EUROPSKA KOMISIJA
Bruxelles, 25.11.2020.
COM(2020) 767 final
2020/0340(COD)
Prijedlog
UREDBE EUROPSKOG PARLAMENTA I VIJEĆA
o europskom upravljanju podacima
(Akt o upravljanju podacima)
(Tekst značajan za EGP)
{SEC(2020) 405 final} - {SWD(2020) 295 final} - {SWD(2020) 296 final}
OBRAZLOŽENJE
1.KONTEKST PRIJEDLOGA
•Razlozi i ciljevi prijedloga
Ovo obrazloženje priloženo je Prijedlogu uredbe Europskog parlamenta i Vijeća 1 o upravljanju podacima. Riječ je o prvom nizu mjera najavljenih u europskoj strategiji za podatke 2020. 2 Instrumentom se nastoji potaknuti dostupnost podataka za upotrebu povećanjem povjerenja u posrednike u području podataka i jačanjem mehanizama za razmjenu podataka diljem EU-a. Instrumentom bi se riješile sljedeće situacije:
–Stavljanje podataka javnog sektora na raspolaganje za ponovnu uporabu u situacijama kada takvi podaci podliježu pravima drugih 3 .
–Razmjena podataka među poduzećima uz naknadu u bilo kojem obliku.
–Omogućivanje upotrebe osobnih podataka uz pomoć „posrednika za razmjenu osobnih podataka” osmišljeno kako bi se pojedincima pomoglo u ostvarivanju njihovih prava u skladu s Općom uredbom o zaštiti podataka (GDPR).
–Omogućivanje uporabe podataka na altruističkim temeljima.
•Dosljednost s postojećim odredbama politike u tom području
Trenutačnom inicijativom obuhvaćene su različite vrste posrednika u području podataka koji se bave osobnim i neosobnim podacima. Stoga je međudjelovanje sa zakonodavstvom o osobnim podacima posebno važno. Općom uredbom o zaštiti podataka 4 i Direktivom o e-privatnosti 5 EU je uspostavio čvrst i pouzdan pravni oblik za zaštitu osobnih podataka i standarde za svijet.
Ovim se prijedlogom dopunjuje Direktiva (EU) 2019/1024 Europskog parlamenta i Vijeća od 20. lipnja 2019. o otvorenim podacima i ponovnoj uporabi informacija javnog sektora (Direktiva o otvorenim podacima) 6 . Ovaj se prijedlog odnosi na podatke u posjedu tijelâ javnog sektora koji podliježu pravima drugih te stoga nisu obuhvaćeni područjem primjene ove Direktive. Prijedlog je logično i dosljedno povezan s drugim inicijativama najavljenima u europskoj strategiji za podatke. Cilj mu je olakšati razmjenu podataka, među ostalim jačanjem povjerenja u posrednike za razmjenu podataka za koje se očekuje da će se upotrebljavati u različitim podatkovnim prostorima. Njime se ne nastoje dodijeliti, izmijeniti ili ukloniti materijalna prava na pristup podacima i njihovu upotrebu. Ta je vrsta mjera predviđena za potencijalni Zakon o podacima (2021.) 7 .
Instrument se temelji na načelima za upravljanje podacima i njihovu ponovnu uporabu koja su osmišljena za istraživačke podatke. U skladu s načelima za podatke FAIR 8 , takvi bi podaci u načelu trebali biti dostupni, interoperabilni i ponovno upotrebljivi.
•Dosljednost u odnosu na druge politike Unije
Sektorsko zakonodavstvo o pristupu podacima na snazi je i/ili je u pripremi kako bi se riješilo pitanje utvrđenih tržišnih nedostataka u područjima koja obuhvaćaju automobilsku industriju 9 , pružatelje platnih usluga 10 , informacije o pametnom mjerenju 11 , podatke o elektroenergetskoj mreži 12 , inteligentne prometne sustave 13 , informacije o okolišu 14 , prostorne informacije 15 i zdravstveni sektor 16 . Ovim se prijedlogom podupire upotreba podataka dostupnih u skladu s postojećim pravilima bez izmjene tih pravila ili stvaranja novih sektorskih obveza.
Isto tako, prijedlogom se ne dovodi u pitanje pravo tržišnog natjecanja i osmišljen je u skladu s člancima 101. i 102. UFEU-a te se njime ne dovode u pitanje odredbe Direktive 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine 17 .
2.PRAVNA OSNOVA, SUPSIDIJARNOST I PROPORCIONALNOST
•Pravna osnova
Članak 114. Ugovora o funkcioniranju Europske unije utvrđen je kao relevantna pravna osnova za ovu Uredbu. U skladu s tim člankom, EU mora donijeti mjere za usklađivanje odredaba zakona, drugih propisa i upravnih odluka u državama članicama čiji je cilj uspostava i funkcioniranje unutarnjeg tržišta u EU-u. Ova je inicijativa dio Europske strategije za podatke 2020., kojom se nastoji ojačati jedinstveno podatkovno tržište. Zbog sve veće digitalizacije gospodarstva i društva postoji rizik da će države članice sve manje koordinirati propise o pitanjima povezanima s podacima, čime bi se povećala rascjepkanost na jedinstvenom tržištu. Uspostavom upravljačkih struktura i mehanizama kojima će se stvoriti koordinirani pristup upotrebi podataka u svim sektorima i državama članicama pomoglo bi se dionicima u podatkovnom gospodarstvu da iskoriste veličinu jedinstvenog tržišta. Time će se doprinijeti uspostavi jedinstvenog tržišta za podatke te osigurati nastanak i prekogranično funkcioniranje novih usluga s pomoću skupa usklađenih odredaba.
Digitalne politike u zajedničkoj su nadležnosti EU-a i njegovih država članica. U članku 4. stavcima 2. i 3. UFEU-a navodi se da u području jedinstvenog tržišta i tehnološkog razvoja EU može provoditi posebne aktivnosti, ne dovodeći u pitanje slobodu država članica da djeluju u istim područjima.
•Supsidijarnost (za neisključivu nadležnost)
Poduzećima su često potrebni podaci iz nekoliko država članica kako bi mogla razvijati proizvode i usluge diljem EU-a jer uzorci podataka dostupni u pojedinačnim državama članicama često nemaju bogatstvo i raznolikost koja omogućuje otkrivanje obrazaca ili strojno učenje s pomoću „velikih podataka”. Osim toga, možda će biti potrebno prilagoditi podatkovne proizvode i usluge razvijene u jednoj državi članici kako bi odgovarali sklonostima kupaca u drugoj državi članici, a za to su potrebni lokalni podaci na razini država članica. Stoga je potreban jednostavan protok podataka kroz vrijednosne lance među sektorima i diljem EU-a, za što je ključno vrlo usklađeno zakonodavno okruženje. Nadalje, s obzirom na prekograničnu prirodu razmjene podataka i važnost takve razmjene, samo se djelovanjem na razini Unije može osigurati primjena europskog modela razmjene podataka s pouzdanim posrednicima za razmjenu podataka među poduzećima (B2B) i za prostore za osobne podatke.
Jedinstvenim tržištem podataka trebalo bi se osigurati da se može pristupiti podacima iz javnog sektora te podacima poduzeća i građana te da ih se može upotrebljavati na najdjelotvorniji i najodgovorniji mogući način a da poduzeća i građani zadrže kontrolu nad podacima koje stvaraju i da su ulaganja u njihovo prikupljanje zaštićena. Povećanim pristupom podacima omogućilo bi se poduzećima i istraživačkim organizacijama da unaprijede reprezentativna znanstvena dostignuća i tržišne inovacije u EU-u kao cjelini, što je posebno važno u situacijama u kojima je potrebno usklađeno djelovanje EU-a, kao što je kriza uzrokovana bolešću COVID-19.
•Proporcionalnost
Inicijativa je razmjerna ciljevima koji se žele postići. Predloženim zakonodavstvom stvara se poticajni okvir koji ne prelazi granice onoga što je potrebno za ostvarivanje ciljeva. Njime se usklađuje niz praksi razmjene podataka, uz poštovanje ovlasti država članica da organiziraju svoju upravu i donose zakone o pristupu informacijama javnog sektora. Okvir za obavješćivanje posrednika u području podataka, kao i mehanizmi za podatkovni altruizam služe za postizanje više razine povjerenja u te usluge a da se nepotrebno ne ograničavaju te aktivnosti te pomažu u razvoju unutarnjeg tržišta za razmjenu takvih podataka. Inicijativom će se omogućiti i znatna fleksibilnost u primjeni na sektorskoj razini, među ostalim za budući razvoj europskih podatkovnih prostora.
Stupanjem na snagu predložene uredbe doći će do povećanja financijskih i administrativnih troškova, koje će uglavnom snositi nacionalna tijela, dok će određeni troškovi opteretiti i korisnike podataka i pružatelje usluga razmjene podataka kako bi se osigurala usklađenost s obvezama utvrđenima u ovoj Uredbi. Međutim, istraživanje različitih mogućnosti i njihovih očekivanih troškova i prednosti dovelo je do uravnoteženog oblikovanja instrumenta. Time će se nacionalnim tijelima ostaviti dovoljno fleksibilnosti za odlučivanje o razini financijskih ulaganja i za razmatranje mogućnosti povrata takvih troškova kroz administrativne pristojbe ili naknade, uz istodobnu opću koordinaciju na razini EU-a. Slično tome, troškovi za korisnike podataka i pružatelje usluga razmjene podataka nadoknadit će se vrijednošću koja proizlazi iz šireg pristupa podacima i njihove uporabe te prihvaćanja novih usluga na tržištu.
•Odabir instrumenta
Odabir uredbe kao pravnog instrumenta opravdan je zbog toga što prevladavaju elementi koji zahtijevaju jedinstvenu primjenu koja državama članicama ne ostavlja prostor za provedbu i kojom se stvara u potpunosti horizontalni okvir. Ti elementi uključuju obavješćivanje pružatelja usluga razmjene podataka, mehanizme za podatkovni altruizam, osnovna načela koja se primjenjuju na ponovnu uporabu podataka javnog sektora koji ne mogu biti dostupni kao otvoreni podaci ili ne podliježu sektorskom zakonodavstvu EU-a te uspostavu koordinacijskih struktura na europskoj razini. Izravnom primjenom uredbe izbjeglo bi se razdoblje i postupak provedbe za države članice, čime bi se istodobno omogućila uspostava zajedničkih europskih podatkovnih prostora u bliskoj budućnosti, u skladu s planom oporavka EU-a 18 .
Istodobno, odredbe uredbe nisu pretjerano preskriptivne i ostavljaju prostora za različite razine djelovanja država članica u pogledu elemenata kojima se ne ugrožavaju ciljevi inicijative, posebno organizacije nadležnih tijela koja podupiru tijela javnog sektora u njihovim zadaćama povezanima s ponovnom uporabom određenih kategorija podataka javnog sektora.
3.REZULTATI EX POST EVALUACIJA, SAVJETOVANJA S DIONICIMA I PROCJENA UČINKA
•Savjetovanja s dionicima
Javno savjetovanje na internetu pokrenuto je 19. veljače 2020., na dan donošenja europske strategije za podatke 19 , a završeno je 31. svibnja 2020. U savjetovanju je izričito navedeno da je pokrenuto kako bi se pripremila aktualna inicijativa te su njome obuhvaćene teme bile popraćene relevantnim odjeljcima i pitanjima. Bilo je usmjereno na sve vrste dionika.
Komisija je primila ukupno 806 komentara, od kojih je 219 bilo od trgovačkih društava, 119 od poslovnih udruženja, 201 od građana EU-a, 98 od akademskih/istraživačkih institucija i 57 od javnih tijela. Potrošače je zastupalo sedam ispitanika, a 54 ispitanika bile su nevladine organizacije (uključujući dvije organizacije za zaštitu okoliša). Među 219 poduzeća/poslovnih organizacija bilo je 43,4 % MSP-ova. Ukupno 92,2 % odgovora pristiglo je iz EU-27. Vrlo mali broj ispitanika naveo je djeluje li njihova organizacija na lokalnoj, regionalnoj, nacionalnoj ili međunarodnoj razini.
Dostavljeno je 230 dokumenata o stajalištu, koji su priloženi odgovorima na upitnik (210) ili kao samostalni dokumenti (20). U dokumentima su iznesena različita stajališta o temama obuhvaćenima internetskim upitnikom, posebno u pogledu upravljanja zajedničkim podatkovnim prostorima. Iznesena su mišljenja o ključnim načelima za te prostore te je izražena visoka razina potpore određivanju prioriteta u pogledu standarda, kao i konceptu podatkovnog altruizma. Kad je riječ o razvijanju mjera povezanih s posrednicima u području podataka, ispitanici su ukazali i na potrebu za zaštitnim mjerama.
•Prikupljanje i primjena stručnog znanja
Kako bi se s relevantnim stručnjacima istražili okvirni uvjeti za stvaranje zajedničkih europskih podatkovnih prostora u utvrđenim sektorima, 2019. održano je deset radionica o zajedničkim europskim podatkovnim prostorima, a dodatna radionica organizirana je u svibnju 2020. Na radionicama je sudjelovalo više od 300 dionika, uglavnom iz privatnog i javnog sektora, i obuhvaćale su različite sektore (poljoprivreda, zdravstvo, financije/bankarstvo, energetika, promet, održivost/okoliš, javne usluge, pametna proizvodnja) i više međusektorskih aspekata (etika podataka, tržišta podataka). U njihovu su radu sudjelovali i predstavnici službi Komisije koje se bave tim područjima. Sektorske radionice pomogle su u utvrđivanju zajedničkih elemenata u svim sektorima koje je potrebno obuhvatiti horizontalnim okvirom upravljanja.
•Procjena učinka
Za ovaj je prijedlog provedena procjena učinka. Odbor za nadzor regulative 9. rujna 2020. dao je negativno mišljenje. Odbor je 5. listopada 2020. dao pozitivno mišljenje uz rezerve.
U procjeni učinka ispituju se osnovni scenariji, opcije politike i njihovi učinci za četiri područja intervencije: (a) mehanizmi za poboljšanu upotrebu podataka javnog sektora koji ne mogu biti dostupni kao otvoreni podaci, (b) okvir za certifikaciju ili označivanje posrednika u području podataka, (c) mjere za olakšavanje podatkovnog altruizma i (d) mehanizmi za koordinaciju i usmjeravanje horizontalnih aspekata upravljanja u obliku strukture na razini EU-a.
Za sva područja intervencije ocijenjeno je da prva opcija politike koja se odnosi na koordinaciju na razini EU-a s neobvezujućim regulatornim mjerama nije dovoljna jer se njome ne bi znatno promijenilo stanje u odnosu na osnovni scenarij. Stoga se glavna analiza usredotočila na drugu i treću opciju politike, koje su uključivale regulatornu intervenciju manjeg odnosno većeg intenziteta. Najpoželjnijom opcijom pokazala se kombinacija regulatornih intervencija manjeg i većeg intenziteta kako slijedi:
Kad je riječ o mehanizmima za poboljšanje uporabe određenih podataka javnog sektora, koja je podložna pravima drugih, mogućnostima manjeg i većeg intenziteta uvela bi se pravila na razini EU-a za ponovnu uporabu takvih informacija (posebno neisključivost). Regulatorna intervencija malog intenziteta zahtijevala bi da pojedinačna tijela javnog sektora koja dopuštaju takvu vrstu ponovne uporabe budu tehnički opremljena kako bi se osigurala potpuna zaštita podataka te potpuno očuvanje privatnosti i povjerljivosti. Sadržavala bi i obvezu država članica da osiguraju barem mehanizam jedinstvene kontaktne točke za zahtjeve kojima se traži pristup takvim podacima, bez utvrđivanja njegova točnog institucionalnog i administrativnog oblika. Mogućnost intervencije velikog intenziteta uključivala bi uspostavu jedinstvenog tijela za odobravanje podataka u svakoj državi članici. S obzirom na troškove i pitanja izvedivosti povezana s potonjim, najpoželjnija je mogućnost regulatorne intervencije malog intenziteta.
Kad je riječ o certificiranju ili označivanju pouzdanih posrednika u području podataka, bilo je predviđeno da se regulatorna intervencija manjeg intenziteta sastoji od blažeg, dobrovoljnog mehanizma označivanja, pri čemu bi provjeru usklađenosti sa zahtjevima za stjecanje oznake te njezinu dodjelu provodila nadležna tijela koja su imenovale države članice (što može biti i mehanizam jedinstvene kontaktne točke uspostavljen i za pojačanu ponovnu uporabu podataka javnog sektora). Regulatorna intervencija velikog intenziteta sastojala se od obveznog programa certificiranja pod upravom privatnih tijela za ocjenjivanje sukladnosti. Budući da bi se navedenim obveznim programom stvorili veći troškovi, to bi moglo imati odvraćajući učinak na MSP-ove i novoosnovana poduzeća, a tržište nije dovoljno razvijeno za program obveznog certificiranja. Stoga je regulatorna intervencija manjeg intenziteta utvrđena kao najpoželjnija opcija politike. Međutim, regulatorna intervencija većeg intenziteta u obliku obveznog programa certificiranja isto je tako prepoznata kao izvediva alternativa jer bi dovela do znatno većeg povjerenja u funkcioniranje posrednika u području podataka te bi se njome uspostavila jasna pravila o načinu na koji bi ti posrednici trebali djelovati na europskom tržištu podataka. Nakon daljnjih rasprava u Komisiji, prihvaćeno je srednje rješenje. Sastoji se od obveze obavješćivanja uz ex post praćenje usklađenosti sa zahtjevima za obavljanje aktivnosti koje provode nadležna tijela država članica. Rješenje ima prednosti obveznog režima, uz istodobno ograničavanje regulatornog opterećenja za sudionike na tržištu.
U slučaju podatkovnog altruizma regulatorna intervencija malog intenziteta sastojala se od dobrovoljnog okvira za certificiranje za organizacije koje žele nuditi takve usluge, dok se regulatornom intervencijom velikog intenziteta predviđao obvezni okvir za ovlašćivanje. Budući da bi se potonjom osigurala viša razina povjerenja u stavljanje podataka na raspolaganje, što bi moglo doprinijeti tome da ispitanici i poduzeća stave na raspolaganje više podataka i dovesti do veće razine razvoja i istraživanja, a istodobno stvoriti sličan iznos troškova, u procjeni učinka navedena je kao najpoželjnija mogućnost za to područje intervencije. Međutim, daljnje rasprave unutar Komisije otkrile su dodatnu zabrinutost zbog mogućega administrativnog opterećenja organizacija koje se bave podatkovnom altruizmom i odnosa obveza s budućim sektorskim inicijativama povezanima s podatkovnim altruizmom. Zbog toga je zadržano alternativno rješenje, čime se organizacijama koje se bave podatkovnim altruizmom pružila mogućnost da se registriraju kao „organizacija za podatkovni altruizam priznata u EU-u”. Tim dobrovoljnim mehanizmom doprinijet će se povećanju povjerenja, dok će administrativno opterećenje biti manje od onoga u slučaju obveznog okvira za ovlašćivanje i dobrovoljnog okvira za certificiranje.
Naposljetku, kad je riječ o europskom horizontalnom mehanizmu upravljanja, u regulatornoj intervenciji malog intenziteta predviđeno je osnivanje stručne skupine, a u regulatornoj intervenciji velikog intenziteta stvaranje neovisne strukture s pravnom osobnošću (slično Europskom odboru za zaštitu podataka). S obzirom na visoke troškove i nisku razinu političke izvedivosti koji prate uvođenje mogućnosti većeg intenziteta, odabrana je opcija politike malog intenziteta.
U pomoćnoj studiji procjene učinka 20 navedeno je da, iako se u osnovnom scenariju očekuje da će podatkovno gospodarstvo i gospodarska vrijednost razmjene podataka porasti na procijenjeni iznos od 510 do 533 milijardi EUR (3,87 % BDP-a), to bi se u okviru paketa odabrane opcije povećalo na iznos od 540,7 do 544,4 milijarde EUR (3,92 % do 3,95 % BDP-a). Tim se iznosima samo u ograničenoj mjeri uzimaju u obzir koristi na kraju proizvodnog lanca u smislu boljih proizvoda, veće produktivnosti i novih načina za suočavanje s društvenim izazovima (npr. klimatske promjene). Te će koristi vjerojatno biti znatno veće od izravnih koristi.
Istodobno bi se ovim paketom opcija politike omogućilo stvaranje europskog modela za razmjenu podataka, odnosno pristup koji bi bio alternativa postojećem poslovnom modelu za integrirane tehnološke platforme stvaranjem neutralnih posrednika u području podataka. Ova inicijativa može utjecati na podatkovno gospodarstvo stvaranjem povjerenja u razmjenu podataka i poticanjem razvoja zajedničkih europskih podatkovnih prostora u kojima fizičke i pravne osobe kontroliraju podatke koje stvaraju.
•Temeljna prava
Budući da su osobni podaci obuhvaćeni područjem primjene nekih elemenata uredbe, mjere su osmišljene na način koji je u potpunosti u skladu sa zakonodavstvom o zaštiti podataka i koji zapravo povećava kontrolu koju fizičke osobe imaju nad podacima koje stvaraju.
Kad je riječ o pojačanoj ponovnoj uporabi podataka javnog sektora, poštovat će se i temeljna prava na zaštitu podataka, privatnost i vlasništvo (u pogledu vlasničkih prava na određene podatke koji su npr. poslovna tajna ili su zaštićeni pravima intelektualnog vlasništva). Slično tome, pružatelji usluga razmjene podataka koji nude usluge ispitanicima morat će poštovati primjenjiva pravila o zaštiti podataka.
Okvir za obavješćivanje za posrednike u području podataka dotaknuo bi se slobode poduzetništva jer bi se njime određena ograničenja u obliku različitih zahtjeva postavila kao preduvjet za funkcioniranje takvih subjekata.
4.UTJECAJ NA PRORAČUN
Prijedlog neće imati utjecaja na proračun.
5.DRUGI ELEMENTI
•Planovi provedbe i mehanizmi praćenja, evaluacije i izvješćivanja
Zbog dinamične prirode podatkovnog gospodarstva, praćenje razvoja učinaka ključan je dio intervencije u tom području. Kako bi se osiguralo da se odabranim mjerama politike stvarno postignu željeni rezultati i kako bi se prikupile informacije za moguća buduća preispitivanja, potrebno je pratiti i ocjenjivati provedbu ove Uredbe.
Praćenje posebnih ciljeva i regulatornih obveza postići će se reprezentativnim anketama dionika, radom Centra za podršku razmjeni podataka i s pomoću evidencije Europskog odbora za inovacije u području podataka o različitim područjima intervencije o kojima su izvijestila posebna nacionalna tijela te evaluacijske studije kojom se podupire preispitivanje instrumenta.
•Detaljno obrazloženje posebnih odredaba prijedloga
U poglavlju I. definira se predmet uredbe i utvrđuju definicije koje se upotrebljavaju u cijelom instrumentu.
Poglavljem II. uspostavlja se mehanizam za ponovnu uporabu određenih kategorija zaštićenih podataka javnog sektora koja je uvjetovana poštovanjem prava drugih (posebno na temelju zaštite osobnih podataka, ali i zaštite prava intelektualnog vlasništva i poslovne tajne). Ovim se mehanizmom ne dovodi u pitanje sektorsko zakonodavstvo EU-a o pristupu tim podacima i njihovoj ponovnoj uporabi. Ponovna uporaba takvih podataka nije obuhvaćena područjem primjene Direktive (EU) 2019/1024 (Direktiva o otvorenim podacima). Odredbama iz ovog poglavlja ne stvara se pravo na ponovnu uporabu takvih podataka, već se predviđa skup usklađenih osnovnih uvjeta pod kojima se može dopustiti ponovna uporaba takvih podataka (npr. zahtjev za neisključivost). Tijela javnog sektora koja dopuštaju tu vrstu ponovne uporabe trebala bi biti tehnički opremljena kako bi se osiguralo potpuno očuvanje zaštite podataka, privatnosti i povjerljivosti. Države članice morat će uspostaviti jedinstvenu kontaktnu točku za potporu istraživačima i inovativnim poduzećima pri utvrđivanju odgovarajućih podataka te strukture kojima će se tijelima javnog sektora pružiti potpora u obliku tehničkih sredstava i pravne pomoći.
Poglavljem III. nastoji se povećati povjerenje u razmjenu osobnih i neosobnih podataka i smanjiti transakcijske troškove povezane s razmjenom podataka između poduzeća te između potrošača i poduzeća stvaranjem režima obavješćivanja za pružatelje usluga razmjene podataka. Ti pružatelji usluga morat će ispuniti niz zahtjeva, posebno zahtjev da ostanu neutralni u pogledu podataka koji se razmjenjuju. Takve podatke ne mogu upotrebljavati u druge svrhe. U slučaju pružatelja usluga razmjene podataka koji nude usluge fizičkim osobama, morat će se ispuniti i dodatni kriterij preuzimanja fiducijarnih dužnosti prema pojedincima koji koriste te usluge.
Taj je pristup osmišljen kako bi se osiguralo da se usluge razmjene podataka pružaju na otvoren i suradnički način, uz istodobno osnaživanje fizičkih i pravnih osoba dajući im bolji pregled i kontrolu nad njihovim podacima. Nadležno tijelo koje imenuju države članice bit će odgovorno za praćenje usklađenosti sa zahtjevima povezanima s pružanjem takvih usluga.
Poglavljem IV. olakšava se podatkovni altruizam (pojedinci ili poduzeća dobrovoljno stavljaju podatke na raspolaganje za opće dobro). Njime se stvara mogućnost da se organizacije koje se bave podatkovnim altruizmom registriraju kao „organizacija za podatkovni altruizam priznata u EU-u” kako bi se povećalo povjerenje u njihovo djelovanje. Osim toga, izradit će se zajednički europski obrazac za pristanak na podatkovni altruizam kako bi se smanjili troškovi prikupljanja pristanka i olakšala prenosivost podataka (ako podatke koje treba staviti na raspolaganje ne posjeduje pojedinac).
Poglavljem V. utvrđuju se zahtjevi za funkcioniranje nadležnih tijela imenovanih za praćenje i provedbu okvira obavješćivanja za pružatelje usluga razmjene podataka i subjekte koji se bave podatkovnim altruizmom. Sadržava i odredbe o pravu na podnošenje pritužbi protiv odluka takvih tijela i o sudskoj zaštiti.
Poglavljem VI. osniva se formalna stručna skupina („Europski odbor za inovacije u području podataka”) koja će tijelima država članica olakšati stvaranje najboljih praksi, posebno u pogledu obrade zahtjeva za ponovnu uporabu podataka koja podliježe pravima drugih (u skladu s poglavljem II.), osiguravanja dosljedne prakse u pogledu okvira obavješćivanja za pružatelje usluga razmjene podataka (u skladu s poglavljem III.) i podatkovnog altruizma (poglavlje IV.). Osim toga, formalna stručna skupina podupirat će i savjetovati Komisiju o upravljanju međusektorskom normizacijom i pripremi zahtjeva za stratešku međusektorsku normizaciju. U ovom se poglavlju utvrđuje i sastav Odbora i organizira njegov način rada.
U poglavlju VII. Komisiji se omogućuje donošenje provedbenih akata povezanih s europskim obrascem za pristanak na podatkovni altruizam.
Poglavlje VIII. sadržava prijelazne odredbe za funkcioniranje općeg sustava ovlašćivanja za pružatelje usluga razmjene podataka i završne odredbe.
2020/0340 (COD)
Prijedlog
UREDBE EUROPSKOG PARLAMENTA I VIJEĆA
o europskom upravljanju podacima
(Akt o upravljanju podacima)
(Tekst značajan za EGP)
EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,
uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,
uzimajući u obzir prijedlog Europske komisije,
nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,
uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora 21 ,
uzimajući u obzir mišljenje Odbora regija 22 ,
u skladu s redovnim zakonodavnim postupkom,
budući da:
(1)Ugovorom o funkcioniranju Europske unije („UFEU”) predviđena je uspostava unutarnjeg tržišta i sustava kojim se osigurava da natjecanje na unutarnjem tržištu ne bude narušeno. Uspostavom zajedničkih pravila i praksi u državama članicama povezanih s razvojem okvira za upravljanje podacima trebalo bi se doprinijeti ostvarivanju tih ciljeva.
(2)Tijekom posljednjih nekoliko godina digitalne tehnologije preobrazile su gospodarstvo i društvo te utjecale na sve sektore gospodarske djelatnosti i aspekte svakodnevnog života. Podaci su temelj te preobrazbe: građani će imati velike koristi od inovacija utemeljenih na podacima, kao što su poboljšano personalizirano zdravstvo, novi oblici mobilnosti i doprinos inovacija europskom zelenom planu 23 . Komisija je u svojoj podatkovnoj strategiji 24 opisala viziju zajedničkoga europskog podatkovnog prostora, jedinstvenog tržišta podataka na kojem bi se podaci mogli upotrebljavati bez obzira na fizičku lokaciju pohrane u Uniji, u skladu s primjenjivim pravom. Pozvala je i na slobodan i siguran protok podataka prema trećim zemljama, uz iznimke i ograničenja u pogledu javne sigurnosti, javnog reda i drugih legitimnih ciljeva javne politike Europske unije, u skladu s međunarodnim obvezama. Kako bi se ta vizija pretvorila u stvarnost, predlaže se uspostava zajedničkih europskih podatkovnih prostora specifičnih za pojedina područja, kao konkretnih aranžmana za razmjenu i objedinjavanje podataka. Kako je predviđeno u toj strategiji, takvi zajednički europski podatkovni prostori mogu obuhvaćati područja kao što su zdravlje, mobilnost, proizvodnja, financijske usluge, energetika ili poljoprivreda ili tematska područja kao što su europski zeleni plan ili europski podatkovni prostori za javnu upravu ili vještine.
(3)Potrebno je poboljšati uvjete za razmjenu podataka na unutarnjem tržištu stvaranjem usklađenog okvira za razmjenu podataka. Sektorsko zakonodavstvo može razvijati, prilagođavati i predlagati nove i komplementarne elemente, ovisno o posebnostima sektora, kao što je predviđeno zakonodavstvo o europskom prostoru za zdravstvene podatke 25 i pristupu podacima o vozilima. Nadalje, određeni gospodarski sektori već su uređeni sektorskim pravom Unije koje uključuje pravila koja se odnose na prekograničnu razmjenu ili razmjenu podataka na razini Unije ili na pristup podacima 26 . Stoga se ovom Uredbom ne dovodi u pitanje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća ( 27 ), a posebno provedba ove Uredbe ne sprečava prekogranične prijenose podataka u skladu s poglavljem V. Uredbe (EU) 2016/679, Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća ( 28 ), Direktiva (EU) 2016/943 Europskog parlamenta i Vijeća ( 29 ), Uredba (EU) 2018/1807 Europskog parlamenta i Vijeća ( 30 ), Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća ( 31 ), Direktiva 2000/31/EZ Europskog parlamenta i Vijeća ( 32 ), Direktiva 2001/29/EZ Europskog parlamenta i Vijeća ( 33 ), Direktiva (EU) 2019/790 Europskog parlamenta i Vijeća ( 34 ), Direktiva 2004/48/EZ Europskog parlamenta i Vijeća ( 35 ), Direktiva (EU) 2019/1024 Europskog parlamenta i Vijeća ( 36 ), kao i Uredba 2018/858/EU Europskog parlamenta i Vijeća ( 37 ), Direktiva 2010/40/EU Europskog parlamenta i Vijeća ( 38 ) i delegirane uredbe donesene na temelju te Direktive te bilo koje drugo sektorsko zakonodavstvo Unije kojim se organizira pristup podacima i njihova ponovna uporaba. Ovom Uredbom ne bi se trebali dovoditi u pitanje pristup podacima i njihova upotreba u svrhu međunarodne suradnje u kontekstu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija. Trebalo bi uspostaviti horizontalni režim za ponovnu uporabu određenih kategorija zaštićenih podataka u posjedu tijela javnog sektora, pružanje usluga razmjene podataka i usluga temeljenih na podatkovnom altruizmu u Uniji. Posebne značajke različitih sektora mogu zahtijevati projektiranje sektorskih sustava temeljenih na podacima, nadovezujući se na zahtjeve ove Uredbe. Ako se sektorskim pravnim aktom Unije od tijela javnog sektora, pružatelja usluga razmjene podataka ili registriranih subjekata koji pružaju usluge podatkovnog altruizma zahtijeva da se usklade s posebnim dodatnim tehničkim, administrativnim ili organizacijskim zahtjevima, među ostalim putem sustava ovlašćivanja ili certificiranja, trebale bi se primjenjivati i te odredbe tog sektorskog pravnog akta.
(4)Djelovanje na razini Unije potrebno je kako bi se uklonile prepreke za dobro funkcioniranje gospodarstva temeljenog na podacima i stvorio okvir za upravljanje na razini Unije za pristup podacima i njihovu upotrebu, posebno u pogledu ponovne uporabe određenih vrsta podataka u posjedu javnog sektora, pružanja usluga koje posrednici za razmjenu podataka pružaju poslovnim korisnicima i ispitanicima, kao i prikupljanja i obrade podataka koje fizičke i pravne osobe stavljaju na raspolaganje u altruističke svrhe.
(5)Ideja da bi podaci stvoreni na račun javnih proračuna trebali koristiti društvu već je dugo dio politike Unije. Direktivom (EU) 2019/1024 i sektorskim zakonodavstvom osigurava se da javni sektor učini više podataka koje proizvodi lako dostupnima za uporabu i ponovnu uporabu. Međutim, određene kategorije podataka (poslovni povjerljivi podaci, podaci koji podliježu statističkoj povjerljivosti, podaci zaštićeni pravima intelektualnog vlasništva trećih strana, uključujući poslovne tajne i osobne podatke koji nisu dostupni na temelju posebnog nacionalnog zakonodavstva ili zakonodavstva Unije, kao što su Uredba (EU) 2016/679 i Direktiva (EU) 2016/680)) u javnim bazama podataka često nisu dostupne, čak ni za istraživačke ili inovativne aktivnosti. Zbog osjetljivosti tih podataka prije njihova stavljanja na raspolaganje moraju se ispuniti određeni tehnički i pravni postupovni zahtjevi kako bi se osiguralo poštovanje prava drugih osoba na takve podatke. Ispunjenje takvih zahtjeva obično zahtijeva mnogo vremena i znanja. To je dovelo do nedovoljne iskorištenosti tih podataka. Iako neke države članice uspostavljaju strukture i postupke te ponekad donose zakone kako bi olakšale tu vrstu ponovne uporabe, to nije slučaj u cijeloj Uniji.
(6)Postoje tehnike koje omogućuju analize baza podataka koje pogoduju privatnosti i sadržavaju osobne podatke, kao što su anonimizacija, pseudonimizacija, diferencijalna privatnost, generalizacija ili uklanjanje i randomizacija. Primjenom tih tehnologija za povećanje privatnosti, uz sveobuhvatne pristupe zaštiti podataka, trebala bi se osigurati sigurna ponovna uporaba osobnih podataka i podataka koji se smatraju poslovnom tajnom u istraživačke, inovacijske i statističke svrhe. U mnogim slučajevima to znači da se uporaba i ponovna uporaba podataka u tom kontekstu mogu obavljati samo u sigurnom okruženju za obradu koje je uspostavio i nadzire javni sektor. Na razini Unije postoji iskustvo s takvim sigurnim okruženjima za obradu koja se upotrebljavaju za istraživanje statističkih mikropodataka na temelju Uredbe Komisije (EU) 557/2013 ( 39 ). Općenito, kad je riječ o osobnim podacima, njihova bi se obrada trebala temeljiti na jednom ili više razloga za obradu iz članka 6. Uredbe (EU) 2016/679.
(7)Kategorije podataka u posjedu tijela javnog sektora koje bi se trebale ponovno upotrebljavati u skladu s ovom Uredbom nisu obuhvaćene područjem primjene Direktive (EU) 2019/1024 kojom se isključuju podaci koji nisu dostupni zbog poslovne i statističke povjerljivosti i podaci za koje treće strane imaju prava intelektualnog vlasništva. Osobni podaci nisu obuhvaćeni područjem primjene Direktive (EU) 2019/1024 u mjeri u kojoj režim pristupa isključuje ili ograničava pristup takvim podacima zbog zaštite podataka, privatnosti i integriteta pojedinca, posebno u skladu s pravilima o zaštiti podataka. Ponovna uporaba podataka, koji mogu sadržavati poslovne tajne, trebala bi se odvijati ne dovodeći u pitanje Direktivu (EU) 2016/943 40 , kojom se utvrđuje okvir za zakonito pribavljanje, upotrebu ili otkrivanje poslovnih tajni. Ovom se Uredbom ne dovode u pitanje te se dopunjuju konkretnije obveze tijela javnog sektora kako bi se omogućila ponovna uporaba podataka utvrđenih sektorskim pravom Unije ili nacionalnim pravom.
(8)Režim ponovne uporabe predviđen ovom Uredbom trebao bi se primjenjivati na podatke koje predmetna tijela javnog sektora isporučuju kao dio svojih javnih zadaća kako je definirano zakonom ili drugim obvezujućim pravilima država članica. Ako takva pravila ne postoje, javne zadaće trebalo bi definirati u skladu s uobičajenom administrativnom praksom u državama članicama, pod uvjetom da je opseg javnih zadaća transparentan i podložan preispitivanju. Javne zadaće mogle bi se definirati općenito ili, kad je riječ o pojedinačnim tijelima javnog sektora, za svaki slučaj posebno. Budući da javna poduzeća nisu obuhvaćena definicijom tijela javnog sektora, podaci koje posjeduju ne bi trebali podlijegati ovoj Uredbi. Podaci u posjedu kulturnih i obrazovnih ustanova za koje prava intelektualnog vlasništva nisu nevažna, već su pretežito sadržani u djelima i drugim dokumentima zaštićenima takvim pravima, nisu obuhvaćeni ovom Uredbom.
(9)Tijela javnog sektora trebala bi poštovati pravo tržišnog natjecanja pri utvrđivanju načela za ponovnu uporabu podataka koje posjeduju, izbjegavajući u najvećoj mogućoj mjeri sklapanje sporazuma koji bi mogli imati za cilj ili uzrokovati stvaranje isključivih prava za ponovnu uporabu određenih podataka. Takav bi sporazum trebao biti moguć samo kada je to opravdano i nužno za pružanje usluge od općeg interesa. To može biti slučaj kada je isključiva uporaba podataka jedini način da se maksimalno povećaju društvene koristi od predmetnih podataka, na primjer ako postoji samo jedan subjekt (koji je specijaliziran za obradu određenog skupa podataka) koji je sposoban isporučiti uslugu ili proizvod koji tijelu javnog sektora omogućuje pružanje napredne digitalne usluge u općem interesu. Međutim, takvi aranžmani trebali bi biti sklopljeni u skladu s pravilima o javnoj nabavi i podložni redovitom preispitivanju na temelju analize tržišta kako bi se utvrdilo je li takva isključivost i dalje potrebna. Osim toga, takvi bi aranžmani prema potrebi trebali biti u skladu s relevantnim pravilima o državnim potporama i trebali bi se sklapati na ograničeno razdoblje koje ne bi smjelo biti dulje od tri godine. Kako bi se osigurala transparentnost, takvi isključivi sporazumi trebali bi biti objavljeni na internetu, bez obzira na moguću objavu dodjele ugovora o javnoj nabavi.
(10)Zabranjeni isključivi sporazumi i druge prakse ili aranžmani između vlasnika podataka i ponovnih korisnika podataka kojima se izričito ne dodjeljuju isključiva prava, ali za koje se može opravdano očekivati da će ograničiti dostupnost podataka za ponovnu uporabu, a koji su sklopljeni ili su već bili na snazi prije stupanja na snagu ove Uredbe, ne bi se trebali obnavljati nakon isteka. U slučaju sporazuma na neodređeno ili duže razdoblje, trebali bi biti raskinuti u roku od tri godine od datuma stupanja na snagu ove Uredbe.
(11)Trebalo bi utvrditi uvjete za ponovnu uporabu zaštićenih podataka koji se primjenjuju na tijela javnog sektora nadležna za dopuštanje ponovne uporabe u skladu s nacionalnim pravom, kojima se ne bi trebala dovoditi u pitanje prava ili obveze u pogledu pristupa takvim podacima. Ti bi uvjeti trebali biti nediskriminirajući, razmjerni i objektivno opravdani te ne bi smjeli ograničavati tržišno natjecanje. Konkretno, tijela javnog sektora koja dopuštaju ponovnu uporabu trebala bi imati tehnička sredstva potrebna za osiguravanje zaštite prava i interesa trećih strana. Uvjeti povezani s ponovnom uporabom podataka trebali bi biti ograničeni na ono što je nužno za očuvanje prava i interesa drugih u pogledu podataka i integriteta informacijskih tehnologija i komunikacijskih sustava tijela javnog sektora. Tijela javnog sektora trebala bi primjenjivati uvjete koji najbolje služe interesima ponovnog korisnika a da to ne dovede do nerazmjernih napora za javni sektor. Ovisno o predmetnom slučaju, osobni bi podaci prije prijenosa trebali biti u potpunosti anonimizirani kako bi se pouzdano onemogućila identifikacija ispitanika, a podaci koji sadržavaju poslovne povjerljive informacije trebali bi biti izmijenjeni tako da se te informacije ne otkrivaju. Ako pružanje anonimiziranih ili izmijenjenih podataka ne bi bilo u skladu s potrebama ponovnog korisnika, mogla bi se dopustiti ponovna uporaba podataka na licu mjesta ili na daljinu u sigurnom okruženju za obradu. Analize podataka u takvim sigurnim okruženjima za obradu trebalo bi nadzirati tijelo javnog sektora kako bi se zaštitila prava i interesi drugih. Konkretno, osobne podatke trebalo bi proslijediti trećoj strani na ponovnu uporabu samo ako postoji pravna osnova kojom se dopušta takav prijenos. Tijelo javnog sektora moglo bi uvjetovati upotrebu takvog sigurnog okruženja za obradu zahtjevom da ponovni korisnik potpiše sporazum o povjerljivosti kojim se zabranjuje otkrivanje svih informacija kojima se ugrožavaju prava i interesi trećih strana te koje je ponovni korisnik pribavio unatoč uspostavljenim zaštitnim mjerama. Tijela javnog sektora trebala bi, prema potrebi, odgovarajućim tehničkim sredstvima olakšati ponovnu uporabu podataka na temelju privole ispitanikâ ili dopuštenja pravnih osoba o ponovnoj uporabi podataka koji se na njih odnose. U tom bi pogledu tijelo javnog sektora trebalo podupirati potencijalne ponovne korisnike u traženju takve privole uspostavom tehničkih mehanizama kojima se omogućuje slanje zahtjeva za privolu ponovnih korisnika, ako je to izvedivo u praksi. Ne bi trebalo davati nikakve podatke za kontakt koji bi ponovnim korisnicima omogućili da izravno stupe u kontakt s ispitanicima ili poduzećima.
(12)Ovom Uredbom ne bi se trebalo utjecati na prava intelektualnog vlasništva trećih osoba. Njome se ne bi trebalo utjecati na postojanje prava intelektualnog vlasništva tijela javnog sektora ili na njihovo vlasništvo nad tim pravima niti se njome ograničava ostvarivanje tih prava na bilo koji način izvan granica utvrđenih ovom Uredbom. Obveze određene u skladu s ovom Uredbom trebale bi se primjenjivati samo u mjeri u kojoj su usklađene s odredbama međunarodnih sporazuma o zaštiti prava intelektualnog vlasništva, a posebno Bernske konvencije za zaštitu književnih i umjetničkih dijela (Bernska konvencija), Sporazuma o trgovinskim aspektima prava intelektualnog vlasništva (Sporazum o TRIPS-u) i Ugovora o autorskom pravu WIPO-a. Međutim, tijela javnog sektora trebala bi ostvarivati svoje autorsko pravo na način kojim se olakšava ponovna uporaba.
(13)Podaci koji podliježu pravima intelektualnog vlasništva i poslovne tajne trebali bi se prenositi trećoj strani samo ako je takav prijenos zakonit na temelju prava Unije ili nacionalnog prava ili uz suglasnost nositelja prava. Kako bi se spriječila ili ograničila ponovna uporaba podataka izvan granica utvrđenih ovom Uredbom, tijela javnog sektora koja su nositelji prava predviđenog u članku 7. stavku 1. Direktive 96/9/EZ Europskog parlamenta i Vijeća ( 41 ) ne bi trebala ostvarivati to pravo.
(14)Trgovačka društva i ispitanici trebali bi imati povjerenja u to da će se ponovna uporaba određenih kategorija zaštićenih podataka u posjedu javnog sektora odvijati uz poštovanje njihovih prava i interesa. Stoga bi trebalo uvesti dodatne zaštitne mjere za situacije u kojima se ponovna uporaba takvih podataka javnog sektora odvija na temelju obrade podataka izvan javnog sektora. Takva dodatna zaštitna mjera može se ostvariti zahtjevom da tijela javnog sektora u potpunosti uzmu u obzir prava i interese fizičkih i pravnih osoba (osobito zaštitu osobnih podataka, poslovnih osjetljivih podataka i zaštitu prava intelektualnog vlasništva) u slučaju da se takvi podaci prenose u treće zemlje.
(15)Nadalje, važno je zaštititi poslovno osjetljive podatke neosobne prirode, posebno poslovne tajne, ali i neosobne podatke koji predstavljaju sadržaj zaštićen pravima intelektualnog vlasništva od neovlaštenog pristupa koji može dovesti do krađe intelektualnog vlasništva ili industrijske špijunaže. Kako bi se osigurala zaštita temeljnih prava ili interesa vlasnika podataka, neosobne podatke koje treba zaštititi od nezakonitog ili neovlaštenog pristupa u skladu s pravom Unije ili nacionalnim pravom i kojima raspolažu tijela javnog sektora trebalo bi prenijeti samo u treće zemlje u kojima su osigurane odgovarajuće zaštitne mjere za upotrebu podataka. Može se smatrati da takve odgovarajuće zaštitne mjere postoje ako u toj trećoj zemlji postoje jednakovrijedne mjere kojima se osigurava da neosobni podaci uživaju razinu zaštite sličnu onoj koja se primjenjuje na temelju prava Unije ili nacionalnog prava, posebno u pogledu zaštite poslovnih tajni i zaštite prava intelektualnog vlasništva. U tu svrhu Komisija može donijeti provedbene akte kojima se utvrđuje da treća zemlja pruža razinu zaštite koja je u osnovi istovjetna onoj koja je predviđena pravom Unije ili nacionalnim pravom. Pri procjeni razine zaštite koja se pruža u takvoj trećoj zemlji posebno bi trebalo uzeti u obzir relevantno zakonodavstvo, opće i sektorsko, uključujući ono koje se odnosi na javnu sigurnost, obranu, nacionalnu sigurnost i kazneno pravo u vezi s pristupom neosobnim podacima i njihovom zaštitom, svaki pristup tijela javne vlasti te treće zemlje prenesenim podacima, postojanje i djelotvorno funkcioniranje jednog ili više neovisnih nadzornih tijela u trećoj zemlji odgovornih za osiguravanje i provedbu usklađenosti s pravnim okvirom kojim se osigurava pristup tim podacima, ili međunarodne obveze koje je treća zemlja preuzela u pogledu zaštite podataka, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata te iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima. Postojanje učinkovitih pravnih lijekova za vlasnike podataka, tijela javnog sektora ili pružatelje usluga razmjene podataka u predmetnoj trećoj zemlji posebno je važno u kontekstu prijenosa neosobnih podataka u tu treću zemlju. Stoga bi takve zaštitne mjere trebale uključivati dostupnost ostvarivih prava i djelotvornih pravnih lijekova.
(16)U slučajevima kada Komisija nije donijela provedbeni akt u vezi s trećom zemljom u kojem se utvrđuje da ta zemlja pruža razinu zaštite, posebno u pogledu zaštite poslovno osjetljivih podataka i zaštite prava intelektualnog vlasništva, koja je u osnovi istovjetna onoj koja je predviđena pravom Unije ili nacionalnim pravom, tijelo javnog sektora trebalo bi prenositi zaštićene podatke ponovnom korisniku samo ako ponovni korisnik preuzme obveze u interesu zaštite podataka. Ponovni korisnik koji namjerava prenijeti podatke u takvu treću zemlju trebao bi se obvezati na poštovanje obveza utvrđenih u ovoj Uredbi čak i nakon što su podaci preneseni u treću zemlju. Kako bi se osiguralo pravilno izvršavanje takvih obveza, ponovni korisnik trebao bi prihvatiti i nadležnost države članice u kojoj se nalazi tijelo javnog sektora koje je dopustilo ponovnu uporabu za sudsko rješavanje sporova.
(17)Neke treće zemlje donose zakone, propise i druge pravne akte čiji je cilj izravan prijenos ili pružanje pristupa neosobnim podacima u Uniji pod nadzorom fizičkih i pravnih osoba koje podliježu nadležnosti država članica. Presude sudova ili odluke upravnih tijela u trećim zemljama kojima se zahtijeva takav prijenos ili pristup neosobnim podacima trebale bi biti izvršive kada se temelje na međunarodnom sporazumu, poput ugovora o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije ili države članice. U nekim slučajevima mogu nastati situacije u kojima je obveza prijenosa ili pružanja pristupa neosobnim podacima koja proizlazi iz prava treće zemlje u suprotnosti s obvezom zaštite takvih podataka u skladu s pravom Unije ili nacionalnim pravom, posebno u pogledu zaštite poslovno osjetljivih podataka i zaštite prava intelektualnog vlasništva, te uključujući njezine ugovorne obveze u pogledu povjerljivosti u skladu s tim pravom. Ako ne postoje međunarodni sporazumi kojima se uređuju takva pitanja, prijenos ili pristup trebalo bi dopustiti samo pod određenim uvjetima, među ostalim da sustav treće zemlje zahtijeva navođenje razloga i razmjernosti odluke, da su sudski nalog ili odluka specifični te da obrazloženi prigovor adresata podliježe preispitivanju nadležnog suda u trećoj zemlji, koji je ovlašten uzeti u obzir relevantne pravne interese pružatelja takvih podataka.
(18)Kako bi se spriječio nezakonit pristup neosobnim podacima, tijela javnog sektora, fizičke ili pravne osobe kojima je dodijeljeno pravo na ponovnu uporabu podataka, pružatelji usluga razmjene podataka i subjekti upisani u registar priznatih organizacija za podatkovni altruizam trebali bi poduzeti sve opravdane mjere za sprečavanje pristupa sustavima u kojima su pohranjeni neosobni podaci, uključujući šifriranje podataka ili poslovne politike.
(19)Kako bi se izgradilo povjerenje u mehanizme ponovne uporabe, možda će, u skladu s međunarodnim obvezama, biti potrebno postaviti strože uvjete za određene vrste neosobnih podataka za koje je utvrđeno da su vrlo osjetljivi u pogledu prijenosa u treće zemlje ako bi takav prijenos mogao ugroziti ciljeve javne politike. Na primjer, u području zdravstva određeni skupovi podataka koje posjeduju akteri u sustavu javnog zdravstva, kao što su javne bolnice, mogli bi se definirati kao vrlo osjetljivi zdravstveni podaci. Kako bi se osigurale usklađene prakse diljem Unije, takve vrste vrlo osjetljivih neosobnih javnih podataka trebale bi biti definirane pravom Unije, na primjer u kontekstu europskog prostora za zdravstvene podatke, ili drugim sektorskim zakonodavstvom. Uvjete povezane s prijenosom takvih podataka trećim zemljama trebalo bi utvrditi delegiranim aktima. Takvi uvjeti trebali bi biti razmjerni, nediskriminirajući i nužni za zaštitu legitimnih utvrđenih ciljeva javne politike, kao što su zaštita javnog zdravlja, javni red, sigurnost, okoliš, javni moral, zaštita potrošača, privatnost i zaštita osobnih podataka. Trebali bi odgovarati rizicima utvrđenima u odnosu na osjetljivost takvih podataka, među ostalim u pogledu rizika ponovne identifikacije pojedinaca. Ti bi uvjeti mogli uključivati odredbe o prijenosu ili tehničke aranžmane, kao što su zahtjev za uporabu sigurnog okruženja za obradu, ograničenja u pogledu ponovne uporabe podataka u trećim zemljama ili u pogledu kategorija osoba koje imaju pravo prenijeti takve podatke trećim zemljama ili koje mogu pristupiti podacima u trećoj zemlji. U iznimnim slučajevima mogu uključivati i ograničenja prijenosa podataka u treće zemlje radi zaštite javnog interesa.
(20)Tijela javnog sektora trebala bi imati mogućnost naplate naknade za ponovnu uporabu podataka, ali i odlučivanja o tome hoće li podaci biti dostupni po nižoj cijeni ili besplatno, na primjer za određene kategorije ponovne uporabe kao što su nekomercijalna ponovna uporaba ili ponovna uporaba u malim i srednjim poduzećima, kako bi se potaknula takva ponovna uporaba radi poticanja istraživanja i inovacija te podupiranja poduzeća koja su važan izvor inovacija i kojima je obično teže samima prikupiti relevantne podatke, u skladu s pravilima o državnim potporama. Takve naknade trebale bi biti razumne, transparentne, objavljene na internetu i nediskriminirajuće.
(21)Da bi se potaknula ponovna uporaba tih kategorija podataka, države članice trebale bi uspostaviti jedinstvenu informacijsku točku koja bi djelovala kao primarno sučelje za ponovne korisnike koji žele ponovno upotrebljavati takve podatke u posjedu tijela javnog sektora. Ona bi trebala imati međusektorsku nadležnost i po potrebi nadopunjavati aranžmane na sektorskoj razini. Osim toga, države članice trebale bi odrediti, uspostaviti ili olakšati osnivanje nadležnih tijela za potporu aktivnostima tijela javnog sektora kojima se omogućuje ponovna uporaba određenih kategorija zaštićenih podataka. Njihove zadaće mogu uključivati odobravanje pristupa podacima ako je to propisano sektorskim zakonodavstvom Unije ili država članica. Ta nadležna tijela trebala bi pružiti potporu tijelima javnog sektora primjenom najsuvremenijih tehnika, uključujući sigurna okruženja za obradu podataka, koja omogućuju analizu podataka na način kojim se čuva privatnost informacija. Takva struktura potpore mogla bi služiti kao podrška vlasnicima podataka u upravljanju pristankom, uključujući pristanak na određena područja znanstvenog istraživanja uz pridržavanje priznatih etičkih normi za znanstvena istraživanja. Obrada podataka trebala bi biti u nadležnosti tijela javnog sektora odgovornog za registar koji sadržava te podatke, a koje ostaje voditelj obrade podataka u smislu Uredbe (EU) 2016/679 u pogledu osobnih podataka. Države članice mogu uspostaviti jedno ili više nadležnih tijela, koja bi mogla djelovati u različitim sektorima.
(22)Očekuje se da će pružatelji usluga razmjene podataka (posrednici u području podataka) imati ključnu ulogu u podatkovnom gospodarstvu, što bi olakšalo objedinjavanje i razmjenu znatnih količina relevantnih podataka. Posrednici u području podataka koji nude usluge za povezivanje različitih aktera imaju potencijal doprinijeti učinkovitom objedinjavanju podataka i olakšavanju bilateralne razmjene podataka. Specijalizirani posrednici u području podataka koji su neovisni o vlasnicima podataka i korisnicima podataka mogu olakšati nastanak novih ekosustava temeljenih na podacima koji su neovisni o bilo kojem sudioniku sa značajnom tržišnom snagom. Ovom Uredbom trebali bi biti obuhvaćeni samo pružatelji usluga razmjene podataka čiji je glavni cilj osnivanje poduzeća, uspostava pravnog i potencijalno tehničkog odnosa između vlasnika podataka, uključujući ispitanike, s jedne strane, i potencijalnih korisnika, s druge strane, te bi ona trebala pomoći objema stranama u međusobnim transakcijama podatkovnom imovinom. Njome bi trebale biti obuhvaćene samo one usluge čiji je cilj posredovanje između neograničenog broja vlasnika podataka i korisnika podataka, isključujući usluge razmjene podataka namijenjene zatvorenoj skupini vlasnika podataka i korisnika. Trebalo bi isključiti pružatelje usluga u oblaku, kao i pružatelje usluga koji dobivaju podatke od vlasnika podataka te ih objedinjuju, obogaćuju ili mijenjaju i licenciraju upotrebu dobivenih podataka korisnicima podataka, bez uspostavljanja izravnog odnosa između vlasnika podataka i korisnika podataka, na primjer posrednike u oglašavanju, posrednike podataka, pružatelje usluga savjetovanja u vezi s podacima, pružatelje podatkovnih proizvoda koji su rezultat dodane vrijednosti koju je pružatelj usluga dodao podacima. Istodobno, pružateljima usluga razmjene podataka trebalo bi omogućiti da prilagode razmijenjene podatke u mjeri u kojoj oni time postaju upotrebljiviji za korisnika podataka, ako to korisnik podataka želi, na primjer da ih pretvore u posebne formate. Osim toga, usluge koje su usmjerene na posredovanje u odnosu na sadržaj, posebno sadržaj zaštićen autorskim pravima, ne bi trebale biti obuhvaćene ovom Uredbom. Ovom Uredbom ne bi trebalo obuhvatiti platforme za razmjenu podataka kojima se isključivo koristi jedan vlasnik podataka kako bi omogućio upotrebu podataka koje posjeduju kao i platforme razvijene u kontekstu predmeta i uređaja povezanih s internetom stvari čiji je glavni cilj osigurati funkcionalnosti spojenog predmeta ili uređaja i omogućiti usluge s dodanom vrijednošću. „Pružatelje konsolidiranih podataka o trgovanju” u smislu članka 4. stavka 1. točke 53. Direktive 2014/65/EU Europskog parlamenta i Vijeća 42 te „pružatelje usluga pružanja informacija o računu” u smislu članka 4. točke 19. Direktive (EU) 2015/2366 Europskog parlamenta i Vijeća 43 ne bi trebalo smatrati pružateljima usluga razmjene podataka za potrebe ove Uredbe. Subjekti čije su aktivnosti ograničene na olakšavanje uporabe podataka koji se stavljaju na raspolaganje na temelju podatkovnog altruizma i koji djeluju na neprofitnoj osnovi ne bi trebali biti obuhvaćeni poglavljem III. ove Uredbe jer njihove aktivnosti služe ciljevima od općeg interesa povećanjem količine podataka dostupnih u te svrhe.
(23)Posebna kategorija posrednika u području podataka uključuje pružatelje usluga razmjene podataka koji nude svoje usluge ispitanicima u smislu Uredbe (EU) 2016/679. Takvi pružatelji usluga usredotočeni su isključivo na osobne podatke i nastoje poboljšati djelovanje na razini pojedinca i kontrolu pojedinaca nad podacima koji se na njih odnose. Oni bi pomagali pojedincima u ostvarivanju njihovih prava na temelju Uredbe (EU) 2016/679, posebno u upravljanju njihovim pristankom na obradu podataka, pravom na pristup vlastitim podacima, pravom na ispravak netočnih osobnih podataka, pravom na brisanje ili pravom „na zaborav”, pravom na ograničavanje obrade i pravom na prenosivost podataka, čime se ispitanicima omogućuje da svoje osobne podatke prenesu s jednog voditelja obrade na drugog. U tom je kontekstu važno da se njihovim poslovnim modelom osigura da ne postoje neusklađeni poticaji kojima se pojedince potiče da stave na raspolaganje više podataka za obradu nego što je to u vlastitom interesu pojedinaca. To bi moglo uključivati savjetovanje pojedinaca o tome koje bi vrste uporabe svojih podataka mogli dopustiti i provedbu dubinske analize korisnika podataka prije nego što im se omogući da stupe u kontakt s ispitanicima kako bi se izbjegle prijevarne prakse. U određenim situacijama moglo bi biti poželjno objediniti stvarne podatke unutar prostora za pohranu osobnih podataka ili „prostora za osobne podatke” kako bi se obrada mogla odvijati unutar tog prostora bez prijenosa osobnih podataka trećim stranama čime bi se maksimalno povećala zaštita osobnih podataka i privatnosti.
(24)Podatkovne zadruge nastoje ojačati položaj pojedinaca pri donošenju informiranih odluka prije davanja pristanka na uporabu podataka, utječući na uvjete pod kojima djeluju organizacije korisnika podataka, a koji su povezani s uporabom podataka ili rješavajući sporove među članovima skupine o tome kako se podaci mogu upotrebljavati kada se oni odnose na nekoliko ispitanika unutar te skupine. U tom je kontekstu potrebno uvažiti da prava iz Uredbe (EU) 2016/679 može ostvarivati samo svaki pojedinac zasebno i da se ona ne mogu dodijeliti ili delegirati podatkovnoj zadruzi. Podatkovne zadruge također bi mogle biti korisno sredstvo za trgovačka društva s jednim članom, mikropoduzeća te mala i srednja poduzeća koja su u smislu znanja o razmjeni podataka često usporediva s pojedincima.
(25)Kako bi se povećalo povjerenje u takve usluge razmjene podataka, posebno u vezi s uporabom podataka i usklađenošću s uvjetima koje nameću vlasnici podataka, potrebno je uspostaviti regulatorni okvir na razini Unije kojim bi se utvrdili visoko usklađeni zahtjevi povezani s pouzdanim pružanjem takvih usluga razmjene podataka. Time će se poboljšati kontrola koju vlasnici podataka i korisnici podataka imaju nad pristupom svojim podacima i njihovom uporabom, u skladu s pravom Unije. U situacijama u kojima se razmjena podataka odvija među poduzećima ili među poduzećima i potrošačima, pružatelji usluga razmjene podataka trebali bi ponuditi nov „europski” način upravljanja podacima tako što bi u podatkovnom gospodarstvu osigurali odijeljenost pružanja podataka, posredovanja i uporabe podataka. Pružatelji usluga razmjene podataka mogu staviti na raspolaganje i posebnu tehničku infrastrukturu za međusobno povezivanje vlasnika podataka i korisnika podataka.
(26)Neutralnost pružatelja usluga razmjene podataka u pogledu razmjene podataka između vlasnika podataka i korisnika podataka ključni je element za postizanje povjerenja i veće kontrole za vlasnike podataka i korisnike podataka u odnosu na usluge razmjene podataka. Stoga je nužno da pružatelji usluga razmjene podataka djeluju samo kao posrednici u transakcijama i da ne upotrebljavaju razmijenjene podatke ni u koju drugu svrhu. To će također zahtijevati strukturnu podjelu između usluge razmjene podataka i svih drugih pruženih usluga kako bi se izbjegla pitanja sukoba interesa. To znači da bi usluge razmjene podataka trebao pružati pravni subjekt čije je djelovanje odvojeno od drugih aktivnosti tog pružatelja usluga razmjene podataka. Pružatelji usluga razmjene podataka koji posreduju u razmjeni podataka između pojedinaca kao vlasnika podataka i pravnih osoba trebali bi, osim toga, biti nositelji fiducijarne dužnosti prema pojedincima kako bi osigurali djelovanje u najboljem interesu vlasnika podataka.
(27)Kako bi se osigurala usklađenost pružatelja usluga razmjene podataka s uvjetima utvrđenima u ovoj Uredbi, takvi pružatelji usluga trebali bi imati poslovni nastan u Uniji. Ako pružatelj usluga razmjene podataka koji nema poslovni nastan u Uniji nudi usluge unutar Unije, trebao bi imenovati predstavnika. Imenovanje predstavnika nužan je korak jer takvi pružatelji usluga razmjene podataka obrađuju osobne i poslovne povjerljive podatke, što zahtijeva pomno praćenje usklađenosti djelovanja takvih pružatelja usluga s uvjetima utvrđenima u ovoj Uredbi. Kako bi se utvrdilo nudi li takav pružatelj usluga razmjene podataka usluge u Uniji, trebalo bi utvrditi može li se zaključiti da pružatelj usluga razmjene podataka ima namjeru ponuditi usluge osobama u jednoj ili više država članica. Sama dostupnost internetske stranice ili adrese e-pošte i drugih podataka za kontakt pružatelja usluga razmjene podataka u Uniji ili uporaba jezika koji se obično upotrebljava u trećoj zemlji u kojoj pružatelj usluga razmjene podataka ima poslovni nastan trebali bi se smatrati nedovoljnima za utvrđivanje takve namjere. Međutim, čimbenici kao što su korištenje jezikom ili valutom koji su općenito u uporabi u jednoj ili više država članica s mogućnošću naručivanja usluga na tom drugom jeziku ili spominjanje korisnika koji se nalaze u Uniji, mogu jasno pokazati da pružatelj usluga razmjene podataka planira ponuditi usluge u Uniji. Predstavnik bi trebao djelovati u ime pružatelja usluga razmjene podataka te bi nadležna tijela trebala moći kontaktirati tog predstavnika. Predstavnika bi pružatelj usluga razmjene podataka trebao imenovati pisanim ovlaštenjem za djelovanje u njegovo ime s obzirom na njegove obveze na temelju ove Uredbe.
(28)Ovom Uredbom ne bi se trebala dovoditi u pitanje obveza pružatelja usluga razmjene podataka da poštuju Uredbu (EU) 2016/679 i odgovornost nadzornih tijela da osiguraju usklađenost s tom Uredbom. Ako su pružatelji usluga razmjene podataka voditelji obrade ili izvršitelji obrade u smislu Uredbe (EU) 2016/679, na njih se primjenjuju odredbe te Uredbe. Ovom Uredbom ne bi se trebala dovoditi u pitanje ni primjena prava tržišnog natjecanja.
(29)Osim toga, pružatelji usluga razmjene podataka trebali bi poduzeti mjere za osiguravanje usklađenosti s pravom tržišnog natjecanja. Razmjena podataka može proizvesti različite vrste učinkovitosti, ali može dovesti i do ograničavanja tržišnog natjecanja, posebno kada uključuje razmjenu osjetljivih informacija u području tržišnog natjecanja. To se posebno odnosi na situacije u kojima razmjena podataka omogućuje poduzećima da otkriju tržišne strategije svojih postojećih ili potencijalnih konkurenata. Tržišno osjetljive informacije obično uključuju informacije o budućim cijenama, troškovima proizvodnje, količinama, prihodima, prodaji ili kapacitetima.
(30)Trebalo bi uspostaviti postupak obavješćivanja za usluge razmjene podataka kako bi se osiguralo upravljanje podacima unutar Unije utemeljeno na pouzdanoj razmjeni podataka. Prednosti pouzdanog okruženja najbolje bi se ostvarile propisivanjem niza zahtjeva za pružanje usluga razmjene podataka, ne zahtijevajući pritom od nadležnog tijela donošenje izričite odluke ili upravnog akta o pružanju takvih usluga.
(31)Kako bi se podržalo učinkovito prekogranično pružanje usluga, od pružatelja usluga razmjene podataka trebalo bi zatražiti da pošalje obavijest samo imenovanom nadležnom tijelu iz države članice u kojoj se nalazi njegov glavni poslovni nastan ili u kojoj se nalazi njegov pravni zastupnik. Takva obavijest ne bi trebala uključivati više od pukog iskazivanja namjere pružanja takvih usluga i trebala bi biti popunjena samo informacijama utvrđenima u ovoj Uredbi.
(32)Glavni poslovni nastan pružatelja usluga razmjene podataka u Uniji trebala bi biti država članica u kojoj se nalazi njegova središnja uprava u Uniji. Glavni poslovni nastan pružatelja usluga razmjene podataka u Uniji trebalo bi utvrditi u skladu s objektivnim kriterijima te bi on trebao podrazumijevati učinkovito i stvarno obavljanje aktivnosti upravljanja.
(33)Nadležna tijela imenovana za praćenje usklađenosti usluga razmjene podataka sa zahtjevima iz ove Uredbe trebala bi se odabrati na temelju njihovih kapaciteta i stručnosti u pogledu horizontalne ili sektorske razmjene podataka te bi pri izvršavanju svojih zadaća trebala biti neovisna, transparentna i nepristrana. Države članice trebale bi obavijestiti Komisiju o identitetu imenovanih nadležnih tijela.
(34)Okvirom za obavješćivanje utvrđenim u ovoj Uredbi ne bi se trebala dovoditi u pitanje posebna dodatna pravila za pružanje usluga razmjene podataka koja se primjenjuju na temelju sektorskog zakonodavstva.
(35)Postoji velik potencijal u uporabi podataka koje ispitanici dobrovoljno stavljaju na raspolaganje na temelju svog pristanka ili, ako se radi o neosobnim podacima, koje su pravne osobe stavile na raspolaganje u svrhe od općeg interesa. Takve bi svrhe uključivale zdravstvenu skrb, borbu protiv klimatskih promjena, poboljšanje mobilnosti, olakšavanje uspostave službene statistike ili poboljšanje pružanja javnih usluga. Trebalo bi uzeti u obzir potporu znanstvenom istraživanju, uključujući primjerice tehnološki razvoj i demonstracijske aktivnosti, temeljna istraživanja, primijenjena istraživanja i privatno financirana istraživanja, kao i svrhe od općeg interesa. Cilj je ove Uredbe doprinijeti stvaranju skupova podataka koji se stavljaju na raspolaganje na temelju podatkovnog altruizma, a koji su dovoljno veliki da bi se njima omogućila analitika podataka i strojno učenje, uključujući preko granica unutar Unije.
(36)Pravni subjekti koji nastoje podupirati svrhe od općeg interesa stavljanjem na raspolaganje relevantnih podataka na temelju podatkovnog altruizma u dostatnim razmjerima i koji ispunjavaju određene zahtjeve trebali bi se moći registrirati kao „organizacije za podatkovni altruizam priznate u Uniji”. To bi moglo dovesti do uspostave repozitorija podataka. Budući da bi registracija u državi članici bila valjana u cijeloj Uniji, to bi trebalo olakšati prekograničnu uporabu podataka unutar Unije i stvaranje skupova podataka koji obuhvaćaju nekoliko država članica. Ispitanici bi u tom pogledu pristali na posebne svrhe obrade podataka, ali bi također mogli dati pristanak na obradu podataka u određenim područjima istraživanja ili dijelovima istraživačkih projekata jer često u trenutku prikupljanja podataka nije moguće u potpunosti utvrditi svrhu obrade osobnih podataka koji bi se koristili za znanstvena istraživanja. Pravne osobe mogle bi dati dopuštenje za obradu svojih neosobnih podataka u niz svrha koje nisu definirane u trenutku davanja dopuštenja. Dobrovoljnim poštivanjem skupa zahtjeva registrirani subjekti potaknuli bi povjerenje u činjenicu da podaci koji se stavljaju na raspolaganje u altruističke svrhe služe svrsi od općeg interesa. Takvo bi se povjerenje prije svega trebalo temeljiti na mjestu poslovnog nastana u Uniji, kao i na zahtjevu da registrirani subjekti imaju neprofitni karakter, na zahtjevima u pogledu transparentnosti i na posebnim mjerama za zaštitu prava i interesa ispitanika te trgovačkih društava. Dodatne zaštitne mjere trebale bi obuhvaćati mogućnost obrade relevantnih podataka u sigurnom okruženju za obradu kojim upravlja registrirani subjekt, mehanizme nadzora kao što su etička vijeća ili odbori kako bi se osiguralo da voditelj obrade podataka poštuje visoke standarde znanstvene etike, djelotvorna tehnička sredstva za povlačenje ili izmjenu pristanka u bilo kojem trenutku na temelju obveza informiranja izvršitelja obrade podataka u skladu s Uredbom (EU) 2016/679, kao i načine stalnog informiranja ispitanika o uporabi podataka koje su stavili na raspolaganje.
(37)Ovom Uredbom ne dovodi se u pitanje osnivanje, organizacija i funkcioniranje subjekata koji žele sudjelovati u podatkovnom altruizmu u skladu s nacionalnim pravom. Ona se temelji na odredbama nacionalnog prava o zakonitom djelovanju u obliku neprofitne organizacije u državi članici. Subjekti koji ispunjavaju zahtjeve iz ove Uredbe trebali bi imati mogućnost uporabe naziva „organizacije za podatkovni altruizam priznate u Uniji”.
(38)Organizacije za podatkovni altruizam priznate u Uniji trebale bi imati mogućnost prikupljanja relevantnih podataka izravno od fizičkih i pravnih osoba ili obrade podataka koje su prikupili drugi. Podatkovni altruizam obično bi se oslanjao na pristanak ispitanika u smislu članka 6. stavka 1. točke (a) i članka 9. stavka 2. točke (a) te bi bio u skladu sa zahtjevima za zakoniti pristanak u skladu s člankom 7. Uredbe (EU) 2016/679. U skladu s Uredbom (EU) 2016/679 svrhe znanstvenog istraživanja mogu se poduprijeti pristankom na određena područja znanstvenog istraživanja ako su u skladu s priznatim etičkim standardima za znanstvena istraživanja ili samo na određena područja istraživanja ili dijelove istraživačkih projekata. U članku 5. stavku 1. točki (b) Uredbe (EU) 2016/679 utvrđuje se da se daljnja obrada u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. Uredbe (EU) 2016/679, ne bi trebala smatrati nespojivom s prvotnim svrhama.
(39)Kako bi se osigurala dodatna pravna sigurnost pri izdavanju i povlačenju pristanka, posebno u kontekstu znanstvenog istraživanja i statističke upotrebe podataka koji su dostupni na altruističkoj osnovi, trebalo bi izraditi i upotrebljavati europski obrazac za pristanak na podatkovni altruizam u kontekstu altruističke razmjene podataka. Takav obrazac trebao bi dodatno doprinijeti transparentnosti zahvaljujući kojoj bi ispitanici bili sigurni da će se njihovim podacima pristupiti i da će se njima koristiti u skladu s njihovim pristankom i uz potpuno poštovanje pravila o zaštiti podataka. Mogao bi se upotrebljavati i za racionalizaciju podatkovnog altruizma koji provode trgovačka društva i za osiguravanje mehanizma kojim bi se tim društvima omogućilo da povuku odobrenje za uporabu podataka. Kako bi se uzele u obzir posebnosti pojedinih sektora, uključujući sa stajališta zaštite podataka, trebala bi postojati mogućnost sektorskih prilagodbi europskog obrasca za pristanak na podatkovni altruizam.
(40)Kako bi se uspješno uspostavio okvir za upravljanje podacima, trebalo bi osnovati Europski odbor za inovacije u području podataka u obliku stručne skupine. Odbor bi se trebao sastojati od predstavnika država članica, Komisije i predstavnika relevantnih podatkovnih prostora i posebnih sektora (kao što su zdravstvo, poljoprivreda, promet i statistika). Europski odbor za zaštitu podataka trebao bi biti pozvan da imenuje predstavnika u Europski odbor za inovacije u području podataka.
(41)Odbor bi trebao podupirati rad Komisije na koordiniranju nacionalnih praksi i politika u područjima obuhvaćenima ovom Uredbom te u podršci međusektorskoj uporabi podataka na temelju načela Europskog okvira za interoperabilnost (EIF) i uporabom normi i specifikacija (kao što su jezgreni rječnici (eng. core vocabularies) 44 i sastavni dijelovi Instrumenta za povezivanje Europe (CEF-a) 45 ), ne dovodeći u pitanje rad na normizaciji koji se odvija u određenim sektorima ili područjima. Rad na tehničkoj normizaciji može uključivati utvrđivanje prioriteta za razvoj normi te utvrđivanje i održavanje niza tehničkih i pravnih normi za prijenos podataka između dva okruženja za obradu što omogućuje organizaciju podatkovnih prostora bez posredovanja. Odbor bi trebao surađivati sa sektorskim tijelima, mrežama ili stručnim skupinama ili drugim međusektorskim organizacijama koje se bave ponovnom uporabom podataka. Kad je riječ o podatkovnom altruizmu, Odbor bi trebao pomagati Komisiji u izradi obrasca za pristanak na podatkovni altruizam, nakon rasprave o tome s Europskim odborom za zaštitu podataka.
(42)Kako bi se osigurali jedinstveni uvjeti za provedbu ove Uredbe, Komisiji bi trebalo dodijeliti provedbene ovlasti za izradu obrasca za pristanak na podatkovni altruizam. Te bi se ovlasti trebale izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća 46 .
(43)Kako bi se uzela u obzir posebna priroda određenih kategorija podataka, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a kako bi utvrdila posebne uvjete za prijenos u treće zemlje određenih kategorija neosobnih podataka koje se smatraju vrlo osjetljivima u određenim aktima Unije donesenima zakonodavnim postupkom. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Konkretno, kako bi se osiguralo ravnopravno sudjelovanje u pripremi delegiranih akata, Europski parlament i Vijeće dobivaju sve dokumente istodobno kao i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije zaduženim za pripremu delegiranih akata.
(44)Ova Uredba ne smije utjecati na primjenu pravila o tržišnom natjecanju, osobito članaka 101. i 102. Ugovora o funkcioniranju Europske unije. Mjere predviđene ovom Uredbom ne bi se trebale koristiti za ograničavanje tržišnog natjecanja na način koji je suprotan Ugovoru o funkcioniranju Europske unije. To se posebno odnosi na pravila o razmjeni osjetljivih informacija u području tržišnog natjecanja između postojećih ili potencijalnih konkurenata putem usluga razmjene podataka.
(45)Obavljeno je savjetovanje s Europskim nadzornikom za zaštitu podataka i Europskim odborom za zaštitu podataka u skladu s člankom 42. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća ( 47 ) te su oni dali mišljenje o [...].
(46)Ovom Uredbom poštuju se temeljna prava i načela posebno priznata u Povelji, uključujući pravo na privatnost, zaštitu osobnih podataka, slobodu poduzetništva, pravo na vlasništvo i integraciju osoba s invaliditetom,
DONIJELI SU OVU UREDBU:
POGLAVLJE I.
OPĆE ODREDBE
Članak 1.
Predmet i područje primjene
(1)Ovom se Uredbom utvrđuju:
(a) uvjeti za ponovnu uporabu, unutar Unije, određenih kategorija podataka u posjedu tijela javnog sektora;
(b) okvir za obavješćivanje i nadzor za pružanje usluga razmjene podataka;
(c) okvir za dobrovoljnu registraciju subjekata koji prikupljaju i obrađuju podatke stavljene na raspolaganje u altruističke svrhe.
(2)Ovom Uredbom ne dovode se u pitanje posebne odredbe u drugim pravnim aktima Unije u vezi s pristupom određenim kategorijama podataka ili njihovom ponovnom uporabom, kao ni zahtjevi povezani s obradom osobnih ili neosobnih podataka. Ako se sektorskim pravnim aktom Unije od tijela javnog sektora, pružatelja usluga razmjene podataka ili registriranih subjekata koji pružaju usluge podatkovnog altruizma zahtijeva da se usklade s posebnim dodatnim tehničkim, administrativnim ili organizacijskim zahtjevima, među ostalim putem sustava ovlašćivanja ili certificiranja, primjenjuju se i odredbe tog sektorskog pravnog akta.
Članak 2.
Definicije
Za potrebe ove Uredbe primjenjuju se sljedeće definicije:
(1)„podaci” znači svaki digitalni prikaz akata, činjenica ili informacija i svaka kompilacija tih akata, činjenica ili informacija, uključujući u obliku zvučnog, vizualnog ili audiovizualnog zapisa;
(2)„ponovna uporaba” znači uporaba, od strane fizičkih ili pravnih osoba, podataka u posjedu tijela javnog sektora, za komercijalne ili nekomercijalne namjene koje nisu početna namjena u okviru javne zadaće za koju su podaci bili izrađeni, osim za razmjenu podataka među tijelima javnog sektora isključivo radi obavljanja njihovih javnih zadaća;
(3)„neosobni podaci” znači podaci koji nisu osobni podaci kako su definirani u članku 4. točki 1. Uredbe (EU) 2016/679;
(4)„metapodaci” znači podaci prikupljeni o bilo kojoj aktivnosti fizičke ili pravne osobe za potrebe pružanja usluge razmjene podataka, uključujući datum, vrijeme i geolokaciju, trajanje aktivnosti, veze s drugim fizičkim ili pravnim osobama koje je uspostavila osoba koja se koristi uslugom;
(5)„vlasnik podataka” znači pravna osoba ili ispitanik koji, u skladu s primjenjivim pravom Unije ili nacionalnim pravom, ima pravo odobriti pristup podacima ili podijeliti određene osobne ili neosobne podatke pod svojim nadzorom;
(6)„korisnik podataka” znači fizička ili pravna osoba koja ima zakonit pristup određenim osobnim ili neosobnim podacima i ovlaštena je upotrebljavati te podatke u komercijalne ili nekomercijalne svrhe;
(7)„razmjena podataka” znači pružanje podataka korisniku podataka od strane vlasnika podataka u svrhu zajedničke ili pojedinačne uporabe razmijenjenih podataka, na temelju dobrovoljnog sporazuma, izravno ili putem posrednika;
(8)„pristup” znači obrada podataka koje je pružio vlasnik podataka, koju obavlja korisnik podataka u skladu s posebnim tehničkim, pravnim ili organizacijskim zahtjevima, što nužno ne podrazumijeva prijenos ili preuzimanje takvih podataka;
(9)„glavni poslovni nastan” pravnog subjekta znači mjesto njegove središnje uprave u Uniji;
(10)„podatkovni altruizam” znači pristanak ispitanika na obradu osobnih podataka koji se odnose na njih, ili dopuštenja drugih vlasnika podataka kojima oni omogućuju uporabu svojih neosobnih podataka bez traženja naknade, u svrhe od općeg interesa, kao što su znanstveno istraživanje ili poboljšanje javnih usluga;
(11)„tijelo javnog sektora” znači državna, regionalna ili lokalna tijela, javnopravna tijela ili udruge koje je osnovalo jedno ili nekoliko takvih tijela ili jedno ili nekoliko takvih javnopravnih tijela;
(12)„javnopravna tijela” znači tijela koja posjeduju sljedeće značajke:
(a)uspostavljena su posebno u svrhu zadovoljavanja potreba od općeg interesa i nisu industrijske ili komercijalne naravi;
(b)imaju pravnu osobnost;
(c)većim dijelom financiraju ih državna, regionalna ili lokalna tijela ili druga javnopravna tijela; ili su podložna upravljačkom nadzoru od strane tih tijela; ili imaju upravni, upraviteljski ili nadzorni odbor u kojem su više od polovice članova imenovala državna, regionalna ili lokalna tijela, ili druga javnopravna tijela;
(13)„javno poduzeće” znači svako poduzeće nad kojim tijela javnog sektora mogu izvršavati, izravno ili neizravno, prevladavajući utjecaj na temelju svojeg vlasništva ili financijskog udjela u tom poduzeću ili na temelju pravila kojima je ono uređeno; za potrebe ove definicije smatra se da postoji prevladavajući utjecaj tijela javnog sektora u bilo kojem od sljedećih slučajeva u kojima ta tijela izravno ili neizravno:
(a)posjeduju većinu upisanog kapitala poduzeća;
(b)raspolažu većinom glasova povezanih s dionicama koje je izdalo poduzeće;
(c)mogu imenovati više od polovice članova upravnog, upravljačkog ili nadzornog tijela poduzeća;
(14)„sigurno okruženje za obradu” znači fizičko ili virtualno okruženje i organizacijska sredstva kojima se pruža mogućnost za ponovnu uporabu podataka na način kojim se operatoru sigurnog okruženja za obradu omogućuje da odredi i nadzire sve radnje obrade podataka, uključujući prikazivanje, pohranu, preuzimanje, izvoz podataka i izračun izvedenih podataka uz pomoć računalnih algoritama.
(15)„predstavnik” znači fizička ili pravna osoba s poslovnim nastanom u Uniji koja je izričito imenovana da djeluje u ime pružatelja usluga razmjene podataka ili subjekta koji prikuplja podatke za ciljeve od općeg interesa koje su na raspolaganje stavile fizičke ili pravne osobe bez poslovnog nastana u Uniji na temelju podatkovnog altruizma, a kojoj se nacionalno nadležno tijelo može obratiti umjesto pružatelju usluga razmjene podataka ili subjektu u vezi s obvezama pružatelja usluga razmjene podataka ili subjekta utvrđenima ovom Uredbom.
POGLAVLJE II.
PONOVNA UPORABA ODREĐENIH KATEGORIJA ZAŠTIĆENIH PODATAKA U POSJEDU TIJELA JAVNOG SEKTORA
Članak 3.
Kategorije podataka
(1)Ovo se poglavlje primjenjuje na podatke u posjedu tijela javnog sektora zaštićene na temelju:
(a)poslovne tajne;
(b)statističke povjerljivosti,
(c)zaštite prava intelektualnog vlasništva trećih strana;
(d)zaštite osobnih podataka.
(2)Ovo se poglavlje ne primjenjuje na:
(a)podatke u posjedu javnih poduzeća;
(b)podatke u posjedu javnih radiotelevizija i njihovih društava kćeri te drugih tijela ili njihovih društava kćeri koji obavljaju djelatnost javne radiodifuzije;
(c)podatke u posjedu kulturnih i obrazovnih ustanova;
(d)podatke zaštićene radi nacionalne sigurnosti, obrane ili javne sigurnosti;
(e)podatke čija je isporuka izvan opsega javne zadaće dotičnih tijela javnog sektora kako je to definirano zakonom ili drugim obvezujućim pravilima dotične države članice ili, ako takva pravila ne postoje, kako je to definirano u skladu s uobičajenom administrativnom praksom dotične države članice, pod uvjetom da je opseg javnih zadaća transparentan i podložan preispitivanju.
(3)Odredbama ovog poglavlja tijelima javnog sektora ne nameću se nikakve obveze prema kojima moraju dopustiti ponovnu uporabu podataka niti se njima tijela javnog sektora oslobađaju svojih obveza povjerljivosti. Ovim poglavljem ne dovodi se u pitanje pravo Unije i nacionalno pravo ili međunarodni sporazumi o zaštiti kategorija podataka iz stavka 1. kojih su Unija i države članice stranke. Ovim poglavljem ne dovodi se u pitanje pravo Unije i nacionalno pravo o pristupu dokumentima ni obveze tijela javnog sektora da dopuste ponovno korištenje podataka u skladu s pravom Unije i nacionalnim pravom.
Članak 4.
Zabrana isključivih dogovora
(1)Zabranjeni su sporazumi ili druge prakse koji se odnose na ponovnu uporabu podataka u posjedu tijela javnog sektora koji sadržavaju kategorije podataka iz članka 3. stavka 1., a kojima se dodjeljuju isključiva prava ili čiji je cilj ili učinak dodjela takvih isključivih prava ili ograničavanje dostupnosti podataka za ponovnu uporabu subjektima koji nisu stranke takvih sporazuma ili drugih praksi.
(2)Odstupajući od stavka 1., isključivo pravo ponovne uporabe podataka iz tog stavka može se dodijeliti u mjeri potrebnoj za pružanje usluge ili proizvoda od općeg interesa.
(3)Takvo isključivo pravo dodjeljuje se u kontekstu relevantnog ugovora o uslugama ili koncesiji u skladu s primjenjivim pravilima Unije i nacionalnim pravilima o javnoj nabavi i dodjeli koncesija ili, u slučaju ugovora takve vrijednosti na koju se ne primjenjuju ni pravila Unije ni nacionalna pravila o javnoj nabavi i dodjeli koncesije, u skladu s načelima transparentnosti, jednakog postupanja i nediskriminacije na temelju državljanstva.
(4)U svim slučajevima koji nisu obuhvaćeni stavkom 3. i u slučaju da se svrha od općeg interesa ne može ispuniti bez dodjele isključivog prava, primjenjuju se načela transparentnosti, jednakog postupanja i nediskriminacije na temelju državljanstva.
(5)Trajanje isključivog prava na ponovnu uporabu podataka ne smije biti dulje od tri godine. Ako je sklopljen ugovor, trajanje dodijeljenog ugovora mora biti u skladu s trajanjem isključivog prava.
(6)Dodjela isključivog prava u skladu sa stavcima od 2. do 5., uključujući razloge zbog kojih je potrebno dodijeliti takvo pravo, mora biti transparentna i javno dostupna na internetu, bez obzira na moguću objavu dodjele ugovora o javnoj nabavi i koncesijama.
(7)Sporazumi ili druge prakse obuhvaćeni zabranom iz stavka 1. koji ne ispunjavaju uvjete iz stavka 2. i koji su sklopljeni prije datuma stupanja na snagu ove Uredbe prestaju istekom ugovora, a u svakom slučaju najkasnije u roku od tri godine od datuma stupanja na snagu ove Uredbe.
Članak 5.
Uvjeti za ponovnu uporabu
(1)Tijela javnog sektora koja su u skladu s nacionalnim pravom nadležna za odobravanje ili odbijanje pristupa ponovnoj uporabi jedne ili više kategorija podataka iz članka 3. stavka 1. moraju javno objaviti uvjete za dopuštanje takve ponovne uporabe. Pri obavljanju te zadaće mogu im pomagati nadležna tijela iz članka 7. stavka 1.
(2)Uvjeti za ponovnu uporabu moraju biti nediskriminirajući, razmjerni i objektivno opravdani s obzirom na kategorije podataka i svrhe ponovne uporabe te prirodu podataka čija je ponovna uporaba omogućena. Tim se uvjetima ne smije koristiti za ograničavanje tržišnog natjecanja.
(3)Tijela javnog sektora mogu nametnuti obvezu ponovne uporabe samo prethodno obrađenih podataka ako je cilj takve prethodne obrade anonimizacija ili pseudonimizacija osobnih podataka ili brisanje poslovno povjerljivih informacija, uključujući poslovne tajne.
(4)Tijela javnog sektora mogu nametnuti obveze
(a)pristupa podacima i njihove ponovne uporabe u sigurnom okruženju za obradu koje osigurava i nadzire javni sektor;
(b)pristupa podacima i njihove ponovne uporabe u fizičkim prostorima u kojima se nalazi sigurno okruženje za obradu, ako se daljinski pristup ne može dopustiti bez ugrožavanja prava i interesa trećih strana.
(5)Tijela javnog sektora propisuju uvjete kojima se čuva cjelovitost funkcioniranja tehničkih sustava sigurnog okruženja za obradu. Tijelo javnog sektora mora imati mogućnost provjere svih rezultata obrade podataka koju je obavio ponovni korisnik i zadržati pravo zabrane uporabe rezultata koji sadržavaju informacije koje ugrožavaju prava i interese trećih strana.
(6)Ako se ponovna uporaba podataka ne može odobriti u skladu s obvezama utvrđenima u stavcima od 3. do 5. i ako ne postoji druga pravna osnova za prijenos podataka na temelju Uredbe (EU) 2016/679, tijelo javnog sektora pruža potporu ponovnim korisnicima da zatraže pristanak ispitanika i/ili dopuštenje pravnih subjekata na čija bi prava i interese takva ponovna uporaba mogla utjecati, ako je to izvedivo bez nerazmjernih troškova za javni sektor. Pri tome im mogu pomagati nadležna tijela iz članka 7. stavka 1.
(7)Ponovna uporaba podataka dopuštena je samo u skladu s pravima intelektualnog vlasništva. Pravo stvaratelja baze podataka predviđeno u članku 7. stavku 1. Direktive 96/9/EZ ne ostvaruju tijela javnog sektora da bi se spriječila ponovna uporaba podataka ili da bi se ograničila ponovna uporaba izvan ograničenja utvrđenih ovom Uredbom.
(8)Ako se traženi podaci smatraju povjerljivima, u skladu s pravom Unije ili nacionalnim pravom o poslovnoj tajni, tijela javnog sektora osiguravaju da se povjerljive informacije ne otkrivaju kao rezultat ponovne uporabe.
(9)Komisija može donijeti provedbene akte kojima se utvrđuje da pravni, nadzorni i provedbeni aranžmani treće zemlje:
(a)osigurava zaštitu intelektualnog vlasništva i poslovnih tajni na način koji je u osnovi istovjetan zaštiti koja se osigurava pravom Unije;
(b)učinkovito se primjenjuju i provode; i
(c)osiguravaju učinkovitu sudsku zaštitu.
Ti se provedbeni akti donose u skladu sa savjetodavnim postupkom iz članka 29. stavka 2.
(10)Tijela javnog sektora prenose povjerljive podatke ili podatke zaštićene pravima intelektualnog vlasništva samo ponovnom korisniku koji namjerava prenijeti podatke trećoj zemlji koja nije zemlja određena u skladu sa stavkom 9. samo ako se ponovni korisnik obveže:
(a)ispuniti obveze utvrđene u skladu sa stavcima od 7. do 8. čak i nakon što se podaci prenesu u treću zemlju i
(b)prihvatiti nadležnost sudova države članice u kojoj se nalazi tijelo javnog sektora u pogledu svih sporova povezanih s ispunjavanjem obveze iz točke (a).
(11)Ako se posebnim aktima Unije donesenima u skladu sa zakonodavnim postupkom utvrdi da se određene kategorije neosobnih podataka koje posjeduju tijela javnog sektora smatraju vrlo osjetljivima za potrebe ovog članka, Komisija je ovlaštena donijeti delegirane akte u skladu s člankom 28. kojima se dopunjuje ova Uredba utvrđivanjem posebnih uvjeta primjenjivih na prijenose u treće zemlje. Uvjeti za prijenos u treće zemlje temelje se na prirodi kategorija podataka utvrđenih u aktu Unije i na razlozima zbog kojih ih se smatra vrlo osjetljivima, nediskriminirajućima i ograničenima na ono što je nužno za postizanje ciljeva javne politike utvrđenih u aktu prava Unije, kao što su sigurnost i javno zdravlje, kao i na rizicima ponovne identifikacije anonimiziranih podataka za ispitanike, u skladu s međunarodnim obvezama Unije. Ti uvjeti mogu uključivati odredbe o prijenosu ili tehničke aranžmane u tom pogledu, ograničenja u pogledu ponovne uporabe podataka u trećim zemljama ili kategorija osoba koje imaju pravo prenijeti takve podatke trećim zemljama ili, u iznimnim slučajevima, ograničenja u pogledu prijenosa trećim zemljama.
(12)Fizička ili pravna osoba kojoj je dodijeljeno pravo na ponovnu uporabu neosobnih podataka može prenijeti podatke samo onim trećim zemljama za koje su ispunjeni zahtjevi iz stavaka od 9. do 11.
(13)Ako ponovni korisnik namjerava prenijeti neosobne podatke trećoj zemlji, tijelo javnog sektora obavješćuje vlasnika podataka o prijenosu podataka u tu treću zemlju.
Članak 6.
Naknade
(1)Tijela javnog sektora koja dopuštaju ponovnu uporabu kategorija podataka iz članka 3. stavka 1. mogu naplaćivati naknade za omogućavanje ponovne uporabe takvih podataka.
(2)Sve naknade moraju biti nediskriminirajuće, razmjerne i objektivno opravdane te ne smiju ograničavati tržišno natjecanje.
(3)Tijela javnog sektora osiguravaju da se sve naknade mogu platiti na internetu putem široko dostupnih usluga prekograničnog plaćanja, bez diskriminacije na temelju mjesta poslovnog nastana pružatelja usluge platnog prometa, mjesta izdavanja platnog instrumenta ili lokacije računa za obavljanje platnog prometa u Uniji.
(4)Ako naplaćuju naknade, tijela javnog sektora moraju poduzeti mjere za poticanje ponovne uporabe kategorija podataka iz članka 3. stavka 1. u nekomercijalne svrhe te od strane malih i srednjih poduzeća u skladu s pravilima o državnim potporama.
(5)Naknade se temelje na troškovima obrade zahtjeva za ponovnu uporabu kategorija podataka iz članka 3. stavka 1. Metodologija za izračun naknada objavljuje se unaprijed.
(6)Tijelo javnog sektora objavljuje opis glavnih kategorija troškova i pravila za raspodjelu troškova.
Članak 7.
Nadležna tijela
(1)Države članice imenuju jedno ili više nadležnih tijela, koja mogu biti sektorska, za potporu tijelima javnog sektora koja odobravaju pristup ponovnoj uporabi kategorija podataka iz članka 3. stavka 1. u obavljanju te zadaće.
(2)Potpora predviđena stavkom 1. obuhvaća, prema potrebi:
(a)pružanje tehničke potpore stavljanjem na raspolaganje sigurnog okruženja za obradu kako bi se omogućio pristup ponovnoj uporabi podataka;
(b)pružanje tehničke potpore pri primjeni ispitanih tehnika kojima se osigurava obrada podataka na način kojim se čuva privatnost informacija sadržanih u podacima za koje je dopuštena ponovna uporaba, uključujući tehnike kao što su pseudonimizacija, anonimizacija, generalizacija, uklanjanje i randomizacija osobnih podataka;
(c)pružanje pomoći tijelima javnog sektora, prema potrebi, u ishođenju pristanka ili odobrenja ponovnih korisnika za ponovnu uporabu u altruističke i druge svrhe u skladu s posebnim odlukama vlasnika podataka, među ostalim o nadležnosti ili nadležnostima u okviru kojih se namjerava provesti obrada podataka;
(d)pružanje pomoći tijelima javnog sektora u pogledu primjerenosti aktivnosti koje je ponovni korisnik poduzeo, u skladu s člankom 5. stavkom 10.
(3)Nadležnim se tijelima može povjeriti i odobravanje pristupa ponovnoj uporabi kategorija podataka iz članka 3. stavka 1 u skladu s pravom Unije ili nacionalnim pravom kojima se predviđa davanje takvog pristupa. Na ta se nadležna tijela pri obavljanju njihove zadaće odobravanja ili odbijanja pristupa ponovnoj uporabi primjenjuju članci 4., 5. i 6. te članak 8. stavak 3.
(4)Nadležno tijelo ili tijela moraju raspolagati odgovarajućim pravnim i tehničkim kapacitetima i stručnim znanjem kako bi mogli djelovati u skladu s relevantnim pravom Unije ili nacionalnim pravom koja se odnose na režime pristupa za kategorije podataka iz članka 3. stavka 1.
(5)Države članice obavješćuju Komisiju o identitetu nadležnih tijela imenovanih u skladu sa stavkom 1. do [datum početka primjene ove Uredbe]. One Komisiji dostavljaju i sve naknadne izmjene identiteta tih tijela.
Članak 8.
Jedinstvena informacijska točka
(1)Države članice osiguravaju dostupnost svih relevantnih informacija o primjeni članaka 5. i 6. putem jedinstvene informacijske točke.
(2)U jedinstvenoj informacijskoj točki primaju se zahtjevi za ponovnu uporabu kategorija podataka iz članka 3. stavka 1. i prenose nadležnim tijelima javnog sektora ili, prema potrebi, nadležnim tijelima iz članka 7. stavka 1. S pomoću jedinstvene informacijske točke elektroničkim se putem stavlja na raspolaganje registar dostupnih izvora podataka koji sadržava relevantne informacije kojima se opisuje priroda dostupnih podataka.
(3)Nadležna tijela javnog sektora ili nadležna tijela iz članka 7. stavka 1. odobravaju ili odbijaju zahtjeve za ponovnu uporabu kategorija podataka iz članka 3. stavka 1. u razumnom roku, a u svakom slučaju u roku od dva mjeseca od datuma podnošenja zahtjeva.
(4)Svaka fizička ili pravna osoba oštećena odlukom tijela javnog sektora ili nadležnog tijela, ovisno o slučaju, protiv takve odluke ima pravo na djelotvoran pravni lijek pred sudovima države članice u kojoj se nalazi relevantno tijelo.
POGLAVLJE III.
ZAHTJEVI KOJI SE PRIMJENJUJU NA USLUGE RAZMJENE PODATAKA
Članak 9.
Pružatelji usluga razmjene podataka
(1)Sljedeće usluge razmjene podataka podliježu postupku obavješćivanja:
(a)usluge posredovanja između vlasnika podataka koji su pravne osobe i potencijalnih korisnika podataka, uključujući stavljanje na raspolaganje tehničkih ili drugih sredstava potrebnih za pružanje takvih usluga; te usluge mogu obuhvaćati dvostrane ili višestrane razmjene podataka ili stvaranje platformi ili baza podataka koje omogućuju razmjenu ili zajedničko iskorištavanje podataka, kao i uspostavu posebne infrastrukture za međusobno povezivanje vlasnika i korisnika podataka;
(b)usluge posredovanja između ispitanika koji svoje osobne podatke žele staviti na raspolaganje i potencijalnih korisnika podataka, uključujući stavljanje na raspolaganje tehničkih ili drugih sredstava kojima se omogućuje pružanje tih usluga, pri ostvarivanju prava iz Uredbe (EU) 2016/679;
(c)usluge podatkovnih zadruga, odnosno usluge kojima se podupiru ispitanici ili poduzeća s jednim članom odnosno mikropoduzeća, mala i srednja poduzeća, koji su članovi zadruge ili koji zadruzi dodjeljuju ovlasti za pregovaranje o uvjetima obrade podataka prije njihovog pristanka, pri donošenju informiranih odluka prije pristanka na obradu podataka te usluge i omogućuju mehanizmi za razmjenu stajališta o svrhama i uvjetima obrade podataka koji bi bili u najboljem interesu ispitanika ili pravnih osoba.
(2)Ovim poglavljem ne dovodi se u pitanje primjena drugog prava Unije i drugog nacionalnog prava na pružatelje usluga razmjene podataka, uključujući ovlasti nadzornih tijela za osiguravanje usklađenosti s primjenjivim pravom, posebno u pogledu zaštite osobnih podataka i prava tržišnog natjecanja.
Članak 10.
Obavješćivanje o pružateljima usluga razmjene podataka
(1)Svaki pružatelj usluga razmjene podataka koji namjerava pružati usluge iz članka 9. stavka 1. dužan je dostaviti obavijest nadležnom tijelu iz članka 12.
(2)Za potrebe ove Uredbe smatra se da pružatelj usluga razmjene podataka s poslovnim nastanima u više država članica potpada pod nadležnost države članice u kojoj ima glavni poslovni nastan.
(3)Pružatelj usluga razmjene podataka koji nema poslovni nastan u Uniji, ali unutar Unije nudi usluge iz članka 9. stavka 1., imenuje pravnog zastupnika u jednoj od država članica u kojima se te usluge nude. Smatra se da pružatelj usluga potpada pod nadležnost one države članice u kojoj njegov pravni zastupnik ima poslovni nastan.
(4)Nakon obavješćivanja, pružatelj usluga razmjene podataka može započeti s obavljanjem djelatnosti u skladu s uvjetima utvrđenima u ovom poglavlju.
(5)Na temelju obavijesti, pružatelj usluga stječe pravo na pružanje usluga razmjene podataka u svim državama članicama.
(6)Obavijest obuhvaća sljedeće informacije:
(a)naziv pružatelja usluga razmjene podataka;
(b)pravni status, oblik i broj upisa pružatelja usluga, ako je upisan u trgovačkom ili drugom sličnom javnom registru;
(c)adresu pružateljeva glavnog poslovnog nastana u Uniji, ako postoji, i, ako je to primjenjivo, drugih podružnica u drugoj državi članici ili adresu pravnog zastupnika imenovanoga u skladu sa stavkom 3.;
(d)internetske stranice s informacijama o pružatelju usluga i njegovoj djelatnosti, ako je primjenjivo;
(e)osobe i podatke za kontakt pružatelja usluga;
(f)opis usluge koju pružatelj usluga namjerava pružati;
(g)predviđeni datum početka aktivnosti;
(h)države članice u kojima pružatelj usluga namjerava pružati usluge.
(7)Na zahtjev pružatelja usluga, nadležno tijelo izdaje u roku od tjedan dana standardiziranu izjavu kojom se potvrđuje da je dostavio obavijest iz stavka 4.
(8)Nadležno tijelo bez odgode prosljeđuje svaku obavijest nacionalnim nadležnim tijelima država članica elektroničkim putem.
(9)Nadležno tijelo obavješćuje Komisiju o svakoj novoj obavijesti. Komisija vodi registar pružatelja usluga razmjene podataka.
(10)Nadležno tijelo može naplaćivati naknade. Takve naknade moraju biti proporcionalne i objektivne te se temeljiti na administrativnim troškovima povezanima s praćenjem usklađenosti i drugim aktivnostima nadzora tržišta koje nadležna tijela provode u vezi s obavijestima o uslugama razmjene podataka.
(11)Ako pružatelj usluga razmjene podataka prestane obavljati svoju djelatnost, o tome obavješćuje relevantno nadležno tijelo određeno u skladu sa stavcima 1., 2. i 3. u roku od 15 dana. Nadležno tijelo bez odgode prosljeđuje svaku takvu obavijest Komisiji i nacionalnim nadležnim tijelima u državama članicama elektroničkim putem.
Članak 11.
Uvjeti za pružanje usluga razmjene podataka
Pružanje usluga razmjene podataka iz članka 9. stavka 1. podliježe sljedećim uvjetima:
(1)pružatelj usluga ne smije upotrebljavati podatke za koje pruža usluge u druge svrhe osim u svrhu njihovog stavljanja na raspolaganje korisnicima podataka, a usluge razmjene podataka obavljaju se u okviru zasebnog pravnog subjekta;
(2)metapodaci prikupljeni pružanjem usluge razmjene podataka mogu se upotrebljavati samo za razvoj te usluge;
(3)pružatelj usluga dužan je osigurati da postupak za pristup njegovoj usluzi bude pravedan, transparentan i nediskriminirajući i za vlasnike i za korisnike podataka, među ostalim u odnosu na cijene;
(4)pružatelj usluga olakšava razmjenu podataka u formatu u kojem ih prima od vlasnika podataka i pretvara ih u posebne formate isključivo radi poboljšanja interoperabilnosti unutar sektora i među sektorima odnosno na zahtjev korisnika podataka, ako je to propisano pravom Unije ili radi osiguranja usklađenosti s međunarodnim ili europskim standardima za podatke;
(5)pružatelj usluga uspostavlja postupke za sprečavanje prijevare ili zlouporabe povezane s pristupom podacima strana koje traže pristup putem njegovih usluga;
(6)pružatelj usluga osigurava razuman kontinuitet pružanja svojih usluga, a u odnosu na usluge kojima se osigurava pohrana podataka, pružatelj mora osigurati dostatna jamstva kojima se vlasnicima i korisnicima podataka omogućuje pristup njihovim podacima u slučaju nesolventnosti;
(7)pružatelj usluga provodi odgovarajuće tehničke, pravne i organizacijske mjere kako bi se spriječio prijenos neosobnih podataka ili pristup takvim podacima, koji je prema pravu Unije nezakonit;
(8)pružatelj usluga poduzima mjere kako bi osigurao visoku razinu sigurnosti za pohranu i prijenos neosobnih podataka;
(9)pružatelj usluga uspostavlja postupke kojima se osigurava usklađenost s pravilima Unije i nacionalnim pravilima o tržišnom natjecanju;
(10)pružatelj usluga koji ispitanicima nudi usluge mora djelovati u njihovom najboljem interesu kada im olakšava ostvarivanje njihovih prava, posebno savjetovanjem ispitanikâ o potencijalnim uporabama podataka i standardnim uvjetima povezanima s takvim uporabama;
(11)ako pružatelj usluga osigurava alate za dobivanje pristanka od ispitanikâ ili odobrenja za obradu podataka koje su pravne osobe stavile na raspolaganje, dužan je navesti nadležnost ili nadležnosti u okviru kojih se podaci namjeravaju upotrebljavati.
Članak 12.
Nadležna tijela
(1)Svaka država članica određuje na svojem državnom području jedno ili više tijela nadležnih za obavljanje zadaća povezanih s okvirom obavješćivanja i obavješćuje Komisiju o identitetu tih tijela do [datum početka primjene ove Uredbe]. Države članice obavješćuju Komisiju i o svim naknadnim izmjenama.
(2)Imenovana nadležna tijela postupaju u skladu s člankom 23.
(3)Imenovana nadležna tijela, tijela za zaštitu podataka, nacionalna tijela za tržišno natjecanje, tijela nadležna za kibersigurnost i druga relevantna sektorska tijela razmjenjuju informacije koje su im potrebne za obavljanje njihovih zadaća povezanih s pružateljima usluga razmjene podataka.
Članak 13.
Praćenje usklađenosti
(1)Nadležno tijelo prati i nadzire usklađenost s ovim poglavljem.
(2)Nadležno tijelo ovlašteno je zatražiti od pružatelja usluga razmjene podataka sve informacije koje su potrebne za provjeru usklađenosti sa zahtjevima iz članaka 10. i 11. Svaki zahtjev za navođenje informacija mora biti razmjeran izvršenju te zadaće i opravdan.
(3)Ako nadležno tijelo utvrdi da pružatelj usluga razmjene podataka ne ispunjava jedan ili više zahtjeva iz članka 10. ili 11., ono obavješćuje pružatelja usluga o svojim nalazima i daje mu mogućnost da se očituje u razumnom roku.
(4)Nadležno tijelo ima ovlasti da zahtijeva prestanak kršenja uvjeta iz stavka 3. bez odgode ili u razumnom roku te donosi odgovarajuće i razmjerne mjere kojima je cilj osiguranje usklađenosti. Nadležna tijela mogu u tom pogledu, prema potrebi:
(a)propisati odvraćajuće financijske sankcije koje mogu obuhvaćati periodične sankcije s retroaktivnim učinkom;
(b)zahtijevati prestanak ili odgodu pružanja usluge razmjene podataka.
(5)Nadležna tijela bez odgode obavješćuju predmetni subjekt o mjerama uvedenima u skladu sa stavkom 4. i razlozima na kojima se temelje te mu određuju razuman rok za usklađivanje s mjerama.
(6)Ako pružatelj usluga razmjene podataka ima glavni poslovni nastan ili pravnog zastupnika u jednoj državi članici, ali pruža usluge u drugim državama članicama, nadležno tijelo države članice u kojoj se nalazi glavni poslovni nastan ili pravni zastupnik, surađuje s nadležnim tijelima drugih država članica pri čemu si nadležna tijela tih država članica uzajamno pomažu. Takva pomoć i suradnja mogu obuhvaćati razmjenu informacija između predmetnih nadležnih tijela i zahtjeve za poduzimanje mjera iz ovog članka.
Članak 14.
Iznimke
Ovo poglavlje ne primjenjuje se na neprofitne subjekte čije djelatnosti obuhvaćaju samo prikupljanje podataka za ciljeve od općeg interesa koje su fizičke ili pravne osobe stavile na raspolaganje na temelju podatkovnog altruizma.
POGLAVLJE IV.
PODATKOVNI ALTRUIZAM
Članak 15.
Registar priznatih organizacija za podatkovni altruizam
(1)Svako nadležno tijelo određeno u skladu s člankom 20. vodi registar priznatih organizacija za podatkovni altruizam.
(2)Komisija vodi Registar Unije o priznatim organizacijama za podatkovni altruizam.
(3)Subjekt upisan u registar u skladu s člankom 16. može u pisanoj i usmenoj komunikaciji upućivati na sebe kao na „organizaciju za podatkovni altruizam koja je priznata u Uniji”.
Članak 16.
Opći uvjeti registracije
Kako bi ispunila uvjete za upis u registar, organizacija za podatkovni altruizam mora:
(a)biti pravni subjekt osnovan radi ostvarivanja ciljeva od općeg interesa;
(b)djelovati na neprofitnoj osnovi i biti neovisna o bilo kojem subjektu koji posluje na profitnoj osnovi;
(c)provoditi aktivnosti povezane s podatkovnim altruizmom kroz pravno neovisne strukture, odvojeno od drugih aktivnosti koje provodi.
Članak 17.
Registracija
(1)Svaki subjekt koji ispunjava zahtjeve iz članka 16. može zatražiti upis u registar priznatih organizacija za podatkovni altruizam iz članka 15. stavka 1.
(2)Za potrebe ove Uredbe subjekt koji se bavi aktivnostima koje se temelje na podatkovnom altruizmu s poslovnim nastanom u više država članica upisuje se u registar države članice u kojoj ima glavni poslovni nastan.
(3)Subjekt koji nema poslovni nastan u Uniji, ali ispunjava zahtjeve iz članka 16., imenuje pravnog zastupnika u jednoj od država članica u kojoj namjerava prikupljati podatke na temelju podatkovnog altruizma. Za potrebe usklađenosti s ovom Uredbom smatrat će se da taj subjekt potpada pod nadležnost države članice u kojoj se nalazi njegov pravni zastupnik.
(4)Zahtjevi za upis u registar sadržavaju sljedeće podatke:
(a)naziv subjekta;
(b)pravni status, oblik i broj upisa subjekta, ako je subjekt upisan u javni registar;
(c)statut subjekta, prema potrebi;
(d)glavne izvore prihoda subjekta;
(e)adresu subjektova glavnog poslovnog nastana u Uniji, ako postoji, i, ako je to primjenjivo, drugih podružnica u drugoj državi članici ili adresu pravnog zastupnika imenovanoga u skladu sa stavkom 3.;
(f)internetske stranice s informacijama o subjektu i njegovoj djelatnosti;
(g)osobe i podatke za kontakt subjekta;
(h)svrhe od općeg interesa koje namjerava promicati pri prikupljanju podataka;
(i)druge dokumente kojima se dokazuje da su ispunjeni zahtjevi iz članka 16.
(5)Ako je subjekt dostavio sve potrebne informacije u skladu sa stavkom 4., a nadležno tijelo smatra da subjekt ispunjava zahtjeve iz članka 16., upisat će subjekt u registar priznatih organizacija za podatkovni altruizam u roku od dvanaest tjedana od datuma podnošenja zahtjeva za upis. Registracija je valjana u svim državama članicama. Obavijest o svakoj registraciji dostavlja se Komisiji radi upisa u Registar Unije o priznatim organizacijama za podatkovni altruizam.
(6)Informacije iz stavka 4. točaka (a), (b), (f), (g) i (h) objavljuju se u nacionalnom registru priznatih organizacija za podatkovni altruizam.
(7)Svaki subjekt upisan u registar priznatih organizacija za podatkovni altruizam obavješćuje nadležno tijelo o svim izmjenama informacija dostavljenih u skladu sa stavkom 4. u roku od 14 kalendarskih dana od dana kada je izmjena nastupila.
Članak 18.
Zahtjevi za transparentnost
(1)Svaki subjekt upisan u nacionalni registar priznatih organizacija za podatkovni altruizam dužan je voditi potpunu i točnu evidenciju o:
(a)svim fizičkim ili pravnim osobama kojima je dana mogućnost obrade podataka koje subjekt posjeduje;
(b)datumu ili trajanju obrade;
(c)svrsi obrade koju je navela fizička ili pravna osoba kojoj je dana mogućnost obrade;
(d)naknadama koje su platile fizičke ili pravne osobe koje obrađuju podatke, ako postoje.
(2)Svaki subjekt upisan u registar priznatih organizacija za podatkovni altruizam dužan je sastaviti i dostaviti nadležnom nacionalnom tijelu godišnje izvješće o radu koje sadržava barem sljedeće:
(a)informacije o aktivnostima subjekta;
(b)opis načina na koji su se u određenoj financijskoj godini promicali ciljevi od općeg interesa zbog kojih su podaci prikupljani;
(c)popis svih fizičkih i pravnih osoba kojima je odobrena uporaba podataka koje subjekt posjeduje, uključujući sažeti opis svrha od općeg interesa koje se nastoje ostvariti takvom uporabom podataka i opis upotrijebljenih tehničkih sredstava, uključujući opis tehnika koje se upotrebljavaju za očuvanje privatnosti i zaštitu podataka;
(d)sažetak rezultata uporaba podataka koje je subjekt omogućio, ako je to primjenjivo;
(e)informacije o izvorima prihoda subjekta, posebno o svim prihodima ostvarenima od omogućavanja pristupa podacima, te o rashodima.
Članak 19.
Posebni zahtjevi za zaštitu prava i interesa ispitanika i pravnih subjekata u odnosu na njihove podatke
(1)Svaki subjekt upisan u registar priznatih organizacija za podatkovni altruizam obavješćuje vlasnike podataka o:
(a)svrhama od općeg interesa na temelju kojih korisniku podataka dopušta obradu njihovih podataka, na lako razumljiv način; i
(b)svakoj obradi podataka izvan Unije.
(2)Subjekt je dužan osigurati i da se podaci ne koriste u druge svrhe osim u svrhe od općeg interesa za koje dopušta obradu.
(3)Ako subjekt upisan u registar priznatih organizacija za podatkovni altruizam osigurava alate za dobivanje pristanka od ispitanikâ ili odobrenjâ za obradu podataka koje su pravne osobe stavile na raspolaganje, dužan je navesti nadležnost ili nadležnosti u okviru kojih se podaci namjeravaju upotrebljavati.
Članak 20.
Tijela nadležna za registraciju
(1)Svaka država članica imenuje jedno ili više tijela nadležnih za registar priznatih organizacija za podatkovni altruizam i praćenje usklađenosti sa zahtjevima iz ovog poglavlja. Imenovana nadležna tijela moraju ispunjavati zahtjeve iz članka 23.
(2)Sve države članice obavješćuje Komisiju o identitetu imenovanih tijela.
(3)Nadležno tijelo obavlja svoje zadaće u suradnji s tijelom za zaštitu podataka, ako su te zadaće povezane s obradom osobnih podataka, te s relevantnim sektorskim tijelima iste države članice. Za svako pitanje za koje je potrebna procjena usklađenosti s Uredbom (EU) 2016/679 nadležno tijelo prvo traži mišljenje ili odluku nadležnog nadzornog tijela osnovnoga na temelju te Uredbe i postupa u skladu s tim mišljenjem ili odlukom.
Članak 21.
Praćenje usklađenosti
(1)Nadležno tijelo prati i nadzire usklađenost subjekata upisanih u registar priznatih organizacija za podatkovni altruizam s uvjetima utvrđenima u ovom poglavlju.
(2)Nadležno tijelo ovlašteno je zatražiti informacije od subjekata upisanih u registar priznatih organizacija za podatkovni altruizam koje su potrebne za provjeru usklađenosti s odredbama ovog poglavlja. Svaki zahtjev za navođenje informacija mora biti razmjeran izvršenju te zadaće i opravdan.
(3)Ako nadležno tijelo utvrdi da subjekt ne ispunjava jedan ili više zahtjeva iz ovog poglavlja, obavješćuje subjekt o svojim nalazima i daje mu mogućnost da se očituje u razumnom roku.
(4)Nadležno tijelo ima ovlasti da zahtijeva prestanak kršenja uvjeta iz stavka 3. bez odgode ili u razumnom roku te donosi odgovarajuće i razmjerne mjere kojima je cilj osigurati usklađenost s uvjetima.
(5)Ako subjekt ne ispunjava jedan ili više zahtjeva iz ovog poglavlja čak i nakon što ga je nadležno tijelo obavijestilo u skladu sa stavkom 3.:
(a)gubi pravo da se u pisanoj i usmenoj komunikaciji naziva „organizacijom za podatkovni altruizam koja je priznata u Uniji”;
(b)briše se iz registra priznatih organizacija za podatkovni altruizam.
(6)Ako subjekt upisan u registar priznatih organizacija za podatkovni altruizam ima glavni poslovni nastan ili pravnog zastupnika u jednoj državi članici, ali je aktivan u drugim državama članicama, nadležno tijelo države članice u kojoj subjekt ima glavni poslovni nastan ili u kojoj se nalazi njegov pravni zastupnik i nadležna tijela tih drugih država članica prema potrebi surađuju i međusobno si pomažu. Takva pomoć i suradnja mogu obuhvaćati razmjenu informacija između nadležnih tijela i zahtjeve za poduzimanje nadzornih mjera iz ovog članka.
Članak 22.
Europski obrazac za pristanak na podatkovni altruizam
(1)Kako bi se olakšalo prikupljanje podataka na temelju podatkovnog altruizma, Komisija može donijeti provedbene akte za izradu europskog obrasca za pristanak na podatkovni altruizam. Obrazac omogućuje prikupljanje pristanka u svim državama članicama u jedinstvenom formatu. Ti se provedbeni akti donose u skladu sa savjetodavnim postupkom iz članka 29. stavka 2.
(2)U europskom obrascu za pristanak na podatkovni altruizam upotrebljava se modularni pristup kojim se omogućuje prilagodba za određene sektore i za različite svrhe.
(3)Ako se dostavljaju osobni podaci, europskim obrascem za pristanak na podatkovni altruizam osigurava se da ispitanici mogu dati i povući pristanak na određeni postupak obrade podataka u skladu sa zahtjevima Uredbe (EU) 2016/679.
(4)Obrazac mora biti dostupan u obliku koji se može ispisati na papiru i koji je čitljiv ljudima te u elektroničkom, strojno čitljivom obliku.
POGLAVLJE V.
NADLEŽNA TIJELA I POSTUPOVNE ODREDBE
Članak 23.
Zahtjevi koji se odnose na nadležna tijela
(1)Nadležna tijela imenovana u skladu s člancima 12. i 20. pravno su odvojena i funkcionalno neovisna o bilo kojem pružatelju usluga razmjene podataka ili subjektu upisanom u registar priznatih organizacija za podatkovni altruizam.
(2)Nadležna tijela izvršavaju svoje zadaće nepristrano, transparentno, dosljedno, pouzdano i pravodobno.
(3)U sastavu najvišeg rukovodstva i osoblja odgovornih za izvršavanje relevantnih zadaća nadležnog tijela predviđenog ovom Uredbom ne mogu se nalaziti projektant, proizvođač, dobavljač, ugraditelj, kupac, vlasnik, korisnik ili održavatelj usluga koje ocjenjuju kao ni ovlašteni zastupnik bilo koje od tih strana te ih oni ne mogu zastupati. To ne isključuje mogućnost uporabe ocijenjenih usluga koje su potrebne za djelovanje nadležnog tijela ili mogućnost uporabe tih usluga u osobne svrhe.
(4)Najviše rukovodstvo i osoblje ne smiju sudjelovati ni u kakvoj aktivnosti koja bi mogla biti u sukobu s neovisnošću njihove prosudbe ili integritetom u odnosu na aktivnosti evaluacije koje su im povjerene.
(5)Nadležna tijela imaju na raspolaganju odgovarajuće financijske i ljudske resurse za obavljanje zadaća koje su im dodijeljene, uključujući potrebno tehničko znanje i resurse.
(6)Nadležna tijela države članice dostavljaju Komisiji i nadležnim tijelima iz drugih država članica, na obrazloženi zahtjev, informacije potrebne za obavljanje njihovih zadaća u skladu s ovom Uredbom. Ako nacionalno nadležno tijelo smatra da su zatražene informacije povjerljive u skladu s pravilima Unije i nacionalnim pravilima o komercijalnoj i profesionalnoj povjerljivosti, Komisija i sva druga nadležna tijela dužna su osigurati potrebnu povjerljivost.
Članak 24.
Pravo na podnošenje pritužbe
(1)Fizičke i pravne osobe imaju pravo podnijeti pritužbu relevantnom nacionalnom nadležnom tijelu protiv pružatelja usluga razmjene podataka ili subjekta upisanoga u registar priznatih organizacija za podatkovni altruizam.
(2)Tijelo kojem je podnesena pritužba obavješćuje podnositelja pritužbe o tijeku postupka i donesenoj odluci kao i o njegovom pravu na djelotvoran pravni lijek iz članka 25.
Članak 25.
Pravo na djelotvoran pravni lijek
(1)Neovisno o upravnim ili drugim izvansudskom pravnim lijekovima, sve pogođene fizičke i pravne osobe imaju pravo na djelotvoran pravni lijek u odnosu na:
(a)nepostupanje po pritužbi podnesenoj nadležnom tijelu iz članaka 12. i 20.;
(b)odluke nadležnih tijela iz članaka 13., 17. i 21. o upravljanju, kontroli i provedbi sustava obavješćivanja za pružatelje usluga razmjene podataka te odluke tih tijela o praćenju subjekata upisanih u registar priznatih organizacija za podatkovni altruizam.
(2)Postupci na temelju ovog članka pokreću se pred sudovima države članice u kojoj se nalazi tijelo protiv kojeg je pravni lijek upućen.
POGLAVLJE VI.
EUROPSKI ODBOR ZA INOVACIJE U PODRUČJU PODATAKA
Članak 26.
Europski odbor za inovacije u području podataka
(1)Komisija osniva Europski odbor za inovacije u području podataka („Odbor”) u obliku stručne skupine koja se sastoji od predstavnika nadležnih tijela svih država članica, Europskog odbora za zaštitu podataka, Komisije, relevantnih podatkovnih prostora i drugih predstavnika nadležnih tijela u određenim sektorima.
(2)Dionici i relevantne treće strane mogu biti pozvani da prisustvuju sastancima Odbora i sudjeluju u njegovu radu.
(3)Sastancima Odbora predsjeda Komisija.
(4)Odboru pomaže tajništvo koje osigurava Komisija.
Članak 27.
Zadaće Odbora
Odbor ima sljedeće zadaće:
(a)savjetovanje i pružanje pomoći Komisiji u pogledu razvoja dosljedne prakse tijela javnog sektora i nadležnih tijela iz članka 7. stavka 1. koja obrađuju zahtjeve za ponovnu uporabu kategorija podataka iz članka 3. stavka 1.;
(b)savjetovanje i pružanje pomoći Komisiji u pogledu razvoja dosljedne prakse nadležnih tijela pri primjeni zahtjeva koji se primjenjuju na pružatelje usluge razmjene podataka;
(c)savjetovanje Komisije o određivanju prioriteta za međusektorske norme koje treba upotrebljavati i izraditi za uporabu podataka i međusektorsku razmjenu podataka, međusektorsku usporedbu i razmjenu najboljih praksi u pogledu sektorskih zahtjeva za sigurnost i postupke pristupa, uzimajući u obzir aktivnosti normizacije specifične za pojedine sektore;
(d)pružanje pomoći Komisiji radi jačanja interoperabilnosti podataka i usluga razmjene podataka među različitim sektorima i domenama, nadovezujući se na postojeće europske, međunarodne ili nacionalne norme;
(e)olakšavanje suradnje među nacionalnim nadležnim tijelima iz ove Uredbe izgradnjom kapaciteta i razmjenom informacija, posebno utvrđivanjem metoda za učinkovitu razmjenu informacija povezanih s postupkom obavješćivanja za pružatelje usluga razmjene podataka te registracijom i praćenjem priznatih organizacija za podatkovni altruizam.
POGLAVLJE VII.
ODBOR I DELEGACIJA
Članak 28.
Izvršavanje delegiranja ovlasti
(1)Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.
(2)Ovlast za donošenje delegiranih akata iz članka 5. stavka 11. dodjeljuje se Komisiji na neodređeno vrijeme počevši od […]
(3)Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 5. stavka 11. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave navedene odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. Opoziv ne utječe na valjanost delegiranih akata koji su već na snazi.
(4)Prije donošenja delegiranog akta, Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.
(5)Odmah po donošenju delegiranog akta, Komisija o tome istodobno obavješćuje Europski parlament i Vijeće.
(6)Delegirani akt donesen u skladu s člankom 5. stavkom 11. stupa na snagu samo ako se tomu ne usprotive ni Europski parlament ni Vijeće u roku od tri mjeseca od obavješćivanja Europskog parlamenta i Vijeća o tom aktu ili ako su prije isteka tog roka i Europski parlament i Vijeće izvijestili Komisiju da se neće protiviti. Taj se rok produljuje za tri mjeseca na inicijativu Europskog parlamenta ili Vijeća.
Članak 29.
Postupak odbora
(1)Komisiji pomaže odbor u smislu Uredbe (EU) br. 182/2011.
(2)Pri upućivanju na ovaj stavak primjenjuje se članak 4. Uredbe (EU) br. 182/2011.
(3)U slučaju kada se mišljenje odbora treba dobiti pisanim postupkom, navedeni postupak završava bez rezultata ako unutar roka za davanje mišljenja tako odluči predsjednik odbora ili to zahtijeva član odbora. U tom slučaju predsjednik saziva sjednicu odbora u razumnom roku.
POGLAVLJE VIII.
ZAVRŠNE ODREDBE
Članak 30.
Međunarodni pristup
(1)Tijelo javnog sektora, fizička ili pravna osoba kojoj je dodijeljeno pravo na ponovnu uporabu podataka u skladu s poglavljem 2., pružatelj usluge razmjene podataka ili subjekt upisan u registar priznatih organizacija za podatkovni altruizam, ovisno o slučaju, poduzimaju sve razumne tehničke, pravne i organizacijske mjere kako bi se spriječio prijenos ili pristup neosobnim podacima koji se čuvaju u Uniji ako bi takav prijenos ili pristup izazvali sukob s pravom Unije ili pravom relevantne države članice, osim ako su prijenos ili pristup u skladu sa stavkom 2. ili 3.
(2)Sve presude suda ili sve odluke upravnog tijela treće zemlje kojima se od tijela javnog sektora, fizičke ili pravne osobe kojoj je dodijeljeno pravo na ponovnu uporabu podataka u skladu s poglavljem 2., od pružatelja usluga razmjene podataka ili subjekta upisanog u registar priznatih organizacija za podatkovni altruizam zahtijeva prijenos neosobnih podataka na koje se primjenjuje ova Uredba odnosno pristup tim podacima u Uniji, mogu biti priznate ili izvršive na bilo koji način samo ako se temelje na nekom međunarodnom sporazumu, kao što je ugovor o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije ili bilo kojem takvom sporazumu između treće zemlje koja je podnijela zahtjev i države članice sklopljenom prije [stupanja na snagu ove Uredbe].
(3)Ako je tijelo javnog sektora, fizička ili pravna osoba kojoj je dodijeljeno pravo na ponovnu uporabu podataka u skladu s poglavljem 2., pružatelj usluga razmjene podataka ili subjekt upisan u registar priznatih organizacija za podatkovni altruizam adresat odluke suda ili upravnog tijela treće zemlje o prijenosu neosobnih podataka pohranjenih u Uniji ili omogućivanju pristupa takvim podacima i ako bi postupanje u skladu s takvom odlukom moglo dovesti adresata u sukob s pravom Unije ili pravom relevantne države članice, tada se prijenos ili pristup tim podacima od strane tijela treće zemlje uspostavljaju samo:
(a)ako se u sustavu treće zemlje zahtijeva navođenje razloga i razmjernosti odluke te ako se zahtijeva da sudski nalog ili odluka, ovisno o slučaju, budu specifične prirode, na primjer, uspostavljanjem dostatne veze s određenim osumnjičenim osobama ili kršenjima;
(b)ako obrazloženi prigovor adresata podliježe preispitivanju nadležnog suda u trećoj zemlji; i
(c)ako je, u tom kontekstu, nadležni sud koji izdaje nalog ili preispituje odluku upravnog tijela ovlašten u skladu s pravom te zemlje propisno uzeti u obzir relevantne pravne interese pružatelja podataka zaštićenih pravom Unije ili primjenjivim pravom države članice.
Adresat odluke dužan je zatražiti mišljenje relevantnih nadležnih tijela u skladu s ovom Uredbom kako bi se utvrdilo jesu li ti uvjeti ispunjeni.
(4)Ako su ispunjeni uvjeti iz stavka 2. ili 3., tijelo javnog sektora, fizička ili pravna osoba kojoj je dodijeljeno pravo na ponovnu uporabu podataka u skladu s poglavljem 2., pružatelj usluge razmjene podataka ili subjekt upisan u registar priznatih organizacija za podatkovni altruizam, ovisno o slučaju, dostavlja minimalnu dopuštenu količinu podataka kao odgovor na zahtjev, na temelju razumnog tumačenja zahtjeva.
(5)Tijelo javnog sektora, fizička ili pravna osoba kojoj je dodijeljeno pravo na ponovnu uporabu podataka u skladu s poglavljem 2., pružatelj usluge razmjene podataka i subjekt koji pruža uslugu podatkovnog altruizma obavješćuju vlasnika podataka o postojanju zahtjeva upravnog tijela treće zemlje za pristup podacima, osim u slučajevima kada zahtjev služi za potrebe kaznenog progona i sve dok je to potrebno kako bi se očuvala učinkovitost kaznenog progona.
Članak 31.
Sankcije
Države članice utvrđuju pravila o sankcijama koje se primjenjuju na kršenja ove Uredbe i poduzimaju sve potrebne mjere radi osiguranja njihove provedbe. Predviđene sankcije moraju biti učinkovite, razmjerne i odvraćajuće. Države članice obavješćuju Komisiju o tim pravilima i mjerama do [datum početka primjene Uredbe] i obavješćuju je bez odgode o svim naknadnim izmjenama koje na njih utječu.
Članak 32.
Evaluacija i preispitivanje
Komisija provodi evaluaciju ove Uredbe i podnosi izvješće o svojim glavnim zaključcima Europskom parlamentu, Vijeću i Europskom gospodarskom i socijalnom odboru [četiri godine nakon datuma početka primjene ove Uredbe]. Države članice dostavljaju Komisiji sve potrebne informacije za izradu tog izvješća.
Članak 33.
Izmjene Uredbe (EU) 2018/1724
U Prilogu II. Uredbi (EU) 2018/1724 dodaje se sljedeći redak pod naslovom „Pokretanje, vođenje i zatvaranje poduzeća”:
|
Pokretanje, vođenje i zatvaranje poduzeća |
Obavješćivanje u svojstvu pružatelja usluga razmjene podataka |
Potvrda o primitku obavijesti |
|
Upis u registar kao europska organizacija za podatkovni altruizam |
Potvrda registracije |
Članak 34.
Prijelazne odredbe
Subjekti koji pružaju usluge razmjene podataka iz članka 9. stavka 1. na datum stupanja na snagu ove Uredbe moraju ispuniti obveze utvrđene u poglavlju III. najkasnije do [datum – dvije godine nakon datuma početka primjene Uredbe].
Članak 35.
Stupanje na snagu i primjena
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Primjenjuje se od [12 mjeseci nakon njezina stupanja na snagu].
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Bruxellesu,
Za Europski parlament Za Vijeće
Predsjednik Predsjednik