Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog Akt o upravljanju podacima- još jedna obveza!

Akt o upravljanju podacima- još jedna obveza!

Svi članci
10.09.2025.

Akt o upravljanju podacima (European Data Governance Act, DGA, 2022/868) od 30. svibnja 2022., stupio je na snagu u rujnu 2023. godine.

DGA uvodi nova pravila za poticanje dijeljenja osobnih i neosobnih podataka među sektorima.
DGA nadopunjuje druge akte EU koji reguliraju korištenje podataka, kao što su Opća uredba o zaštiti podataka (GDPR) i Akt o digitalnim tržištima (DMA).
Tvrtke u SAD-u koje primaju neosobne podatke prema DGA-u mogle bi se suočiti s ograničenjima prijenosa podataka.
Podaci su postali bitan resurs za svako moderno gospodarstvo. Međutim, postoji uobičajena percepcija da se većina podataka ne koristi učinkovito i da samo mala skupina tvrtki može izvući vrijednost iz njih. Kako bi se riješio ovaj problem, zakonodavci Europske unije (EU) usvojili su Akt o upravljanju podacima (DGA).

U veljači 2020. Europska komisija (EK) objavila je svoju Europsku strategiju za podatke, osmišljenu kako bi se istražili novi načini rukovanja podacima i stvaranja vrijednosti iz njih. Strategija postavlja temelje za jedinstveno tržište podataka unutar EU-a, gdje podaci mogu slobodno cirkulirati na korist svih, uz poštivanje temeljnih vrijednosti i načela EU-a.

Kao dio ove strategije, EK je poduzela nekoliko zakonodavnih inicijativa s ciljem olakšavanja dijeljenja podataka među sektorima i državama članicama EU-a. U svibnju 2022. EK je usvojila prvu uredbu u tom kontekstu: Akt o upravljanju podacima (DGA), koji je stupio na snagu 24. rujna 2023. DGA uvodi nove definicije, koncepte i mehanizme provedbe za ponovnu upotrebu podataka od strane javnih i privatnih organizacija. DGA također uključuje nova pravila namijenjena poticanju dobrovoljnog dijeljenja podataka od strane pojedinaca i organizacija te uspostavlja regulatorni okvir za organizacije koje djeluju kao posrednici u dijeljenju podataka. Krajnji cilj DGA-a je poticanje nove vrste upravljanja podacima koja omogućuje svim dionicima da (ponovno) koriste podatke u inovativne svrhe.

DGA je nadopunjen Aktom o podacima koji ima za cilj optimizirati dostupnost i korištenje podataka generiranih povezanim uređajima u EU (poput pametnih satova) pojašnjavanjem tko može koristiti takve podatke i stvarati vrijednost od njih.

Fokus DGA

Glavni cilj Akta o digitalnim podacima je potaknuti razvoj pouzdanih platformi za dijeljenje podataka unutar EU-a i među sektorima. U tu svrhu, zakonodavci EU-a usredotočili su se na četiri ključne teme:

  1. Ponovna upotreba podataka koje posjeduju tijela javnog sektora kao što su državne, regionalne ili lokalne vlasti ili druga tijela i udruge.
  2. Usluge posredovanja podataka (Data intermediation services, DIS) koje olakšavaju dijeljenje podataka.
  3. Novi okvir koji potiče pojedince i organizacije da dobrovoljno dijele svoje podatke za opće dobro.
  4. Pravila za zaštitu neosobnih podataka od nezakonitog pristupa stranih vlasti.

Namjera je potaknuti razmjenu podataka u EU-u kako bi kompanije i razvojne tvrtke (start-upovi) imali pristup većoj količini podataka koje mogu koristiti za razvoj novih proizvoda i usluga. Količina generiranih podataka neprestano raste, pa se očekuje da će s 33 zetabajta u 2018. porasti na 175 zetabajta u 2025. Riječ je o neiskorištenom potencijalu jer se 80 % industrijskih podataka nikada ne upotrijebi. 

Ponovna upotreba podataka koje posjeduju tijela javnog sektora

Godine 2019. EK je usvojila Direktivu o otvorenim podacima (Open Data Directive) kako bi regulirala ponovnu upotrebu javno dostupnih informacija koje posjeduje javni sektor u svakoj državi članici EU. Međutim, ova direktiva ne pokriva ponovnu upotrebu podataka koji imaju zaštićeni status i stoga se ne mogu ponovno koristiti kao otvoreni podaci. To uključuje komercijalno ˝osjetljive˝ podatke, podatke koji podliježu zahtjevima povjerljivosti, podatke zaštićene pravima intelektualnog vlasništva i osobne podatke pojedinaca.

Akt o otvorenim podacima namijenjen je rješavanju ove praznine postavljanjem uvjeta pod kojima je dopuštena ponovna upotreba zaštićenih podataka koje posjeduju javna tijela odnosno tijela javne uprave (što može uključivati ​​i osobne podatke kako je definirano GDPR-om i neosobne podatke). U praksi će pojedinci, organizacije ili tvrtke imati mogućnost podnijeti zahtjeve javnim tijelima za ponovnu upotrebu zaštićenih podataka, a javna tijela morat će odlučiti žele li odobriti ili odbiti pristup podacima u svrhu ponovne upotrebe.

Osim toga, javna tijela morat će se pridržavati niza zahtjeva, kao što su obveze:

  • Suzdržavanja od dodjeljivanja isključivih prava u vezi s ponovnom upotrebom zaštićenih podataka.
  • Informiranja javnosti o uvjetima za ponovnu upotrebu zaštićenih podataka (koji moraju biti nediskriminirajući, transparentni, proporcionalni i objektivno opravdani na temelju osjetljivosti zaštićenih podataka).
  • Provođenja tehničkih mjera za zaštitu zaštićenih podataka koji će se ponovno koristiti (tj. anonimizacijom, agregacijom ili izmjenom zaštićenih podataka).
  • Osiguravanja da se daljinski pristup zaštićenim podacima odvija samo unutar sigurnog okruženja za obradu (pod kontrolom javnog sektora).
  • Nametnuti obveze povjerljivosti ponovnim korisnicima zaštićenih podataka.

Pravila DGA-e o ponovnoj upotrebi zaštićenih podataka koje posjeduju javni sektori mogu stvoriti prilike za širok spektar sektora i industrija koji su do sada imali samo ograničen pristup informacijama javnog sektora. U području medicinskih istraživanja, na primjer, očekuje se da će nove studije i ispitivanja imati koristi od mogućnosti pristupa (i korištenja) postojećih podataka koje posjeduju javni sektori.

Usluge posredovanja podataka

Pojedinci i organizacije obično nerado daju svoje podatke na raspolaganje drugima iz različitih razloga, uključujući potencijalnu zlouporabu ili zabrinutost za konkurenciju. DGA pokušava riješiti te probleme omogućujući specijaliziranim organizacijama da pružaju usluge posredovanja podataka, s ciljem olakšavanja razmjene podataka. To se može postići tehničkim, pravnim ili drugim sredstvima, kao što je postavljanje platformi za dijeljenje podataka između:

  • Pojedinaca ili organizacija koje žele odobriti pristup ili dijeliti osobne ili neosobne podatke („ispitanici“ ili „nositelji podataka“).
  • Onih koji žele imati pristup osobnim ili neosobnim podacima i ponovno ih koristiti u komercijalne ili nekomercijalne svrhe („korisnici podataka“).

Novi okvir DIS-a potiče dobrovoljno dijeljenje podataka i pokušava povećati povjerenje među ispitanicima, nositeljima podataka i korisnicima podataka. Organizacije koje žele pružati usluge DIS-a (npr. u obliku sustava za upravljanje informacijama o podacima, tržišta podataka ili skupova za dijeljenje podataka) morat će se pridržavati strogih zahtjeva kako bi jamčile svoju neovisnost i neutralnost prema stranama koje razmjenjuju podatke.

Na primjer, DGA zahtijeva od pružatelja DIS-a koji nude različite vrste usluga kako bi osigurali strogu odvojenost između DIS-a i bilo kojih drugih usluga koje pružaju korisnicima. Također, pružatelji DIS-a neće moći koristiti podatke razmijenjene putem svoje platforme za dijeljenje podataka za vlastite svrhe – osim za poboljšanje svojih usluga dijeljenja podataka ili otkrivanje prijevara.

Prije nego što ponude svoje usluge dijeljenja podataka potencijalnim korisnicima, pružatelji DIS-a morat će podnijeti obavijest nadležnom nadzornom tijelu (tj. tijelu države članice EU u kojoj imaju glavno sjedište). Organizacije koje nisu osnovane u EU, ali žele ponuditi DIS unutar EU, moraju imenovati pravnog zastupnika za potrebe DGA-a u jednoj od država članica EU-a u kojoj namjeravaju nuditi svoje usluge.

Koncept DIS-a može potaknuti organizacije da, pod strogim uvjetima i putem neutralnog povjerenika, dijele poslovno osjetljive informacije s neprofitnim organizacijama, pa čak i komercijalnim društvima. Na primjer, istaknuti telekomunikacijski pružatelj usluga u Njemačkoj uspostavio je namjensku platformu za dijeljenje podataka za tvrtke kako bi učitale, upravljale i dijelile podatke o proizvodnji u svrhu optimizacije (procesa i lanca opskrbe).

Altruizam podataka

DGA također ima za cilj potaknuti pojedince i organizacije da dobrovoljno i bez naknade stave svoje podatke na raspolaganje u svrhe općeg interesa (npr. za poboljšanje zdravstvenih sustava, borbu protiv klimatskih promjena ili optimizaciju pružanja javnih usluga). S tim ciljem, DGA uvodi novi režim „altruizma podataka“, koji omogućuje pojedincima i organizacijama da lako i sigurno odobre altruističku upotrebu svojih podataka od strane drugih.

Prema ovom novom režimu, bit će moguće dijeliti podatke putem priznatih organizacija za altruizam podataka (recognized data altruism organizations, RDAO) koje teže neprofitnim ciljevima. Ove RDAO bit će podložne nizu strogih zahtjeva kako bi se osiguralo da pojedinci i organizacije koje daju svoje podatke na raspolaganje mogu biti sigurni da će se podaci koristiti samo u javnom interesu. Na primjer, RDAO će se morati pridržavati obveza izvještavanja i transparentnosti te provoditi posebne mjere za zaštitu prava pojedinaca i organizacija koje dijele svoje podatke.

Organizacije koje žele postati RDAO morat će se registrirati kod nadležnog nadzornog tijela u relevantnoj državi članici EU. Poput pružatelja DIS-a, RDAO bez poslovnog nastana u EU morat će imenovati pravnog zastupnika za potrebe DGA-a koji se nalazi u EU. Registrirani RDAO-i moći će koristiti europski RDAO logotip prilikom komunikacije o svojim novim aktivnostima i mogu biti navedeni u javnoj evidenciji RDAO-a EU-a.

Odredbe DGA-a o altruizmu podataka vjerojatno će potaknuti istraživačke aktivnosti u EU-u, posebno u području medicine. One će, na primjer, omogućiti pojedincima da svoje zdravstvene podatke stave na raspolaganje istraživačima na siguran način i u određene svrhe koje služe javnom interesu. 

Na primjer, njemački institut za javno zdravstvo razvio je aplikaciju za praćenje širenja COVID-19 u Njemačkoj. Zahvaljujući građanima koji su bili spremni podijeliti svoje zdravstvene podatke (prikupljene uglavnom putem fitness narukvica ili pametnih satova), institut je uspio dobiti sveobuhvatnu sliku obrazaca zaraze COVID-19. U drugom slučaju, stanovnici španjolskog grada Barcelone pristali su podijeliti podatke o razinama buke, onečišćenja zraka, temperaturi i vlažnosti u svom gradu (prikupljene korištenjem senzora unutar i izvan svojih domova) sa startupovima, zadrugama i lokalnim zajednicama.

Prijenos podataka

Prijenos osobnih podataka primateljima u zemljama izvan EU-a strogo je ograničen GDPR-om. Akt o upravljanju podacima nadopunjuje režim prijenosa podataka GDPR-a nametanjem ograničenja prekograničnog prijenosa neosobnih podataka.

Akt o upravljanju podacima zahtijeva od javnih pružatelja usluga, korisnika podataka, pružatelja usluga javnog zdravstva i RDAO-a da provedu razumne tehničke, pravne i organizacijske mjere kako bi spriječili nezakonite međunarodne prijenose ili vladine pristupe neosobnim podacima koji se čuvaju u EU ako bi taj prijenos ili pristup stvorio sukob s pravom EU-a ili pravom država članica EU-a. To znači da će prije prijenosa podataka biti potrebno provesti adekvatnu procjenu.

Strana odluka ili presuda kojom se zahtijeva prijenos ili pristup neosobnim podacima koji se čuvaju u EU može se provesti samo ako je potkrijepljena međunarodnim sporazumom, kao što je ugovor o međusobnoj pravnoj pomoći. Ako ne postoji takav sporazum i poštivanje odluke ili presude riskira sukob između javnog sektorskog tijela, korisnika podataka, pružatelja usluga informiranja ili RDAO-a i prava EU ili prava države članice EU, prijenos podataka ili pristup može se dogoditi samo ako su ispunjeni strogi uvjeti. Kao odgovor na zahtjev stranog suda ili tijela treba dostaviti samo minimalne podatke i, kada je to moguće, relevantni nositelji podataka trebaju biti obaviješteni o zahtjevu.

Osim toga, akt nameće posebne zahtjeve za prijenos podataka korisnicima podataka koji žele prenijeti neosobne zaštićene podatke izvan EU. Morat će:

  • Unaprijed obavijestiti relevantna javna sektorska tijela o svojoj namjeri prijenosa neosobnih zaštićenih podataka izvan EU.
  • Obvezati se na poštivanje posebnih uvjeta koje su nametnuli javna sektorska tijela.
  • Podvrgnuti se jurisdikciji države članice EU-a javnog sektorskog tijela koje je dopustilo ponovnu upotrebu zaštićenih podataka.
  • U nekim slučajevima, prije prijenosa zaštićenih podataka, pribaviti odobrenje nositelja podataka.

Provedba

Svaka država članica EU-a morat će imenovati nadzorno tijelo za nadzor usklađenosti s DGA-om. Ta će tijela imati ovlasti poduzeti mjere provedbe protiv organizacija koje ne ispunjavaju svoje obveze prema DGA-u. To uključuje izricanje administrativnih kazni.

DGA prepušta tijelima država članica EU-a da odrede iznose potencijalnih kazni, uzimajući u obzir prirodu, težinu i trajanje kršenja DGA-a, kao i sve otegotne i olakotne okolnosti.

DGA također osniva novu stručnu skupinu, Europski odbor za inovacije u području podataka ( European Data Innovation Board, EDIB), koja će biti zadužena za savjetovanje i pomoć Europskoj komisiji u razvoju smjernica i najboljih praksi za javna sektorska tijela koji obrađuju zahtjeve za ponovnu upotrebu zaštićenih podataka te za podršku pružateljima DIS-a i RDAO-ima u ispunjavanju njihovih obveza prema DGA-u. EDIB je također zadužen za pružanje smjernica državama članicama EU-a i njihovim nadležnim nadzornim tijelima te olakšavanje prekogranične suradnje.

Međudjelovanje između Akta o upravljanju podacima (DGA) i GDPR-a

DGA regulira pristup i ponovnu upotrebu podataka, i osobnih i neosobnih, dok se GDPR bavi samo obradom osobnih podataka. Organizacije koje se bave dijeljenjem, pristupom ili ponovnom upotrebom osobnih podataka (ili mješovitih skupova osobnih i neosobnih podataka) prema DGA-u stoga moraju osigurati i usklađenost s odredbama GDPR-a. To znači, na primjer, osigurati da postoji valjana pravna osnova za obradu osobnih podataka, ispuniti zahtjeve za izvješćivanje u slučaju kršenja osobnih podataka i/ili implementirati alat za prijenos podataka ako se osobni podaci šalju izvan EU-a.

Kako DGA može utjecati na tvrtke u SAD-u?

DGA može biti relevantan za svaku tvrtku koja želi dobro iskoristiti nove mogućnosti dijeljenja podataka koje se očekuje da će nova uredba stvoriti. Bilo bi im dobro savjetovati da procijene u kojoj mjeri se DGA može primijeniti na njihove aktivnosti i, ako je potrebno, izrade plan usklađenosti s DGA-om. Također, tvrtke u SAD-u koje, na primjer, žele nuditi usluge DIS-a ili djelovati kao RDAO morat će uzeti u obzir zahtjev DGA-e za imenovanjem pravnog zastupnika u EU-u. Osim toga, ograničenja prijenosa podataka DGA-e mogu utjecati na tvrtke u SAD-u koje su primatelji neosobnih podataka koje prenosi, na primjer, pružatelj DIS-a u EU-u. Kako bi imale pristup tim podacima, od tvrtki se može tražiti da pristanu na ugovorne obveze i provedu mjere kojima je cilj osigurati istu razinu zaštite podataka kao prema pravu EU.

Izvješće Komisije

Komisija do 24. rujna 2025. provodi evaluaciju ovog Akta i podnosi izvješće o svojim glavnim nalazima Europskom parlamentu i Vijeću te Europskom gospodarskom i socijalnom odboru. Tom se izvješću prema potrebi prilažu zakonodavni prijedlozi.

U tom se izvješću posebno ocjenjuju:

(a) primjena i funkcioniranje pravila o sankcijama koja su države članice utvrdile na temelju članka 34.;

(b) razina usklađenosti pravnih zastupnika pružatelja usluga podatkovnog posredovanja i priznatih organizacija za podatkovni altruizam koji nemaju poslovni nastan u Uniji s ovom Uredbom i razina izvršivosti sankcija izrečenih tim pružateljima i organizacijama;

(c) vrsta organizacija za podatkovni altruizam registriranih na temelju poglavlja IV. te pregled ciljeva od općeg interesa za koje se podaci razmjenjuju radi utvrđivanja jasnih kriterija u tom pogledu.

Države članice dostavljaju Komisiji sve potrebne informacije za izradu tog izvješća.

A što ostaje svima nama- uskladiti se!

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Napredni seminar za službenike za zaštitu osobnih podataka u ožujku
Hitna nezakonito slala zahtjeve za donaciju
Napredni seminar za službenike za zaštitu osobnih podataka 4. stupanj
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju. 

Shvaćam

Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.