O čemu se ovdje radi?
Uredba (EU) 2023/2854 Europskog parlamenta i Vijeća od 13. prosinca 2023. o usklađenim pravilima za pravedan pristup podacima i njihovu uporabu i o izmjeni Uredbe (EU) 2017/2394 i Direktive (EU) 2020/1828, skraćeno Akt o podacima, usvojen 2023., primjenjuje se od 12. rujna 2025., osim nekih dijelova koji će biti u u primjeni kasnije u 2026. godini.
Navedeni akt temelj je Strategije EU za podatke, usmjerene na borbu protiv monopola nad podacima i poticanje europskog podatkovnog gospodarstva, promicanje dijeljenja, inovacija i raspodjele među dionicima. U našem članku sažimamo opseg i ključne aspekte zakonodavstva.
1. Opseg
Akt obuhvaća i osobne i neosobne podatke koje generiraju povezani proizvodi (IoT uređaji, pametni uređaji, povezana vozila, industrijska oprema) i povezane usluge bitne za njihovo funkcioniranje. Posebno se usredotočuje na industrijske, neosobne podatke, ali je relevantan i za osobne podatke (zajedno s GDPR-om).
Akt se primjenjuje na korisnike (tvrtke ili druge koji posjeduju, daju u najam ili iznajmljuju povezane proizvode), nositelje podataka (npr. proizvođače) i pružatelje usluga obrade podataka (uključujući pružatelje usluga u oblaku, SaaS-u, IaaS-u, PaaS-u).
Uz navedeno on se izravno primjenjuje u državama članicama EU-a, a također i izvan teritorija EU.
Subjekti izvan EU-a moraju se pridržavati akta ako:
- nude povezani proizvod ili srodnu uslugu u EU-u,
- daju podatke na raspolaganje korisnicima ili primateljima u EU-u ili
- pružaju usluge obrade podataka kupcima u EU-u.
Većina obveza iz Akta o podacima postaje izravno primjenjiva od 12. rujna 2025., s daljnjim postupnim odredbama koje se uvode od 12. rujna 2026. nadalje za zahtjeve dizajna proizvoda.
2. Ključna prava i obveze
2.1 Prava korisnika povezanih proizvoda
Korisnici imaju pravo pristupa, korištenja i prenošenja podataka generiranih njihovom upotrebom povezanog proizvoda ili povezane usluge - to uključuje i osobne (npr. lokacija, korištenje) i neosobne (npr. metrika senzora) podatke. U tu svrhu, vlasnici podataka moraju dizajnirati proizvode/usluge tako da su podaci koje generiraju korisnici lako dostupni, sigurni i, gdje je to primjereno, izravno dostupni prema zadanim postavkama.
Proizvođači i pružatelji usluga moraju prije potpisivanja ugovora obavijestiti korisnike o tome koji će se podaci generirati, kako ih dohvatiti ili izbrisati. Na zahtjev korisnika, ako podaci nisu izravno dostupni, moraju ih dostaviti korisniku ili trećoj strani koju je korisnik odredio, pod uvjetima poštenih, razumnih i nediskriminirajućih uvjeta.
Akt zabranjuje nepoštene ugovorne odredbe, uključujući klauzule koje jednostrano favoriziraju jače strane u ugovorima o dijeljenju podataka.
2.2 Prebacivanje i prenosivost usluga obrade podataka
Akt o podacima rješava dugogodišnje probleme vezanosti uz dobavljača u cloud/SaaS/IaaS/PaaS okruženjima, a nadalje osigurava tvrtkama da mogu pristupiti svojim podacima i promijeniti dobavljača uz prethodnu obavijest, bez potrebe za odobrenjem i bez gubitka funkcionalnosti.
2.3 Pristup podacima javnog sektora
Tijela javnog sektora mogu zatražiti pristup neosobnim podacima od poduzeća u iznimnim situacijama, kao što su izvanredne situacije. Akt o podacima utvrđuje postupovna pravila i zaštitne mjere, uključujući ograničenja za sprječavanje pristupa vladinim tijelima trećih zemalja u sukobu s pravom EU-a ili nacionalnim pravom.
U slučajevima kada tijelo javnog sektora može dokazati iznimnu potrebu za pristupom određenim podacima, pod uvjetom da su pravne osobe koje nisu tijela javnog sektora, dužni staviti tražene podatke na raspolaganje.
Pružatelji usluga, također, moraju implementirati odgovarajuće zaštitne mjere kako bi spriječili neovlašteni pristup ili prijenos neosobnih podataka pohranjenih unutar EU javnim tijelima trećih zemalja, posebno u slučajevima kada bi takvi zahtjevi kršili propise EU-a ili nacionalne propise.
2.4 Interoperabilnost i standardi
Proizvodi i usluge moraju ispunjavati bitne zahtjeve za interoperabilnost, olakšavajući protok podataka unutar zajedničkih europskih podatkovnih prostora i između država članica i pružatelja usluga.
Ugovorne odredbe koje jedno poduzeće jednostrano nameće drugom, posebno one koje se odnose na pristup podacima, korištenje, odgovornost ili pravne lijekove, nisu obvezujuće ako se smatraju nepoštenima. Akt uvodi „crnu listu“ klauzula koje su automatski ništave klauzule i „sivu listu“ klauzula za koje se smatra da su nepoštene, osim ako se ne dokaže suprotno.
3. Provedba i usklađenost
Uredbu će na razini država članica provoditi određena tijela, sličnog opsega kao i nadzorna tijela za provedbu GDPR-a. Nepoštivanje propisa može rezultirati kaznama do 20 milijuna eura ili 4% globalnog prometa, ovisno o tome što je veće.
Akt navodi ključne kriterije za procjenu kazni, uključujući prirodu, težinu, opseg i trajanje kršenja; svaku radnja koju je poduzeo prekršitelj radi ublažavanja ili otklanjanja štete uzrokovane kršenjem; sve prethodne povrede koje je počinio prekršitelj; financijske koristi koje je prekršitelj ostvario ili gubitke koje je izbjegao kao rezultat kršenja, ako se takve koristi ili gubici mogu pouzdano utvrditi; sve druge otegotne ili olakotne okolnosti koje se odnose na slučaj; godišnji promet koji je prekršitelj ostvario tijekom prethodne financijske godine unutar Unije.
