Europska strategija za podatke Europske komisije (dalje u tekstu: „Europska strategija za podatke“) ima za cilj stvaranje jedinstvenog tržišta za podatke.
Pozadina donošenja Data Act-a
Cilj zajedničkog europskog prostora podataka je osiguravanje da što više podataka postane dostupno za uporabu u gospodarstvu i društvu, čuvajući pritom kontrolu pravnih osoba i pojedinaca koji generiraju podatke. Europska strategija za podatke, između ostalog, uključuje nadolazeći Akt o umjetnoj inteligenciji 1, Akt o kiberotpornosti 2, Direktivu NIS2 3, Akt o digitalnim uslugama 4 i Akt o upravljanju podacima. 5
Kao dio Europske strategije za podatke, Komisija je također predložila mjere za pravedno i inovativno gospodarenje podacima (dalje u tekstu: „Data Act“) 6. Konačni tekst Data Act-a politički je dogovoren između Vijeća Europske unije i Parlamenta već u lipnju 2023., ali konačni tekst Data Act-a formalno su odobrili Europski parlament i Vijeće Europske unije 27. studenoga 2023.
Data Act stupio je na snagu dana 11. siječnja 2024. godine, a primjenjuje se nakon proteka roka od dvadeset mjeseci početno s danom stupanja na snagu, odnosno od rujna 2025. godine.
Za očekivati je da će Data Act imati značajan utjecaj na sve poduzetnike koji trebaju, koriste, prikupljaju ili upravljaju podacima.
Svrha Data Act-a
Temeljna svrha Data Act-a je stvaranje uvjeta za razmjenu podataka na unutarnjem tržištu stvaranjem usklađenog okvira za razmjene podataka i utvrđivanjem određenih osnovnih zahtjeva za upravljanje podacima, uz posvećivanje posebne pozornosti olakšavanju suradnje među državama članicama. Ujedno, Data Act-om bi se trebalo nastojati dodatno razvijati digitalno unutarnje tržište bez granica te pouzdano i sigurno podatkovno društvo i gospodarstvo usmjereno na ljude. Sektorsko pravo Europske unije nije može razvijati, prilagođavati i predlagati nove i komplementarne elemente, ovisno o posebnostima sektora, kao što je predviđeno pravo Europske unije o europskom prostoru za zdravstvene podatke i pristupu podacima o vozilima. Uz sve navedeno, svrha je i jačanje otvorene strateške autonomije Europske unije uz istodobno poticanje međunarodnog slobodnog protoka podataka.
Glavne odredbe Data Act-a
1. Data Act ima za cilj regulirati uporabu i pristup podacima (i metapodacima) generiranim putem povezanih uređaja te također nameće opće zahtjeve pružateljima računarstva u oblaku s ciljem olakšavanja prelaska između pružatelja. To je ujedno i okvir za dijeljenje podataka putem Interneta stvari (dalje u tekstu: „IoT“) unutar EU-a.
2. Korisnicima povezanih uređaja (pojedincima i poduzetnicima) bit će dodijeljena poboljšana prava na podatke treće strane koji su generirani njihovom uporabom povezanog uređaja, što bi potencijalno moglo zahtijevati od proizvođača i pružatelja usluga da izmijene proizvode tako da se ne ometa olakšan pristup. Posjednici podataka također će morati preispitati operacije i upravljanje podacima.
3. Podaci o proizvodu i povezani servisni podaci bit će dostupni korisniku (poduzetnicima ili pojedincima)
4. Data Act također ima za cilj olakšati prelazak između pružatelja usluga obrade podataka pružanjem pojedincima i poduzetnicima veće kontrole nad njihovim podacima putem ojačanog prava prenosivosti, omogućavajući kopiranje ili prijenos podataka s lakoćom iz različitih usluga, gdje su podaci generirani putem pametnih objekata, strojeva i uređaja.
5. Prije zaključenja ugovora u čijem izvršenju će biti uključeno prikupljanje podataka koji su obuhvaćeni primjenom Data Act-a, proizvođač ili pružatelj obvezan je pružiti informacije korisniku o podacima vezanim uz kupnju ili uslugu.
6. Korisnici i posjednici podataka mogu ugovorno ograničiti ili zabraniti pristup, korištenje ili daljnje dijeljenje podataka ako takva obrada može ugroziti sigurnosne zahtjeve povezanog proizvoda, što bi rezultiralo ozbiljnim nepovoljnim učinkom na zdravlje, sigurnost ili sigurnost fizičkih osoba.
7. Određeni sektori bit će ciljani sektorskim regulacijama (npr. pametna vozila za podatke unutar vozila).
8. Ako članica odredi više od jednog nadležnog tijela, trebala bi imenovati koordinatora podataka između njih radi olakšavanja suradnje između nadležnih tijela i pomoći subjektima u svim pitanjima koja se odnose na primjenu i provedbu Data Act-a.
Na koje podatke se Data Act odnosi?
Data Act se odnosi na prikupljene osobne i neosobne podatke putem proizvoda koji su uključeni u zakonski okvir ili tijekom pružanja usluga koje su uključene u zakonski okvir. Sama definicija podatka prema Data Act-u je svaki digitalni prikaz akata, činjenica ili informacija i svaka kompilacija tih akata, činjenica ili informacija, uključujući u obliku zvučnog, vizualnog ili audiovizualnog zapisa. To uključuje, primjerice, sirove podatke koje generira korisničko sučelje i sam uređaj, ali se ne odnosi na informacije koje su zaključene ili izvedene iz takvih podataka. Također se ne odnosi na podatke koje senzorski opremljeni proizvodi uključeni u zakonski okvir generiraju kada korisnik snima, prenosi, prikazuje ili reproducira sadržaj, kao ni sam sadržaj u pogledu dijeljenja podataka.
Odbijanje zahtjeva
Posjednik podataka može pojedinačno odbiti zahtjev za pristup ako posjednik podataka, koji je ujedno i vlasnik poslovnih tajni, može dokazati da je vrlo vjerojatno da će pretrpjeti ozbiljnu ekonomsku štetu uslijed otkrivanja poslovnih tajni, unatoč tehničkim i organizacijskim mjerama poduzetim od strane korisnika.
Takav dokaz treba biti valjano obrazložen na temelju objektivnih elemenata, posebno provedivosti zaštite poslovnih tajni u trećim zemljama, prirode i razine povjerljivosti traženih podataka te jedinstvenosti i novosti povezanog proizvoda, i treba ga pružiti pismeno korisniku bez nepotrebnog kašnjenja. Ako posjednik podataka odbije dijeljenje podataka, dužan je obavijestiti nadležno tijelo. Korisnik koji želi osporiti odluku posjednika podataka o odbijanju/zadržavanju/suspendiranju dijeljenja podataka može:
Odnos između Data Act-a i GDPR-a
1. Jedna od glavnih razlika u odnosu na GDPR je ta da Data Act obuhvaća i osobne i neosobne podatke. Neosobni podaci su Data Act-om definirani kao podaci koji nisu osobni podaci sukladno odredbama GDPR-a.
2. Sva obrada osobnih podataka također mora biti u skladu s GDPR-om, uključujući zahtjev za valjanom pravnom osnovom za obradu prema člancima 6. i 9. GDPR-a te članku 5.(3) Direktive o privatnosti elektroničkih komunikacija 7. Sam Data Act ne predstavlja pravnu osnovu za prikupljanje ili generiranje osobnih podataka od strane posjednika podataka.
3. Ako korisnik nije subjekt podataka u skladu s odredbama GDPR-a i primjenjivih propisa, Data Act ne stvara pravnu osnovu za pružanje pristupa osobnim podacima niti omogućavanje dostupnosti osobnih podataka trećoj strani. Data Act se ne može smatrati kao osnova novog prava posjedniku podataka za korištenje osobnih podataka generiranih upotrebom povezanog proizvoda ili povezane usluge. Posjednik podataka može udovoljiti zahtjevima u tim slučajevima, između ostalog, anonimizacijom osobnih podataka ili, ako lako dostupni podaci sadrže osobne podatke više subjekata podataka, slanjem samo osobnih podataka koji se odnose na korisnika, ali uvijek uzimajući u obzir odredbe GDPR-a.
4. Tehničke mjere za usklađivanje s načelima minimizacije podataka i zaštite podataka prema dizajnu i prema zadanim postavkama mogu uključivati pseudonimizaciju i šifriranje, kao i korištenje tehnologije koja omogućava algoritmima pristup podacima i dobivanje vrijednih uvida obradom samo nužnih podataka.
Zaključno
Data Act će omogućiti korisnicima povezanih uređaja, od pametnih kućanskih aparata do inteligentnih industrijskih strojeva, pristup podacima generiranim njihovom upotrebom koji se često ekskluzivno prikupljaju od proizvođača i pružatelja usluga. Stoga će proizvođači uređaja IoT i pružatelji usluga podatkovnog oblaka možda morati redizajnirati svoje proizvode kako bi se uskladili s nadolazećom regulativom.
Data Act također poboljšava uvjete pod kojima poduzetnici i potrošači mogu koristiti usluge oblaka i edge computinga u EU-u. Postaje lakše premještati podatke i aplikacije (od arhiva fotografija do cijelih poslovnih administracija) s jednog pružatelja na drugog bez dodatnih troškova, zbog novih ugovornih obveza koje nova regulativa postavlja za pružatelje usluga oblaka i novog standardizacijskog okvira za interoperabilnost podataka i oblaka.
Osim toga, Data Act uvodi obavezne mjere zaštite podataka pohranjenih na infrastrukturama oblaka u EU-u. On sadrži mjere kako bi se spriječila zloupotreba ugovornih neravnoteža u ugovorima o dijeljenju podataka zbog nepoštenih ugovornih uvjeta nametnutih od strane s znatno jačom pregovaračkom pozicijom. Štoviše, tekst regulative pruža dodatne smjernice u vezi s razumnom naknadom poduzetnicima za dostupnost podataka.
Ove nove obveze posjednika podataka propisane Data Act-om zahtijevaju strateška razmatranja koja trebaju biti promptno riješena od strane poduzetnika koji posluju u Hrvatskoj, posebno s obzirom na prijelazno razdoblje od manje od dvije godine. Imajući sve gore navedeno u vidu, priprema za novo doba Data Act-a, koje olakšava komercijalizaciju industrijskih podataka, trebala bi početi.
Denis Perić, mag. iur.
^ 1 Prijedlog UREDBE EUROPSKOG PARLAMENTA I VIJEĆA O UTVRĐIVANJU USKLAĐENIH PRAVILA O UMJETNOJ INTELIGENCIJI (AKT O UMJETNOJ INTELIGENCIJI) I IZMJENI ODREĐENIH ZAKONODAVNIH AKATA UNIJE
^ 2 Prijedlog UREDBE EUROPSKOG PARLAMENTA I VIJEĆA o horizontalnim kibersigurnosnim zahtjevima za proizvode s digitalnim elementima i o izmjeni Uredbe (EU) 2019/1020
^ 3 DIREKTIVA (EU) 2022/2555 EUROPSKOG PARLAMENTA I VIJEĆA od 14. prosinca 2022.o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2)
^ 4 UREDBA (EU) 2022/2065 EUROPSKOG PARLAMENTA I VIJEĆA od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ
^ 5 UREDBA (EU) 2022/868 EUROPSKOG PARLAMENTA I VIJEĆA od 30. svibnja 2022. o europskom upravljanju podacima i izmjeni Uredbe (EU) 2018/1724
^ 6 UREDBA (EU) 2022/868 EUROPSKOG PARLAMENTA I VIJEĆA od 30. svibnja 2022. o europskom upravljanju podacima i izmjeni Uredbe (EU) 2018/1724 (Akt o upravljanju podacima)
^ 7 Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama)
