatke zakonodavac EU-a odlučio za obvezno suglasje sa strukturom tijela prema GDPR-u.

Propisi o zaštiti podataka u Aktu o podacima

Prema članku 37. stavku 3. podstavku 1. Akta o zaštiti podataka, tijela za zaštitu podataka „također su odgovorna za praćenje primjene ove Uredbe u pogledu zaštite osobnih podataka“.

Odredba ne određuje s apsolutnom jasnoćom koje skupine slučajeva iz Akta o podacima spadaju pod „zaštita osobnih podataka“. Ako se usko tumači, varijanta nadležnosti mogla bi se ograničiti na propise koji se izričito bave „zaštitom“, tj. ne stavljanjem podataka na raspolaganje, već ograničavanjem njihove dostupnosti. Međutim, takvo usko tumačenje bilo bi suprotno cilju zakonodavca da procijeni jesu li zahtjevi GDPR-a u sukobu sa zahtjevima za pristup iz jednog izvora. Prema preferiranom tumačenju, tijela za zaštitu podataka stoga su uvijek odgovorna kada su u nekom slučaju pogođeni osobni podaci.

Posebno, odobravanje i odbijanje pristupa osobnim podacima moraju osigurati tijela za zaštitu podataka. 

Zadaci i ovlasti nadzornog tijela

Zadaci i ovlasti tijela za zaštitu podataka nisu izričito navedeni u Aktu o podacima, već su stvoreni pozivanjem na GDPR. Članak 37. stavak 3. rečenica 2. Akta o zaštiti podataka navodi: „Poglavlja VI. i VII. Uredbe (EU) 2016/679 primjenjuju se mutatis mutandis.“ Dva poglavlja na koja se upućuje sadrže sljedeći sadržaj:

  • Poglavlje VI. GDPR-a: Neovisna nadzorna tijela, uključujući ovlasti (čl. 51.-59. GDPR-a) i zadatke (čl. 57. GDPR-a).
  • Poglavlje VII. GDPR-a: Suradnja i dosljednost (čl. 60.-76. GDPR-a)

Zadaci i ovlasti sadržani u njemu stoga se moraju koristiti i u pogledu bilo kakvih kršenja Akta o podacima u vezi s osobnim podacima. Odlomak
mutatis mutandis“ ograničava referencu u smislu da se ne misli na takve ovlasti koje nemaju smisla u kontekstu Akta o podacima (na primjer, članak 58. stavak 2. točka h GDPR-a o povlačenju certifikata koje Akt o podacima ne predviđa).

Važne zadaće i ovlasti tijela za zaštitu podataka u njegovom svojstvu nadzornog tijela prema Aktu o podacima uključuju sljedeće odredbe GDPR-a:

  • Ovlasti istrage
  • Upozorenja i mjere opreza
  • Nalozi
  • Novčane kazne
  • Zadaci poput podizanja javne svijesti savjetovanja javnih tijela, podizanje svijesti tijela obveznika iz Uredbe, itd.
  • Neovisno primanje i obrada pritužbi
  • Priprema izvješća o aktivnostima
  • Postupak suradnje među članovima Europskog odbora za zaštitu podataka

Od rujna 2025. tijela za zaštitu podataka stoga će, uz pritužbe prema GDPR-u, primati i pritužbe prema Aktu o podacima.

Analognom primjenom postupovnih odredbi GDPR-a, istraživat će prijavljena kršenja Akta o podacima i vršiti ovlasti istrage i rješavanja sporova. Slučajevi vezani uz Akt o podacima trebali bi se prvenstveno obrađivati u suradnji s odjelima za industriju i slobodu informiranja. Uloga službenika za zaštitu podataka u industriji ključna je za jedinstvenu procjenu relevantnih pitanja, kao što su osobna referenca podataka i zakonitost prijenosa. Osim toga, zahtjevi za pristup često će se morati klasificirati i kao zahtjevi za informacijama u skladu s člankom 15. GDPR-a - strogo odvajanje unutarnjih odgovornosti bilo bi suprotno tome. Sloboda informiranja također mora biti uključena u obradu slučaja, u mjeri u kojoj je za to odgovorno i nadležno tijelo za zaštitu podataka.

Članak 83. GDPR-a o izricanju novčanih kazni nije dio reference iz Akta o podacima na standarde ovlasti regulative o zaštiti podataka. Međutim, ovlast izricanja novčanih kazni "preuzeta" je iz GDPR-a u Akt o podacima putem članka 58. stavka 2. točke i. GDPR-a. Ovaj standard ovlasti još nije element novčane kazne. Sankcije su definirane u čl. 40. Akta koji će izraditi države članice.

Primjer: Korisnik umrežene četkice za zube zahtijeva od proizvođača da otkrije sve podatke koji su s četkice za zube uneseni u oblak. Tijelo za zaštitu podataka može izdati obvezujući nalog trgovcu da dostavi te informacije ako se radi o osobnim podacima proizvođača, npr. ako su
povezani s korisničkim računom. Ako proizvođač pohranjuje samo agregirane podatke koji se ne odnose na određeni uređaj, sve zahtjeve za pristup takvim statističkim informacijama može podnijeti samo nadzorno tijelo u skladu s člankom 37. stavkom 1. DA (ako je primjenjivo,BNetzA).

  • Primjer: Pružatelj navigacijskog sustava traži od logističke tvrtke da otkrije GPS podatke iz svoje flote kamiona. Budući da se ne radi o privatno korištenim vozilima, odlučujuće je pitanje omogućuju li traženi podaci izvođenje zaključaka o zaposlenicima. Za klasifikaciju je relevantno razlikovanje ima li operater navigacijskog sustava pravne i stvarne mogućnosti utvrditi koja je pojedinačna osoba vozila kamion koji pripada odgovarajućem skupu podataka. Ako ta mogućnost postoji, tijelo za zaštitu podataka prati zakonitost odobravanja ili odbijanja pristupa podacima. Ako ne postoji pravna osnova za prijenos podataka, može zabraniti pristup. Ako postoji pravna osnova, na primjer zbog prevladavajućih legitimnih interesa ili zbog privole osobe koja vozi vozilo, može naložiti odobravanje pristupa.
  • Primjer: Automobilski klub svojim članovima daje zahtjev za pristup podacima od odgovarajućeg proizvođača vozila i podacima koji su dostupni klubu. Automobilski klub pruža odgovarajuće obrasce za prijavu i suglasnost. Tijelo za zaštitu podataka države u kojoj se nalazi proizvođač vozila provjerava valjanost suglasnosti i ostale uvjete za pristup te, ako je potrebno, nalaže odobrenje pristupa.
  • Primjer: Tvrtka prelazi na novog pružatelja usluga u oblaku. Baza podataka o klijentima pohranjena u prethodnom oblaku prenosi se u online prostor za pohranu novog pružatelja usluga. Tijelo za zaštitu podataka provjerava i zahtjeve prema GDPR-u, posebno ispravnu provedbu odnosa obrade narudžbi, kao i nesmetano jamstvo prelaska od strane prethodnog pružatelja usluga u oblaku. Ako se korisnik oblaka (kao voditelj obrade u smislu GDPR-a) i pružatelj usluga u oblaku (kao obveznik prema Aktu o podacima) nalaze u različitim saveznim državama ili državama članicama, dva tijela za zaštitu podataka, od kojih je svako lokalno odgovorno za određeni aspekt, surađuju u duhu povjerenja u skladu s mehanizmima suradnje GDPR-a.

Puno je obveza, puno toga za harmonizirati i znati!

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Napredni seminar za službenike za zaštitu osobnih podataka 3. stupanj
European Health Data Space: kako se pripremiti za nove obveze koje vas čekaju
Digitalno oglašavanje u EU: IAB Europe i raspodjela odgovornosti za TCF
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju. 

Shvaćam

Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.