Izberite preskusne funkcije, ki jih želite preveriti.

Dokument je izvleček s spletišča EUR-Lex.

Dokument 32023R2854

Uredba (EU) 2023/2854 Evropskega parlamenta in Sveta z dne 13. decembra 2023 o harmoniziranih pravilih za pravičen dostop do podatkov in njihovo uporabo ter spremembi Uredbe (EU) 2017/2394 in Direktive (EU) 2020/1828 (akt o podatkih) (Besedilo velja za EGP)

PE/49/2023/REV/1

UL L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Pravni status dokumenta V veljavi

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

European flag

Uradni list
Evropske unije

SL

Serija L


2023/2854

22.12.2023

UREDBA (EU) 2023/2854 EVROPSKEGA PARLAMENTA IN SVETA

z dne 13. decembra 2023

o harmoniziranih pravilih za pravičen dostop do podatkov in njihovo uporabo ter spremembi Uredbe (EU) 2017/2394 in Direktive (EU) 2020/1828 (akt o podatkih)

(Besedilo velja za EGP)

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 114 Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropske centralne banke (1),

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora (2),

ob upoštevanju mnenja Odbora regij (3),

v skladu z rednim zakonodajnim postopkom (4),

ob upoštevanju naslednjega:

(1)

Podatkovne tehnologije so v zadnjih letih močno vplivale na vse gospodarske sektorje. Zlasti širjenje izdelkov, povezanih z internetom, je povečalo obseg in potencialno vrednost podatkov za potrošnike, podjetja in družbo. Visokokakovostni in interoperabilni podatki z različnih področij krepijo konkurenčnost in inovacije ter zagotavljajo trajnostno gospodarsko rast. Isti podatki se lahko uporabijo in ponovno uporabijo za različne namene in v neomejeni meri, ne da bi to vplivalo na kakovost ali količino.

(2)

Ovire za souporabo podatkov preprečujejo optimalno porazdelitev podatkov v korist družbe. Med temi ovirami so pomanjkanje spodbud za imetnike podatkov, da bi prostovoljno sklepali sporazume o souporabi podatkov, negotovost glede pravic in obveznosti v zvezi s podatki, stroški sklepanja pogodb za tehnične vmesnike in njihovega izvajanja, visoka raven razdrobljenosti informacij v podatkovnih silosih, slabo upravljanje metapodatkov, pomanjkanje standardov za semantično in tehnično interoperabilnost, ozka grla, ki ovirajo dostop do podatkov, pomanjkanje skupnih praks souporabe podatkov ter zloraba pogodbenih neravnovesij v zvezi z dostopom do podatkov in njihovo uporabo.

(3)

V sektorjih, za katere je značilna prisotnost mikropodjetij, malih podjetij in srednjih podjetij, kakor so opredeljena v členu 2 Priloge k Priporočilu Komisije 2003/361/ES (5) (MSP), pogosto primanjkuje digitalnih zmogljivosti in spretnosti za zbiranje, analizo in uporabo podatkov, dostop pa je pogosto omejen, kadar jih ima en akter v sistemu ali zaradi pomanjkanja interoperabilnosti med podatki, med podatkovnimi storitvami ali prek meja.

(4)

Da bi zadovoljili potrebe digitalnega gospodarstva in odpravili ovire za dobro delujoč notranji trg za podatke, je treba oblikovati harmoniziran okvir, v katerem bo določeno, kdo je upravičen uporabljati podatke iz izdelka ali podatke iz povezane storitve, pod katerimi pogoji in na kakšni podlagi. Glede na to, države članice ne bi smele sprejeti ali ohraniti dodatnih nacionalnih zahtev v zvezi z zadevami, ki spadajo na področje uporabe te uredbe, razen če je to izrecno določeno v tej uredbi, saj bi to vplivalo na njeno neposredno in enotno uporabo. Poleg tega ukrepanje na ravni Unije ne bi smelo posegati v obveznosti in zaveze iz mednarodnih trgovinskih sporazumov, ki jih sklene Unija.

(5)

Ta uredba zagotavlja, da lahko uporabniki povezanega izdelka ali povezane storitve v Uniji pravočasno dostopajo do podatkov, ustvarjenih z uporabo tega povezanega izdelka ali povezane storitve, in da lahko navedeni uporabniki te podatke uporabljajo, vključno z njihovo souporabo s tretjimi osebami po lastni izbiri. Imetnikom podatkov nalaga obveznost, da v določenih okoliščinah podatke dajo na voljo uporabnikom in tretjim osebam, ki jih izberejo uporabniki. Zagotavlja tudi, da dajo imetniki podatkov prejemnikom podatkov v Uniji podatke na voljo pod poštenimi, razumnimi in nediskriminatornimi pogoji ter na pregleden način. Pravila zasebnega prava so ključna v splošnem okviru za souporabo podatkov. Ta uredba zato prilagaja pravila pogodbenega prava in preprečuje izkoriščanje pogodbenih neravnovesij, ki ovirajo pravičen dostop do podatkov in njihovo uporabo. Prav tako zagotavlja, da imetniki podatkov v primeru izjemne potrebe organom javnega sektorja, Komisiji, Evropski centralni banki ali organom Unije dajo na voljo podatke, potrebne za opravljanje posebnih nalog, ki se izvajajo v javnem interesu. Poleg tega je namen te uredbe olajšati zamenjavo med storitvami obdelave podatkov in izboljšati interoperabilnost podatkov ter mehanizmov in storitev za souporabo podatkov v Uniji. Te uredbe se ne bi smelo razlagati, kot da priznava ali imetnikom podatkov podeljuje kakršno koli novo pravico do uporabe podatkov, ustvarjenih z uporabo povezanega izdelka ali povezane storitve.

(6)

Ustvarjanje podatkov je rezultat dejanj vsaj dveh akterjev, zlasti oblikovalca ali proizvajalca povezanega izdelka, ki je lahko v številnih primerih tudi ponudnik povezanih storitev, in uporabnika povezanega izdelka ali povezane storitve. Odpira vprašanja o pravičnosti v digitalnem gospodarstvu, saj so podatki, ki jih beležijo povezani izdelki ali povezane storitve, pomemben vir informacij za poprodajne, pomožne in druge storitve. Da bi lahko izkoristili pomembne gospodarske koristi podatkov, vključno s souporabo podatkov na podlagi prostovoljnih sporazumov in razvoja ustvarjanja podatkovne vrednosti s strani podjetij Unije, je splošni pristop k dodeljevanju pravic glede dostopa do podatkov in njihove uporabe boljša možnost kot podelitev izključnih pravic do dostopa in uporabe. Ta uredba določa horizontalna pravila, ki bi jim lahko sledilo pravo Unije ali nacionalno pravo, ki obravnava posebne razmere v zadevnih sektorjih.

(7)

Temeljna pravica do varstva osebnih podatkov je zaščitena zlasti z uredbama (EU) 2016/679 (6) in (EU) 2018/1725 (7) Evropskega parlamenta in Sveta. Direktiva 2002/58/ES Evropskega parlamenta in Sveta (8) poleg tega varuje zasebno življenje in zaupnost komunikacij, tudi prek pogojev za shranjevanje kakršnih koli osebnih in neosebnih podatkov v terminalski opremi in dostopanje do njih prek take opreme. Ti zakonodajni akti Unije so podlaga za trajnostno in odgovorno obdelavo podatkov, tudi kadar nabori podatkov vključujejo kombinacijo osebnih in neosebnih podatkov. Ta uredba dopolnjuje pravo Unije na področju varstva osebnih podatkov in zasebnosti, zlasti uredbi (EU) 2016/679 in (EU) 2018/1725 in Direktivo 2002/58/ES, in vanj ne posega. Določbe te uredbe se ne bi smele uporabljati ali razlagati tako, da bi zmanjšale ali omejile pravico do varstva osebnih podatkov ali pravico do zasebnosti in zaupnosti komunikacij. Vsaka obdelava osebnih podatkov na podlagi te uredbe bi morala biti skladna s pravom Unije na področju varstva podatkov, vključno z zahtevo po veljavni pravni podlagi za obdelavo na podlagi člena 6 Uredbe (EU) 2016/679, ter, kadar je to ustrezno, s pogoji iz člena 9 navedene uredbe in člena 5(3) Direktive 2002/58/ES. Ta uredba ne predstavlja pravne podlage za zbiranje ali ustvarjanje osebnih podatkov s strani imetnika podatkov. Ta uredba imetnikom podatkov nalaga obveznost, da osebne podatke dajo na voljo uporabnikom ali tretjim osebam po izbiri uporabnika na podlagi njegove zahteve. Tak dostop bi bilo treba zagotoviti do osebnih podatkov, ki jih imetnik podatkov obdeluje na podlagi katere koli pravne podlage iz člena 6 Uredbe (EU) 2016/679. Kadar uporabnik ni posameznik, na katerega se nanašajo osebni podatki, ta uredba ne ustvarja pravne podlage za zagotavljanje dostopa do osebnih podatkov ali dajanje osebnih podatkov na voljo tretji osebi, hkrati pa se ne bi smelo razumeti, da imetniku podatkov podeljuje katero koli novo pravico do uporabe osebnih podatkov, ustvarjenih z uporabo povezanega izdelka ali povezane storitve. V teh primerih bi lahko bilo v interesu uporabnika, da se olajša izpolnjevanje zahtev iz člena 6 Uredbe (EU) 2016/679. Ker ta uredba ne bi smela negativno vplivati na pravice do varstva podatkov posameznikov, na katere se nanašajo osebni podatki, lahko imetnik podatkov v teh primerih izpolni zahteve, med drugim z anonimizacijo osebnih podatkov ali, kadar takoj razpoložljivi podatki vsebujejo osebne podatke več posameznikov, na katere se nanašajo osebni podatki, posreduje zgolj osebne podatke, ki se nanašajo na uporabnika.

(8)

Načeli najmanjšega obsega podatkov ter vgrajenega in privzetega varstva podatkov sta bistveni, kadar obdelava vključuje znatna tveganja za temeljne pravice posameznikov. Ob upoštevanju najsodobnejše tehnologije bi morale vse strani, ki sodelujejo pri souporabi podatkov, vključno s souporabo podatkov, ki spadajo na področje uporabe te uredbe, izvajati tehnične in organizacijske ukrepe za zaščito teh pravic. Taki ukrepi ne vključujejo le psevdonimizacije in šifriranja, temveč tudi rabo vse bolj razpoložljive tehnologije, ki omogoča uporabo algoritmov v povezavi s podatki in pridobivanje dragocenih uvidov brez prenosa med strankami ali nepotrebnega kopiranja samih surovih ali strukturiranih podatkov.

(9)

Če v tej uredbi ni določeno drugače, ta ne vpliva na nacionalno pogodbeno pravo, vključno s pravili o oblikovanju, veljavnosti ali učinku pogodb, ali na posledice prenehanja pogodbe. Ta uredba dopolnjuje pravo Unije, ki podpira interese potrošnikov ter zagotavlja visoko raven varstva potrošnikov, njihovega zdravja, varnosti in gospodarskih interesov, zlasti Direktivo Sveta 93/13/EGS (9) ter direktivi 2005/29/ES (10) in 2011/83/EU (11) Evropskega parlamenta in Sveta, in vanj ne posega.

(10)

Ta uredba ne posega v pravne akte Unije in nacionalne pravne akte, ki določajo souporabo podatkov, dostop do njih in njihovo uporabo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij ali za davčne ali carinske namene, ne glede na pravno podlago iz Pogodbe o delovanju Evropske unije (PDEU), na podlagi katere so bili taki pravni akti Unije sprejeti ter v mednarodno sodelovanje na tem področju, zlasti na podlagi Konvencije Sveta Evrope o kibernetski kriminaliteti (ETS št. 185), sklenjeni 23. novembra 2001 v Budimpešti. Med temi akti so uredbe (EU) 2021/784 (12), (EU) 2022/2065 (13) in (EU) 2023/1543 (14) Evropskega parlamenta in Sveta ter Direktiva (EU) 2023/1544 Evropskega parlamenta in Sveta (15). Ta uredba se ne uporablja za zbiranje ali souporabo podatkov, dostop do njih ali njihovo uporabo na podlagi Uredbe (EU) 2015/847 Evropskega parlamenta in Sveta (16) in Direktive (EU) 2015/849 Evropskega parlamenta in Sveta (17). Ta uredba se ne uporablja za področja, ki ne spadajo na področje uporabe prava Unije, in v nobenem primeru ne posega v pristojnosti držav članic v zvezi z javno varnostjo, obrambo ali nacionalno varnostjo, carinsko in davčno upravo ali zdravjem in varnostjo državljanov, ne glede na vrsto subjekta, ki ga države članice pooblastijo za izvajanje nalog v zvezi s temi pristojnostmi.

(11)

Razen če v tej uredbi ni izrecno določeno drugače, ta ne bi smela vplivati na pravo Unije, ki določa zahteve glede fizične zasnove in podatkov za izdelke, ki se dajejo na trg Unije.

(12)

Ta uredba dopolnjuje pravo Unije, ki določa zahteve glede dostopnosti za nekatere izdelke in storitve, zlasti Direktivo (EU) 2019/882 Evropskega parlamenta in Sveta (18), in vanj ne posega.

(13)

Ta uredba ne posega v pravne akte Unije in nacionalne pravne akte, ki zagotavljajo varstvo pravic intelektualne lastnine, vključno z direktivami 2001/29/ES (19), 2004/48/ES (20) in (EU) 2019/790 (21) Evropskega parlamenta in Sveta.

(14)

Na področje uporabe te uredbe bi morali spadati povezani izdelki, ki prek svojih komponent ali operacijskih sistemov pridobivajo, ustvarjajo ali zbirajo podatke v zvezi s svojo uspešnostjo, uporabo ali okoljem in ki lahko te podatke sporočajo prek elektronske komunikacijske storitve, fizične povezave ali dostopa na napravi, kar pogosto imenujemo internet stvari, z izjemo prototipov. Primeri takih elektronskih komunikacijskih storitev so zlasti kopenska telefonska omrežja, kabelska televizijska omrežja, satelitska omrežja in omrežja komunikacije v bližnjem polju. Povezani izdelki so prisotni v vseh vidikih gospodarstva in družbe, vključno v zasebni, civilni ali komercialni infrastrukturi, vozilih, zdravstveni opremi in opremi za življenjski slog, ladjah, zrakoplovih, gospodinjski tehniki in potrošniškemu blagu, medicinskih in zdravstvenih pripomočkih ali kmetijskih in industrijskih strojih. Vprašanje, katere podatke lahko povezani izdelek da na voljo, bi morala biti stvar odločitev proizvajalcev glede zasnove in, kadar je ustrezno, prava Unije ali nacionalnega prava, ki obravnava potrebe posameznih sektorjev in cilje ali ustreznih odločitev pristojnih organov.

(15)

Podatki predstavljajo digitalizacijo uporabniških dejanj in dogodkov in bi zato morali biti dostopni uporabniku. Pravila za dostop do podatkov iz povezanih izdelkov in povezanih storitev ter njihovo uporabo na podlagi te uredbe zadevajo tako podatke iz izdelkov kot podatke iz povezanih storitev. Podatki iz izdelkov se nanašajo na podatke, ustvarjene z uporabo povezanega izdelka, ki jih je proizvajalec zasnoval tako, da jih lahko uporabnik, imetnik podatkov ali tretja oseba, po potrebi tudi proizvajalec, prikliče iz povezanega izdelka. Podatki iz storitev, povezanih z izdelki, se nanašajo na podatke, ki tudi predstavljajo digitalizacijo uporabniških dejanj ali dogodkov, povezanih s povezanim izdelkom, in so ustvarjeni med opravljanjem povezane storitve s strani ponudnika. Podatke, ustvarjene z uporabo povezanega izdelka ali povezane storitve, bi bilo treba razumeti kot podatke, ki zajemajo namerno zabeležene podatke, ali podatke, ki posredno izhajajo iz uporabnikovega delovanja, kot so podatki o okolju ali interakcijah povezanega izdelka. To bi moralo vključevati podatke o uporabi povezanega izdelka, ki so ustvarjeni prek uporabniškega vmesnika ali prek povezane storitve, in ne bi smeli biti omejeni na informacijo o tem, da je prišlo do take uporabe, temveč bi morali vključevati vse podatke, ki jih povezani izdelek ustvari pri taki uporabi, kot so podatki, ki jih samodejno ustvarijo senzorji, in podatki, ki jih zabeležijo vgrajene aplikacije, vključno z aplikacijami, ki označujejo status strojne opreme in okvare. To bi moralo vključevati tudi podatke, ki jih ustvari povezani izdelek ali povezana storitev v času nedelovanja uporabnika, na primer takrat, kadar se uporabnik odloči, da povezanega izdelka določen čas ne bo uporabljal in ga bo namesto tega pustil v stanju pripravljenosti ali ga celo izklopil, saj se lahko status povezanega izdelka ali njegovih komponent, na primer baterij, razlikuje glede na to, ali je povezani izdelek v stanju pripravljenosti ali je izklopljen. Podatki, ki niso bistveno spremenjeni, to se pravi podatki v surovi obliki, znani tudi kot izvorni ali primarni podatki, ki se nanašajo na podatkovne točke, ki se samodejno ustvarijo brez kakršne koli nadaljnje obdelave, in podatki, ki so bili predhodno obdelani, da bi bili razumljivi in uporabni pred nadaljnjo obdelavo in analizo, spadajo na področje uporabe te uredbe. Taki podatki vključujejo podatke, zbrane z enim senzorjem ali povezano skupino senzorjev, da bi bili zbrani podatki razumljivi za primere širše uporabe, in sicer z določitvijo fizikalne količine ali lastnosti ali spremembe fizikalne količine, kot so temperatura, tlak, pretok, zvok, vrednost pH, raven tekočine, položaj, pospešek ali hitrost. Izraz „predhodno obdelani podatki“ se ne bi smel razlagati na način, ki bi imetniku podatkov nalagal obveznost znatnega vlaganja v čiščenje in preoblikovanje podatkov. Podatki, ki se jih da na voljo, bi morali vključevati ustrezne metapodatke, vključno z njihovim osnovnim kontekstom in časovnim žigom, da se podatke napravi uporabne, kombinirano z drugimi podatki, kot so podatki, ki so razvrščeni in opredeljeni z drugimi podatkovnimi točkami v zvezi z njimi, ali reformatirani v splošno uporabljano obliko zapisa. Taki podatki imajo lahko vrednost za uporabnika ter podpirajo inovacije in razvoj digitalnih in drugih storitev za varstvo okolja, zdravja in krožnega gospodarstva, tudi z omogočanjem vzdrževanja in popravil zadevnih povezanih izdelkov. Nasprotno pa se za informacije, ki izhajajo ali so pridobljene iz takih podatkov, kar je rezultat dodatnih naložb v pripisovanje vrednosti ali vpogledov iz podatkov, zlasti z lastniškimi, kompleksnimi algoritmi, vključno s tistimi, ki so del lastniške programske opreme, ne bi smelo šteti, da spadajo na področje uporabe te uredbe, zato zanje ne bi smela veljati obveznost imetnika podatkov, da jih da na voljo uporabniku ali prejemniku podatkov, razen če se uporabnik in imetnik podatkov dogovorita drugače. Taki podatki bi lahko vključevali zlasti informacije, pridobljene z združevanjem senzorjev, na podlagi katerega se podatki pridobivajo ali povzamejo iz več senzorjev, zbranih v povezanem proizvodu z uporabo lastniških, kompleksnih algoritmov, in za katere bi lahko veljale pravice intelektualne lastnine.

(16)

Ta uredba uporabnikom povezanih izdelkov omogoča, da izkoristijo poprodajne, pomožne in druge storitve, ki temeljijo na podatkih, zbranih s senzorji, vgrajenimi v take izdelke, pri čemer je zbiranje teh podatkov potencialno koristno za boljše delovanje povezanih izdelkov. Pomembno je ločiti na eni strani med trgi za oskrbo s takimi povezanimi izdelki, opremljenimi s senzorji, in povezanimi storitvami ter na drugi strani trgi za nepovezano programsko opremo in vsebine, kot so besedilne, zvočne ali avdiovizualne vsebine, ki so pogosto zajete s pravicami intelektualne lastnine. Zato ta uredba ne bi smela zajemati podatkov, ki jih taki povezani izdelki, opremljeni s senzorji, ustvarijo, kadar uporabnik snema, prenaša, prikazuje ali predvaja vsebine, pa tudi ne samih vsebin, ki so pogosto zajete s pravicami intelektualne lastnine, med drugim za uporabo s strani spletne storitve. Prav tako ne bi smela zajemati podatkov, ki so bili pridobljeni ali ustvarjeni ali se je do njih dostopalo iz povezanega izdelka ali so bili nanj preneseni za namene shranjevanja ali druge operacije obdelave v imenu drugih oseb, ki niso uporabnik, kot to lahko velja v zvezi s strežniki ali infrastrukturo v oblaku, ki jih njihovi lastniki upravljajo v celoti v imenu tretjih oseb, med drugim za uporabo s strani spletne storitve.

(17)

Treba je določiti pravila o izdelkih, ki so s povezano storitvijo povezani ob nakupu, najemu ali zakupu, in sicer tako, da brez nje povezani izdelek ne bi mogel opravljati ene ali več svojih funkcij, ali da povezani izdelek s povezano storitvijo naknadno poveže proizvajalec ali tretja oseba, da obogati funkcionalnost povezanega izdelka ali jo prilagodi. Take povezane storitve vključujejo izmenjavo podatkov med povezanim izdelkom in ponudnikom storitev in bi jih bilo treba razumeti, kot da so izrecno povezane z delovanjem funkcij povezanega izdelka, kot so storitve, ki povezanemu izdelku po potrebi prenašajo ukaze, ki lahko vplivajo na njegovo delovanje ali vedenje. Storitve, ki ne vplivajo na delovanje povezanega izdelka in ne vključujejo prenosa podatkov ali ukazov ponudnika storitev povezanemu izdelku, se ne bi smele šteti za z izdelkom povezane storitve. Take storitve bi lahko na primer vključevale pomožno svetovanje, analitiko ali finančne storitve ali redno popravilo in vzdrževanje. Povezane storitve se lahko ponudijo kot del pogodbe o nakupu, najemu ali zakupu. Povezane storitve bi se lahko opravljale tudi za izdelke iste vrste, uporabniki pa bi lahko ob upoštevanju narave povezanega izdelka in vseh javnih izjav, ki jih podajo prodajalec, najemodajalec, zakupodajalec ali druga oseba v predhodnih členih verige poslov, vključno s proizvajalcem, ali ki se podajo v njihovem imenu, prav tako razumno pričakovali, da se opravljajo. Te povezane storitve lahko same ustvarjajo podatke, ki imajo vrednost za uporabnika, neodvisno od zmogljivosti povezanega izdelka, s katerim so povezane, za zbiranje podatkov. Ta uredba bi se morala uporabljati tudi za povezano storitev, ki je ne zagotovi prodajalec, najemodajalec ali zakupodajalec sam, temveč jo opravi tretja oseba. V primeru dvoma, ali se storitev opravlja v okviru pogodbe o nakupu, najemu ali zakupu, bi se morala uporabljati ta uredba. Niti oskrba z električno energijo niti zagotavljanje povezljivosti se ne razlaga kot povezane storitve na podlagi te uredbe.

(18)

Kot uporabnika povezanega izdelka bi bilo treba razumeti fizično ali pravno osebo, kot je podjetje, potrošnik ali organ javnega sektorja, ki je lastnik povezanega izdelka, ki je prejel nekatere začasne pravice – na primer na podlagi sporazuma o najemu ali zakupu – do dostopa do podatkov, pridobljenih iz povezanega izdelka, ali do njihove uporabe, ali ki prejema povezane storitve za povezani izdelek. Te pravice do dostopa na noben način ne bi smele spremeniti pravic posameznikov, na katere se nanašajo osebni podatki in ki bi lahko bili v interakciji s povezanim izdelkom ali povezano storitvijo v zvezi z osebnimi podatki, ki jih ustvari povezani izdelek ali se ustvarijo med opravljanjem z njim povezane storitve, ali vanje posegati. Uporabnik nosi tveganja in uživa koristi uporabe povezanega izdelka in bi moral imeti tudi dostop do podatkov, ki jih ta izdelek ustvari. Uporabnik bi zato moral biti upravičen koristiti podatke, ki jih ustvari navedeni povezani izdelek ali katera koli povezana storitev. Za uporabnika bi bilo treba šteti tudi lastnika, najemnika ali najemodajalca, tudi v primerih, ko je mogoče za uporabnike šteti več subjektov. Ko je uporabnikov več, lahko vsak od njih na drugačen način prispeva k ustvarjanju podatkov in v interesu vsakega od njih je lahko več oblik uporabe, kot so upravljanje voznega parka za lizinško podjetje ali rešitve za mobilnost za posameznike, ki uporabljajo storitev souporabe avtomobilov.

(19)

Podatkovna pismenost se nanaša na spretnosti, znanje in razumevanje, ki uporabnikom, potrošnikom in podjetjem, zlasti MSP, ki spadajo na področje uporabe te uredbe, omogočajo, da se seznanijo s potencialno vrednostjo podatkov, ki jih ustvarijo, proizvajajo in dajejo v souporabo z drugimi ter za katere so motivirani, da jih ponudijo in zagotovijo dostop do njih v skladu z ustreznimi pravnimi pravili. Podatkovna pismenost bi morala biti več kot le učenje o orodjih in tehnologijah ter imeti za cilj, da se državljane in podjetja opremi in oskrbi s sposobnostjo, da izkoristijo vključujoč in pravičen podatkovni trg. Širjenje ukrepov za podatkovno pismenost in uvedba ustreznih nadaljnjih ukrepov bi lahko prispevala k boljšim delovnim pogojem ter nazadnje ohranila konsolidacijo in inovacijski razvoj podatkovnega gospodarstva v Uniji. Pristojni organi bi morali promovirati orodja in sprejeti ukrepe za izboljšanje podatkovne pismenosti uporabnikov in subjektov, ki spadajo na področje uporabe te uredbe, ter ozaveščenost o njihovih pravicah in obveznostih v skladu z njo.

(20)

V praksi vsi podatki, ki jih ustvarijo povezani izdelki ali povezane storitve, niso enostavno dostopni njihovim uporabnikom, prav tako pa so pogosto omejene možnosti v zvezi s prenosljivostjo podatkov, ki jih ustvarijo izdelki, povezani z internetom. Uporabniki ne morejo pridobiti podatkov, na podlagi katerih bi se lahko obrnili na izvajalce popravil in drugih storitev, podjetja pa ne morejo ponuditi inovativnih, priročnih in učinkovitejših storitev. V številnih sektorjih lahko proizvajalci z nadzorom nad tehnično zasnovo povezanih izdelkov ali povezanih storitev določijo, kateri podatki se ustvarjajo in kako se lahko do njih dostopa, čeprav do njih nimajo zakonske pravice. Zato je treba zagotoviti, da se povezani izdelki zasnujejo in proizvedejo ter da se povezane storitve zasnovane in zagotovljene tako, da so podatki iz izdelkov in podatki iz povezanih storitev, vključno z ustreznimi metapodatki, potrebnimi za razlago in uporabo teh podatkov, tudi za namene njihovega priklica, uporabe ali souporabe, uporabniku vedno enostavno in varno dostopni, in sicer brezplačno, v celoviti, strukturirani, splošno uporabljani in strojno berljivi obliki. Podatki iz izdelka in podatki iz povezane storitve, ki jih imetnik podatkov zakonito pridobi ali jih lahko brez nesorazmernega napora zakonito pridobi iz povezanega izdelka ali povezane storitve, na primer prek zasnove povezanega izdelka, prek svoje pogodbe z uporabnikom za opravljanje povezanih storitev in prek svojih tehničnih sredstev za dostop do podatkov, se imenujejo „takoj razpoložljivi podatki“. Takoj razpoložljivi podatki ne vključujejo podatkov, ustvarjenih z uporabo povezanega izdelka, kadar zasnova povezanega izdelka ne omogoča shranjevanja ali prenosa takih podatkov zunaj komponente, v kateri so ustvarjeni, ali povezanega izdelka kot celote. Ne bi se torej smelo razumeti, da ta uredba nalaga obveznost hrambe podatkov na osrednji računalniški enoti povezanega izdelka. Odsotnost take obveznosti pa proizvajalcu ali imetniku podatkov ne bi smela preprečiti, da se z uporabnikom prostovoljno dogovori o izvedbi takih prilagoditev. Obveznosti glede zasnove iz te uredbe prav tako ne posegajo v načelo najmanjšega obsega podatkov iz člena 5(1), točka (c), Uredbe (EU) 2016/679, hkrati pa se jih ne bi smelo razumeti, da nalagajo obveznost glede zasnove povezanih izdelkov in povezanih storitev na tak način, da ti shranjujejo ali kako drugače obdelujejo osebne podatke, ki niso osebni podatki, potrebni za izpolnitev namenov, za katere se obdelujejo. Uvedlo bi se lahko pravo Unije ali nacionalno pravo, v katerem bi bile opredeljene dodatne posebnosti, kot so podatki iz izdelkov, ki bi morali biti dostopni iz povezanih izdelkov ali povezanih storitev, saj so taki podatki morda bistveni za učinkovito delovanje, popravilo ali vzdrževanje teh povezanih izdelkov ali povezanih storitev. Kadar proizvajalec ali druga stran izvede naknadno posodobitev ali modifikacijo povezanega izdelka ali povezane storitve, s katero postanejo dostopni dodatni podatki ali se omeji dostop do prvotno dostopnih podatkov, bi se morale take spremembe uporabniku sporočiti v okviru posodobitve ali modifikacije.

(21)

Kadar se za uporabnike šteje več oseb ali subjektov, na primer v primeru solastništva, ali kadar lastnik, najemnik ali najemodajalec z drugimi deli pravice do dostopa do podatkov ali njihove uporabe, bi morala zasnova povezanega izdelka ali povezane storitve ali ustreznega vmesnika vsakemu uporabniku omogočiti dostop do podatkov, ki jih ustvarijo. Za uporabo povezanih izdelkov, ki ustvarjajo podatke, je običajno treba ustvariti uporabniški račun. Tak račun omogoča identifikacijo uporabnika s strani imetnika podatkov, ki je lahko proizvajalec. Uporablja se lahko tudi kot sredstvo komunikacije ter za predložitev in obdelavo zahtev za dostop do podatkov. Kadar je več proizvajalcev ali ponudnikov povezanih storitev prodalo ali dalo v najem ali zakup povezane izdelke ali ponujalo povezane integrirane storitve istemu uporabniku, bi se moral uporabnik obrniti na vsako izmed strani, s katerimi je sklenil pogodbo. Proizvajalci ali oblikovalci povezanega izdelka, ki ga običajno uporablja več oseb, bi morali vzpostaviti potrebne mehanizme, ki bi omogočili, da bi imele posamezne osebe, kadar je to ustrezno, ločene uporabniške račune ali da več oseb uporablja isti uporabniški račun. Rešitve za račune bi morale uporabnikom omogočati, da izbrišejo svoje račune in z njimi povezane podatke, uporabnikom pa bi lahko omogočile, da prekinejo dostop do podatkov, njihovo uporabo ali souporabo ali predložijo zahteve za prekinitev, zlasti ob upoštevanju okoliščin, v katerih se spremeni lastništvo nad povezanim izdelkom ali njegova uporaba. Dostop bi se moral uporabniku odobriti na podlagi preprostega mehanizma za zahteve, ki bi omogočal samodejno izvršitev brez pregleda ali odobritve s strani proizvajalca ali imetnika podatkov. To pomeni, da bi se morali podatki dati na voljo le, kadar uporabnik dejansko želi dostop. Kadar samodejna izvršitev zahteve za dostop do podatkov, na primer prek uporabniškega računa ali spremljevalne mobilne aplikacije, zagotovljene s povezanim izdelkom ali z njim povezano storitvijo, ni mogoča, bi moral proizvajalec uporabnika obvestiti, kako se lahko dostopa do podatkov.

(22)

Povezani izdelki so lahko zasnovani tako, da so nekateri podatki neposredno dostopni v pomnilniku podatkov na napravi ali z oddaljenega strežnika, kamor se podatki pošiljajo. Dostop do pomnilnika podatkov na napravi se lahko omogoči prek kabelskih ali brezžičnih lokalnih omrežij, povezanih z javno dostopno elektronsko komunikacijsko storitvijo ali mobilnim omrežjem. Pri strežniku gre lahko za zmogljivost lokalnega strežnika proizvajalca ali pa strežnika tretje osebe ali ponudnika storitev v oblaku. Obdelovalci, kakor so opredeljeni v členu 4, točka 8, Uredbe (EU) 2016/679, se ne štejejo za imetnike podatkov. Vendar so lahko posebej zadolženi za dajanje podatkov na voljo s strani upravljavca, kakor je opredeljen v členu 4, točka 7, Uredbe (EU) 2016/679. Povezani izdelki so lahko zasnovani tako, da uporabniku ali tretji osebi omogočajo obdelavo podatkov na povezanem izdelku, na računalniškem primerku proizvajalca ali v okolju informacijske in komunikacijske tehnologije (IKT), ki ga izbere uporabnik ali tretja oseba.

(23)

Virtualni pomočniki imajo vse večjo vlogo pri digitalizaciji potrošniških in poklicnih okolij in delujejo kot za uporabo enostaven vmesnik za predvajanje vsebin, pridobivanje informacij ali aktiviranje izdelkov, povezanih z internetom. Virtualni pomočniki lahko na primer delujejo kot enotna vstopna točka v okolju pametnega doma in beležijo znatne količine ustreznih podatkov o tem, kako uporabniki komunicirajo z izdelki, povezanimi z internetom, tudi tistimi, ki jih proizvajajo druge strani, ter lahko nadomestijo uporabo vmesnikov, ki jih zagotovi proizvajalec, kot so zasloni na dotik ali aplikacije za pametne telefone. Uporabnik bi lahko želel take podatke dati na voljo proizvajalcem, ki so tretje osebe, in omogočiti nove pametne storitve. Za virtualne pomočnike bi morale veljati pravice do dostopa do podatkov, določene v tej uredbi. Pravice do dostopa do podatkov iz te uredbe bi morale veljati tudi za podatke ustvarjene pri interakciji uporabnika s povezanim izdelkom prek virtualnega pomočnika, ki ga zagotovi subjekt, ki ni proizvajalec povezanega izdelka. Vendar bi morala ta uredba zajemati le podatke, ki izhajajo iz interakcije med uporabnikom in povezanim izdelkom ali z njim povezano storitvijo prek virtualnega pomočnika. Podatki, ki jih proizvede virtualni pomočnik in niso povezani z uporabo povezanega izdelka ali povezane storitve, niso zajeti s to uredbo.

(24)

Pred sklenitvijo pogodbe o nakupu, najemu ali zakupu povezanega izdelka bi moral prodajalec, najemodajalec ali zakupodajalec, ki je lahko proizvajalec, uporabniku zagotoviti informacije glede podatkov iz izdelka, ki jih povezani izdelek lahko ustvari, vključno z vrsto, obliko zapisa in ocenjeno količino teh podatkov na jasen in razumljiv način. To bi lahko vključevalo informacije o podatkovnih strukturah, oblikah zapisa podatkov, besednjakih, klasifikacijskih shemah, taksonomijah in šifrantih, če so na voljo, ter jasne in zadostne informacije, relevantne za uveljavljanje pravic uporabnika, o tem, kako se lahko podatki hranijo ali prikličejo ali kako se do njih dostopa, vključno s pogoji uporabe in kakovostjo storitev vmesnikov za aplikacijsko programiranje ali, kjer je ustrezno, zagotavljanjem orodij za razvoj programske opreme. Ta obveznost zagotavlja preglednost v zvezi z ustvarjenimi podatki iz izdelka in olajša dostop uporabniku. Obveznost obveščanja bi bilo na primer mogoče izpolniti z vzdrževanjem stabilnega enotnega naslova vira na spletu (URL), ki se lahko razširja kot spletna povezava ali koda QR, na katerem so zbrane relevantne informacije, ki bi jih lahko prodajalec, najemodajalec ali zakupodajalec, ki je lahko proizvajalec, uporabniku zagotovil pred sklenitvijo pogodbe o nakupu, najemu ali zakupu povezanega izdelka. V vsakem primeru je treba uporabniku omogočiti shranjevanje informacij na tak način, da bodo dostopne za poznejšo uporabo in da bo mogoča njihova nespremenjena reprodukcija. Od imetnika podatkov ni mogoče pričakovati, da bo podatke hranil za nedoločen čas ob upoštevanju potreb uporabnika povezanega izdelka, moral pa bi voditi razumno politiko hrambe podatkov, kadar je ustrezno, v skladu z načelom omejitve hrambe na podlagi člena 5(1), točka (e), Uredbe (EU) 2016/679, ki omogoča učinkovito uporabo pravic do dostopa do podatkov, določenih v tej uredbi. Obveznost zagotavljanja informacij ne vpliva na obveznost upravljavca, da posamezniku, na katerega se nanašajo osebni podatki, zagotovi informacije na podlagi členov 12, 13 in 14 Uredbe (EU) 2016/679. Bodoči imetnik podatkov bi moral imeti obveznost zagotovitve informacij pred sklenitvijo pogodbe o opravljanju povezane storitve, ne glede na to, ali imetnik podatkov sklene pogodbo o nakupu, najemu ali zakupu povezanega izdelka. Informacije bi bilo treba uporabniku zagotoviti tudi, če se te spremenijo v življenjski dobi povezanega izdelka ali v času trajanja pogodbe za povezano storitev, ter tudi kadar se namen, za katerega naj bi se ti podatki uporabili, spremeni glede na prvotno določen namen.

(25)

Ne bi se smelo razumeti, da ta uredba imetnikom podatkov podeljuje novo pravico do uporabe podatkov iz izdelka ali podatkov iz povezane storitve. Kadar je proizvajalec povezanega izdelka imetnik podatkov, bi morala njegova uporaba neosebnih podatkov temeljiti na pogodbi med njim in uporabnikom. Taka pogodba bi lahko bila del sporazuma o opravljanju povezane storitve, ki bi se lahko sklenila skupaj s sporazumom o nakupu, najemu ali zakupu povezanega izdelka. Vsi pogodbeni pogoji, na podlagi katerih se imetniku podatkov omogoči uporaba podatkov iz izdelka ali podatkov iz povezane storitve, bi morali biti za uporabnika pregledni, tudi glede namenov, za katere namerava imetnik podatkov uporabiti podatke. Med take namene bi lahko spadali izboljšanje delovanja povezanega izdelka ali z njim povezanih storitev, razvoj novih izdelkov ali storitev, ali združevanje podatkov z namenom, da se tako pridobljeni podatki dajo na voljo tretjim osebam, kolikor taki pridobljeni podatki ne omogočajo identifikacije posameznih podatkov, ki so bili imetniku podatkov posredovani iz povezanega izdelka, ali tretji osebi ne omogočajo, da te podatke pridobi iz nabora podatkov. Vsaka sprememba pogodbe bi morala biti odvisna od informiranega soglasja uporabnika. Ta uredba ne preprečuje dogovora strank o pogodbenih pogojih, katerih učinek je izključitev ali omejitev uporabe neosebnih podatkov ali nekaterih kategorij neosebnih podatkov s strani imetnika podatkov. Prav tako ne preprečuje dogovora strank, da podatke iz izdelka ali podatke iz povezane storitve neposredno ali posredno dajo na voljo tretjim strankam, tudi, kadar je ustrezno, prek drugega imetnika podatkov. Poleg tega ta uredba ne preprečuje regulativnih zahtev za posamezne sektorje iz prava Unije ali nacionalnega prava, skladnega s pravom Unije, ki bi iz natančno opredeljenih razlogov javnega reda izključile ali omejile uporabo nekaterih takih podatkov s strani imetnika podatkov. Ta uredba uporabnikom v primeru odnosov med podjetji ne preprečuje, da dajo podatke na voljo tretjim osebam ali imetnikom podatkov pod kakršnim koli zakonitim pogodbenim pogojem, vključno s soglasjem o omejitvi nadaljnje souporabe takih podatkov, ali da prejmejo sorazmerno nadomestilo, na primer v zameno za odpoved pravici do uporabe ali souporabe takih podatkov. Čeprav pojem „imetnik podatkov“ običajno ne vključuje organov javnega sektorja, lahko vključuje javna podjetja.

(26)

Da bi spodbudili nastanek likvidnih, pravičnih in učinkovitih trgov za neosebne podatke, bi morali imeti uporabniki povezanih izdelkov možnost, da z minimalnim pravnim in tehničnim naporom delijo podatke z drugimi, tudi v komercialne namene. Podjetja trenutno pogosto težko upravičijo stroške osebja ali stroške, povezane z informacijsko tehnologijo, ki so potrebni za pripravo naborov neosebnih podatkov ali podatkovnih izdelkov, in te ponudijo potencialnim nasprotnim strankam, prek storitev posredovanja podatkov, vključno s podatkovnimi tržnicami. Velika ovira za deljenje neosebnih podatkov med podjetji izhaja iz pomanjkanja predvidljivosti gospodarskih donosov naložb v urejanje in dajanje na voljo naborov podatkov ali podatkovnih izdelkov. Da bi omogočili nastanek likvidnih, pravičnih in učinkovitih trgov za neosebne podatke v Uniji, je treba pojasniti katera stran ima pravico do ponujanja takih podatkov na tržnici. Uporabniki bi zato morali imeti pravico do deljenja neosebnih podatkov s prejemniki podatkov za komercialne in nekomercialne namene. Tako deljenje podatkov bi se lahko izvedlo neposredno s strani uporabnika, na zahtevo uporabnika, prek imetnika podatkov ali prek storitev posredovanja podatkov. Storitve posredovanja podatkov, kot jih ureja Uredba (EU) 2022/868 Evropskega parlamenta in Sveta (22), bi lahko olajšale podatkovno gospodarstvo z vzpostavitvijo poslovnih odnosov med uporabniki, prejemniki podatkov in tretjimi osebami ter lahko podpirajo uporabnike pri uveljavljanju njihove pravice do uporabe podatkov, kot je zagotavljanje anonimizacije osebnih podatkov ali združevanje dostopa do podatkov več posameznih uporabnikov. Kadar so podatki izključeni iz obveznosti imetnika podatkov, da jih da na voljo uporabnikom ali tretjim osebam, bi se lahko obseg takih podatkov določil v pogodbi med uporabnikom in imetnikom podatkov o opravljanju povezane storitve, tako da lahko uporabniki enostavno ugotovijo, katere podatke imajo na voljo za deljenje s prejemniki podatkov ali tretjimi osebami. Imetniki podatkov neosebnih podatkov iz izdelkov ne bi smeli dati na voljo tretjim osebam za komercialne ali nekomercialne namene, razen za izpolnitev pogodbe z uporabnikom, brez poseganja v pravne zahteve, ki temeljijo na pravu Unije ali nacionalnem pravu in na podlagi katerih mora imetnik podatkov dati podatke na voljo. Kadar je to ustrezno, bi morali imetniki podatkov tretje osebe pogodbeno zavezati, da podatkov, ki so jih od njih prejele, ne dajo v nadaljnjo souporabo.

(27)

V sektorjih, za katere je značilna koncentracija majhnega števila proizvajalcev, ki oskrbujejo končne uporabnike s povezanimi izdelki, so uporabnikom morda na voljo le omejene možnosti dostopa in uporabe ter souporabe podatkov. V takih okoliščinah pogodbe morda ne bodo zadostovale za dosego cilja okrepitve vloge uporabnikov, kar uporabnikom otežuje pridobivanje vrednosti na podlagi podatkov ustvarjenih s povezanim proizvodom, ki so ga kupili, najeli ali zakupili. Posledično obstajajo omejene možnosti za inovativna manjša podjetja za konkurenčno ponujanje rešitev, ki temeljijo na podatkih, kot tudi za raznoliko podatkovno gospodarstvo v Uniji. Ta uredba bi zato morala temeljiti na nedavnem razvoju v posameznih sektorjih, kot je kodeks ravnanja o souporabi kmetijskih podatkov na podlagi pogodbe. Za obravnavo potreb in ciljev posameznih sektorjev se lahko sprejme pravo Unije ali nacionalno pravo. Poleg tega, imetniki podatkov ne bi smeli uporabljati nobenih takoj razpoložljivih podatkov, ki so neosebni podatki, da bi pridobili vpogled v ekonomski položaj uporabnika ali njegova sredstva ali proizvodne metode ali v tako uporabo s strani uporabnika na kateri koli drug način, s katerim bi lahko ogrozili tržni položaj tega uporabnika na trgih, na katerih je dejaven. To bi lahko vključevalo uporabo védenja o splošni uspešnosti podjetja ali kmetije pri pogodbenih pogajanjih z uporabnikom o morebitni pridobitvi uporabnikovih izdelkov ali kmetijskih pridelkov v škodo uporabnika ali uporabo takih informacij za vnos v večje, združene podatkovne zbirke o določenih trgih, na primer podatkovnih zbirk o kmetijskem donosu za prihajajočo sezono žetve, saj bi lahko taka raba posredno negativno vplivala na uporabnika. Uporabnik bi moral prejeti potreben tehnični vmesnik za upravljanje dovoljenj, če je le mogoče z možnostmi podrobnih dovoljenj, kot je „dovoli enkrat“ ali „dovoli pri uporabi te aplikacije ali storitve“, vključno z možnostjo preklica takih dovoljenj.

(28)

Pri pogodbah med imetnikom podatkov in potrošnikom kot uporabnikom povezanega izdelka ali povezane storitve, ki ustvarja podatke, se za zagotovitev, da za potrošnika ne veljajo nepošteni pogodbeni pogoji, uporablja potrošniško pravo Unije, zlasti direktivi 93/13/EGS in 2005/29/ES. Za namene te uredbe nepošteni pogodbeni pogoji, ki se podjetju naložijo enostransko ne bi smeli biti zavezujoči za to podjetje.

(29)

Imetniki podatkov lahko zahtevajo ustrezno uporabniško identifikacijo, da preverijo upravičenost uporabnika do dostopa do podatkov. V primeru obdelave osebnih podatkov s strani obdelovalca v imenu upravljavca bi morali imetniki podatkov zagotoviti, da zahtevo za dostop prejme in obravnava obdelovalec.

(30)

Uporabnik bi moral imeti možnost, da podatke uporabi za kakršen koli zakonit namen. To vključuje zagotavljanje podatkov, ki jih uporabnik prejme v okviru uveljavljanja svojih pravic iz te uredbe, tretji osebi, ki ponuja poprodajno storitev, s katero bi lahko konkurirala storitvi, ki jo opravlja imetnik podatkov, ali da naroči imetniku podatkov, naj to stori. Zahtevo bi moral predložiti uporabnik ali pooblaščena tretja oseba, ki deluje v imenu uporabnika, vključno s ponudnikom storitev posredovanja podatkov. Imetniki podatkov bi morali zagotoviti, da so podatki, ki se dajo na voljo tretji osebi, tako točni, popolni, zanesljivi, relevantni in redno posodobljeni kot podatki, do katerih ima sam imetnik podatkov možnost ali pravico dostopati prek uporabe povezanega izdelka ali povezane storitve. Pri obdelavi podatkov bi bilo treba spoštovati vse pravice intelektualne lastnine. Pomembno je ohraniti spodbude za vlaganje v izdelke, katerih funkcionalnosti temeljijo na uporabi podatkov iz vanje vgrajenih senzorjev.

(31)

Direktiva (EU) 2016/943 Evropskega parlamenta in Sveta (23) določa, da se pridobitev, uporaba ali razkritje poslovne skrivnosti šteje za zakonito, med drugim, če tako pridobitev, uporabo ali razkritje zahteva ali dovoljuje pravo Unije ali nacionalno pravo. Čeprav ta uredba od imetnikov podatkov zahteva, da nekatere podatke razkrijejo uporabnikom ali tretjim osebam po izbiri uporabnika, tudi če taki podatki izpolnjujejo pogoje, da se varujejo kot poslovna skrivnost, bi jo bilo treba razlagati na način, da ohranja varstvo poslovnih skrivnosti na podlagi Direktive (EU) 2016/943. V tem smislu bi morali imeti imetniki podatkov možnost, da od uporabnikov ali tretjih oseb po izbiri uporabnika zahtevajo, da ohranjajo zaupnost podatkov, ki se štejejo za poslovne skrivnosti. Imetniki podatkov bi morali v ta namen pred razkritjem ugotoviti, kateri podatki so poslovne skrivnosti, in imeti možnost, da se z uporabniki ali tretjimi osebami po izbiri uporabnika dogovorijo o potrebnih ukrepih za ohranitev njihove zaupnosti, tudi z uporabo vzorčnih pogodbenih pogojev, sporazumov o zaupnosti, strogih protokolov o dostopu, tehničnih standardov in kodeksov ravnanja. Poleg uporabe vzorčnih pogodbenih pogojev, ki jih pripravi in priporoči Komisija, bi lahko k doseganju cilja te uredbe pripomoglo tudi oblikovanje kodeksov ravnanja in tehničnih standardov v zvezi z varstvom poslovnih skrivnosti pri ravnanju s podatki ter bi ga bilo treba spodbujati. Kadar ni sporazuma o potrebnih ukrepih ali kadar uporabnik ali tretje osebe po njegovi izbiri ne izvedejo teh ukrepov ali ogrožajo zaupnost poslovnih skrivnosti, bi moral imeti imetnik podatkov možnost, da zadrži ali začasno prekine souporabo podatkov, za katere je bilo ugotovljeno, da so poslovna skrivnost. V takih primerih bi moral imetnik podatkov uporabniku ali tretji osebi sporočiti odločitev v pisni obliki in brez nepotrebnega odlašanja uradno obvestiti pristojni organ države članice, v kateri ima imetnik podatkov sedež, da je zadržal ali začasno prekinil souporabo podatkov, ter opredeliti, kateri ukrepi niso bili dogovorjeni ali se ne izvajajo in, kadar je to ustrezno, pri katerih poslovnih skrivnostih je bila ogrožena zaupnost. Imetniki podatkov načeloma ne smejo zavrniti zahteve za dostop do podatkov na podlagi te uredbe zgolj zaradi tega, ker se za nekatere podatke šteje, da so poslovna skrivnost, saj bi to oslabilo predvidene učinke te uredbe. V izjemnih okoliščinah pa bi imetnik podatkov, ki je imetnik poslovne skrivnosti, moral imeti možnost zavrniti zahtevo za specifične zadevne podatke za vsak primer posebej, če lahko uporabniku ali tretji osebi dokaže, da bi razkritje te poslovne skrivnosti kljub tehničnim in organizacijskim ukrepom, ki jih je sprejel uporabnik ali tretja oseba, zelo verjetno povzročilo hudo gospodarsko škodo. Resna gospodarska škoda pomeni resno in nepopravljivo ekonomsko izgubo. Imetnik podatkov bi moral svojo zavrnitev brez nepotrebnega odlašanja uporabniku ali tretji osebi ustrezno pisno utemeljiti in o tem uradno obvestiti pristojni organ. Ta utemeljitev bi morala temeljiti na objektivnih elementih, ki dokazujejo konkretno tveganje za hudo gospodarsko škodo, ki naj bi nastala zaradi specifičnega razkritja podatkov, in razloge, iz katerih se ukrepi, sprejeti za varstvo zahtevanih podatkov, ne štejejo za zadostne. V zvezi s tem se lahko upošteva morebiten negativni učinek na kibernetsko varnost. Brez poseganja v pravico do uveljavljanja pravnega sredstva pred sodiščem države članice se lahko uporabnik ali tretja oseba, kadar želi izpodbijati odločitev imetnika podatkov o zavrnitvi ali zadržanju ali začasni prekinitvi souporabe podatkov, pritoži pri pristojnem organu, ki bi moral brez nepotrebnega odlašanja odločiti, ali in pod kakšnimi pogoji bi se souporaba podatkov morala začeti ali nadaljevati, ali pa se z imetnikom podatkov dogovori, da zadevo predloži organu za reševanje sporov. Izjeme od pravic do dostopa do podatkov iz te uredbe v nobenem primeru ne bi smele omejevati pravic posameznikov, na katere se nanašajo osebni podatki, do dostopa in prenosljivosti podatkov na podlagi Uredbe (EU) 2016/679.

(32)

Cilja te uredbe nista le pospeševanje razvoja novih, inovativnih povezanih izdelkov ali povezanih storitev in spodbujanje inovacij na poprodajnih trgih, temveč tudi spodbujanje razvoja popolnoma novih storitev, pri katerih se uporabljajo zadevni podatki, tudi na podlagi podatkov iz različnih povezanih izdelkov ali povezanih storitev. Obenem je cilj te uredbe preprečiti spodkopavanje naložbenih spodbud za tisto vrsto povezanega izdelka, iz katerega se pridobivajo podatki, na primer z uporabo podatkov za razvoj konkurenčnega izdelka, ki ga uporabniki štejejo za zamenljivega ali nadomestljivega, zlasti na podlagi značilnosti povezanega izdelka, njegove cene in predvidene uporabe. Ta uredba ne predvideva prepovedi razvoja povezane storitve z uporabo podatkov, pridobljenih na podlagi te uredbe, saj bi to imelo nezaželen odvračilni učinek na inovacije. Prepoved uporabe podatkov, do katerih se dostopa na podlagi te uredbe, za razvoj konkurenčnega povezanega izdelka varuje inovacijska prizadevanja imetnikov podatkov. Ali je povezani izdelek konkurenčen povezanemu izdelku, iz katerega izvirajo podatki, je odvisno od tega, ali oba povezana izdelka konkurirata na istem proizvodnem trgu. To se določi na podlagi uveljavljenih načel konkurenčnega prava Unije za opredelitev upoštevnega proizvodnega trga. Vendar bi lahko zakoniti nameni za uporabo podatkov vključevali tudi obratni inženiring, če je ta v skladu z zahtevami iz te uredbe in prava Unije ali nacionalnega prava. Sem bi lahko spadalo popravilo ali podaljšanje življenjske dobe povezanega izdelka ali opravljanje poprodajnih storitev za povezane izdelke.

(33)

Tretja oseba, ki se ji dajo podatki na voljo, je lahko fizična ali pravna oseba, kot je potrošnik, podjetje, raziskovalna organizacija, neprofitna organizacija ali subjekt, ki deluje v okviru svojega poklica. Pri dajanju podatkov na voljo tretji osebi imetnik podatkov ne bi smel zlorabiti svojega položaja za pridobitev konkurenčne prednosti na trgih, na katerih si lahko imetnik podatkov in tretja oseba neposredno konkurirata. Imetnik podatkov zato ne bi smel uporabljati takoj razpoložljivih podatkov, da bi pridobil vpogled v gospodarski položaj, sredstva ali proizvodne metode oziroma uporabo tretje osebe, na noben drug način, ki bi lahko ogrozil poslovni položaj tretje osebe na trgih, na katerih je tretja oseba dejavna. Uporabnik bi moral imeti možnost souporabe neosebnih podatkov s tretjimi osebami v komercialne namene. Tretje osebe bi morale imeti na podlagi sporazuma z uporabnikom in ob upoštevanju določb te uredbe možnost, da pravice do dostopa do podatkov, ki jih je uporabnik podelil, prenesejo na tretje osebe, tudi v zameno za nadomestilo. Posredniki podatkov med podjetji in sistemi za upravljanje osebnih podatkov (PIMS), ki se v Uredbi (EU) 2022/868 imenujejo storitve posredovanja podatkov, lahko podpirajo uporabnike ali tretje osebe pri vzpostavljanju poslovnih odnosov z nedoločenim številom potencialnih nasprotnih strank za kateri koli zakonit namen, ki spada na področje uporabe te uredbe. Lahko bi imeli ključno vlogo pri združevanju dostopa do podatkov, s čimer bi lahko olajšali analize velepodatkov ali strojno učenje, pod pogojem da imajo uporabniki popoln nadzor nad tem, ali naj predložijo svoje podatke k takemu združevanju, in nad komercialnimi pogoji, pod katerimi naj se njihovi podatki uporabljajo.

(34)

Pri uporabi povezanega izdelka ali z njim povezane storitve se, zlasti kadar je uporabnik fizična oseba, lahko ustvarijo podatki, ki se nanašajo na posameznika, na katerega se nanašajo osebni podatki. Za obdelavo takih podatkov veljajo pravila iz Uredbe (EU) 2016/679, tudi kadar so osebni in neosebni podatki v naboru podatkov neločljivo povezani. Posameznik, na katerega se nanašajo osebni podatki, je lahko uporabnik ali druga fizična oseba. Osebne podatke lahko zahteva le upravljavec ali posameznik, na katerega se nanašajo osebni podatki. Uporabnik, ki je posameznik, na katerega se nanašajo osebni podatki, je v določenih okoliščinah v skladu z Uredbo (EU) 2016/679 upravičen dostopati do osebnih podatkov, ki se nanašajo na tega uporabnika, in ta uredba na take pravice ne vpliva. Na podlagi te uredbe je uporabnik, ki je fizična oseba, upravičen dostopati tudi do vseh podatkov, ki se ustvarijo z uporabo povezanega izdelka, najsi bodo osebni ali neosebni. Kadar uporabnik ni posameznik, na katerega se nanašajo osebni podatki, temveč podjetje, vključno s samostojnim podjetnikom, ne pa tudi, kadar povezani izdelek uporablja skupno gospodinjstvo, se uporabnik šteje za upravljavca. Tak uporabnik, ki namerava kot upravljavec zahtevati osebne podatke, ustvarjene z uporabo povezanega izdelka ali povezane storitve, mora imeti torej pravno podlago za obdelavo podatkov, kot zahteva člen 6(1) Uredbe (EU) 2016/679, na primer privolitev posameznika, na katerega se nanašajo osebni podatki, ali izvajanje pogodbe, katere pogodbena stranka je tak posameznik. Tak uporabnik bi moral zagotoviti, da je posameznik, na katerega se nanašajo osebni podatki, ustrezno obveščen o specifičnih, izrecnih in zakonitih namenih obdelave teh podatkov ter o tem, kako lahko učinkovito uveljavlja svoje pravice. Kadar sta imetnik podatkov in uporabnik skupna upravljavca v smislu člena 26 Uredbe (EU) 2016/679, morata na pregleden način z medsebojnim dogovorom določiti ustrezne odgovornosti vsakega od njiju za skladnost z navedeno uredbo. Treba bi bilo razumeti, da lahko tak uporabnik, potem ko so podatki dani na voljo, tudi sam postane imetnik podatkov, če izpolnjuje merila iz te uredbe, s čimer začnejo zanj veljati obveznosti dajanja podatkov na voljo na podlagi te uredbe.

(35)

Podatki iz izdelka ali podatki iz povezane storitve bi se morali dati na voljo tretji osebi le na zahtevo uporabnika. Ta uredba torej dopolnjuje v členu 20 Uredbe (EU) 2016/679 določeno pravico posameznikov, na katere se nanašajo osebni podatki, da osebne podatke v zvezi z njimi prejmejo v strukturirani, splošno uporabljani in strojno berljivi obliki ter da te podatke prenesejo drugemu upravljavcu, kadar se obdelujejo z avtomatiziranimi sredstvi na podlagi člena 6(1), točka (a), ali člena 9(2), točka (a), ali pogodbe na podlagi člena 6(1), točka (b), navedene uredbe. Posamezniki, na katere se nanašajo osebni podatki, imajo tudi pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu, vendar le, kadar je to tehnično izvedljivo. V členu 20 Uredbe (EU) 2016/679 je navedeno, da to zadeva podatke, ki jih je zagotovil posameznik, na katerega se nanašajo osebni podatki, ni pa določeno, ali je za to potrebno aktivno ravnanje posameznika, na katerega se nanašajo osebni podatki, oziroma ali to velja tudi v primerih, ko povezani izdelek ali povezana storitev po svoji zasnovi pasivno spremlja ravnanje posameznika, na katerega se nanašajo osebni podatki, ali druge informacije v zvezi z njim. Pravice določene na podlagi te uredbe na več načinov dopolnjujejo pravico do prejema in prenosa osebnih podatkov iz člena 20 Uredbe (EU) 2016/679. Ta uredba uporabnikom daje pravico, da dostopajo do vseh podatkov iz izdelka ali podatkov iz povezane storitve in jih dajo na voljo tretji osebi, ne glede na to, ali gre za osebne podatke, ne glede na razliko med aktivno zagotovljenimi ali pasivno pridobljenimi podatki in ne glede na pravno podlago za obdelavo. Ta uredba v nasprotju s členom 20 Uredbe (EU) 2016/679 odreja in zagotavlja tehnično izvedljivost dostopa tretjih oseb za vse vrste podatkov, ki spadajo na njeno področje uporabe, najsi bodo osebni ali neosebni, s čimer zagotavlja, da tehnične ovire ne otežujejo ali preprečujejo več dostopa do takih podatkov. Prav tako imetnikom podatkov omogoča, da določijo razumna nadomestila, ki jih morajo plačati tretje osebe, ne pa tudi uporabnik, za stroške, ki nastanejo pri zagotavljanju neposrednega dostopa do podatkov, ki jih ustvari uporabnikov povezani izdelek. Če se imetnik podatkov in tretja oseba ne moreta dogovoriti o pogojih za tak neposredni dostop, to posamezniku, na katerega se nanašajo osebni podatki, ne bi smelo na noben način preprečiti uveljavljanja pravic iz Uredbe (EU) 2016/679, vključno s pravico do prenosljivosti podatkov, s pomočjo pravnih sredstev v skladu z navedeno uredbo. V zvezi s tem je treba razumeti, da v skladu z Uredbo (EU) 2016/679 pogodba imetniku podatkov ali tretji osebi ne omogoča obdelave posebnih kategorij osebnih podatkov.

(36)

Dostop do vseh podatkov, ki so shranjeni v terminalski opremi in do katerih se z njo dostopa, ureja Direktiva 2002/58/ES, zanj pa je potrebno soglasje naročnika ali uporabnika v smislu navedene direktive, razen če je nujno potreben za opravljanje storitve informacijske družbe, ki jo je izrecno zahteval uporabnik ali naročnik, ali izključno za prenos sporočila. Direktiva 2002/58/ES varuje celovitost uporabnikove terminalske opreme glede uporabe zmogljivosti za obdelavo in shranjevanje ter zbiranja informacij. Oprema interneta stvari se šteje za terminalsko opremo, če je neposredno ali posredno povezana z javnim komunikacijskim omrežjem.

(37)

Da bi se preprečilo izkoriščanje uporabnikov, bi morale tretje osebe, ki se jim na zahtevo uporabnika dajo na voljo podatki, te podatke obdelovati zgolj za namene, dogovorjene z uporabnikom, in jih dajati v souporabo drugi tretji osebi le s soglasjem uporabnika za tako souporabo podatkov.

(38)

V skladu z načelom najmanjšega obsega podatkov bi morale tretje osebe dostopati le do tistih informacij, ki so nujne za opravljanje storitve, ki jo je zahteval uporabnik. Po prejemu dostopa do podatkov bi morala tretja oseba te podatke obdelovati za namene, dogovorjene z uporabnikom, brez vmešavanja imetnika podatkov. Uporabnik bi moral imeti možnost, da dostop do podatkov s strani tretje osebe tako enostavno zavrne ali prekine, kot ga odobri. Niti tretje osebe niti imetniki podatkov ne bi smeli neupravičeno oteževati uveljavljanja pravic ali izbir uporabnikov, tudi ne s ponujanjem izbir uporabnikom na pristranski način, ali prisiliti ali zavajati uporabnika ali z njim manipulirati na kateri koli način ali omejevati ali ovirati njegovo avtonomijo, odločanje ali izbire, tudi ne z digitalnim vmesnikom uporabnika ali njegovega dela. V zvezi s tem se pri oblikovanju svojih digitalnih vmesnikov ne bi smeli opirati na tako imenovane „temne vzorce“. Temni vzorci so oblikovalske tehnike, ki potrošnike spodbudijo ali zavedejo, da sprejmejo odločitve, ki imajo zanje negativne posledice. S temi manipulativnimi tehnikami se lahko uporabnike, zlasti ranljive potrošnike, prepriča v neželeno vedenje, uporabnike zavaja s spodbujanjem k odločitvam o transakcijah razkritja podatkov ali nerazumno vpliva na odločanje uporabnikov storitve na način, ki omejuje ali ovira njihovo avtonomijo, odločanje in izbiro. Običajne in zakonite poslovne prakse, ki so skladne s pravom Unije, se same po sebi ne bi smele šteti kot temni vzorci. Tretje osebe in imetniki podatkov bi morali izpolnjevati svoje obveznosti v skladu z ustreznim pravom Unije, zlasti z zahtevami iz direktiv 98/6/ES (24) in 2000/31/ES (25) Evropskega parlamenta in Sveta ter direktiv 2005/29/ES in 2011/83/EU.

(39)

Tretje osebe bi se morale poleg tega vzdržati uporabe podatkov s področja uporabe te uredbe za profiliranje posameznikov, razen če so te dejavnosti obdelave nujno potrebne za opravljanje storitve, ki jo je zahteval uporabnik, tudi v okviru avtomatiziranega sprejemanja odločitev. Zahteva po izbrisu podatkov, ko ti niso več potrebni za namen, dogovorjen z uporabnikom, razen če je v zvezi z neosebnimi podatki dogovorjeno drugače, dopolnjuje pravico posameznika, na katerega se nanašajo osebni podatki, do izbrisa na podlagi člena 17 Uredbe (EU) 2016/679. Kadar je tretja oseba ponudnik storitve posredovanja podatkov, se uporabljajo zaščitni ukrepi za posameznika, na katerega se nanašajo osebni podatki, iz Uredbe (EU) 2022/868. Tretja oseba lahko podatke uporabi za razvoj novega in inovativnega povezanega izdelka ali povezane storitve, ne pa za razvoj konkurenčnega povezanega izdelka.

(40)

Zagonska podjetja, mala podjetja, ki se štejejo za srednje podjetja na podlagi člena 2 Priloge k Priporočilu 2003/361/ES, ter podjetja iz tradicionalnih sektorjev z manj razvitimi digitalnimi zmogljivostmi imajo težave pri dostopu do ustreznih podatkov. Namen te uredbe je tem subjektom olajšati dostop do podatkov, hkrati pa zagotoviti, da so pripadajoče obveznosti čim bolj sorazmerne, da se prepreči prekomerno nalaganje obveznosti. Hkrati se je pojavilo majhno število zelo velikih podjetij, ki so z zbiranjem in združevanjem velike količine podatkov ter tehnološko infrastrukturo za njihovo monetizacijo pridobile znatno gospodarsko moč v digitalnem gospodarstvu. Med njimi so zelo velika podjetja, ki opravljajo jedrne platformne storitve in nadzorujejo celotne ekosisteme platform v digitalnem gospodarstvu ter s katerimi se obstoječi ali novi udeleženci na trgu ne morejo meriti ali jim konkurirati. Namen Uredbe (EU) 2022/1925 Evropskega parlamenta in Sveta (26) je odpraviti te neučinkovitosti in neravnovesja, in sicer tako, da se Komisiji omogoči, da podjetje imenuje za „vratarja“ in takim vratarjem naloži več obveznosti, vključno s prepovedjo združevanja nekaterih podatkov brez privolitve in obveznostjo zagotavljanja dejanskih pravic do prenosljivosti podatkov na podlagi člena 20 Uredbe (EU) 2016/679. V skladu z Uredbo (EU) 2022/1925 in glede na zmožnost teh podjetij, da pridobijo podatke, ki jih druga podjetja nimajo, doseg cilja te uredbe ni potreben, zaradi česar bi bilo nesorazmerno za imetnike podatkov, za katere veljajo take obveznosti, da vključijo vratarje med koristnike pravice do dostopa podatkov. S tako vključitvijo bi verjetno omejili tudi koristi te uredbe za MSP, povezane s pošteno porazdelitvijo vrednosti podatkov med udeleženci na trgu. To pomeni, da podjetje, ki opravlja jedrne platformne storitve in je bilo imenovano za vratarja, ne more zahtevati ali pridobiti dostopa do podatkov uporabnikov, ustvarjenih z uporabo povezanega izdelka ali povezane storitve ali virtualnega pomočnika, na podlagi te uredbe. Poleg tega tretje osebe, ki se jim na zahtevo uporabnika dajo na voljo podatki, teh podatkov ne smejo dati na voljo vratarju. Tretje osebe na primer ne smejo oddati opravljanja storitev v podizvajanje vratarju. To pa jim ne preprečuje uporabe storitev obdelave podatkov, ki jih ponuja vratar. Prav tako tem podjetjem ne preprečuje pridobivanja in uporabe teh istih podatkov z drugimi zakonitimi sredstvi. Pravice do dostopa določene v tej uredbi prispevajo k širši izbiri storitev za potrošnike. Ker to ne vpliva na prostovoljne sporazume med vratarji in imetniki podatkov, omejitev odobritve dostopa vratarjem le-teh ne bi izključila iz trga ali jim ne bi preprečila ponujanja njihovih storitev.

(41)

Glede na trenutno stanje tehnologije bi bilo za mikropodjetja in mala podjetja preveč obremenjujoče, če bi jim naložili dodatne obveznosti glede zasnove povezanih izdelkov, ki jih proizvajajo ali zasnujejo, ali povezanih storitev, ki jih opravljajo. To pa ne velja, kadar ima mikropodjetje ali malo podjetje partnersko podjetje ali povezano podjetje v smislu člena 3 Priloge k Priporočilu 2003/361/ES, ki se ne šteje za mikropodjetje ali malo podjetje, in kadar proizvodnjo ali zasnovo povezanega izdelka ali opravljanje povezane storitve prejme v podizvajanje. V takih primerih lahko podjetje, ki je proizvodnjo ali zasnovo oddalo v podizvajanje mikropodjetju ali malemu podjetju, podizvajalcu izplača ustrezno nadomestilo. Kljub temu pa lahko za mikropodjetje ali malo podjetje, kadar ne gre za proizvajalca povezanega izdelka ali ponudnika povezanih storitev, veljajo zahteve za imetnike podatkov, določene v tej uredbi. Za podjetje, ki se za srednje podjetje šteje manj kot eno leto in za povezane proizvode za eno leto od dne, ko so jih srednja podjetja dala na trg, bi moralo veljati prehodno obdobje. Tako enoletno obdobje temu srednjemu podjetju omogoča, da se prilagodi in pripravi na konkurenco na trgu storitev za povezane izdelke, ki jih proizvaja, na podlagi pravic do dostopa iz te uredbe. Tako prehodno obdobje se ne uporablja, kadar ima tako srednje podjetje partnersko podjetje ali povezano podjetje, ki se ne šteje za mikropodjetje ali malo podjetje, ali kadar tako srednje podjetje proizvodnjo ali zasnovo povezanega izdelka ali opravljanje povezane storitve prejme v podizvajanje.

(42)

Da bi se upoštevala raznolikost povezanih izdelkov, ki ustvarjajo podatke različne narave, količine in pogostosti, predstavljajo različne ravni podatkov in tveganj za kibernetsko varnost ter nudijo gospodarske priložnosti različnih vrednosti, in za namene zagotavljanja doslednosti praks souporabe podatkov na notranjem trgu, tudi med sektorji, ter da bi se spodbujale in promovirale poštene prakse souporabe podatkov, celo na področjih, na katerih taka pravica do dostopa do podatkov ni zagotovljena, ta uredba določa horizontalna pravila o ureditvah dostopa do podatkov, kadar koli je imetnik podatkov obvezan na podlagi prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije, dati podatke na voljo prejemniku podatkov. Tak dostop bi moral temeljiti na poštenih, razumnih, nediskriminatornih in preglednih pogojih. Ta splošna pravila o dostopu se ne uporabljajo za obveznosti dajanja podatkov na voljo na podlagi Uredbe (EU) 2016/679. Prav tako ne vplivajo na prostovoljno souporabo podatkov. Nezavezujoči vzorčni pogodbeni pogoji za souporabo podatkov med podjetji, ki jih pripravi in priporoči Komisija, lahko strankam pomagajo pri sklepanju pogodb, ki vključujejo poštene, razumne in nediskriminatorne pogoje in jih je treba izvajati na pregleden način. Sklenitev pogodb, ki lahko vključujejo nezavezujoče vzorčne pogodbene pogoje, ne bi smela pomeniti, da je pravica do souporabe podatkov s tretjimi osebami kakor koli pogojena z obstojem take pogodbe. Če stranke ne morejo skleniti pogodbe o souporabi podatkov, vključno s podporo organov za reševanje sporov, je pravica do souporabe podatkov s tretjimi osebami izvršljiva pred nacionalnimi sodišči.

(43)

Na podlagi načela pogodbene svobode bi morale imeti stranke še naprej možnost dogovoriti se o natančnih pogojih za dajanje podatkov na voljo v svojih pogodbah, in sicer v okviru splošnih pravil o dostopu za dajanje podatkov na voljo. Pogoji takih pogodb bi lahko zajemali tehnične in organizacijske ukrepe, tudi v zvezi z varnostjo podatkov.

(44)

Da bi zagotovili pravične pogoje obveznega dostopa do podatkov za obe stranki pogodbe, bi se morala splošna pravila o pravicah do dostopa do podatkov sklicevati na pravilo o preprečevanju nepoštenih pogodbenih pogojev.

(45)

Noben sporazum o dajanju podatkov na voljo, sklenjen v odnosih med podjetji, ne bi smel diskriminirati med primerljivimi kategorijami prejemnikov podatkov, ne glede na to, ali gre za velika podjetja ali za MSP. Da bi nadomestili pomanjkanje informacij o pogojih v različnih pogodbah, zaradi katerega prejemnik podatkov težko oceni, ali so pogoji za dajanje podatkov na voljo nediskriminatorni, bi morali biti za dokazovanje, da pogodbeni pogoj ni diskriminatoren, odgovorni imetniki podatkov. Kadar imetnik podatkov uporablja različne pogodbene pogoje za dajanje podatkov na voljo, ne gre za nezakonito diskriminacijo, če so te razlike upravičene iz objektivnih razlogov. Te obveznosti ne posegajo v Uredbo (EU) 2016/679.

(46)

Da bi spodbujali nadaljnje naložbe v ustvarjanje in dajanje na voljo dragocenih podatkov, vključno z naložbami v ustrezna tehnična orodja, hkrati pa preprečili čezmerna bremena za dostop do podatkov in njihovo uporabo, zaradi katerih souporaba podatkov ni več tržno donosna, ta uredba vsebuje načelo, v skladu s katerim lahko imetniki podatkov v odnosih med podjetji zahtevajo razumno nadomestilo, kadar so na podlagi prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije, obvezani dati podatke na voljo prejemniku podatkov. Ne bi se smelo razumeti, da tako nadomestilo predstavlja plačilo za same podatke. Komisija bi morala sprejeti smernice za izračun razumnega nadomestila v podatkovnem gospodarstvu.

(47)

Prvič, nadomestilo za izpolnitev obveznosti na podlagi prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije, da se izpolni zahteva za dajanje podatkov na voljo, vključuje nadomestilo za stroške, ki so nastali pri dajanju podatkov na voljo. Pri tem lahko gre za tehnične stroške, kot so stroški potrebni za razmnoževanje podatkov ter njihovo razširjanje z elektronskimi sredstvi in shranjevanje, ne pa tudi za zbiranje ali ustvarjanje podatkov. Tehnični stroški lahko zajemajo tudi stroške obdelave, potrebne za dajanje podatkov na voljo, ali stroške, povezane s formatiranjem podatkov. Stroški, povezani z dajanjem podatkov na voljo, lahko zajemajo tudi stroške pomoči pri konkretnih zahtevah za souporabo podatkov. Razlikujejo se lahko tudi glede na količino podatkov ter glede na ureditve, sprejete za dajanje podatkov na voljo. S pomočjo dolgoročnih ureditev med imetniki in prejemniki podatkov, na primer na podlagi naročniškega modela ali z uporabo pametnih pogodb, bi se lahko v poslovnem odnosu zmanjšali stroški rednih ali ponavljajočih se transakcij. Stroški, povezani z dajanjem podatkov na voljo, so bodisi specifični za posamezno zahtevo ali pa se delijo z drugimi zahtevami. V slednjem primeru celotnih stroškov dajanja podatkov na voljo ne bi smel plačati en sam prejemnik podatkov. Drugič, razumno nadomestilo lahko vključuje tudi maržo, razen glede SME ter nepridobitnih raziskovalnih organizacij. Marža se lahko razlikuje glede na dejavnike, povezane s samimi podatki, kot so njihova količina, oblika zapisa ali narava. Pri marži se lahko upoštevajo stroški zbiranja podatkov. Marža se torej lahko zmanjša, če imetnik podatkov le-te za lastno podjetje zbere brez znatnih naložb, ali poveča, če so naložbe v zbiranje podatkov za namene podjetja imetnika podatkov visoke. Če uporaba podatkov s strani prejemnika podatkov ne vpliva na lastne dejavnosti imetnika podatkov, se lahko marža omeji ali celo izključi. Znesek nadomestila bi lahko znižalo tudi dejstvo, da podatke soustvari povezani izdelek, ki ga ima uporabnik v lasti, najemu ali zakupu, v primerjavi z drugimi primeri, ko podatke ustvari imetnik podatkov, na primer med opravljanjem povezane storitve.

(48)

Ni potrebno posredovati v primeru souporabe podatkov med velikimi podjetji ali kadar je imetnik podatkov malo ali srednje podjetje, prejemnik podatkov pa veliko podjetje. V takih primerih se šteje, da so se podjetja sposobna pogajati o nadomestilu v mejah tega, kar je razumno in nediskriminatorno.

(49)

Za zaščito MSP pred prekomernimi gospodarskimi bremeni, ki bi jim komercialno preveč otežila oblikovanje in uporabo inovativnih poslovnih modelov, razumno nadomestilo za dajanje podatkov na voljo, ki ga morajo plačati, ne bi smelo presegati stroškov, ki so neposredno povezani z dajanjem podatkov na voljo. Neposredno povezani stroški so tisti stroški, ki jih je mogoče pripisati posameznim zahtevam, ob upoštevanju, da mora imetnik podatkov trajno vzpostaviti potrebne tehnične vmesnike ali povezano programsko opremo in povezljivost. Enaka ureditev bi se morala uporabljati za nepridobitne raziskovalne organizacije.

(50)

V ustrezno upravičenih primerih, tudi kadar obstaja potreba po zaščiti udeležbe potrošnikov in konkurence ali po spodbujanju inovacij na nekaterih trgih, se lahko v pravu Unije ali nacionalni zakonodaji, sprejeti v skladu s pravom Unije, določi regulirano nadomestilo za dajanje na voljo posebnih vrst podatkov.

(51)

Preglednost je pomembno načelo za zagotavljanje, da je nadomestilo, ki ga zahteva imetnik podatkov, razumno ali da – če je prejemnik podatkov MSP ali nepridobitna raziskovalna organizacija – ne presega stroškov, ki so neposredno povezani z dajanjem podatkov na voljo prejemniku podatkov in jih je mogoče pripisati zadevni posamezni zahtevi. Da bi prejemniki podatkov lahko ocenili in preverili, ali je nadomestilo skladno z zahtevami te uredbe, bi moral imetnik podatkov prejemniku podatkov zagotoviti dovolj podrobne informacije za izračun nadomestila.

(52)

Zagotavljanje dostopa do alternativnih načinov reševanja domačih in čezmejnih sporov, ki nastanejo v zvezi z dajanjem podatkov na voljo, bi moralo koristiti imetnikom in prejemnikom podatkov ter tako okrepiti zaupanje v souporabo podatkov. Če se stranke ne morejo dogovoriti o poštenih, razumnih in nediskriminatornih pogojih za dajanje podatkov na voljo, bi jim morali organi za reševanje sporov ponuditi preprosto, hitro in cenovno ugodno rešitev. Čeprav ta uredba določa le pogoje, ki jih morajo organi za reševanje sporov izpolnjevati, da bi bili certificirani, lahko države članice prosto sprejmejo vsa posebna pravila za postopek certificiranja, vključno s potekom ali preklicem certificiranja. Z določbami te uredbe o reševanju sporov se od držav članic ne bi smelo zahtevati, da ustanovijo organe za reševanje sporov.

(53)

Postopek reševanja sporov iz te uredbe je prostovoljni postopek, ki uporabnikom, imetnikom podatkov in prejemnikom podatkov omogoča, da se dogovorijo, da bodo svoje spore urejali pred organi za reševanje sporov. Zato bi morale imeti stranke možnost, da se obrnejo na organ za reševanje sporov po lastni izbiri, in sicer znotraj ali zunaj držav članic, v katerih imajo te stranke sedež.

(54)

Da bi se izognili primerom, ko sta za reševanje enega spora, zlasti v čezmejnih situacijah, zaprošena dva ali več organov za reševanje sporov, bi moral imeti organ za reševanje sporov možnost zavrniti zahtevo za rešitev spora, ki je bila že predložena drugemu organu za reševanje sporov ali sodišču države članice.

(55)

Za zagotovitev enotne uporabe te uredbe bi morali organi za reševanje sporov upoštevati nezavezujoče vzorčne pogodbene pogoje, ki jih pripravi in priporoči Komisija, ter pravo Unije ali nacionalno pravo, ki določajo obveznosti souporabe podatkov ali smernice, ki jih izdajo sektorski organi za uporabo takega prava.

(56)

Strankam v postopkih reševanja sporov se ne bi smelo preprečiti uveljavljanja njihovih temeljnih pravic do učinkovitega pravnega sredstva in poštenega sojenja. Zato odločitev, da se spor predloži organu za reševanje sporov, tem strankam ne bi smela odvzeti pravice do uveljavljanja pravnih sredstev pred sodiščem države članice. Organi za reševanje sporov bi morali objaviti letna poročila o dejavnostih.

(57)

Imetniki podatkov lahko uporabijo ustrezne ukrepe za tehnično zaščito, da preprečijo nezakonito razkritje podatkov ali dostop do njih. Vendar ti ukrepi ne bi smeli diskriminirati med prejemniki podatkov niti ovirati dostopa do podatkov ali njihove uporabe za uporabnike ali prejemnike podatkov. V primeru zlorab s strani prejemnika podatkov, kot je zavajanje imetnika podatkov z zagotavljanjem napačnih informacij z namenom uporabe podatkov za nezakonite namene, vključno z razvojem konkurenčnega povezanega izdelka na podlagi podatkov, lahko imetnik podatkov in, kadar je ustrezno in kadar nista ista oseba, imetnik poslovne skrivnosti ali uporabnik od tretje osebe ali prejemnika podatkov zahtevata, da brez nepotrebnega odlašanja izvede korektivne ali popravne ukrepe. Vse take zahteve, zlasti zahteve za prenehanje proizvodnje, ponujanja ali dajanja na trg blaga, izpeljanih podatkov ali storitev ter zahteve za odpravo uvoza, izvoza, shranjevanja blaga, ki predstavlja kršitev pravic, ali njegovega uničenja, bi bilo treba oceniti glede na njihovo sorazmernost z interesi imetnika podatkov, imetnika poslovne skrivnosti ali uporabnika.

(58)

Kadar je ena stranka v močnejšem pogajalskem položaju, obstaja tveganje, da bi pri pogajanjih o dostopu do podatkov tak položaj izkoristila v škodo druge pogodbene stranke, posledično pa bi postal dostop do podatkov tržno manj donosen in včasih celo ekonomsko nevzdržen. Taka pogodbena neravnovesja škodujejo vsem podjetjem, ki nimajo prave zmožnosti za pogajanje o pogojih za dostop do podatkov in morda nimajo druge izbire, kot da sprejmejo pogodbene pogoje po načelu „vzemi ali pusti“. Nepošteni pogodbeni pogoji, ki urejajo dostop do podatkov in njihovo uporabo ali odgovornost in pravna sredstva za kršitev ali prenehanje obveznosti v zvezi s podatki, zato ne bi smeli biti zavezujoči za podjetja, kadar so jim bili naloženi enostransko.

(59)

Pravila o pogodbenih pogojih bi morala upoštevati načelo pogodbene svobode kot bistven koncept v odnosih med podjetji. Zato se preskus nepoštenosti ne bi smel uporabljati za vse pogodbene pogoje, temveč zgolj za tiste, ki se naložijo enostransko. To zadeva primere „vzemi ali pusti“, kadar ena stranka postavi določen pogodbeni pogoj in drugo podjetje kljub temu, da se je poskusilo pogajati, ne more vplivati na njegovo vsebino. Pogodbeni pogoj, ki ga ena stranka določi, drugo podjetje pa sprejme, ali pogoj, o katerem se pogodbeni stranki najprej pogajata in nato dogovorita ob upoštevanju predlaganih sprememb, se ne bi smel šteti za enostransko naloženega.

(60)

Poleg tega bi se morala pravila o nepoštenih pogodbenih pogojih uporabljati le za tiste elemente pogodbe, ki so povezani z dajanjem podatkov na voljo, in sicer pogodbene pogoje v zvezi z dostopom do podatkov in njihovo uporabo ter odgovornostjo ali pravnimi sredstvi za kršitev in prenehanje obveznosti v zvezi s podatki. Za druge dele iste pogodbe, ki niso povezani z dajanjem podatkov na voljo, se preskus nepoštenosti iz te uredbe ne uporablja.

(61)

Merila za opredelitev nepoštenih pogodbenih pogojev bi se morala uporabljati zgolj za pretirane pogodbene pogoje, pri katerih gre za zlorabo močnejšega pogajalskega položaja. Pri veliki večini pogodbenih pogojev, ki so za eno stranko poslovno ugodnejši kot za drugo, vključno s tistimi, ki so običajni v pogodbah med podjetji, gre za običajen izraz načela pogodbene svobode in se še naprej uporabljajo. Za namene te uredbe bi močno odstopanje od dobre poslovne prakse med drugim vključevalo objektivno oviranje zmožnosti stranke, ki ji je bil pogoj enostransko naložen, da zaščiti svoj legitimni poslovni interes v zvezi z zadevnimi podatki.

(62)

Za zagotovitev pravne varnosti ta uredba določa seznam klavzul, ki se vedno štejejo za nepoštene, in seznam klavzul, za katere se domneva, da so nepoštene. V slednjem primeru bi moralo imeti podjetje, ki nalaga pogodbeni pogoj, možnost, da ovrže domnevo o nepoštenosti, tako da dokaže, da navedeni pogodbeni pogoj v tej uredbi v konkretnem primeru ni nepošten. Če pogodbeni pogoj ni uvrščen na seznam pogojev, ki se vedno štejejo za nepoštene ali za katere se domneva, da so nepošteni, se zanj uporablja splošna določba o nepoštenosti. V zvezi s tem bi morali pogoji, ki so v tej uredbi navedeni kot nepošteni pogodbeni pogoji, služiti kot merilo za razlago splošne določbe o nepoštenosti. Poleg tega so lahko poslovnim strankam pri pogajanjih o pogodbah v pomoč tudi nezavezujoči vzorčni pogodbeni pogoji za pogodbe o souporabi podatkov med podjetji, ki jih pripravi in priporoči Komisija. Če se ugotovi, da je pogodbeni pogoj nepošten, bi se morala zadevna pogodba še naprej uporabljati brez tega pogoja, razen če nepoštenega pogodbenega pogoja ni mogoče ločiti od drugih pogodbenih pogojev.

(63)

V primerih izjemne potrebe morajo organi javnega sektorja, Komisija, Evropska centralna banka ali organi Unije pri opravljanju svojih zakonsko predpisanih nalog v javnem interesu morda uporabiti obstoječe podatke, ki po potrebi vključujejo ustrezne metapodatke, da bi se lahko odzvali na splošno nevarnost ali druge izjemne okoliščine. Izjemne potrebe so okoliščine, ki so nepredvidljive in časovno omejene, v nasprotju z drugimi okoliščinami, ki jih je mogoče načrtovati, so periodične ali pogoste. Čeprav pojem „imetnik podatkov“ na splošno ne vključuje organov javnega sektorja, lahko vključuje tudi javna podjetja. Tudi raziskovalne organizacije in organizacije, ki financirajo raziskave, bi lahko bile organizirane kot organi javnega sektorja ali osebe javnega prava. Da bi omejili breme za podjetja, bi morala za mikropodjetja in mala podjetja obveznost zagotavljanja podatkov organom javnega sektorja, Komisiji, Evropski centralni banki ali organom Unije veljati le v primerih, kadar so taki podatki potrebni za odziv na splošno nevarnost, in kadar organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije ne more pravočasno in učinkovito pridobiti takih podatkov z alternativnimi sredstvi pod enakimi pogoji.

(64)

V primeru splošne nevarnosti, kot so izredne razmere v javnem zdravju, nevarnosti, ki so posledica naravnih nesreč, vključno s tistimi, ki so še hujše zaradi podnebnih sprememb in degradacije okolja, pa tudi večje nesreče, ki jih povzroči človek, kot so večji kibernetski incidenti, javni interes uporabe podatkov prevlada nad interesi imetnikov podatkov, da prosto razpolagajo s podatki, ki jih hranijo. V takem primeru bi bilo treba imetnikom podatkov naložiti obveznost, da dajo podatke na voljo organom javnega sektorja, Komisiji, Evropski centralni banki ali organom Unije na njihovo zahtevo. Ali gre za splošno nevarnost, bi se moralo določiti ali razglasiti v skladu s pravom Unije ali nacionalnim pravom na podlagi ustreznih postopkov, vključno s tistimi v ustreznih mednarodnih organizacijah. V takih primerih bi moral organ javnega sektorja dokazati, da podatkov, ki so predmet zahteve, drugače ne bi bilo mogoče pridobiti pravočasno in učinkovito ter pod enakimi pogoji, na primer s prostovoljnim dajanjem podatkov s strani drugega podjetja ali vpogledom v javno podatkovno zbirko.

(65)

Izredna potreba se lahko pojavi tudi, ko ne gre za izredne razmere. V takih primerih bi bilo treba organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije dovoliti, da zahtevajo samo neosebne podatke. Organ javnega sektorja bi moral dokazati, da so podatki potrebni za izpolnitev posebne naloge, ki se izvaja v javnem interesu in je izrecno določena s pravom, kot je priprava uradne statistike ali ublažitev splošne nevarnosti ali okrevanje po njej. Poleg tega se taka zahteva lahko vloži le, kadar organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije opredeli specifične podatke, ki jih drugače ne bi bilo mogoče pridobiti pravočasno in učinkovito ter pod enakimi pogoji, in le, če je izčrpal vse druge razpoložljive načine za pridobitev takih podatkov, kot so pridobivanje podatkov na podlagi prostovoljnih sporazumov, vključno z nakupom neosebnih podatkov na trgu s ponujanjem tržnih cen ali uveljavljanjem obstoječih obveznosti dajanja podatkov na voljo ali sprejetjem novih zakonodajnih ukrepov, s katerimi bi lahko zagotovili pravočasno razpoložljivost podatkov. Prav tako bi se morali uporabljati pogoji in načela, ki urejajo zahteve, na primer tista v zvezi z omejitvijo namena, sorazmernostjo, preglednostjo in časovno omejitvijo. V primerih zahtev za podatke, ki so potrebni za pripravo uradne statistike, bi moral organ javnega sektorja, ki je vložil zahtevo, dokazati tudi, ali mu nacionalno pravo dovoljuje nakup neosebnih podatkov na trgu.

(66)

Ta uredba se ne bi smela uporabljati za prostovoljne dogovore o izmenjavi podatkov med zasebnimi in javnimi subjekti, vključno z zagotavljanjem podatkov s strani MSP, in ne bi smela posegati vanje, poleg tega pa ne posega v pravne akte Unije, ki določajo, da javni subjekti zasebnim subjektom izdajajo zahteve za obvezne informacije. Ta uredba ne bi smela vplivati na obveznosti imetnikov podatkov, da zagotovijo podatke, ki temeljijo na potrebah, ki niso izjemne narave, zlasti kadar je nabor podatkov in imetnikov podatkov znan ali kadar se podatki lahko redno uporabljajo, denimo v primeru obveznosti poročanja in obveznosti v zvezi z notranjim trgom. Prav tako ta uredba ne bi smela vplivati na zahteve za dostop do podatkov z namenom preverjanja skladnosti z veljavnimi pravili, tudi v primerih, kadar organi javnega sektorja nalogo preverjanja skladnosti dodelijo subjektom, ki niso organi javnega sektorja.

(67)

Ta uredba dopolnjuje in ne posega v pravo Unije in nacionalno pravo, ki zagotavljata dostop do podatkov in njihovo uporabo za statistične namene, zlasti Uredbo (ES) št. 223/2009 Evropskega parlamenta in Sveta (27) ter nacionalne pravne akte v zvezi z uradno statistiko.

(68)

Organi javnega sektorja, Komisija, Evropska centralna banka ali organi Unije bi morali pri opravljanju svojih nalog na področju preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali upravnih prekrškov ali izvrševanja kazenskih in upravnih sankcij ter zbiranja podatkov za davčne ali carinske namene ravnati v okviru svojih pooblastil na podlagi prava Unije ali nacionalnega prava. Ta uredba zato ne vpliva na zakonodajne akte za souporabo in uporabo podatkov na teh področjih ter dostop do njih.

(69)

V skladu s členom 6(1) in (3) Uredbe (EU) 2016/679 je potreben sorazmeren, omejen in predvidljiv okvir na ravni Unije pri določanju pravne podlage za to, da bi imetniki podatkov v primeru izjemnih potreb dali podatke na voljo organom javnega sektorja, Komisiji, Evropski centralni banki ali organom Unije, da bi zagotovili pravno varnost in čim bolj zmanjšali upravna bremena za podjetja. Zato bi morale biti zahteve za podatke, ki jih organi javnega sektorja, Komisija, Evropska centralna banka ali organi Unije naslovijo na imetnike podatkov, specifične, pregledne in sorazmerne po obsegu vsebine in podrobnosti. Namen zahteve in nameravana uporaba zahtevanih podatkov bi morala biti specifična in jasno pojasnjena, hkrati pa bi morala biti vlagatelju zahteve omogočena ustrezna prožnost pri izvajanju njegovih posebnih nalog v javnem interesu. Pri zahtevi bi bilo treba upoštevati tudi pravne interese imetnika podatkov, na katerega je zahteva naslovljena. Breme imetnikov podatkov bi bilo treba čim bolj zmanjšati tako, da bi vlagateljem zahteve naložili obveznost, da spoštujejo načelo „samo enkrat“, ki preprečuje, da bi iste podatke več kot enkrat zahteval več kot en organ javnega sektorja ali Komisija, Evropska centralna banka ali organi Unije. Zaradi preglednosti bi moral v primeru zahtev za podatke, ki jih vloži Komisija, Evropska centralna banka ali organi Unije, vlagatelj zahteve za podatke to zahtevo javno objaviti brez nepotrebnega odlašanja. Evropska centralna banka in organi Unije bi morali Komisijo obvestiti o svojih zahtevah. Če je zahtevo vložil organ javnega sektorja, bi moral ta organ uradno obvestiti tudi koordinatorja podatkov države članice, v kateri ima organ javnega sektorja sedež. Zagotoviti bi bilo treba, da so vse zahteve javno dostopne na spletu. Pristojni organ se lahko po prejemu uradnega obvestila o zahtevi za podatke odloči, da bo ocenil zakonitost zahteve in opravi svoje naloge v zvezi z izvrševanjem in uporabo te uredbe. Koordinator podatkov bi moral zagotoviti, da so vse zahteve, ki jih napravijo organi javnega sektorja, javno dostopne na spletu.

(70)

Cilj obveznosti zagotavljanja podatkov je poskrbeti, da bodo imeli organi javnega sektorja, Komisija, Evropska centralna banka ali organi Unije potrebno znanje za odzivanje na splošne nevarnosti, njihovo preprečevanje ali okrevanje po njih ali za ohranjanje zmogljivosti za izpolnjevanje posebnih nalog, ki so izrecno določene na podlagi prava. Podatki, ki jih pridobijo ti subjekti, bi lahko bili poslovno občutljivi. Zato se za podatke, ki se dajo na voljo na podlagi te uredbe, ne bi smeli uporabljati niti Uredba (EU) 2022/868 niti Direktiva (EU) 2019/1024 Evropskega parlamenta in Sveta (28) in se ne bi smeli šteti za odprte podatke, ki so na voljo tretjim osebam za ponovno uporabo. To pa ne bi smelo vplivati na uporabo Direktive (EU) 2019/1024 za ponovno uporabo uradnih statističnih podatkov, za pripravo katerih so bili uporabljeni podatki, pridobljeni na podlagi te uredbe, če ponovna uporaba ne vključuje osnovnih podatkov. Poleg tega, če so izpolnjeni pogoji iz te uredbe, to ne bi smelo vplivati na možnost souporabe podatkov za izvajanje raziskav ali za razvoj, pripravo in razširjanje uradne statistike. Organom javnega sektorja bi bilo treba dovoliti tudi izmenjavo podatkov, pridobljenih na podlagi te uredbe, z drugimi organi javnega sektorja, Komisijo, Evropsko centralno banko ali organi Unije, in sicer za zadovoljitev izjemnih potreb, za katere so bili podatki zahtevani.

(71)

Imetniki podatkov bi morali imeti možnost, da zavrnejo zahtevo organa javnega sektorja, Komisije, Evropske centralne banke ali organa Unije ali da zahtevajo njeno spremembo brez nepotrebnega odlašanja in v vsakem primeru najpozneje v roku petih ali 30 delovnih dneh, odvisno od narave izjemne potrebe, navedene v zahtevi. Imetnik podatkov bi moral imeti to možnost, kadar je ustrezno, če nima nadzora nad zahtevanimi podatki, in sicer kadar nima takojšnjega dostopa do podatkov in ne more določiti njihove razpoložljivosti. Obstajati bi moral veljavni razlog, da se podatki ne dajo na voljo, če je mogoče dokazati, da je zahteva podobna zahtevi za isti namen, ki jo je predhodno vložil drug organ javnega sektorja ali Komisija, Evropska centralna banka ali organ Unije, in imetnik podatkov ni bil uradno obveščen o izbrisu podatkov na podlagi te uredbe. Imetnik podatkov, ki zahtevo zavrne ali zaprosi za njeno spremembo, bi moral organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije, ki vlaga zahtevo za podatke, sporočiti utemeljitev. Kadar se v zvezi z zahtevanimi nabori podatkov uporabljajo pravice sui generis za podatkovne baze iz Direktive 96/9/ES Evropskega parlamenta in Sveta (29), bi moral imetnik podatkov svoje pravice uveljavljati na način, ki organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije ne preprečuje pridobitve podatkov ali njihove souporabe v skladu s to uredbo.

(72)

V primeru izjemne potrebe, povezane z odzivom na splošno nevarnost, bi morali organi javnega sektorja, kadar je to mogoče, uporabljati neosebne podatke. V primeru zahtev na podlagi izjemne potrebe, ki ni povezana s splošno nevarnostjo, se osebnih podatkov ne sme zahtevati. Kadar so osebni podatki zajeti v zahtevi, bi jih moral imetnik podatkov anonimizirati. Kadar je v podatke, ki se dajejo na voljo organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije, nujno vključiti osebne podatke ali če se izkaže, da anonimizacija ni možna, bi moral subjekt, ki vlaga zahtevo za podatke, dokazati, da je zahteva nujno potrebna in da se bodo podatki obdelovali za posebne in omejene namene. Spoštovati bi bilo treba veljavna pravila o varstvu osebnih podatkov. Dajanje podatkov na voljo in njihovo nadaljnjo uporabo bi morali spremljati zaščitni ukrepi za pravice in interese posameznikov, ki jih ti podatki zadevajo.

(73)

Podatki, ki se organom javnega sektorja, Komisiji, Evropski centralni banki ali organom Unije dajo na voljo na podlagi izjemne potrebe, bi se morali uporabljati samo za namene, za katere so bili zahtevani, razen če se imetnik podatkov, ki jih je dal na voljo, izrecno strinja, da se uporabijo za druge namene. Ko podatki niso več potrebni za namene, navedene v zahtevi, bi jih bilo treba izbrisati, razen če je dogovorjeno drugače, in o tem obvestiti imetnika podatkov. Ta uredba temelji na obstoječih ureditvah dostopa v Uniji in državah članicah ter ne spreminja nacionalnega prava za dostop javnosti do dokumentov v okviru obveznosti glede preglednosti. Podatke bi bilo treba izbrisati, ko niso več potrebni za izpolnjevanje teh obveznosti glede preglednosti.

(74)

Pri ponovni uporabi podatkov, ki jih zagotovijo imetniki podatkov, bi morali organi javnega sektorja, Komisija, Evropska centralna banka ali organi Unije spoštovati tako obstoječo pravo Unije ali nacionalno pravo, ki se uporablja, kot tudi pogodbene obveznosti, ki veljajo za imetnika podatkov. Vzdržati bi se morali razvoja ali izboljšanja povezanega izdelka ali povezane storitve, ki konkurira povezanemu izdelku ali povezani storitvi imetnika podatkov, ter souporabe podatkov s tretjo osebo za te namene. Prav tako bi morali imetnikom podatkov na njihovo zahtevo zagotoviti javno priznanje in biti odgovorni za ohranjanje varnosti prejetih podatkov. Kadar je za izpolnitev namena, za katerega so bili podatki zahtevani, nujno potrebno razkritje poslovnih skrivnosti imetnika podatkov organom javnega sektorja, Komisiji, Evropski centralni banki ali organom Unije, bi bilo treba pred razkritjem podatkov zagotoviti zaupnost takega razkritja.

(75)

Kadar je ogroženo varovanje pomembne javne dobrine, na primer pri odzivanju na splošno nevarnost, se od zadevnega organa javnega sektorja, Komisije, Evropske centralne banke ali organa Unije ne bi smelo pričakovati, da bo podjetjem izplačal nadomestilo za pridobljene podatke. Do splošne nevarnosti pride le redko in uporaba podatkov, ki jih hranijo podjetja, ni potrebna v vsakem takem primeru. Hkrati lahko obveznost zagotavljanja podatkov pomeni znatno breme za mikropodjetja in mala podjetja. Zato bi jim bilo treba dovoliti, da zahtevajo nadomestilo tudi v okviru odziva na splošno nevarnost. Zato ni verjetno, da bi sklicevanje organov javnega sektorja, Komisije, Evropske centralne banke ali organov Unije na to uredbo negativno vplivalo na poslovne dejavnosti imetnikov podatkov. Ker pa bi bili lahko primeri izjemne potrebe, pri katerih ne gre za odziv na splošno nevarnost, pogostejši, bi morali biti imetniki podatkov v takih primerih upravičeni do primernega nadomestila največ v višini tehničnih in organizacijskih stroškov, nastalih pri izpolnjevanju zahteve, in razumne marže, potrebne za dajanje podatkov na voljo organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije. Nadomestilo se ne bi smelo šteti za plačilo za same podatke ali za obvezno. Imetniki podatkov ne bi smeli imeti možnosti zahtevati nadomestila, kadar nacionalno pravo nacionalnim statističnim uradom ali drugim nacionalnim organom, odgovornim za pripravo statistike, preprečuje, da bi imetnikom podatkov izplačevali nadomestila za dajanje podatkov na voljo. Zadevni organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije bi morali imeti možnost izpodbijati raven nadomestila, ki jo zahteva imetnik podatkov, tako da zadevo predloži pristojnemu organu države članice, v kateri ima imetnik podatkov sedež.

(76)

Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije bi moral biti upravičen, da podatke, ki jih je pridobil na podlagi zahteve, da v souporabo drugim subjektom ali osebam, kadar je to potrebno za izvajanje znanstvenoraziskovalnih ali analitičnih dejavnosti, ki jih sam ne more izvajati, pod pogojem da so te dejavnosti združljive z namenom, za katerega so bili podatki zahtevani. O taki souporabi pravočasno obvesti imetnika podatkov. Taki podatki se lahko v enakih okoliščinah dajo v souporabo tudi nacionalnim statističnim uradom in Eurostatu za razvoj, pripravo in razširjanje uradne statistike. Toda take raziskovalne dejavnosti bi morale biti združljive z namenom, za katerega so bili podatki zahtevani, imetnik podatkov pa bi moral biti obveščen o nadaljnjem dajanju podatkov, ki jih je dal na voljo, v souporabo. Posamezniki, ki izvajajo raziskave, ali raziskovalne organizacije, ki se jim ti podatki lahko dajejo v souporabo, bi morali delovati nepridobitno ali v okviru poslanstva javnega interesa, ki ga priznava država. Organizacije, na katere imajo komercialna podjetja znaten vpliv, ki takim podjetjem omogoča izvajanje nadzora zaradi strukturnih razmer in ki bi lahko imel za posledico prednostni dostop do rezultatov raziskav, se za namene te uredbe ne bi smele šteti za raziskovalne organizacije.

(77)

Za obravnavanje čezmejne splošne nevarnosti ali druge izjemne potrebe se lahko zahteve za podatke naslovijo na imetnike podatkov v državah članicah, ki niso država organa javnega sektorja, ki je vložil zahtevo. V takem primeru bi moral organ javnega sektorja, ki je vložil zahtevo, uradno obvestiti pristojni organ države članice, v kateri ima imetnik podatkov sedež, da se mu omogoči preučitev zahteve glede na merila iz te uredbe. Enako bi moralo veljati za zahteve Komisije, Evropske centralne banke ali organa Unije. Kadar se zahtevajo osebni podatki, bi moral organ javnega sektorja o tem uradno obvestiti nadzorni organ, pristojen za spremljanje uporabe Uredbe (EU) 2016/679 v državi članici, v kateri ima organ javnega sektorja sedež. Zadevni pristojni organ bi moral imeti pravico, da organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije svetuje, naj sodeluje z organi javnega sektorja države članice, v kateri ima imetnik podatkov sedež, da bi se zagotovilo čim manjše upravno breme za imetnika podatkov. Če ima pristojni organ utemeljene ugovore glede skladnosti zahteve s to uredbo, bi moral zavrniti zahtevo organa javnega sektorja, Komisije, Evropske centralne banke ali organa Unije, ki bi moral te ugovore upoštevati pred nadaljnjim ukrepanjem, vključno s ponovno predložitvijo zahteve.

(78)

Ključni pogoj za konkurenčnejši trg z manjšimi vstopnimi ovirami za nove ponudnike storitev obdelave podatkov in za zagotavljanje večje odpornosti za uporabnike teh storitev je zmožnost strank storitev obdelave podatkov, vključno s storitvami v oblaku in na robu, da preidejo z ene storitve obdelave podatkov na drugo, obenem pa ohranijo minimalno funkcionalnost storitve brez izpada storitev, ali da hkrati uporabljajo storitve več ponudnikov brez nepotrebnih ovir in stroškov prenosa podatkov. Stranke, ki koristijo brezplačne ponudbe, bi morale imeti koristi tudi od določb o zamenjavi iz te uredbe, tako da zaradi teh ponudb ne postanejo vezane na ponudnika.

(79)

Uredba (EU) 2018/1807 Evropskega parlamenta in Sveta (30) spodbuja ponudnike storitev obdelave podatkov, da pripravijo in učinkovito izvajajo samoregulativne kodekse ravnanja, ki zajemajo dobre prakse, med drugim za olajšanje zamenjave ponudnikov storitev obdelave podatkov in prenosa podatkov. Glede na to, da je izkoriščenost samoregulativnih okvirov, ki so bili razviti v odziv na to, omejena, odprti standardi in vmesniki pa na splošno niso na razpolago, je treba sprejeti sklop minimalnih regulativnih obveznosti za ponudnike storitev obdelave podatkov, da bi odpravili predkomercialne, poslovne, tehnične, pogodbene in organizacijske ovire, ki presegajo zmanjšanje hitrosti prenosa podatkov ob izstopu stranke in ovirajo učinkovito zamenjavo med storitvami obdelave podatkov.

(80)

Storitve obdelave podatkov bi morale zajemati storitve, ki omogočajo vseprisoten omrežni dostop na zahtevo do nastavljivega, prožnega in prilagodljivega skupnega nabora porazdeljenih računalniških virov. Med te računalniške vire spadajo npr. omrežja, strežniki ali druga virtualna ali fizična infrastruktura, programska oprema, vključno z orodji za razvoj programske opreme, shranjevanje, aplikacije in storitve. Za zmožnost stranke storitve obdelave podatkov, da enostransko sama sebi zagotavlja računalniške zmogljivosti, kot sta čas strežnika ali omrežno shranjevanje, brez kakršne koli človeške interakcije ponudnika storitev obdelave podatkov, bi bilo mogoče reči, da zahteva minimalen upravljavski vložek in minimalno interakcijo med ponudnikom in stranko. Izraz „vseprisoten“ se uporablja za opis računalniških zmogljivosti, ki se zagotavljajo preko omrežja, do njih pa se dostopa z mehanizmi, ki spodbujajo uporabo raznolikih platform tankih ali debelih odjemalcev (od spletnih brskalnikov do mobilnih naprav in delovnih postaj). Izraz „prožen“ se nanaša na računalniške vire, ki jih ponudnik storitev obdelave podatkov prilagodljivo dodeljuje, ne glede na geografsko lokacijo virov, da bi se tako lahko odzval na spremembe v povpraševanju. Izraz „prilagodljiv “ opisuje take računalniške vire, ki se zagotavljajo in sproščajo glede na povpraševanje, da bi se število razpoložljivih virov hitro povečalo ali zmanjšalo, odvisno od delovne obremenitve. Izraz „skupni nabor“ opisuje take računalniške vire, ki se zagotavljajo več uporabnikom, ki si delijo isti dostop do storitve, vendar se obdelava za vsakega uporabnika opravi ločeno, čeprav storitev opravlja ista elektronska oprema. Izraz „porazdeljeni“ se uporablja za opis računalniških virov, ki so na različnih omrežnih računalnikih ali napravah ter ki medsebojno komunicirajo in se usklajujejo z izmenjevanjem sporočil. Izraz „zelo porazdeljeni“ se uporablja za opis storitev obdelave podatkov, pri katerih se podatki obdelujejo bližje kraju, na katerem se ustvarjajo ali zbirajo, na primer v povezani napravi za obdelavo podatkov. Z računalništvom na robu, ki je ena od oblik take zelo porazdeljene obdelave podatkov, naj bi nastali novi poslovni modeli in modeli zagotavljanja storitev v oblaku, ki bi morali biti odprti in interoperabilni že od vsega začetka.

(81)

Splošni pojem „storitve obdelave podatkov“ zajema veliko število storitev z zelo širokim naborom različnih namenov, funkcionalnosti in tehničnih ustrojev. Kot običajno razumejo ponudniki in uporabniki ter v skladu s splošno uporabljenimi standardi, storitve obdelave podatkov spadajo v enega ali več od naslednjih treh modelov zagotavljanja storitev obdelave podatkov, in sicer infrastruktura kot storitev (IaaS), platforma kot storitev (PaaS) in programska oprema kot storitev (SaaS). Ti modeli zagotavljanja storitev predstavljajo vnaprej pripravljeno posebno kombinacijo virov IKT, ki jih ponuja ponudnik storitev obdelave podatkov. Ti trije osnovni modeli zagotavljanja storitev obdelave podatkov so dopolnjeni z nastajajočimi različicami, vsak od njih pa je sestavljen iz posebne kombinacije virov IKT, kot sta shranjevanje kot storitev in podatkovna baza kot storitev. Storitve obdelave podatkov se lahko bolj razčlenjeno razvrstijo in razdelijo v neizčrpen seznam nizov storitev obdelave podatkov, ki imajo isti primarni cilj in glavne funkcionalnosti ter isto vrsto modelov obdelave podatkov, ki niso povezani z operativnimi značilnostmi storitve (ista vrsta storitve). Storitve, ki spadajo pod isto vrsto storitve, imajo lahko isti model zagotavljanja storitev obdelave podatkov, vendar se lahko zdi, da imata dve podatkovni zbirki isti primarni cilj, po preučitvi njunega modela obdelave podatkov, modela distribucije in primerov uporabe, ki sta jim namenjeni, pa bi taki podatkovni zbirki spadali v bolj razčlenjeno podkategorijo podobnih storitev. Storitve iste vrste imajo lahko različne in konkurenčne značilnosti, kot so uspešnost, varnost, odpornost in kakovost storitev.

(82)

Ogrožanje izvlečenja podatkov, ki jih je mogoče izvoziti in ki pripadajo stranki, od izvornega ponudnika storitev obdelave podatkov lahko ovira ponovno vzpostavitev funkcionalnosti storitve v infrastrukturi ciljnega ponudnika storitev obdelave podatkov. Da bi olajšali izhodno strategijo stranke, se izognili nepotrebnim in obremenjujočim nalogam ter zagotovili, da stranka zaradi postopka zamenjave ne izgubi nobenih podatkov, izvorni ponudnik storitev obdelave podatkov stranko vnaprej obvesti o obsegu podatkov, ki se lahko izvozijo, ko se zadevna stranka odloči za prehod na drugačno storitev, ki jo ponuja drugi ponudnik storitev obdelave podatkov, ali za prehod na lokalno infrastrukturo IKT. Obseg podatkov, ki jih je mogoče izvoziti, bi moral vključevati vsaj vhodne in izhodne podatke, vključno z metapodatki, ki jih stranka neposredno ali posredno ustvari ali soustvari z uporabo storitve obdelave podatkov, razen sredstev ali podatkov ponudnika storitev obdelave podatkov ali tretje osebe. Podatki, ki jih je mogoče izvoziti, ne bi smeli vključevati sredstev ali podatkov ponudnika storitev obdelave podatkov ali tretje osebe, ki so zaščiteni s pravicami intelektualne lastnine ali pomenijo poslovne skrivnosti tega ponudnika ali te tretje osebe, ali podatkov tretje osebe, povezanih s celovitostjo in varnostjo storitve, katerih izvoz bo ponudnika storitev obdelave podatkov izpostavil ranljivosti v zvezi s kibernetsko varnostjo. Te izjeme ne bi smele ovirati ali podaljševati postopka zamenjave.

(83)

Digitalna sredstva se nanašajo na elemente v digitalni obliki, v zvezi s katerimi ima stranka pravico do uporabe, vključno z aplikacijami in metapodatki, povezanimi s konfiguracijo nastavitev, varnostjo, upravljanjem pravic dostopa in nadzora, ter na druge elemente, kot so oblike tehnologij virtualizacije, vključno z virtualnimi stroji in vsebniki. Digitalna sredstva se lahko prenesejo, če ima stranka pravico do uporabe neodvisno od pogodbenega razmerja s storitvijo obdelave podatkov, ki jo namerava zamenjati. Ti drugi elementi so bistveni za učinkovito uporabo podatkov in aplikacij stranke v okolju ciljnega ponudnika storitev obdelave podatkov.

(84)

Cilj te uredbe je olajšati zamenjavo storitev obdelave podatkov, kar zajema pogoje in dejavnosti, ki so potrebni za to, da lahko stranka odpove pogodbo o storitvi obdelave podatkov, sklene eno ali več novih pogodb z drugimi ponudniki storitev obdelave podatkov, prenese svoje podatke, ki jih je mogoče izvoziti, in digitalna sredstva ter ima korist od funkcionalne enakovrednosti, kadar je to ustrezno.

(85)

Zamenjava je storitev, ki je usmerjena na stranke in je sestavljena iz več korakov, vključno z izvlečenjem podatkov, kar se nanaša na prenos podatkov iz ekosistema izvornega ponudnika storitev obdelave podatkov, preoblikovanjem, kadar so podatki strukturirani tako, da ne ustrezajo shemi ciljne lokacije, in nalaganjem podatkov v novo ciljno lokacijo. V posebnih okoliščinah, opisanih v tej uredbi, bi se ločevanje posamezne storitve od pogodbe in njena premestitev k drugemu ponudniku prav tako morala šteti za zamenjavo. Postopek zamenjave včasih v imenu stranke upravlja tretji subjekt. V skladu s tem bi bilo treba vse pravice in obveznosti stranke, določene s to uredbo, vključno z obveznostjo sodelovanja v dobri veri, razumeti tako, da se v teh okoliščinah uporabljajo za tak tretji subjekt. Ponudniki storitev obdelave podatkov in stranke imajo različne stopnje odgovornosti, odvisno od tega, za kateri korak postopka gre. Izvorni ponudnik storitev obdelave podatkov je na primer odgovoren za izvlečenje podatkov v strojno berljivi obliki, vendar morata podatke v novo okolje naložiti stranka in ciljni ponudnik storitev obdelave podatkov, razen če je bila pridobljena posebna strokovna storitev za izvedbo prehoda. Stranka, ki namerava uveljavljati pravice v zvezi z zamenjavo iz te uredbe, bi morala izvornega ponudnika storitev obdelave podatkov obvestiti o odločitvi za zamenjavo ponudnika storitev obdelave podatkov, prehod na lokalno infrastrukturo IKT ali izbris sredstev in izbris podatkov, ki jih je mogoče izvoziti, te stranke.

(86)

Funkcionalna enakovrednost pomeni ponovno vzpostavitev – na podlagi podatkov, ki jih je mogoče izvoziti, in digitalnih sredstev stranke – minimalne ravni funkcionalnosti v okolju nove storitve obdelave podatkov po zamenjavi, kadar ciljna storitev obdelave podatkov zagotavlja materialno primerljiv rezultat kot odziv na isti vložek za skupne funkcije, ki se stranki zagotavljajo v skladu s pogodbo. Od ponudnikov storitev obdelave podatkov se lahko pričakuje, da omogočijo funkcionalno enakovrednost le za funkcije, ki jih neodvisno ponujajo izvorne in ciljne storitve obdelave podatkov. Ta uredba ne pomeni obveznosti omogočanja funkcionalne enakovrednosti za ponudnike storitev obdelave podatkov, ki ne ponujajo storitve modela zagotavljanja infrastrukture kot storitev.

(87)

Storitve obdelave podatkov se uporabljajo v vseh sektorjih in se razlikujejo glede na zapletenost in vrsto storitev. To je pomemben vidik v zvezi s postopkom prenosa in časovnimi okviri. Kljub temu bi se bilo treba sklicevati na podaljšanje prehodnega obdobja zaradi tehnične neizvedljivosti, da se omogoči dokončanje postopka zamenjave v danem časovnem okviru, le v ustrezno utemeljenih primerih. Dokazno breme v zvezi s tem bi moral v celoti nositi ponudnik zadevne storitve obdelave podatkov. To ne posega v izključno pravico stranke, da enkrat podaljša prehodno obdobje za obdobje, za katero stranka meni, da je primernejše za lastne namene. Stranka lahko uveljavlja to pravico do podaljšanja pred prehodnim obdobjem ali med njim, pri čemer upošteva, da se pogodba še naprej uporablja v prehodnem obdobju.

(88)

Povračila za zamenjavo so povračila, ki jih ponudniki storitev obdelave podatkov zaračunajo strankam za postopek zamenjave. Običajno je namen teh povračil, da se stroški, ki jih lahko ima izvorni ponudnik storitev obdelave podatkov zaradi postopka zamenjave, prenesejo na stranko, ki želi izvesti zamenjavo. Primeri običajnih povračil za zamenjavo so stroški, povezani s prenosom podatkov z enega ponudnika na drugega ali v lokalno infrastrukturo IKT (povračila za prenos podatkov), ali stroški, nastali zaradi posebnih podpornih ukrepov v postopku zamenjave. Nepotrebno visoka povračila za prenos podatkov in druga neupravičena povračila, ki niso povezana z dejanskimi stroški zamenjave, ovirajo stranke pri zamenjavi, omejujejo prost pretok podatkov, lahko omejijo konkurenco in povzročijo učinek vezanosti za stranke, saj zmanjšajo spodbude za izbiro drugega ali dodatnega ponudnika storitev. Povračila za zamenjavo bi bilo zato treba odpraviti tri leta od datuma začetka veljavnosti te uredbe. Ponudniki storitev obdelave podatkov bi morali imeti možnost, da do tega datuma naložijo znižana povračila za zamenjavo.

(89)

Izvorni ponudnik storitev obdelave podatkov bi moral imeti možnost, da nekatere naloge odda v zunanje izvajanje in plača nadomestilo tretjim subjektom, da izpolni obveznosti iz te uredbe. Stranka ne bi smela nositi stroškov, ki nastanejo zaradi zunanjega izvajanja storitev, ki jih sklene izvorni ponudnik storitev obdelave podatkov med postopkom zamenjave, in taki stroški bi se morali šteti za neupravičene, razen če zajemajo delo, ki ga opravi ponudnik storitev obdelave podatkov na zahtevo stranke za dodatno podporo v postopku, ki presega obveznosti ponudnika glede zamenjave, kot je izrecno določeno v tej uredbi. Nič v tej uredbi ne preprečuje, da bi stranka tretjim subjektom plačala nadomestilo za podporo v procesu prehoda ali da bi se strani dogovorile o pogodbah za storitve obdelave podatkov za določen čas, vključno s sorazmernimi kaznimi za predčasno odpoved, ki bi krile predčasno odpoved takih pogodb, v skladu s pravom Unije ali nacionalnim pravom. Da bi spodbudili konkurenco, bi morala postopna odprava povračil, povezanih z zamenjavo ponudnikov storitev obdelave podatkov, izrecno vključevati povračila za prenos podatkov, ki jih ponudnik storitev obdelave podatkov naloži stranki. Standardne storitvene pristojbine za opravljanje storitev obdelave podatkov same po sebi niso povračila za zamenjavo ponudnika. Te standardne pristojbine za storitve se ne odpravijo in se uporabljajo, dokler pogodba o opravljanju zadevnih storitev ne preneha veljati. Ta uredba stranki omogoča, da zahteva zagotavljanje dodatnih storitev, ki presegajo obveznosti ponudnika glede zamenjave na podlagi te uredbe. Te dodatne storitve lahko ponudnik opravi in zaračuna, če se opravijo na zahtevo stranke in se stranka vnaprej strinja s ceno teh storitev.

(90)

Potreben je ambiciozen regulativni pristop k interoperabilnosti, ki bo spodbujal inovacije, da bi presegli vezanost na ponudnika, ki ogroža konkurenco in razvoj novih storitev. Interoperabilnost med storitvami obdelave podatkov vključuje več vmesnikov in plasti infrastrukture in programske opreme ter je redko omejena na binarni preskus, ali jo je mogoče doseči ali ne. Namesto tega se pri vzpostavitvi take interoperabilnosti opravi analiza stroškov in koristi, ki je potrebna, da bi ugotovili, ali si je smiselno prizadevati za razumno predvidljive rezultate. Standard ISO/IEC 19941:2017 je pomemben mednarodni standard, ki predstavlja referenco za doseganje ciljev te uredbe, saj vsebuje tehnične vidike, ki pojasnjujejo zapletenost takega postopka.

(91)

Kadar so ponudniki storitev obdelave podatkov hkrati stranke storitev obdelave podatkov, ki jih opravlja tretji ponudnik, bodo imeli tudi sami koristi od učinkovitejše zamenjave, obenem pa jih bodo obveznosti iz te uredbe še vedno zavezovale v zvezi z njihovo lastno ponudbo storitev.

(92)

Od ponudnikov storitev obdelave podatkov bi bilo treba zahtevati, da v okviru svojih zmogljivosti, sorazmerno s svojimi obveznostmi nudijo vso pomoč in podporo, ki sta potrebni za uspešen, učinkovit in varen postopek zamenjave na storitve drugega ponudnika storitev obdelave podatkov. Ta uredba od ponudnikov storitev obdelave podatkov ne zahteva, da morajo oblikovati nove kategorije storitev obdelave podatkov, tudi znotraj ali na podlagi infrastrukture IKT drugih ponudnikov storitev obdelave podatkov, da bi zagotovili funkcionalno enakovrednost v okolju, ki ni njihov sistem. Izvorni ponudnik storitev obdelave podatkov nima dostopa ali vpogleda v okolje ciljnega ponudnika storitev obdelave podatkov. Funkcionalna enakovrednost se ne bi smela razumeti kot obveznost izvornega ponudnika storitev obdelave podatkov, da obnovi zadevno storitev znotraj infrastrukture ciljnega ponudnika storitev obdelave podatkov. Namesto tega bi moral izvorni ponudnik storitev obdelave podatkov sprejeti vse razumne ukrepe, ki so v njegovi moči, da olajša proces doseganja funkcionalne enakovrednosti z zagotavljanjem zmogljivosti, ustreznih informacij, dokumentacije, tehnične podpore in po potrebi nujnih orodij.

(93)

Od ponudnikov storitev obdelave podatkov bi bilo treba zahtevati tudi, da odpravijo obstoječe ovire in ne uvedejo novih, tudi za tiste stranke ne, ki želijo preiti na lokalno infrastrukturo IKT. Ovire so lahko med drugim predkomercialne, poslovne, tehnične, pogodbene ali organizacijske narave. Od ponudnikov storitev obdelave podatkov bi bilo treba poleg tega zahtevati, da odpravijo ovire za ločevanje določene posamezne storitve od drugih storitev obdelave podatkov, ki se zagotavljajo na podlagi pogodbe, in omogočijo, da je zadevna storitev na voljo za zamenjavo, če ni večjih in dokazanih tehničnih ovir, ki preprečujejo tako ločevanje.

(94)

Med postopkom zamenjave bi bilo treba ohraniti visoko raven varnosti. To pomeni, da bi moral izvorni ponudnik storitev obdelave podatkov razširiti raven varnosti, h kateri se je zavezal v zvezi s storitvijo, na vse tehnične ureditve, za katere je tak ponudnik odgovoren med postopkom zamenjave, kot so omrežne povezave ali fizične naprave. To ne bi smelo posegati v obstoječe pravice v zvezi z odpovedjo pogodb, tudi tiste ne, ki so bile uvedene z Uredbo (EU) 2016/679 in Direktivo (EU) 2019/770 Evropskega parlamenta in Sveta (31). Ta uredba se ne bi smela razumeti, kot da ponudniku storitev obdelave podatkov preprečuje opravljanje novih in izboljšanih storitev, funkcij in funkcionalnosti strankam ali konkuriranje z drugimi ponudniki storitev obdelave podatkov na tej podlagi.

(95)

Informacije, ki jih ponudniki storitev obdelave podatkov zagotovijo stranki, bi lahko podprle izhodno strategijo stranke. Te informacije bi morale vključevati postopke za začetek zamenjave s storitve obdelave podatkov; strojno berljive oblike zapisa podatkov, v katere se lahko podatki stranke izvozijo; orodja, namenjena izvozu podatkov, vključno z odprtimi vmesniki ter informacijami o združljivosti s harmoniziranimi standardi ali skupnimi specifikacijami na podlagi odprtih specifikacij za interoperabilnost; informacije o znanih tehničnih omejitvah in omejitvah, ki bi lahko vplivale na postopek zamenjave, ter predvideni čas, potreben za dokončanje postopka zamenjave.

(96)

Za olajšanje interoperabilnosti in zamenjave med storitvami obdelave podatkov bi morali uporabniki in ponudniki storitev obdelave podatkov razmisliti o uporabi orodij za izvajanje in skladnost, zlasti tistih, ki jih objavi Komisija v obliki pravilnika EU o oblaku in smernic o javnem naročanju storitev obdelave podatkov. Standardne pogodbene klavzule so koristne zlasti za povečanje zaupanja v storitve obdelave podatkov, vzpostavitev bolj uravnoteženega odnosa med uporabniki in ponudniki storitev obdelave podatkov ter boljšo pravno varnost glede pogojev, ki se uporabljajo za zamenjavo na druge storitve obdelave podatkov. V zvezi s tem bi morali uporabniki in ponudniki storitev obdelave podatkov razmisliti o uporabi standardnih pogodbenih klavzul ali drugih samoregulativnih orodij za skladnost, če v celoti izpolnjujejo zahteve te uredbe, ki jih pripravijo ustrezni organi ali strokovne skupine, ustanovljene na podlagi prava Unije.

(97)

Da bi olajšali zamenjave med storitvami obdelave podatkov, bi morale vse udeležene strani, vključno z izvornimi in ciljnimi ponudniki storitev obdelave podatkov, sodelovati v dobri veri, da bi bil postopek zamenjave učinkovit, omogočal varen in pravočasen prenos potrebnih podatkov v splošno uporabljani, strojno berljivi obliki in prek odprtih vmesnikov, pri čemer bi se bilo treba izogibati motnjam v storitvah in ohranjati neprekinjenost storitve.

(98)

Storitve obdelave podatkov, ki se nanašajo na storitve, katerih večina glavnih funkcij je bila oblikovana po meri za prilagoditev posebnim zahtevam posamezne stranke ali pri katerih so bili vsi sestavni deli razviti za namene posamezne stranke, bi morale biti izvzete iz nekaterih obveznosti, ki se uporabljajo za zamenjavo storitev obdelave podatkov. To ne bi smelo vključevati storitev, ki jih ponudnik storitev obdelave podatkov ponuja v širokem komercialnem obsegu prek svojega kataloga storitev. Ena od obveznosti ponudnika storitev obdelave podatkov je, da potencialne stranke teh storitev pred sklenitvijo pogodbe ustrezno obvesti o obveznostih iz te uredbe, ki se ne uporabljajo za zadevne storitve. Ponudniku storitev obdelave podatkov nič ne preprečuje, da sčasoma uvede take storitve v velikem obsegu, v tem primeru pa bi moral ta ponudnik izpolnjevati vse obveznosti glede zamenjave iz te uredbe.

(99)

V skladu z minimalno zahtevo, da se omogoči zamenjava ponudnikov storitev obdelave podatkov, je cilj te uredbe tudi izboljšati interoperabilnost za vzporedno uporabo več storitev obdelave podatkov z dopolnilnimi funkcionalnostmi. To se nanaša na primere, v katerih stranke ne odpovejo pogodbe, da zamenjajo ponudnika storitev obdelave podatkov, temveč se vzporedno in interoperabilno uporablja več storitev različnih ponudnikov, da bi se izkoristile dopolnilne funkcionalnosti različnih storitev v sistemskem ustroju stranke. Vendar se priznava, da je v nasprotju z enkratnim prenosom, ki se zahteva v okviru postopka zamenjave, prenos podatkov od enega ponudnika storitev obdelave podatkov na drugega, da bi se olajšala vzporedna uporaba storitev, lahko trajna dejavnost. Ponudniki storitev obdelave podatkov bi zato morali imeti možnost, da po treh letih od datuma začetka veljavnosti te uredbe še naprej zaračunavajo povračila za prenos podatkov za namene vzporedne uporabe, ki ne presegajo nastalih stroškov. To je med drugim pomembno za uspešno uvedbo večoblačnih strategij, ki strankam omogočajo uresničevanje strategij za IKT, ki bodo kos izzivom prihodnosti, in zmanjšujejo odvisnost od posameznih ponudnikov storitev obdelave podatkov. Spodbujanje večoblačnega pristopa za stranke storitev obdelave podatkov lahko prispeva tudi k njihovi večji digitalni operativni odpornosti, kot je bilo ugotovljeno za institucije za finančne storitve v Uredbi (EU) 2022/2554 Evropskega parlamenta in Sveta (32).

(100)

Odprte specifikacije in standardi za interoperabilnost, pripravljeni v skladu s Prilogo II k Uredbi (EU) št. 1025/2012 Evropskega parlamenta in Sveta (33) na področju interoperabilnosti in prenosljivosti, naj bi omogočali okolje oblaka z več ponudniki, ki je ključen pogoj za odprte inovacije v evropskem podatkovnem gospodarstvu. Zaradi omejenega tržnega sprejemanja opredeljenih standardov v okviru pobude za usklajevanje standardizacije računalništva v oblaku (CSC), ki je bila zaključena leta 2016, se mora Komisija zanašati tudi na strani na trgu, da razvijejo ustrezne odprte specifikacije za interoperabilnost, da bi lahko sledili hitremu tehnološkemu razvoju v tej industriji. Take odprte specifikacije za interoperabilnost lahko nato Komisija sprejme v obliki skupnih specifikacij. Kadar se izkaže, da s tržno usmerjenimi postopki ni mogoče pripraviti skupnih specifikacij ali standardov, ki bi omogočali učinkovito interoperabilnost v oblaku na ravneh platforme kot storitev in programske opreme kot storitev, bi morala Komisija imeti prav tako možnost, da na podlagi te uredbe in v skladu z Uredbo (EU) št. 1025/2012 od evropskih organov za standardizacijo zahteva, da pripravijo take standarde za posamezne vrste storitev, kadar taki standardi še ne obstajajo. Poleg tega bo Komisija spodbujala strani na trgu, da pripravijo ustrezne odprte specifikacije za interoperabilnost. Komisija bi morala imeti možnost, da po posvetovanju z deležniki za posamezne vrste storitev z izvedbenimi akti določi uporabo harmoniziranih standardov za interoperabilnost ali skupnih specifikacij za posebne vrste storitev s sklicem v centralnem odložišču Unije za standarde za interoperabilnost storitev obdelave podatkov. Ponudniki storitev obdelave podatkov bi morali zagotoviti skladnost s temi harmoniziranimi standardi in skupnimi specifikacijami, ki temeljijo na odprtih specifikacijah za interoperabilnost, in ne bi smeli negativno vplivati na varnost ali celovitost podatkov. Sklicevanje na harmonizirane standarde za interoperabilnost storitev obdelave podatkov in skupne specifikacije, ki temeljijo na odprtih specifikacijah za interoperabilnost se bo uporabljalo le, če bodo v skladu z merili iz te uredbe, ki imajo enak pomen kot zahteve iz Priloge II k Uredbi (EU) št. 1025/2012 in vidiki interoperabilnosti, opredeljeni v mednarodnem standardu ISO/IEC 19941:2017. Pri standardizaciji bi se morale poleg tega upoštevati potrebe MSP.

(101)

Tretje države lahko sprejmejo zakone, predpise in druge pravne akte, katerih namen je neposreden prenos neosebnih podatkov, ki se nahajajo zunaj njihovih meja, tudi v Uniji, ali zagotavljanje vladnega dostopa do njih. Sodbe sodišč ali odločbe drugih pravosodnih ali upravnih organov, vključno z organi preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, v tretjih državah, ki zaprosijo za tak prenos neosebnih podatkov ali dostop do njih, bi morale biti izvršljive, kadar temeljijo na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo ali državo članico. V drugih primerih se lahko zgodi, da je zahteva za prenos neosebnih podatkov ali zagotovitev dostopa do njih, ki izhaja iz prava tretje države, v nasprotju z obveznostjo varstva takih podatkov na podlagi prava Unije ali na podlagi nacionalnega prava zadevne države članice, zlasti v zvezi z varstvom temeljnih pravic posameznika, kot sta pravica do varnosti in pravica do učinkovitega pravnega sredstva, ali temeljnimi interesi države članice v zvezi z nacionalno varnostjo ali obrambo, varstvom poslovno občutljivih podatkov, vključno z varstvom poslovnih skrivnosti, varstvom pravic intelektualne lastnine, vključno s pogodbenimi obveznostmi glede zaupnosti v skladu s takim pravom. Če ne obstajajo mednarodni sporazumi, ki bi urejali take zadeve, bi smel biti prenos neosebnih podatkov ali dostop do njih dovoljen samo, če je potrjeno, da pravni sistem tretje države zahteva navedbo razlogov in sorazmernosti odločbe, da je sodna odločba po naravi konkretna, utemeljeni ugovor naslovnika pa pregleda pristojno sodišče tretje države, ki ima možnost ustreznega upoštevanja zadevnih pravnih interesov ponudnika takih podatkov. Kadar je to mogoče v okviru pogojev iz zahteve za dostop do podatkov, ki ga vloži organ tretje države, bi moral ponudnik storitev obdelave podatkov imeti možnost, da pred odobritvijo dostopa do teh podatkov obvesti stranko, katere podatki so predmet zahteve, da bi preveril obstoj morebitnega neskladja takega dostopa s pravom Unije ali nacionalnim pravom, kot so predpisi o varstvu poslovno občutljivih podatkov, vključno z varstvom poslovnih skrivnosti in pravic intelektualne lastnine, ter pogodbenimi obveznostmi glede zaupnosti.

(102)

Da bi spodbudili nadaljnje zaupanje v podatke, je pomembno, da se v največji možni meri izvajajo zaščitni ukrepi za zagotovitev nadzora nad njihovimi podatki s strani državljanov Unije, organov javnega sektorja in podjetij. Poleg tega bi bilo treba spoštovati pravo, vrednote in standarde Unije, med drugim varnost, varstvo podatkov in zasebnost ter varstvo potrošnikov. Da bi organom tretjih držav preprečili nezakonit vladni dostop do neosebnih podatkov, bi morali ponudniki storitev obdelave podatkov, za katere se uporablja ta uredba, kot so storitve v oblaku in storitve na robu, sprejeti vse razumne ukrepe za preprečitev dostopa do sistemov, v katerih se shranjujejo neosebni podatki, po potrebi tudi s šifriranjem podatkov, pogostimi revizijami, preverjenim upoštevanjem ustreznih shem certificiranja za varnostna zagotovila in spremembo poslovnih politik.

(103)

Standardizacija in semantična interoperabilnost bi morala imeti ključno vlogo pri zagotavljanju tehničnih rešitev za zagotavljanje interoperabilnosti znotraj skupnih evropskih podatkovnih prostorov in med njimi, ki so interoperabilni okviri za skupne standarde in prakse, ki se uporabljajo za specifičen namen, sektor ali za več sektorjev, in ki imajo namen dajanja v souporabo ali skupno obdelavo podatke, med drugim za razvoj novih izdelkov in storitev, znanstvene raziskave ali pobude civilne družbe. Ta uredba določa nekatere bistvene zahteve za interoperabilnost. Udeleženci v podatkovnih prostorih, ki ponujajo podatke ali podatkovne storitve drugim udeležencem, ki so subjekti, ki omogočajo souporabo podatkov znotraj skupnih evropskih podatkovnih prostorov ali pri njej sodelujejo, vključno z imetniki podatkov, bi morali izpolnjevati te zahteve, kar zadeva elemente pod njihovim nadzorom. Skladnost s temi pravili se lahko zagotovi z upoštevanjem bistvenih zahtev, predpisanih v tej uredbi, oziroma se predpostavlja, če so izpolnjevani harmonizirani standardi ali skupne specifikacije na podlagi domneve o skladnosti. Za lažje izpolnjevanje zahtev glede interoperabilnosti je treba določiti domnevo o skladnosti za interoperabilnostne rešitve, ki izpolnjujejo harmonizirane standarde ali njihove dele v skladu z Uredbo (EU) št. 1025/2012, ki predstavlja vnaprej določen okvir za pripravo standardov, s katerimi se določajo take domneve. Komisija bi morala oceniti ovire za interoperabilnost in prednostno obravnavati potrebe po standardizaciji, na podlagi katerih lahko od ene ali več evropskih organizacij za standardizacijo na podlagi Uredbe (EU) št. 1025/2012 zahteva pripravo harmoniziranih standardov, ki izpolnjujejo bistvene zahteve iz te uredbe. Kadar take zahteve ne privedejo do harmoniziranih standardov ali če taki harmonizirani standardi ne zadostujejo za zagotovitev skladnosti z bistvenimi zahtevami iz te uredbe, bi bilo treba Komisiji omogočiti, da sprejme skupne specifikacije na teh področjih, pod pogojem da pri tem ustrezno upošteva vlogo in funkcije organizacij za standardizacijo. Skupna specifikacija bi morala biti sprejeta le kot izjemna nadomestna rešitev za olajšanje izpolnjevanja bistvenih zahtev iz te uredbe, ali kadar je postopek standardizacije blokiran ali kadar pride do zamud pri določanju ustreznih harmoniziranih standardov. Kadar je razlog za tako zamudo tehnična zapletenost zadevnega standarda, bi Komisija to morala upoštevati pred razmislekom o določitvi skupnih specifikacij. Skupne specifikacije bi bilo treba pripraviti na odprt in vključujoč način ter pri tem po potrebi upoštevati nasvet Evropskega odbora za podatkovne inovacije (EDIB) ustanovljenega na podlagi Uredbe (EU) 2022/868. Prav tako bi se lahko v skladu s pravom Unije ali nacionalnim pravom sprejemale skupne specifikacije v različnih sektorjih na podlagi posebnih potreb teh sektorjev. Poleg tega bi bilo treba Komisiji omogočiti, da odredi pripravo harmoniziranih standardov za interoperabilnost storitev obdelave podatkov.

(104)

Za spodbujanje interoperabilnosti orodij za samodejno izvajanje sporazumov o souporabi podatkov je treba določiti bistvene zahteve za pametne pogodbe, ki jih strokovnjaki pripravljajo za druge ali jih vključujejo v aplikacije, ki podpirajo izvajanje sporazumov o souporabi podatkov. Za lažje doseganje skladnosti takih pametnih pogodb s temi bistvenimi zahtevami je treba določiti domnevo o skladnosti pametnih pogodb, ki izpolnjujejo harmonizirane standarde ali njihove dele v skladu z Uredbo (EU) št. 1025/2012. Pojem „pametna pogodba“ v tej uredbi je tehnološko nevtralen. Pametne pogodbe se lahko na primer povežejo z elektronsko evidenco. Bistvene zahteve bi se morale uporabljati samo za prodajalce pametnih pogodb, vendar ne v primeru, ko pametne pogodbe pripravljajo interno in izključno za notranjo uporabo. V bistveni zahtevi za zagotovitev, da se pametne pogodbe lahko prekinejo in ustavijo, je zajeto medsebojno soglasje pogodbenic sporazuma o souporabi podatkov. Uporaba pametnih pogodb za samodejno izvajanje teh sporazumov ne vpliva oziroma ne bi smela vplivati na uporabo ustreznih pravil civilnega in pogodbenega prava ter prava o varstvu potrošnikov za take sporazume o souporabi podatkov.

(105)

Prodajalec pametne pogodbe ali, če takega prodajalca ni, oseba, katere trgovska, poslovna ali poklicna dejavnost vključuje uvajanje pametnih pogodb za druge v okviru izvajanja sporazuma ali njegovega dela o dajanju podatkov na voljo v okviru te uredbe, bi moral, da dokaže izpolnjevanje bistvenih zahtev iz te uredbe, opraviti ugotavljanje skladnosti in izdati EU izjavo o skladnosti. Za to ugotavljanje skladnosti bi morala veljati splošna načela iz Uredbe (ES) št. 765/2008 Evropskega parlamenta in Sveta (34) ter Sklepa (ES) št. 768/2008 Evropskega parlamenta in Sveta (35).

(106)

Poleg obveznosti, da morajo strokovnjaki, ki pripravljajo pametne pogodbe, izpolnjevati bistvene zahteve, je treba tudi spodbujati tiste udeležence v podatkovnih prostorih, ki ponujajo podatke ali podatkovne storitve drugim udeležencem v skupnih evropskih podatkovnih prostorih in med njimi, da podprejo interoperabilnost orodij za souporabo podatkov, vključno s pametnimi pogodbami.

(107)

Za zagotovitev uporabe in izvrševanja te uredbe bi morale države članice imenovati enega ali več pristojnih organov. Če država članica imenuje več kot en pristojni organ, bi morala enega od njih imenovati tudi za koordinatorja podatkov. Pristojni organi bi morali med seboj sodelovati. V okviru izvajanja svojih preiskovalnih pooblastil v skladu z veljavnimi nacionalnimi postopki bi pristojni organi morali imeti možnost iskanja in pridobivanja informacij, zlasti v zvezi z dejavnostmi subjektov v njihovi pristojnosti in tudi v okviru skupnih preiskav, ob ustreznem upoštevanju dejstva, da bi moral ukrepe nadzora in izvrševanja v zvezi s subjektom, ki je v pristojnosti druge države članice, po potrebi sprejeti pristojni organ te druge države članice v skladu s postopki, ki se nanašajo na čezmejno sodelovanje. Pristojni organi bi si morali pravočasno medsebojno pomagati, zlasti kadar ima pristojni organ v določeni državi članici relevantne informacije za preiskavo, ki jo izvajajo pristojni organi v drugih državah članicah, ali kadar lahko zbere take informacije, do katerih pristojni organi v državi članici, v kateri ima subjekt sedež, nimajo dostopa. Pristojni organi in koordinatorji podatkov bi morali biti navedeni v javnem registru, ki ga vodi Komisija. Koordinator podatkov bi lahko bil dodatno sredstvo za lažje sodelovanje v čezmejnih primerih, na primer kadar pristojni organ iz določene države članice ne ve, na kateri organ bi se moral obrniti v državi članici koordinatorja podatkov, na primer kadar se primer nanaša na več kot en pristojni organ ali sektor. Koordinator podatkov bi moral med drugim delovati kot enotna kontaktna točka za vsa vprašanja v zvezi z uporabo te uredbe. Kadar koordinator podatkov ni bil imenovan, bi moral pristojni organ prevzeti naloge, dodeljene koordinatorju podatkov na podlagi te uredbe. Organi, odgovorni za nadzor skladnosti s pravom o varstvu podatkov, in pristojni organi, imenovani na podlagi prava Unije ali nacionalnega prava, bi morali biti odgovorni za uporabo te uredbe na področjih, za katera so pristojni. Da bi se izognili navzkrižju interesov, pristojni organi, odgovorni za uporabo in izvrševanje te uredbe na področju dajanja podatkov na voljo po prejemu zahteve na podlagi izjemne potrebe, ne bi smeli imeti pravice, da predložijo tako zahtevo.

(108)

Da bi fizične in pravne osebe lahko uveljavljale pravice, ki jih imajo na podlagi te uredbe, bi morale imeti pravico uveljavljati pravna sredstva zaradi kršitve njihovih pravic iz te uredbe z vložitvijo pritožb. Koordinator podatkov bi moral fizičnim in pravnim osebam na zahtevo zagotoviti vse potrebne informacije za vložitev njihovih pritožb pri ustreznem pristojnem organu. Tem organom bi bilo treba naložiti obveznost sodelovanja, da bi zagotovili, da bo pritožba ustrezno obravnavana ter učinkovito in pravočasno rešena. Da bi bilo mogoče uporabiti mehanizem mreže za sodelovanje na področju varstva potrošnikov in omogočiti zastopniške tožbe, se s to uredbo spreminjata prilogi k Uredbi (EU) 2017/2394 Evropskega parlamenta in Sveta (36) ter Direktivi (EU) 2020/1828 Evropskega parlamenta in Sveta (37).

(109)

Pristojni organi bi morali zagotoviti, da se za kršitve obveznosti iz te uredbe naložijo kazni. Take kazni bi lahko vključevale denarne kazni, opozorila, opomine ali odredbe za uskladitev poslovnih praks z obveznostmi, ki jih nalaga ta uredba. Kazni, ki jih določijo države članice, bi morale biti učinkovite, sorazmerne in odvračilne ter bi morale upoštevati priporočila EDIB, ter tako prispevati k doseganju čim večje doslednosti pri določanju in uporabi kazni. Pristojni organi bi morali po potrebi uporabiti začasne ukrepe za omejitev učinkov domnevne kršitve med preiskavo te kršitve. Pri tem bi morali med drugim upoštevati naravo, resnost, razsežnost in trajanje kršitve glede na zadevni javni interes, obseg in vrsto izvedenih dejavnosti ter ekonomsko zmožnost kršitelja. Upoštevati bi morali tudi, ali kršitelj sistematično ali večkrat ne izpolnjuje svojih obveznosti iz te uredbe. Da bi zagotovili spoštovanja načela ne bis in idem ter da bi se zlasti izognili situaciji v kateri bi bila ista kršitev obveznosti iz te uredbe kaznovana več kot enkrat, bi morala država članica, ki namerava izvajati svojo pristojnost v zvezi s kršiteljem, ki nima sedeža in ni imenoval pravnega zastopnika v Uniji, brez nepotrebnega odlašanja obvestiti vse koordinatorje podatkov, ter tudi Komisijo.

(110)

EDIB bi moral Komisiji svetovati in ji pomagati pri usklajevanju nacionalnih praks in politik o tematikah, ki jih pokriva ta uredba, ter pri uresničevanju njenih ciljev v zvezi s tehnično standardizacijo za izboljšanje interoperabilnosti. Prav tako bi moral imeti ključno vlogo pri omogočanju celovitih razprav med pristojnimi organi o uporabi in izvrševanju te uredbe. Namen te izmenjave informacij je izboljšati učinkovit dostop do pravnega varstva ter sodelovanje pri izvrševanju in pravosodno sodelovanje po vsej Uniji. Pristojni organi bi morali EDIB med drugim uporabljati kot platformo za ocenjevanje, usklajevanje in sprejemanje priporočil o določanju kazni za kršitve te uredbe. Navedeni odbor bi moral pristojnim organom omogočati, da s pomočjo Komisije usklajujejo optimalni pristop k določanju in nalaganju takih kazni. S tem pristopom se prepreči razdrobljenost, hkrati pa se državam članicam omogoči prožnost, s čimer naj bi se zagotovila učinkovita priporočila, ki podpirajo dosledno uporabo te uredbe. EDIB bi moral imeti tudi svetovalno vlogo pri postopkih standardizacije in sprejemanju skupnih specifikacij z izvedbenimi akti, pri sprejemanju delegiranih aktov za vzpostavitev mehanizma spremljanja za povračila za zamenjavo, ki jih naložijo ponudniki storitev obdelave podatkov, ter za podrobnejšo opredelitev bistvenih zahtev za interoperabilnost podatkov, mehanizmov in storitev souporabe podatkov ter skupnih evropskih podatkovnih prostorov. Prav tako bi moral Komisiji svetovati in ji pomagati pri sprejetju smernic, ki določajo specifikacije interoperabilnosti za delovanje skupnih evropskih podatkovnih prostorov.

(111)

Da bi Komisija podjetjem pomagala pri pripravi pogodb in pogajanjih o njih, bi morala pripraviti in priporočiti nezavezujoče vzorčne pogodbene pogoje za pogodbe o souporabi podatkov med podjetji, po potrebi ob upoštevanju pogojev v posameznih sektorjih in obstoječih praks pri prostovoljnih mehanizmih za souporabo podatkov. Ti vzorčni pogodbeni pogoji bi morali biti predvsem praktično orodje za pomoč zlasti MSP pri sklepanju pogodbe. Kadar se ti vzorčni pogodbeni pogoji uporabljajo široko in celovito, bi morali pozitivno vplivati tudi na oblikovanje pogodb v zvezi z dostopom do podatkov in njihovo uporabo ter tako na splošno voditi k pravičnejšim pogodbenim razmerjem pri dostopu do podatkov in njihovi souporabi.

(112)

Da se odpravi tveganje, da bi imetniki podatkov v podatkovnih zbirkah, ki so bili pridobljeni ali ustvarjeni s pomočjo fizičnih sestavnih delov povezanega izdelka, kot na primer s senzorji, in povezane storitve, ali drugih strojno tvorjenih podatkov uveljavljali pravico sui generis na podlagi člena 7 Direktive 96/9/ES in s tem ovirali zlasti učinkovito uveljavljanje pravice uporabnikov do dostopa do podatkov in njihove uporabe ter pravice do souporabe podatkov s tretjimi osebami na podlagi te uredbe, bi bilo treba pojasniti, da se pravica sui generis za take podatkovne zbirke ne uporablja. To ne vpliva na morebitno uporabo pravice sui generis iz člena 7 Direktive 96/9/ES za podatkovne zbirke, ki vsebujejo podatke, ki ne spadajo na področje uporabe te uredbe, če so izpolnjene zahteve za varstvo na podlagi odstavka 1 navedenega člena.

(113)

Da bi se upoštevali tehnični vidiki storitev obdelave podatkov, bi bilo treba na Komisijo prenesti pooblastilo, da v skladu s členom 290 PDEU sprejme akte v zvezi z dopolnitvijo te uredbe, da se vzpostavi mehanizem spremljanja povračil za zamenjavo, ki jih na trgu zaračunavajo ponudniki storitev obdelave podatkov, ter podrobneje določijo bistvene zahteve glede interoperabilnosti za udeležence v podatkovnih prostorih, ki ponujajo podatke ali podatkovne storitve drugim udeležencem. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje (38). Za zagotovitev enakopravnega sodelovanja pri pripravi delegiranih aktov Evropski parlament in Svet zlasti prejmeta vse dokumente sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se sistematično lahko udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.

(114)

Za zagotovitev enotnih pogojev izvajanje te uredbe, bi bilo treba na Komisijo prenesti izvedbena pooblastila v zvezi s sprejetjem skupnih specifikacij za zagotovitev interoperabilnosti podatkov, mehanizmov in storitev za souporabo podatkov ter skupnih evropskih podatkovnih prostorov, skupnih specifikacij za interoperabilnost storitev obdelave podatkov, in skupnih specifikacij za interoperabilnost pametnih pogodb. Na Komisijo bi bilo treba prenesti tudi izvedbena pooblastila za objavo sklicev na harmonizirane standarde in skupnih specifikacij za interoperabilnost storitev obdelave podatkov v osrednjem repozitoriju Unije za standarde za interoperabilnost storitev obdelave podatkov. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (39).

(115)

Ta uredba ne bi smela posegati v pravila v zvezi s potrebami, značilnimi za posamezne sektorje ali področja javnega interesa. Taka pravila lahko vključujejo dodatne zahteve glede tehničnih vidikov dostopa do podatkov, kot so vmesniki za dostop do podatkov, ali načina zagotavljanja dostopa do podatkov, na primer neposredno iz izdelka ali preko storitev posredovanja podatkov. Vključujejo lahko tudi omejitve pravic imetnikov podatkov do dostopa do podatkov uporabnikov ali njihove uporabe ali druge vidike, ki presegajo dostop do podatkov in njihovo uporabo, kot so vidiki upravljanja ali zahteve glede varnosti, vključno z zahtevami glede kibernetske varnosti. Ta uredba prav tako ne bi smela posegati v bolj specifična pravila v zvezi z razvojem skupnih evropskih podatkovnih prostorov ob upoštevanju izjem določenih v tej uredbi, v pravo Unije in nacionalno pravo, ki zagotavlja dostop do podatkov in dovoljuje uporabo podatkov za namene znanstvenih raziskav.

(116)

Ta uredba ne bi smela vplivati na uporabo pravil o konkurenci, zlasti členov 101 in 102 PDEU. Ukrepi iz te uredbe se ne bi smeli uporabljati za omejevanje konkurence na način, ki je v nasprotju s PDEU.

(117)

Da bi se lahko subjekti, ki spadajo na področje uporabe te uredbe, prilagodili novim pravilom iz te uredbe in poskrbeli za potrebne tehnične ureditve, bi se morala ta pravila začeti uporabljati 12. septembra 2025.

(118)

V skladu s členom 42(1) in (2) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov in Evropskim odborom za varstvo podatkov, ki sta mnenje podala 4. maja 2022.

(119)

Ker ciljev te uredbe, in sicer zagotavljanja pravičnosti pri dodeljevanju vrednosti podatkov med akterji v podatkovnem gospodarstvu ter spodbujanja pravičnega dostopa do podatkov in njihove uporabe z namenom prispevati k vzpostavitvi resničnega notranjega trga za podatke, države članice ne morejo zadovoljivo doseči, temveč se zaradi obsega ali učinkov ukrepa in čezmejne uporabe podatkov lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenih ciljev –

SPREJELA NASLEDNJO UREDBO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1

Predmet urejanja in področje uporabe

1.   Ta uredba med drugim določa harmonizirana pravila o:

(a)

dajanju podatkov iz izdelka in podatkov iz povezane storitve na voljo uporabniku povezanega izdelka ali povezane storitve;

(b)

dajanju podatkov na voljo prejemnikom podatkov s strani imetnikov podatkov;

(c)

dajanju podatkov na voljo organom javnega sektorja, Komisiji, Evropski centralni banki in organom Unije s strani imetnikov podatkov, kadar obstaja izjemna potreba po teh podatkih za opravljanje posebne naloge, ki se izvaja v javnem interesu;

(d)

olajšanju zamenjave med storitvami obdelave podatkov;

(e)

uvedbi zaščitnih ukrepov pred nezakonitim dostopom tretjih oseb do neosebnih podatkov in

(f)

razvoju standardov interoperabilnosti za dostop do podatkov, njihov prenos in uporabo.

2.   Ta uredba zajema osebne in neosebne podatke, vključno z naslednjimi vrstami podatkov, v naslednjih okvirih:

(a)

poglavje II se uporablja za podatke o uspešnosti, uporabi in okolju povezanih izdelkov in povezanih storitev, z izjemo vsebine;

(b)

poglavje III se uporablja za vse podatke zasebnega sektorja, za katere veljajo zakonske obveznosti souporabe podatkov;

(c)

poglavje IV se uporablja za vse podatke zasebnega sektorja, do katerih se dostopa in ki se uporabljajo na podlagi pogodbe med podjetji;

(d)

poglavje V se uporablja za vse podatke zasebnega sektorja s poudarkom na neosebnih podatkih;

(e)

poglavje VI se uporablja za vse podatke in storitve, ki jih obdelujejo ponudniki storitev obdelave podatkov;

(f)

poglavje VII se uporablja za vse neosebne podatke, ki jih v Uniji hranijo ponudniki storitev obdelave podatkov.

3.   Ta uredba se uporablja za:

(a)

proizvajalce povezanih izdelkov, danih na trg v Uniji, in ponudnike povezanih storitev ne glede na sedež teh proizvajalcev in ponudnikov;

(b)

uporabnike povezanih izdelkov ali povezanih storitev, kot je navedeno v točki (a), ki so v Uniji;

(c)

imetnike podatkov, ne glede na njihov sedež, ki dajejo podatke na voljo prejemnikom podatkov v Uniji;

(d)

prejemnike podatkov v Uniji, ki se jim podatki dajejo na voljo;

(e)

organe javnega sektorja, Komisijo, Evropsko centralno banko in organe Unije, ki od imetnikov podatkov zahtevajo, da dajo podatke na voljo, kadar obstaja izjemna potreba po teh podatkih za opravljanje posebne naloge, ki se izvaja v javnem interesu, in imetnike podatkov, ki dajejo te podatke na voljo v odziv na tako zahtevo;

(f)

ponudnike storitev obdelave podatkov, ne glede na njihov sedež, ki opravljajo take storitve strankam v Uniji;

(g)

udeležence v podatkovnih prostorih in prodajalce aplikacij, ki uporabljajo pametne pogodbe, ter osebe, katerih trgovska, poslovna ali poklicna dejavnost vključuje uvajanje pametnih pogodb za druge v okviru izvajanja sporazuma.

4.   Kadar se ta uredba sklicuje na povezane izdelke ali povezane storitve, se taka sklicevanja razumejo tudi v smislu, da vključujejo virtualne pomočnike, če ti komunicirajo s povezanim izdelkom ali povezano storitvijo.

5.   Ta uredba ne posega v pravo Unije in nacionalno pravo o varstvu osebnih podatkov, zasebnosti in zaupnosti komunikacij ter celovitosti terminalske opreme, ki se uporablja za osebne podatke, ki se obdelujejo v zvezi s pravicami in obveznostmi iz te uredbe, zlasti uredbi (EU) 2016/679 in (EU) 2018/1725 in Direktivo 2002/58/ES, vključno s pooblastili in pristojnostmi nadzornih organov in pravicami posameznikov, na katere se nanašajo osebni podatki. V kolikor so uporabniki posamezniki, na katere se nanašajo osebni podatki, pravice iz poglavja II te uredbe dopolnjujejo pravico dostopa posameznikov, na katere se nanašajo osebni podatki, in pravico do prenosljivosti podatkov iz členov 15 in 20 Uredbe (EU) 2016/679. V primeru nasprotja med to uredbo in pravom Unije o varstvu osebnih podatkov in zasebnosti ali nacionalno zakonodajo, sprejeto v skladu s takim pravom Unije, prevlada ustrezno pravo Unije ali nacionalno pravo o varstvu osebnih podatkov in zasebnosti.

6.   Ta uredba se ne uporablja za prostovoljne dogovore o izmenjavi podatkov med zasebnimi in javnimi subjekti ali ne posega vanje, zlasti v prostovoljne dogovore o souporabi podatkov.

Ta uredba ne vpliva na pravne akte Unije ali nacionalne pravne akte, ki določajo souporabo podatkov, dostop do njih in njihovo uporabo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, ali za carinske in davčne namene, zlasti uredbe (EU) 2021/784, (EU) 2022/2065 in (EU) 2023/1543, ter Direktivo (EU) 2023/1544, ali mednarodno sodelovanje na tem področju. Ta uredba se ne uporablja za zbiranje ali souporabo podatkov, dostop do njih in njihovo uporabo na podlagi Uredbe (EU) 2015/847 in Direktive (EU) 2015/849. Ta uredba se ne uporablja za področja, ki ne spadajo na področje uporabe prava Unije, in v nobenem primeru ne vpliva na pristojnosti držav članic v zvezi z javno varnostjo, obrambo ali nacionalno varnostjo, ne glede na vrsto subjekta, ki ga države članice pooblastijo za izvajanje nalog v zvezi s temi pristojnostmi, ali na njihova pooblastila za zaščito drugih bistvenih državnih funkcij, vključno z zagotavljanjem ozemeljske celovitosti države ter vzdrževanjem javnega reda. Ta uredba ne vpliva na pristojnosti držav članic v zvezi s carinsko in davčno upravo ali zdravjem in varnostjo državljanov.

7.   Ta uredba dopolnjuje samoregulativni pristop iz Uredbe (EU) 2018/1807 z dodajanjem splošno veljavnih obveznosti glede zamenjave ponudnikov storitev v oblaku.

8.   Ta uredba ne posega v pravne akte Unije in nacionalne pravne akte, ki zagotavljajo varstvo pravic intelektualne lastnine, zlasti direktive 2001/29/ES, 2004/48/ES in (EU) 2019/790.

9.   Ta uredba dopolnjuje in ne posega v pravo Unije, ki podpira interese potrošnikov ter zagotavlja visoko raven varstva potrošnikov, njihovega zdravja, varnosti in gospodarskih interesov, zlasti direktive 93/13/EGS, 2005/29/ES in 2011/83/EU.

10.   Ta uredba ne preprečuje sklepanja prostovoljnih zakonitih pogodb o souporabi podatkov, vključno s pogodbami, sklenjenimi na podlagi vzajemnosti, ki izpolnjujejo zahteve iz te uredbe.

Člen 2

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

(1)

„podatki“ pomeni vsak digitalni prikaz dejanj, dejstev ali informacij in vsakega zbiranja takih dejanj, dejstev ali informacij, tudi v obliki zvočnega, vizualnega ali avdiovizualnega posnetka;

(2)

„metapodatki“ pomeni strukturiran opis vsebine ali uporabe podatkov, ki olajša iskanje in uporabo teh podatkov;

(3)

„osebni podatki“ pomeni osebne podatke, kakor so opredeljeni v členu 4, točka 1, Uredbe (EU) 2016/679;

(4)

„neosebni podatki“ pomeni podatke, ki niso osebni podatki;

(5)

„povezani izdelek“ pomeni stvar, ki pridobiva, ustvarja ali zbira podatke o svoji uporabi ali okolju in ki lahko sporoča podatke iz izdelka preko elektronske komunikacijske storitve, fizične povezave ali dostopa na napravi ter katere glavna funkcija ni shranjevanje, obdelava ali posredovanje podatkov v imenu katere koli osebe razen uporabnika;

(6)

„povezana storitev“ pomeni digitalno storitev, razen elektronskih komunikacijskih storitev, vključno s programsko opremo, ki je ob nakupu, najemu ali zakupu z izdelkom povezana tako, da brez nje povezani izdelek ne bi mogel opravljati ene ali več svojih funkcij, ali ki jo z izdelkom naknadno poveže proizvajalec ali tretja oseba, da obogati, posodobi ali prilagodi funkcionalnost povezanega izdelka;

(7)

„obdelava“ pomeni vsako operacijo ali niz operacij, ki se izvaja v zvezi s podatki ali nizi podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno dajanje na voljo, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(8)

„storitev obdelave podatkov“ pomeni digitalno storitev, ki se zagotovi stranki in ki omogoča vseprisoten omrežni dostop na zahtevo do skupnega nabora nastavljivih, prožnih in prilagodljivih računalniških virov centralizirane, porazdeljene ali zelo porazdeljene narave ter se lahko zagotovi hitro in sprosti z minimalno količino upravljanja ali interakcije s ponudnikom storitve;

(9)

„ista vrsta storitve“ pomeni nabor storitev obdelave podatkov, ki imajo isti primarni cilj, model storitve obdelave podatkov in glavne funkcionalnosti;

(10)

„storitev posredovanja podatkov“ pomeni storitev posredovanja podatkov, kakor je opredeljena v členu 2, točka 11, Uredbe (EU) 2022/868;

(11)

„posameznik, na katerega se nanašajo osebni podatki“ pomeni posameznika, na katerega se nanašajo osebni podatki, kakor je naveden v členu 4, točka 1, Uredbe (EU) 2016/679;

(12)

„uporabnik“ pomeni fizično ali pravno osebo, ki ima v lasti povezani izdelek ali na katero so bile pogodbeno prenesene začasne pravice do uporabe tega povezanega izdelka ali ki prejema z njim povezane storitve;

(13)

„imetnik podatkov“ pomeni fizično ali pravno osebo, ki ima v skladu s to uredbo, veljavnim pravom Unije ali nacionalno zakonodajo, sprejeto v skladu s pravom Unije,, pravico ali obveznost uporabljati in dajati na voljo podatke, vključno, kadar je to pogodbeno dogovorjeno, s podatki iz izdelka ali podatki iz povezane storitve, ki jih je priklical ali ustvaril med opravljanjem povezane storitve;

(14)

„prejemnik podatkov“ pomeni fizično ali pravno osebo, ki deluje za namene, povezane z njeno trgovsko, poslovno, obrtno ali poklicno dejavnostjo, razen uporabnika povezanega izdelka ali povezane storitve, ki ji imetnik podatkov da na voljo podatke, vključno s tretjo osebo na podlagi zahteve uporabnika, naslovljene na imetnika podatkov, ali v skladu s pravno obveznostjo na podlagi prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije;

(15)

„podatki iz izdelka“ pomeni podatke, ustvarjene z uporabo povezanega izdelka, ki jih je proizvajalec zasnoval tako, da jih lahko uporabnik, imetnik podatkov ali tretja oseba, po potrebi pa tudi proizvajalec, prikliče prek elektronske komunikacijske storitve, fizične povezave ali dostopa na napravi;

(16)

„podatki iz povezane storitve“ pomeni podatke, ki predstavljajo digitalizacijo uporabniških dejanj ali dogodkov, povezanih s povezanim izdelkom, ki jih uporabnik zabeleži namerno ali ki so ustvarjeni kot stranski produkt uporabnikovega delovanja med opravljanjem povezane storitve s strani ponudnika;

(17)

„takoj razpoložljivi podatki“ pomeni podatke iz izdelka in podatke iz povezane storitve, ki jih imetnik podatkov zakonito pridobi ali jih lahko zakonito pridobi iz povezanega izdelka ali z njim povezane storitve brez nesorazmernega napora, ki bi presegal enostavno operacijo;

(18)

„poslovna skrivnost“ pomeni poslovno skrivnost, kakor je opredeljena v členu 2, točka 1, Direktive (EU) 2016/943;

(19)

„imetnik poslovne skrivnosti“ pomeni imetnika poslovne skrivnosti, kakor je opredeljen v členu 2, točka 2, Direktive (EU) 2016/943;

(20)

„oblikovanje profilov“ pomeni oblikovanje profilov, kakor je opredeljeno v členu 4, točka 4, Uredbe (EU) 2016/679;

(21)

„zagotavljanje dostopnosti na trgu“ pomeni vsako dobavo povezanega izdelka za distribucijo, porabo ali uporabo na trgu Unije v okviru gospodarske dejavnosti za plačilo ali brezplačno;

(22)

„dajanje na trg“ pomeni prvo dajanje na voljo povezanega izdelka na trgu Unije;

(23)

„potrošnik“ pomeni vsako fizično osebo, ki deluje za namene zunaj okvira svoje trgovske, poslovne, obrtne ali poklicne dejavnosti;

(24)

„podjetje“ pomeni fizično ali pravno osebo, ki v zvezi s pogodbami in praksami, za katere velja ta uredba, deluje za namene, ki so povezani z njeno trgovsko, poslovno, obrtno ali poklicno dejavnostjo;

(25)

„malo podjetje“ pomeni malo podjetje, kakor je opredeljeno v členu 2(2) Priloge k Priporočilu 2003/361/ES;

(26)

„mikropodjetje“ pomeni mikropodjetje, kakor je opredeljeno v členu 2(3) Priloge k Priporočilu 2003/361/ES;

(27)

„organi Unije“ pomeni organe, urade in agencije Unije, ustanovljene z akti oziroma na njihovi podlagi, sprejetimi na podlagi Pogodbe o Evropski uniji, PDEU ali Pogodbe o ustanovitvi Evropske skupnosti za atomsko energijo;

(28)

„organ javnega sektorja“ pomeni nacionalne, regionalne ali lokalne organe držav članic, osebe javnega prava držav članic ali združenja, ki jih ustanovi eden ali več takih organov ali oseb;

(29)

„splošna nevarnost“ pomeni izjemne razmere, ki so časovno omejene, kot so izredne razmere v javnem zdravju, izredne razmere, ki so posledica naravnih nesreč, večje nesreče, ki jih povzroči človek, vključno z večjimi kibernetskimi incidenti, ki negativno vplivajo na prebivalstvo Unije, celotno prebivalstvo države članice ali njenega dela in ki bi lahko imele resne in trajne posledice za življenjske razmere ali gospodarsko stabilnost, finančno stabilnost ali znatno in takojšnje poslabšanje gospodarskih sredstev v Uniji ali zadevni državi članici ter ki so določene in uradno razglašene v skladu z ustreznimi postopki na podlagi prava Unije ali nacionalnega prava;

(30)

„stranka“ pomeni fizično ali pravno osebo, ki je sklenila pogodbeno razmerje s ponudnikom storitev obdelave podatkov z namenom uporabe ene ali več storitev obdelave podatkov;

(31)

„virtualni pomočniki“ pomeni programsko opremo, ki lahko obdeluje zahteve, naloge ali vprašanja, tudi tiste, ki temeljijo na avdioposnetkih, pisnih informacijah, kretnjah ali gibih, in ki na podlagi teh zahtev, nalog ali vprašanj zagotavlja dostop do drugih storitev ali nadzoruje funkcije povezanih izdelkov;

(32)

„digitalna sredstva“ pomeni elemente v digitalni obliki, vključno z aplikacijami, za katere ima stranka pravico do uporabe neodvisno od pogodbenega razmerja glede storitve obdelave podatkov, ki jo namerava zamenjati;

(33)

„lokalna infrastruktura IKT“ pomeni infrastrukturo IKT in računalniške vire, ki so v lasti, najemu ali zakupu stranke in se nahajajo v njenem podatkovnem centru ter jih upravlja stranka ali tretja oseba;

(34)

„zamenjava“ pomeni postopek, pri katerem sodelujejo izvorni ponudnik storitev obdelave podatkov, stranka storitve obdelave podatkov in, kadar je ustrezno, ciljni ponudnik storitev obdelave podatkov, pri čemer stranka storitve obdelave podatkov z ene storitve obdelave podatkov preide na drugo storitev obdelave podatkov, ki je storitev iste vrste, ali drugo storitev, ki jo ponuja drug ponudnik storitev obdelave podatkov, ali na lokalno infrastrukturo IKT, pri čemer lahko postopek med drugim vključuje izvlečenje, pretvorbo in nalaganje podatkov;

(35)

„povračila za prenos podatkov“ pomeni pristojbine za prenos podatkov, ki se zaračunajo strankam za izvlečenje njihovih podatkov prek omrežja iz infrastrukture IKT ponudnika storitev obdelave podatkov v sistem drugega ponudnika ali v lokalno infrastrukturo IKT;

(36)

„povračila za zamenjavo“ pomeni povračila, ki niso standardne pristojbine za storitve ali kazni za predčasno odpoved, in jih ponudnik obdelave podatkov naloži stranki za dejanja, ki jih ta uredba zahteva za zamenjavo na sistem drugega ponudnika ali na lokalno infrastrukturo IKT, vključno s povračili za prenos podatkov;

(37)

„funkcionalna enakovrednost“ pomeni ponovno vzpostavitev minimalne ravni funkcionalnosti na podlagi podatkov stranke, ki jih je mogoče izvoziti, in digitalnih sredstev po postopku zamenjave, v okolju nove storitve obdelave podatkov, ki je storitev iste vrste, pri čemer ciljna storitev obdelave podatkov zagotavlja primerljiv rezultat kot odziv na isti vložek za skupno funkcijo, ki se stranki zagotavlja na podlagi pogodbe;

(38)

„podatki, ki jih je mogoče izvoziti“ pomeni, za namene členov 23 do 31 in člena 35, vhodne in izhodne podatke, tudi metapodatke, ki so ustvarjeni ali soustvarjeni neposredno ali posredno s strankino uporabo storitve obdelave podatkov ponudnikov storitev obdelave podatkov ali tretje osebe, pri čemer so izključena vsa sredstva ali podatki zaščiteni s pravicami intelektualne lastnine, ali ki predstavljajo poslovno skrivnost;

(39)

„pametna pogodba“ pomeni računalniški program, ki se uporablja za samodejno izvajanje sporazuma ali njegovega dela, pri čemer se uporabi zaporedje elektronskih podatkovnih zapisov ter zagotovi njihova celovitost in točnost kronološkega zaporedja;

(40)

„interoperabilnost“ pomeni zmožnost dveh ali več podatkovnih prostorov ali komunikacijskih omrežij, sistemov, povezanih izdelkov, aplikacij, storitev obdelave podatkov ali komponent, da si izmenjujejo in uporabljajo podatke za izvajanje svojih funkcij;

(41)

„odprta specifikacija za interoperabilnost“ pomeni tehnično specifikacijo na področju informacijskih in komunikacijskih tehnologij, ki je namenjena za doseganje interoperabilnosti med storitvami obdelave podatkov;

(42)

„skupne specifikacije“ pomeni dokument, ki ni standard ter vsebuje tehnične rešitve, s katerimi je možno izpolnjevanje nekaterih zahtev in obveznosti, določenih s to uredbo;

(43)

„harmonizirani standard“ pomeni harmonizirani standard, kakor je opredeljen v členu 2(1), točka (c), Uredbe (EU) št. 1025/2012;

POGLAVJE II

SOUPORABA PODATKOV MED PODJETJI IN POTROŠNIKI TER MED PODJETJI

Člen 3

Obveznost, da se uporabniku zagotovi dostop do podatkov iz izdelka in podatkov iz povezane storitve

1.   Povezani izdelki se zasnujejo in izdelujejo, povezane storitve pa zasnujejo in opravljajo tako, da so podatki iz izdelka in podatki iz povezane storitve, vključno z ustreznimi metapodatki, potrebnimi za razlago in uporabo teh podatkov, privzeto, enostavno, varno in brezplačno na voljo v celoviti, strukturirani, splošno uporabljani in strojno berljivi obliki ter so, kadar je to ustrezno in tehnično izvedljivo, neposredno dostopni uporabniku.

2.   Pred sklenitvijo pogodbe o nakupu, najemu ali zakupu povezanega izdelka prodajalec, najemodajalec ali zakupodajalec, ki je lahko proizvajalec, uporabniku na jasen in razumljiv način zagotovi vsaj naslednje informacije:

(a)

vrsta, oblika zapisa in ocenjena količina podatkov iz izdelka, ki jih povezani izdelek lahko ustvari;

(b)

ali je povezani izdelek sposoben neprekinjeno in v realnem času ustvarjati podatke;

(c)

ali je povezani izdelek sposoben shraniti podatke na napravi ali na oddaljenem strežniku, po potrebi vključno s predvidenim trajanjem hrambe;

(d)

kako lahko uporabnik dostopa do podatkov, jih prikliče ali po potrebi izbriše, vključno s tehničnimi sredstvi, s katerimi se lahko to izvede, ter pogoji uporabe in kakovost storitve.

3.   Pred sklenitvijo pogodbe o opravljanju povezane storitve, ponudnik take povezane storitve uporabniku na jasen in razumljiv način zagotovi vsaj naslednje informacije:

(a)

narava, ocenjena količina in pogostost zbiranja podatkov iz izdelka, ki naj bi jih pridobil potencialni imetnik podatkov, po potrebi pa tudi ureditve, kako lahko uporabnik dostopa do teh podatkov ali jih prikliče, vključno z ureditvijo potencialnega imetnika podatkov glede shranjevanja in trajanja hrambe podatkov;

(b)

narava in ocenjena količina podatkov o povezani storitvi, ki bodo ustvarjeni, ter ureditve, kako lahko uporabnik dostopa do teh podatkov ali jih prikliče, vključno z ureditvijo potencialnega imetnika podatkov glede shranjevanja in trajanja hrambe podatkov;

(c)

ali potencialni imetnik podatkov pričakuje, da bo sam uporabljal takoj razpoložljive podatke, in za katere namene naj bi se ti podatki uporabljali ter ali namerava dovoliti eni ali več tretjim osebam, da uporabljajo podatke za namene dogovorjene z uporabnikom;

(d)

identiteta potencialnega imetnika podatkov, kot na primer firma in geografski naslov, na katerem ima sedež, ter po potrebi drugih oseb, ki obdelujejo podatke;

(e)

komunikacijska sredstva, ki omogočajo hitro navezavo stika s potencialnim imetnikom podatkov in učinkovito komuniciranje z njim;

(f)

kako lahko uporabnik zahteva, da se podatki dajo v souporabo tretji osebi in kako lahko po potrebi zaustavi souporabo podatkov;

(g)

pravica uporabnika, da pri pristojnem organu, imenovanem na podlagi člena 37, vloži pritožbo zaradi domnevne kršitve katere koli določbe tega poglavja;

(h)

ali je potencialni imetnik podatkov tudi imetnik poslovnih skrivnosti, vsebovanih v podatkih, ki so dostopni iz povezanega izdelka ali se bodo ustvarili med opravljanjem povezane storitve in kadar potencialni imetnik podatkov ni imetnik poslovne skrivnosti, identiteta imetnika poslovne skrivnosti;

(i)

trajanje pogodbe med uporabnikom in potencialnim imetnikom podatkov ter ureditve za odpoved take pogodbe.

Člen 4

Pravice in obveznosti uporabnikov in imetnikov podatkov glede dostopa, uporabe in dajanja na voljo podatkov iz izdelka in podatkov iz povezane storitve

1.   Kadar uporabnik ne more neposredno dostopati do podatkov iz povezanega izdelka ali povezane storitve, mu imetniki podatkov omogočijo dostop do takoj razpoložljivih podatkov ter ustreznih metapodatkov potrebnih za razlago in uporabo teh podatkov, in sicer brez nepotrebnega odlašanja ter v enaki kakovosti kot so na voljo imetniku podatkov, enostavno, varno, brezplačno, v celoviti, strukturirani, splošno uporabljani in strojno berljivi obliki, ter, kadar je to ustrezno in tehnično izvedljivo, neprekinjeno in v realnem času. To se opravi na podlagi enostavne zahteve po elektronski poti, kadar je to tehnično izvedljivo.

2.   Uporabniki in imetniki podatkov se lahko pogodbeno dogovorijo o omejitvi ali prepovedi dostopa do podatkov, njihove uporabe ali nadaljnje souporabe, če bi lahko takšna obdelava ogrozila varnostne zahteve glede povezanega izdelka, kot so določene v pravu Unije ali nacionalnem pravu, in imela resen škodljiv učinek na zdravje, varnost ali zaščito fizičnih oseb. Sektorski organi lahko uporabnikom in imetnikom podatkov v zvezi s tem zagotovijo tehnično strokovno znanje. Kadar imetnik podatkov zavrne souporabo podatkov na podlagi tega člena, o tem uradno obvesti pristojni organ, imenovan na podlagi člena 37.

3.   Brez poseganja v pravico uporabnika, da kadar koli uveljavlja pravna sredstva pred sodiščem države članice, lahko uporabnik v zvezi s katerim koli sporom z imetnikom podatkov v zvezi s pogodbenimi omejitvami ali prepovedmi iz odstavka 2:

(a)

vloži pritožbo v skladu s členom 37(5), točka (b), pri pristojnem organu ali

(b)

se dogovori z imetnikom podatkov, da se zadeva predloži organu za reševanje sporov v skladu s členom 10(1).

4.   Imetniki podatkov ne otežijo neupravičeno uveljavljanja izbir ali pravic uporabnika iz tega člena, tudi ne tako, da bi na pristranski način ponujali uporabniku izbire ali omejevali ali ovirali avtonomijo odločanje ali izbire uporabnika prek strukture, zasnove, funkcije ali načina delovanja uporabniškega digitalnega vmesnika ali njegovega dela.

5.   Za namene preverjanja ali fizična oziroma pravna oseba izpolnjuje pogoje za uporabnika za namene odstavka 1, imetnik podatkov od te osebe ne zahteva nobenih informacij razen tistih, ki so potrebne. Imetniki podatkov ne hranijo nobenih informacij, zlasti nobenih podatkov iz dnevniške datoteke, o uporabnikovem dostopu do zahtevanih podatkov, razen tistih, ki so potrebne za pravilno izvedbo uporabnikove zahteve za dostop ter za varnost in vzdrževanje podatkovne infrastrukture.

6.   Poslovne skrivnosti se varujejo in se razkrijejo le, kadar imetnik podatkov in uporabnik pred razkritjem sprejmeta vse potrebne ukrepe za ohranitev njihove zaupnosti, zlasti v zvezi s tretjimi osebami. Imetnik podatkov ali, kadar nista ista oseba, imetnik poslovne skrivnosti, opredeli podatke, ki so zaščiteni kot poslovna skrivnost, tudi v ustreznih metapodatkih, in se z uporabnikom dogovori o sorazmernih tehničnih in organizacijskih ukrepih, potrebnih za ohranitev zaupnosti podatkov v souporabi, zlasti v odnosu do tretjih oseb, kot so vzorčni pogodbeni pogoji, sporazumi o zaupnosti, strogi protokoli za dostop, tehnični standardi in uporaba kodeksov ravnanja.

7.   Kadar ni dogovora o potrebnih ukrepih iz odstavka 6 ali če uporabnik ne izvede ukrepov, dogovorjenih na podlagi odstavka 6, ali ogroža zaupnost poslovnih skrivnosti, lahko imetnik podatkov zadrži ali, odvisno od primera, začasno prekine souporabo podatkov, ki so opredeljeni kot poslovna skrivnost. Odločitev imetnika podatkov se ustrezno utemelji in uporabniku brez nepotrebnega odlašanja predloži v pisni obliki. Imetnik podatkov v takih primerih uradno obvesti pristojni organ, imenovan na podlagi člena 37, da je zadržal ali začasno prekinil souporabo podatkov, ter opredeli, kateri ukrepi niso bili dogovorjeni ali se niso izvajali ter, kadar je to ustrezno, pri katerih poslovnih skrivnostih je bila ogrožena zaupnost.

8.   V izjemnih okoliščinah, kadar lahko imetnik podatkov, ki je imetnik poslovne skrivnosti, dokaže, da bo kljub tehničnim in organizacijskim ukrepom, ki jih je sprejel uporabnik na podlagi odstavka 6 tega člena, zelo verjetno utrpel hudo gospodarsko škodo zaradi razkritja poslovnih skrivnosti, lahko ta imetnik podatkov za vsak primer posebej zavrne zahtevo za dostop do zadevnih posebnih podatkov. Ta dokaz mora biti ustrezno utemeljen na podlagi objektivnih elementov, zlasti izvršljivosti varstva poslovnih skrivnosti v tretjih državah, naravi in ravni zaupnosti zahtevanih podatkov ter edinstvenosti in novosti povezanega izdelka, in se brez nepotrebnega odlašanja predloži uporabniku v pisni obliki. Kadar imetnik podatkov zavrne souporabo podatkov na podlagi tega odstavka, o tem uradno obvesti pristojni organ, imenovan na podlagi člena 37.

9.   Brez poseganja v pravico uporabnika, da kadar koli uveljavlja pravna sredstva pred sodiščem države članice, lahko uporabnik, ki želi izpodbijati odločitev imetnika podatkov o zavrnitvi ali zadržanju ali začasni prekinitvi souporabe podatkov na podlagi odstavkov 7 in 8:

(a)

vloži pritožbo v skladu s členom 37(5), točka (b), pri pristojnem organu, ki brez nepotrebnega odlašanja odloči, ali in pod katerimi pogoji naj bi se souporaba podatkov začela ali nadaljevala, ali

(b)

se dogovori z imetnikom podatkov, da se zadeva predloži organu za reševanje sporov v skladu s členom 10(1).

10.   Podatkov, pridobljenih na podlagi zahteve iz odstavka 1, uporabnik ne sme uporabiti za razvoj povezanega izdelka, ki konkurira povezanemu izdelku, iz katerega podatki izvirajo, niti jih v ta namen ne da v souporabo tretji osebi, poleg tega pa teh podatkov ne sme uporabiti za pridobivanje vpogleda v gospodarski položaj, sredstva in proizvodne metode proizvajalca ali, kadar je ustrezno, imetnika podatkov.

11.   Uporabnik za pridobitev dostopa do podatkov ne sme uporabljati prisilnih sredstev ali zlorabljati vrzeli v tehnični infrastrukturi imetnika podatkov, ki je namenjena zaščiti podatkov.

12.   Kadar uporabnik ni posameznik, na katerega se nanašajo osebni podatki in katerega osebni podatki se zahtevajo, zagotovi imetnik podatkov osebne podatke, ustvarjene z uporabo povezanega izdelka ali povezane storitve, uporabniku na voljo le, kadar obstaja veljavna pravna podlaga za obdelavo na podlagi člena 6 Uredbe (EU) 2016/679 in, kadar je ustrezno, če so izpolnjeni pogoji iz člena 9 navedene uredbe in člena 5(3) Direktive 2002/58/ES.

13.   Imetnik podatkov uporablja takoj razpoložljive podatke, ki so neosebni podatki, le na podlagi pogodbe z uporabnikom. Imetnik podatkov takih podatkov ne uporablja za to, da bi pridobil vpogled v uporabnikov gospodarski položaj, sredstva in proizvodne metode, ali njegovo uporabo, na kateri koli drug način, ki bi lahko ogrozil tržni položaj tega uporabnika na trgih, na katerih je dejaven.

14.   Imetniki podatkov neosebnih podatkov iz izdelka ne dajejo na voljo tretjim osebam za komercialne ali nekomercialne namene, razen za izpolnitev njihove pogodbe z uporabnikom. Kadar je ustrezno, imetniki podatkov tretje osebe pogodbeno zavežejo, da podatkov, ki so jih prejeli od njih, ne dajo v nadaljnjo souporabo.

Člen 5

Pravica uporabnika do souporabe podatkov s tretjimi osebami

1.   Imetnik podatkov na zahtevo uporabnika ali osebe, ki deluje v njegovem imenu, da na voljo tretji osebi takoj razpoložljive podatke ter ustrezne metapodatke potrebne za razlago in uporabo teh podatkov, brez nepotrebnega odlašanja ter enake kakovosti, kot so na voljo imetniku podatkov, enostavno, varno, brezplačno za uporabnika, v celoviti, strukturirani, splošno uporabljani in strojno berljivi obliki ter, kadar je to ustrezno in tehnično izvedljivo, neprekinjeno in v realnem času. Imetnik podatkov da podatke na voljo tretji osebi v skladu s členoma 8 in 9.

2.   Odstavek 1 se ne uporablja za takoj razpoložljive podatke v okviru preskušanja novih povezanih izdelkov, snovi ali postopkov, ki še niso dani na trg, razen če jih je tretji osebi pogodbeno dovoljeno uporabljati.

3.   Podjetje, imenovano za vratarja na podlagi člena 3 Uredbe (EU) 2022/1925, se ne šteje za upravičeno tretjo osebo na podlagi tega člena in zato:

(a)

od uporabnika na noben način ne zahteva ali ga komercialno spodbuja, niti z dajanjem denarnega ali katerega koli drugega nadomestila, da za eno od njegovih storitev da na voljo podatke, ki jih je uporabnik pridobil na podlagi zahteve iz člena 4(1);

(b)

od uporabnika ne zahteva ali ga komercialno spodbuja, da od imetnika podatkov zahteva, da da podatke na voljo eni od njegovih storitev na podlagi odstavka 1 tega člena;

(c)

od uporabnika ne prejema podatkov, ki jih je uporabnik pridobil na podlagi zahteve iz člena 4(1).

4.   Za namene preverjanja, ali fizična ali pravna oseba izpolnjuje pogoje za uporabnika ali tretjo osebo za namene odstavka 1, se od uporabnika ali tretje osebe ne zahteva nobenih informacij, razen tistih, ki so potrebne. Imetniki podatkov ne hranijo nobenih informacij o dostopu tretje osebe do zahtevanih podatkov, razen tistih, ki so potrebne za pravilno izvršitev zahteve tretje osebe za dostop ter za varnost in vzdrževanje podatkovne infrastrukture.

5.   Tretja oseba za pridobitev dostopa do podatkov ne sme uporabljati prisilnih sredstev ali zlorabljati vrzeli v tehnični infrastrukturi imetnika podatkov, ki je namenjena zaščiti podatkov.

6.   Imetnik podatkov ne sme uporabljati takoj razpoložljivih podatkov, da bi pridobil vpogled v gospodarski položaj, sredstva in proizvodne metode ali uporabo s strani tretje osebe na kateri koli drug način, ki bi lahko ogrozil tržni položaj tretje osebe na trgih, na katerih je dejavna, razen če je tretja oseba dala dovoljenje za tako uporabo in ima tehnično možnost, da dovoljenje kadar koli enostavno prekliče.

7.   Kadar uporabnik ni posameznik, na katerega se nanašajo osebni podatki in katerega osebni podatki se zahtevajo, imetnik podatkov osebne podatke, ustvarjene z uporabo povezanega izdelka ali povezane storitve, da tretji osebi na voljo le, kadar obstaja veljavna pravna podlaga na podlagi člena 6 Uredbe (EU) 2016/679 in so, kadar je ustrezno, izpolnjeni pogoji iz člena 9 navedene uredbe in člena 5(3) Direktive (EU) 2002/58.

8.   Če se imetnik podatkov in tretja oseba ne dogovorita o ureditvah za prenos podatkov, to ne ovira ali preprečuje uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, na podlagi Uredbe (EU) 2016/679, zlasti pravice do prenosljivosti podatkov iz člena 20 navedene uredbe, in ne posega v uveljavljanje teh pravic.

9.   Poslovne skrivnosti se varujejo in se tretjim osebam razkrijejo le v obsegu, ki je nujno potreben za izpolnitev namena, dogovorjenega med uporabnikom in tretjo osebo. Imetnik podatkov ali, kadar nista ista oseba, imetnik poslovne skrivnosti, opredeli podatke, ki so zaščiteni kot poslovna skrivnost, vključno z ustreznimi metapodatki, in se s tretjo osebo dogovori o vseh ustreznih tehničnih in organizacijskih ukrepih, potrebnih za ohranitev zaupnosti podatkov v souporabi, kot so na primer vzorčni pogodbeni pogoji, sporazumi o zaupnosti, strogi protokoli za dostop, tehnični standardi in uporaba kodeksov ravnanja.

10.   Kadar ni dogovora o potrebnih ukrepih iz odstavka 9 tega člena ali kadar tretja oseba ne izvede ukrepov, dogovorjenih na podlagi odstavka 9 tega člena, ali ogroža zaupnost poslovnih skrivnosti, lahko imetnik podatkov zadrži ali, odvisno od primera, začasno prekine souporabo podatkov, ki so opredeljeni kot poslovna skrivnost. Odločitev imetnika podatkov se ustrezno utemelji in tretji osebi brez nepotrebnega odlašanja predloži v pisni obliki. Imetnik podatkov v takih primerih uradno obvesti pristojni organ, imenovan na podlagi člena 37, da je zadržal ali začasno prekinil souporabo podatkov, ter opredeli, kateri ukrepi niso bili dogovorjeni ali se niso izvajali ter, kadar je to ustrezno, pri katerih poslovnih skrivnostih je bila ogrožena zaupnost.

11.   V izjemnih okoliščinah, kadar lahko imetnik podatkov, ki je imetnik poslovne skrivnosti, dokaže, da bo kljub tehničnim in organizacijskim ukrepom, ki jih je sprejela tretja oseba na podlagi odstavka 9 tega člena, zelo verjetno utrpel hudo gospodarsko škodo zaradi razkritja poslovnih skrivnosti, lahko ta imetnik podatkov za vsak primer posebej zavrne zahtevo za dostop do zadevnih posebnih podatkov. Ta dokaz mora biti ustrezno utemeljen na podlagi objektivnih elementov, zlasti izvršljivosti varstva poslovnih skrivnosti v tretjih državah, naravi in ravni zaupnosti zahtevanih podatkov ter edinstvenosti in novosti povezanega izdelka, in se brez nepotrebnega odlašanja predloži tretji osebi v pisni obliki. Kadar imetnik podatkov zavrne souporabo podatkov na podlagi tega odstavka, o tem uradno obvesti pristojni organ, imenovan na podlagi člena 37.

12.   Brez poseganja v pravico tretje osebe, da kadar koli uveljavljajo pravna sredstva pred sodiščem države članice, lahko tretja oseba, ki želi izpodbijati odločitev imetnika podatkov o zavrnitvi ali zadržanju ali začasni prekinitvi souporabe podatkov na podlagi odstavkov 10 in 11:

(a)

vloži pritožbo v skladu s členom 37(5), točka (b), pri pristojnem organu, ki brez nepotrebnega odlašanja odloči, ali in pod katerimi pogoji naj bi se souporaba podatkov začela ali nadaljevala, ali

(b)

se dogovori z imetnikom podatkov, da se zadeva predloži organu za reševanje sporov v skladu s členom 10(1).

13.   Pravica iz odstavka 1 ne vpliva negativno na pravice posameznikov, na katere se nanašajo osebni podatki, na podlagi veljavnega prava Unije in nacionalnega prava o varstvu osebnih podatkov.

Člen 6

Obveznosti tretjih oseb, ki prejmejo podatke na zahtevo uporabnika

1.   Tretja oseba obdeluje podatke, ki so ji bili dani na voljo na podlagi člena 5, samo za namene in pod pogoji, dogovorjenimi z uporabnikom, ter ob upoštevanju prava Unije in nacionalnega prava o varstvu osebnih podatkov, vključno s pravicami posameznika, na katerega se nanašajo osebni podatki, kar zadeva osebne podatke. Tretja oseba izbriše podatke, ko niso več potrebni za dogovorjeni namen, razen če z uporabnikom ni bil sklenjen drugačen dogovor glede neosebnih podatkov.

2.   Tretja oseba:

(a)

ne oteži neupravičeno uveljavljanja izbir ali pravic uporabnika iz člena 5 in tega člena, tudi ne tako, da bi na pristranski način uporabniku ponujala različne izbire ali ga silila, zavajala ali manipulirala z njim, ali pa z omejevanjem ali oviranjem avtonomije, odločanja ali izbire uporabnika, tudi ne prek digitalnega vmesnika uporabnika ali njegovega dela;

(b)

ne glede na člen 22(2), točki (a) in (c), Uredbe (EU) 2016/679, prejetih podatkov ne uporablja za oblikovanje profilov, razen če je to potrebno za opravljanje storitve, ki jo je zahteval uporabnik;

(c)

prejetih podatkov ne daje na voljo drugi tretji osebi, razen če so podatki dani na voljo na podlagi pogodbe z uporabnikom in če druga tretja oseba sprejme vse potrebne ukrepe, o katerih se dogovorita imetnik podatkov in tretja oseba, da se ohrani zaupnost poslovnih skrivnosti;

(d)

prejetih podatkov ne daje na voljo podjetju, imenovanemu za vratarja na podlagi člena 3 Uredbe (EU) 2022/1925;

(e)

prejetih podatkov ne uporablja za razvoj izdelka, ki konkurira povezanemu izdelku, iz katerega izvirajo podatki ali jih v ta namen daje v souporabo drugi tretji osebi; tretje osebe neosebnih podatkov iz izdelka ali podatkov iz povezane storitve, ki so jim bili dani na voljo, tudi ne uporabljajo za to, da bi pridobile vpogled v gospodarski položaj, sredstva in proizvodne metode imetnika podatkov ali njegovo uporabo;

(f)

prejetih podatkov ne uporablja na način, ki negativno vpliva na varnost povezanega izdelka ali povezane storitve;

(g)

ne zanemari posebnih ukrepov, dogovorjenih z imetnikom podatkov ali imetnikom poslovnih skrivnosti na podlagi člena 5(9), in ne ogroža zaupnosti poslovnih skrivnosti;

(h)

uporabniku, ki je potrošnik, ne preprečuje, tudi ne na podlagi pogodbe, da bi podatke, ki jih prejme, dal na voljo drugim osebam.

Člen 7

Obseg obveznosti souporabe podatkov med podjetjem in potrošnikom ter med podjetji

1.   Obveznosti iz tega poglavja se ne uporabljajo za podatke, pridobljene z uporabo povezanih proizvodov, ki jih proizvaja ali zasnuje mikropodjetje ali malo podjetje, ali povezanih storitev, ki jih zagotavlja mikropodjetje ali malo podjetje, pod pogojem, da to podjetje nima partnerskega ali povezanega podjetja v smislu člena 3 Priloge k Priporočilu 2003/361/ES, ki se ne šteje za mikropodjetje ali malo podjetje, in kadar mikropodjetje in malo podjetje proizvodnje ali zasnove povezanega izdelka ali opravljanje povezane storitve ne prejme v podizvajanje.

Enako velja za podatke, pridobljene z uporabo povezanih proizvodov, ki jih proizvaja podjetje ali povezanih storitev, ki jih opravlja to podjetje, ki se šteje za srednje podjetje na podlagi člena 2 Priloge k Priporočilu 2003/361/ES manj kot eno leto, in za povezane proizvode za obdobje enega leta po datumu, ko jih je srednje podjetje dalo na trg.

2.   Kateri koli pogodbeni pogoj, ki v škodo uporabnika izključuje uporabo pravic uporabnika iz tega poglavja, od njih odstopa ali spreminja njihov učinek, za uporabnika ni zavezujoč.

POGLAVJE III

OBVEZNOSTI IMETNIKOV PODATKOV, KI MORAJO DATI PODATKE NA VOLJO NA PODLAGI PRAVA UNIJE

Člen 8

Pogoji, pod katerimi imetniki podatkov dajo podatke na voljo prejemnikom podatkov

1.   Kadar mora imetnik podatkov v okviru odnosov med podjetji dati podatke na voljo prejemniku podatkov na podlagi člena 5 ali na podlagi drugega veljavnega prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije, se s prejemnikom podatkov dogovori o ureditvi dajanja podatkov na voljo in to stori pod poštenimi, razumnimi in nediskriminatornimi pogoji ter na pregleden način v skladu s tem poglavjem in poglavjem IV.

2.   Pogodbeni pogoj v zvezi z dostopom do podatkov in njihovo uporabo ali odgovornostjo in pravnimi sredstvi za kršitev ali prenehanje obveznosti v zvezi s podatki ni zavezujoč, če predstavlja nepošteni pogodbeni pogoj smislu člena 13 ali če v škodo uporabnika izključuje uporabo pravic uporabnika iz poglavja II, od njih odstopa ali spreminja njihov učinek.

3.   Imetnik podatkov v zvezi z ureditvami dajanja podatkov na voljo ne diskriminira med primerljivimi kategorijami prejemnikov podatkov, vključno s partnerskimi podjetji ali povezanimi podjetji imetnika podatkov, kadar daje podatke na voljo. Kadar prejemnik podatkov meni, da so pogoji, pod katerimi so mu bili podatki dani na voljo, diskriminatorni, imetnik podatkov prejemniku podatkov na podlagi njegove utemeljene zahteve brez nepotrebnega odlašanja predloži informacije, ki dokazujejo, da ni bilo diskriminacije.

4.   Imetnik podatkov prejemniku podatkov ne sme dati podatkov na voljo – četudi na izključni osnovi – razen, kadar to zahteva uporabnik na podlagi poglavja II.

5.   Imetnikom podatkov in prejemnikom podatkov ni treba predložiti nobenih informacij, razen tistih, ki so potrebne za preverjanje skladnosti s pogodbenimi pogoji, dogovorjenimi za dajanje podatkov na voljo, ali izpolnjevanja njihovih obveznosti na podlagi te uredbe ali drugega veljavnega prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije.

6.   Če pravo Unije, vključno s členom 4(6) in členom 5(9) te uredbe, ali nacionalna zakonodaja, sprejeta v skladu s pravom Unije, ne določa drugače, obveznost dajanja podatkov na voljo prejemniku podatkov ne zavezuje k razkritju poslovnih skrivnosti.

Člen 9

Nadomestilo za dajanje podatkov na voljo

1.   Ko gre za odnose med podjetji, je vsako nadomestilo, o katerem se dogovorita imetnik podatkov in prejemnik podatkov za dajanje podatkov na voljo, nediskriminatorno in razumno ter lahko vključuje maržo.

2.   Pri dogovoru o morebitnem nadomestilu, imetnik podatkov in prejemnik podatkov upoštevata zlasti:

(a)

stroške dajanja podatkov na voljo, vključno in zlasti stroške, potrebne za formatiranje podatkov, njihovo razširjanje z elektronskimi sredstvi in shranjevanje;

(b)

naložbe v zbiranje in pripravo podatkov, kadar je to ustrezno, pri čemer se upošteva, ali so k pridobivanju, ustvarjanju ali zbiranju zadevnih podatkov prispevale tudi druge osebe.

3.   Nadomestilo iz odstavka 1 je lahko odvisno tudi od količine, oblike zapisa ali narave podatkov.

4.   Kadar je prejemnik podatkov mikro, malo ali srednje podjetje (MSP) ali neprofitna raziskovalna organizacija in kadar tak prejemnik podatkov nima partnerskih podjetij ali povezanih podjetij, ki ne štejejo za MSP, dogovorjeno nadomestilo ne presega stroškov iz odstavka 2, točka (a).

5.   Komisija sprejme smernice za izračun razumnega nadomestila, pri čemer upošteva svetovanje Evropskega odbora za podatkovne inovacije (EDIB) iz člena 42.

6.   Ta člen ne preprečuje, da bi drugo pravo Unije ali nacionalna zakonodaja, sprejeta v skladu s pravom Unije, izključevala nadomestilo za dajanje podatkov na voljo ali določala nižje nadomestilo.

7.   Imetnik podatkov prejemniku podatkov zagotovi dovolj podrobne informacije o določitvi podlage za izračun nadomestila, tako da lahko prejemnik podatkov oceni, ali so izpolnjene zahteve iz odstavkov 1 do 4.

Člen 10

Reševanje sporov

1.   Uporabniki, imetniki podatkov in prejemniki podatkov imajo dostop do organa za reševanje sporov, certificiranega v skladu z odstavkom 5 tega člena, za reševanje sporov na podlagi člena 4(3) in (9) ter člena 5(12) ter v zvezi s spori o poštenih, razumnih in nediskriminatornih pogojih za dajanje podatkov na voljo na pregleden način v skladu s tem poglavjem in poglavjem IV.

2.   Organi za reševanje sporov zadevne stranke seznanijo s pristojbinami ali mehanizmi, ki se uporabljajo za določanje pristojbin, preden te zaprosijo za odločanje.

3.   Za spore predložene organu za reševanje sporov na podlagi člena 4(3) in (9) ter člena 5(12), kadar organ za reševanje sporov v sporu odloči v korist uporabnika ali prejemnika podatkov, imetnik podatkov krije vse pristojbine, ki jih zaračuna organ za reševanje sporov, in temu uporabniku ali temu prejemniku podatkov povrne vse druge razumne stroške, ki so mu nastali v zvezi z reševanjem spora. Če organ za reševanje sporov v sporu odloči v korist imetnika podatkov, uporabniku ali prejemniku podatkov ni treba povrniti pristojbin ali drugih stroškov, ki jih je imetnik podatkov plačal ali jih mora plačati v zvezi z reševanjem spora, razen če organ za reševanje sporov ugotovi, da je uporabnik ali prejemnik podatkov očitno ravnal v slabi veri.

4.   Stranke in ponudniki storitev obdelave podatkov imajo dostop do organa za reševanje sporov, certificiranega v skladu z odstavkom 5 tega člena, za reševanje sporov v zvezi s kršitvami pravic strank in obveznosti ponudnikov storitve obdelave podatkov v skladu s členi 23 do 31.

5.   Država članica, v kateri ima organ za reševanje sporov sedež, na zahtevo tega organa certificira ta organ, kadar ta dokaže, da izpolnjuje vse naslednje pogoje:

(a)

je nepristranski in neodvisen ter mora sprejemati odločitve v skladu z jasnim, nediskriminatornim in pravičnim poslovnikom;

(b)

ima potrebno strokovno znanje, zlasti v zvezi z določanjem poštenih, razumnih in nediskriminatornih pogojev, vključno z nadomestilom, ter o dajanju podatkov na voljo na pregleden način, kar mu omogoča, da učinkovito določi te pogoje;

(c)

je enostavno dostopen preko elektronske komunikacijske tehnologije;

(d)

je sposoben sprejemati odločitve hitro, učinkovito in stroškovno ugodno v vsaj enem uradnem jeziku Unije.

6.   Države članice uradno obvestijo Komisijo o organih za reševanje sporov, certificiranih v skladu z odstavkom 5. Komisija objavi seznam teh organov na posebnem spletnem mestu in ga posodablja.

7.   Organ za reševanje sporov zavrne obravnavo zahteve za rešitev spora, ki je že bila predložena drugemu organu za reševanje sporov ali sodišču države članice.

8.   Organ za reševanje sporov strankam omogoči, da v razumnem roku izrazijo svoje stališče o zadevah, ki so mu jih te stranke predložile. V tem okviru, se vsaki stranki spora posredujejo vloge druge stranke glede njihovega spora in vse izjave izvedencev. Strankam se omogoči, da podajo pripombe na te vloge in izjave.

9.   Organ za reševanje sporov sprejme odločitev o zadevi, ki mu je bila predložena, v 90 dneh po prejemu zahteve na podlagi odstavkov 1 in 4. Ta odločitev je v pisni obliki ali na trajnem nosilcu podatkov, priložena pa ji je obrazložitev.

10.   Organi za reševanje sporov pripravljajo in objavljajo letna poročila o dejavnostih. Taka letna poročila vključujejo zlasti naslednje splošne informacije:

(a)

združene rezultate sporov;

(b)

povprečno trajanje reševanja sporov;

(c)

najpogostejše razloge za spore.

11.   Za lažjo izmenjavo informacij in primerov dobre prakse se lahko organ za reševanje sporov odloči, da bo v poročilo iz odstavka 10 vključil priporočila o tem, kako se je mogoče težavam izogniti ali jih rešiti.

12.   Odločitev organa za reševanje sporov je za stranke zavezujoča le, če so se stranke pred začetkom postopka reševanja spora izrecno strinjale z njeno zavezujočo naravo.

13.   Ta člen ne posega v pravico strank do učinkovitega pravnega sredstva pred sodiščem države članice.

Člen 11

Ukrepi za tehnično zaščito o nepooblaščeni uporabi ali razkritju podatkov

1.   Imetnik podatkov lahko za preprečitev nepooblaščenega dostopa do podatkov, vključno z metapodatki, in za zagotovitev skladnosti s členi 4, 5, 6, 8 in 9 ter dogovorjenimi pogodbenimi pogoji za dajanje podatkov na voljo uporabi primerne ukrepe za tehnično zaščito, vključno s pametnimi pogodbami in šifriranjem. Taki ukrepi za tehnično zaščito niti ne diskriminirajo med prejemniki podatkov niti ne omejujejo pravice uporabnika, da pridobi kopijo podatkov, te prikliče, uporabi ali do njih dostopa, da jih zagotovi tretjim osebam na podlagi člena 5, ali katere koli pravice tretje osebe na podlagi prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije. Uporabniki, tretje osebe in imetniki podatkov takih ukrepov za tehnično zaščito ne spremenijo ali odpravijo, razen če se s tem strinja imetnik podatkov.

2.   V okoliščinah iz odstavka 3 tretja oseba ali prejemnik podatkov brez nepotrebnega odlašanja izpolni zahteve imetnika podatkov in, kadar je ustrezno in kadar nista ista oseba, imetnika poslovne skrivnosti ali uporabnika, da:

(a)

izbriše podatke, ki jih je dal na voljo imetnik podatkov, in vse njihove kopije;

(b)

preneha proizvajati, ponujati ali dajati na trg ali uporabljati blago, izpeljane podatke ali storitve, proizvedene na podlagi znanja, pridobljenega s takimi podatki, ali uvažati, izvažati ali shranjevati blago, ki predstavlja kršitev pravic, v te namene in uniči blago, ki predstavlja kršitev pravic, kadar obstaja resno tveganje, da bo nezakonita uporaba teh podatkov povzročila občutno škodo imetniku podatkov, imetniku poslovne skrivnosti ali uporabniku, ali kadar takšen ukrep ni nesorazmeren glede na interese imetnika podatkov, imetnika poslovne skrivnosti ali uporabnika;

(c)

obvesti uporabnika o nepooblaščeni uporabi ali razkritju podatkov ter o sprejetih ukrepih za prekinitev nepooblaščene uporabe ali razkritja podatkov;

(d)

nadomesti škodo osebi, ki je utrpela zlorabo ali razkritje takih podatkov, do katerih se je dostopalo nezakonito ali ki so se uporabljali nezakonito.

3.   Odstavek 2 se uporablja, kadar je tretja oseba ali prejemnik podatkov:

(a)

zato, da bi pridobil podatke, imetniku podatkov dal napačne informacije, uporabil goljufiva ali prisilna sredstva ali zlorabil vrzeli v tehnični infrastrukturi imetnika podatkov, ki je namenjena zaščiti podatkov;

(b)

podatke, ki so bili dani na voljo, uporabil za nepooblaščene namene, tudi za razvoj konkurenčnega povezanega izdelka v smislu člena 6(2), točka (e);

(c)

nezakonito razkril podatke drugi osebi;

(d)

ni ohranil tehničnih in organizacijskih ukrepov, dogovorjenih na podlagi člena 5(9), ali

(e)

spremenil ali odpravil ukrepe za tehnično zaščito, ki jih je uporabil imetnik na podlagi odstavka 1 tega člena, brez dogovora z imetnikom podatkov.

4.   Odstavek 2 se uporablja tudi, kadar uporabnik spremeni ali odpravi ukrepe za tehnično zaščito, ki jih uporablja imetnik podatkov, ali ne ohrani tehničnih in organizacijskih ukrepov, ki jih je uporabnik sprejel v dogovoru z imetnikom podatkov ali, kadar nista ista oseba, imetnikom poslovnih skrivnosti, ter v zvezi s komur koli, ki je s kršitvijo prejel podatke od uporabnika, da bi ohranil poslovne skrivnosti.

5.   Kadar je prejemnik podatkov kršil člen 6(2), točka (a) ali (b), imajo uporabniki enake pravice kot imetniki podatkov iz odstavka 2 tega člena.

Člen 12

Obseg obveznosti imetnikov podatkov, ki morajo na podlagi prava Unije dati na voljo podatke

1.   To poglavje se uporablja, kadar mora imetnik podatkov v okviru odnosov med podjetji dati podatke na voljo prejemniku podatkov na podlagi člena 5 ali na podlagi veljavnega prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije.

2.   Pogodbeni pogoj v sporazumu o souporabi podatkov, ki v škodo ene stranke ali, kjer je ustrezno, v škodo uporabnika izključuje uporabo tega poglavja, od njega odstopa ali spreminja njegov učinek, za to stranko ni zavezujoč.

POGLAVJE IV

NEPOŠTENI POGODBENI POGOJI V ZVEZI Z DOSTOPOM DO PODATKOV IN NJIHOVO UPORABO MED PODJETJI

Člen 13

Nepošteni pogodbeni pogoji, ki se enostransko nalagajo drugemu podjetju

1.   Pogodbeni pogoj v zvezi z dostopom do podatkov in njihovo uporabo ali odgovornostjo in pravnimi sredstvi za kršitev ali prenehanje obveznosti v zvezi s podatki, ki jih je podjetje enostransko naložilo drugemu podjetju, za slednje podjetje ni zavezujoč, če je nepošten.

2.   Pogodbeni pogoj, ki ustreza obveznim določbam prava Unije, ali določbam prava Unije, ki bi se uporabljale, če pogodbeni pogoji ne bi urejali vprašanja, se ne šteje za nepoštenega.

3.   Pogodbeni pogoj je nepošten, če je take narave, da njegova uporaba močno odstopa od dobre poslovne prakse pri dostopanju do podatkov in njihovi uporabi in je v nasprotju z dobro vero in poštenim ravnanjem.

4.   Pogodbeni pogoj se za namene odstavka 3 zlasti šteje za nepoštenega, če je njegov cilj ali posledica:

(a)

izključitev ali omejitev odgovornosti stranke, ki je enostransko naložila pogoj, v primeru naklepnih ravnanj ali hude malomarnosti;

(b)

izključitev pravnih sredstev, ki so na voljo stranki, ki ji je bil pogoj enostransko naložen, v primeru neizpolnjevanja pogodbenih obveznosti, ali odgovornosti stranke, ki je enostransko naložila pogoj, v primeru kršitve teh obveznosti;

(c)

izključna pravica stranke, ki je enostransko naložila pogoj, da določi, ali so posredovani podatki v skladu s pogodbo, ali da razlaga kateri koli pogodbeni pogoj.

5.   Domneva se, da je pogodbeni pogoj za namene odstavka 3 nepošten, če je njegov cilj ali posledica:

(a)

neustrezna omejitev pravnih sredstev v primeru neizpolnjevanja pogodbenih obveznosti ali odgovornosti v primeru kršitve teh obveznosti ali razširitev odgovornosti podjetja, ki mu je bil enostransko naložen pogoj;

(b)

omogočanje stranki, ki je enostransko naložila pogoj, da dostopa do podatkov druge pogodbene stranke in jih uporablja na način, ki občutno škodi pravnim interesom druge pogodbene stranke, zlasti kadar ti podatki vsebujejo poslovno občutljive podatke ali jih varujejo poslovne skrivnosti ali pravice intelektualne lastnine;

(c)

preprečevanje stranki, ki ji je bil pogoj enostransko naložen, da bi uporabljala podatke, ki jih je zagotovila ali ustvarila v času trajanja pogodbe, ali omejitev uporabe takih podatkov v tolikšni meri, da ta stranka ni upravičena do uporabe takih podatkov, njihovega zajemanja, dostopa do njih ali nadzora nad njimi ali do ustreznega izkoriščanja vrednosti takih podatkov;

(d)

preprečevanje stranki, ki ji je bil pogoj enostransko naložen, da bi sporazum odpovedala v razumnem času;

(e)

preprečevanje stranki, ki ji je bil pogoj enostransko naložen, da bi pridobila kopijo podatkov, ki jih je zagotovila ali ustvarila v času trajanja pogodbe ali v razumnem roku po odpovedi pogodbe;

(f)

omogočanje stranki, ki je enostransko naložila pogoj, da odpove pogodbo v nerazumno kratkem odpovednem roku, ob upoštevanju katere koli razumne možnosti druge pogodbene stranke, da preide na nadomestno in primerljivo storitev, ter finančne škode, ki jo taka odpoved povzroči, razen kadar za to obstajajo resni razlogi;

(g)

omogočanje stranki, ki je enostransko naložila pogoj, da bistveno spremeni ceno, določeno v pogodbi, ali kateri koli drug bistveni pogoj, povezan z naravo, obliko zapisa, kakovostjo ali količino podatkov, ki bodo v souporabi, kadar utemeljen razlog in pravica druge stranke, da v primeru take spremembe odpove pogodbo nista opredeljena v pogodbi.

Točka (g) prvega pododstavka ne vpliva na pogoje, s katerimi si stranka, ki je enostransko naložila pogoj, pridržuje pravico, da enostransko spremeni pogoje pogodbe za nedoločen čas, pod pogojem, da je v pogodbi določen utemeljen razlog za take enostranske spremembe, da mora pogodbena stranka, ki je enostransko uvedla pogoj, drugi pogodbeni stranki v primernem roku posredovati ustrezno obvestilo o vsaki taki nameravani spremembi in da lahko druga pogodbena stranka v primeru spremembe pogodbo brezplačno odpove.

6.   Šteje se, da je pogodbeni pogoj enostransko naložen v smislu tega člena, če ga je predložila ena pogodbena stranka, druga pogodbena stranka pa ni mogla vplivati na njegovo vsebino, čeprav se je skušala pogajati o njem. Pogodbena stranka, ki je predložila pogodbeni pogoj, nosi dokazno breme, da ta pogoj ni bil enostransko naložen. Pogodbena stranka, ki je predložila sporni pogodbeni pogoj, ne more trditi, da je pogodbeni pogoj nepošten.

7.   Kadar je nepošteni pogodbeni pogoj mogoče ločiti od preostalih pogodbenih pogojev, so preostali pogoji zavezujoči.

8.   Ta člen se ne uporablja za pogodbene pogoje, ki opredeljujejo glavni predmet pogodbe, niti za ustreznost cene glede na podatke, dobavljene v zameno.

9.   Stranke pogodbe, ki jo zajema odstavek 1, ne izključijo uporabe tega člena, odstopajo od njega ali spreminjajo njegovih učinkov.

POGLAVJE V

DAJANJE PODATKOV NA VOLJO ORGANOM JAVNEGA SEKTORJA, KOMISIJI, EVROPSKI CENTRALNI BANKI IN ORGANOM UNIJE NA PODLAGI IZJEMNE POTREBE

Člen 14

Obveznost dajanja podatkov na voljo na podlagi izjemne potrebe

Kadar organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije v skladu s členom 15 dokaže izjemno potrebo po uporabi nekaterih podatkov, vključno z ustreznimi metapodatki, potrebnimi za razlago in uporabo teh podatkov, za opravljanje svojih zakonsko predpisanih nalog v javnem interesu, jih imetniki podatkov, ki so pravne osebe, vendar niso organi javnega sektorja, in hranijo te podatke, dajo na voljo na podlagi ustrezno utemeljene zahteve.

Člen 15

Izjemna potreba po uporabi podatkov

1.   Izjemna potreba po uporabi določenih podatkov v smislu tega poglavja je časovno in po obsegu omejena, šteje pa se, da obstaja samo v katerem koli od naslednjih primerov:

(a)

kadar so zahtevani podatki potrebni za odziv na splošno nevarnost in organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije ne more pravočasno in učinkovito ter pod enakimi pogoji takih podatkov pridobiti na drug način;

(b)

v okoliščinah, ki niso zajete v točki (a), in samo glede neosebnih podatkov, kadar:

(i)

organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije deluje na podlagi prava Unije ali nacionalnega prava in opredeli posebne podatke, brez katerih ne more izpolniti posebne naloge, ki se izvaja v javnem interesu in ki je izrecno določena z zakonom, kot je priprava uradne statistike ali ublažitev splošne nevarnosti ali okrevanje po njej, in

(ii)

je organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije izčrpal vse druge razpoložljive načine za pridobitev takih podatkov, tudi nakup neosebnih podatkov na trgu s ponujanjem tržnih cen ali uveljavljanje obstoječih obveznosti dajanja podatkov na voljo ali sprejetje novih zakonodajnih ukrepov, ki bi lahko zagotovili pravočasno razpoložljivost podatkov.

2.   Odstavek 1, točka (b), se ne uporablja za mikropodjetja in mala podjetja.

3.   Obveznost dokazovanja, da organ javnega sektorja ni mogel pridobiti neosebnih podatkov z nakupom na trgu, se ne uporablja, kadar je posebna naloga, ki se izvaja v javnem interesu, priprava uradne statistike in kadar nakup takih podatkov ni dopusten v skladu z nacionalnim pravom.

Člen 16

Razmerje do drugih obveznosti dajanja podatkov na voljo organom javnega sektorja, Komisiji, Evropski centralni banki in organom Unije

1.   To poglavje ne vpliva na obveznosti, ki so v pravu Unije ali nacionalnem pravu določene za poročanje, izpolnjevanje zahtev za dostop do informacij ali dokazovanje ali preverjanje izpolnjevanja pravnih obveznosti.

2.   To poglavje se ne uporablja za organe javnega sektorja, Komisijo, Evropsko centralno banko ali organe Unije, ki izvajajo dejavnosti preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali upravnih prekrškov ali izvrševanja kazenskih sankcij, ali za carinsko ali davčno upravo. To poglavje ne vpliva na veljavno pravo Unije in nacionalno pravo o preprečevanju, preiskovanju, odkrivanju ali pregonu kaznivih dejanj ali upravnih prekrškov ali izvrševanju kazenskih ali upravnih sankcij ali o carinski ali davčni upravi.

Člen 17

Zahteve za dajanje podatkov na voljo

1.   Kadar organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije zahteva podatke na podlagi člena 14:

(a)

navede zahtevane podatke, vključno z ustreznimi metapodatki, potrebnimi za razlago in uporabo teh podatkov;

(b)

dokaže, da so izpolnjeni pogoji potrebni za obstoj izjemne potrebe, kot je določeno v členu 15, zaradi katere zahteva podatke;

(c)

pojasni namen zahteve, predvideno uporabo zahtevanih podatkov, po potrebi tudi s strani tretje osebe v skladu z odstavkom 4 tega člena, trajanje te uporabe ter, kadar je ustrezno, kako se bo z njihovo obdelavo obravnavala izjemna potreba;

(d)

navede, če je mogoče, kdaj se pričakuje, da bodo podatke izbrisale vse stranke, ki imajo dostop do njih;

(e)

utemelji izbiro imetnika podatkov, na katerega je naslovil zahtevo;

(f)

navede vse druge organe javnega sektorja ali Komisijo, Evropsko centralno banko ali organe Unije in tretje osebe, za katere se pričakuje, da jim bodo zahtevani podatki dani v souporabo;

(g)

kadar zahteva osebne podatke, navede vse tehnične in organizacijske ukrepe, ki so potrebni in sorazmerni za izvajanje načel varstva podatkov, ter potrebne zaščitne ukrepe, kot na primer psevdonimizacija, in ali lahko imetnik podatkov uporabi anonimizacijo, preden bo dal podatke na voljo;

(h)

navede pravno določbo, na podlagi katere je bila organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije, ki je vložil zahtevo, naložena posebna naloga, ki se izvaja v javnem interesu in je pomembna za zahtevo po podatkih;

(i)

navede rok do katerega je treba podatke dati na voljo in rok iz člena 18(2) v katerem lahko imetnik podatkov zavrne ali zahteva spremembo zahteve;

(j)

si po najboljših močeh prizadeva, da izpolnitev zahteve po podatkih ne bi pomenila, da bi bil imetnik podatkov odgovoren za kršitev prava Unije ali nacionalnega prava.

2.   Zahteva za podatke, vložena na podlagi odstavka 1 tega člena:

(a)

je v pisni obliki in izražena v jasnem, jedrnatem in preprostem jeziku, ki je razumljiv imetniku podatkov;

(b)

točno navaja vrsto podatkov, ki se zahtevajo, in se nanaša na podatke, nad katerimi ima imetnik podatkov v času zahteve nadzor;

(c)

je sorazmerna z izjemno potrebo ter ustrezno utemeljena glede podrobnosti in količine zahtevanih podatkov ter pogostosti dostopa do zahtevanih podatkov;

(d)

spoštuje zakonite cilje imetnika podatkov, je zavezana varstvu poslovnih skrivnosti v skladu s členom 19(3), ter upošteva stroške in trud, ki so potrebni za dajanje podatkov na voljo;

(e)

se nanaša na neosebne podatke, in samo če neosebni podatki dokazano ne zadoščajo za odziv na izjemno potrebo po uporabi podatkov v skladu s členom 15(1), točka (a), vsebuje zahtevo po osebnih podatkih, in sicer v psevdonimizirani obliki, poleg tega pa določa tehnične in organizacijske ukrepe, ki se sprejmejo za zaščito podatkov;

(f)

obvesti imetnika podatkov o kaznih, ki jih pristojni organ, imenovan na podlagi člena 37, naloži na podlagi člena 40 v primeru neizpolnjevanja zahteve;

(g)

kadar je zahtevo vložil organ javnega sektorja, se posreduje koordinatorju podatkov države članice iz člena 37, kjer ima organ javnega sektorja, ki je vložil zahtevo, sedež; koordinator podatkov bo napravil zahtevo javno dostopno na spletu brez nepotrebnega odlašanja, razen če meni, da bi taka objava povzročila tveganje za javno varnost;

(h)

kadar zahtevo vloži Komisija, Evropska centralna banka ali organ Unije, se da na voljo na spletu brez nepotrebnega odlašanja;

(i)

kadar se zahtevajo osebni podatki, je brez nepotrebnega odlašanja priglašena nadzornemu organu, odgovornemu za spremljanje uporabe Uredbe (EU) 2016/679 v državi članici, v kateri ima organ javnega sektorja sedež.

Evropska centralna banka in organi Unije obvestijo Komisijo o svojih zahtevah.

3.   Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije podatkov, ki so bili pridobljeni na podlagi tega poglavja, ne daje na voljo za ponovno uporabo, kot je določeno v členu 2, točka 2, Uredbe (EU) 2022/868 ali členu 2, točka 11, Direktive (EU) 2019/1024. Uredba (EU) 2022/868 in Direktiva (EU) 2019/1024 se ne uporabljata za podatke, ki jih hranijo organi javnega sektorja in so bili pridobljeni na podlagi tega poglavja.

4.   Odstavek 3 tega člena organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije ne preprečuje izmenjave podatkov, pridobljenih na podlagi tega poglavja, z drugim organom javnega sektorja ali Komisijo, Evropsko centralno banko ali organom Unije za izpolnitev nalog iz člena 15, kot je opredeljeno v zahtevi v skladu z odstavkom 1, točka (f), tega člena, ali dajanja podatkov na voljo tretji osebi, kadar je na to tretjo osebo z javno dostopnim sporazumom prenesel zunanje izvajanje tehničnih pregledov ali drugih funkcij. Obveznosti organov javnega sektorja na podlagi člena 19, zlasti zaščitni ukrepi za ohranjanje zaupnosti poslovnih skrivnosti, se uporabljajo tudi za take tretje osebe. Kadar organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije posreduje ali da na voljo podatke na podlagi tega odstavka, o tem brez nepotrebnega odlašanja uradno obvesti imetnika podatkov, od katerega je prejel podatke.

5.   Kadar imetnik podatkov meni, da so bile s posredovanjem ali dajanjem podatkov na voljo njegove pravice iz tega poglavja kršene, se lahko pritoži pri pristojnem organu, imenovanem na podlagi člena 37, v državi članici, v kateri ima imetnik podatkov sedež.

6.   Komisija pripravi vzorčno predlogo za zahteve na podlagi tega člena.

Člen 18

Izpolnitev zahtev za podatke

1.   Imetnik podatkov, ki prejme zahtevo, da na podlagi tega poglavja da podatke na voljo, te podatke brez nepotrebnega odlašanja da na voljo organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije, ki je podatke zahteval, pri čemer upošteva potrebne tehnične, organizacijske in pravne ukrepe.

2.   Brez poseganja v posebne potrebe glede razpoložljivosti podatkov, opredeljene v pravu Unije ali nacionalnem pravu, lahko imetnik podatkov zavrne ali zahteva spremembo zahteve, da da podatke na voljo na podlagi tega poglavja, brez nepotrebnega odlašanja, v vsakem primeru pa najpozneje v petih delovnih dneh po prejemu zahteve za podatke, potrebne za odziv na splošno nevarnost, v drugih primerih izjemne potrebe pa brez nepotrebnega odlašanja, v vsakem primeru pa v 30 delovnih dneh po prejemu take zahteve, in sicer iz katerega koli od naslednjih razlogov:

(a)

imetnik podatkov nima nadzora nad zahtevanimi podatki;

(b)

podobno zahtevo za isti namen je že vložil drug organ javnega sektorja ali Komisija, Evropska centralna banka ali organ Unije, imetnik podatkov pa ni bil uradno obveščen o izbrisu podatkov na podlagi člena 19(1), točka (c);

(c)

zahteva ne izpolnjuje pogojev iz člena 17(1) in (2).

3.   Če se imetnik podatkov odloči, da zahtevo zavrne ali zahteva njeno spremembo v skladu z odstavkom 2, točka (b), navede identiteto organa javnega sektorja, Komisije, Evropske centralne banke ali organa Unije, ki je že prej vložil zahtevo za isti namen.

4.   Kadar zahtevani podatki vključujejo osebne podatke, imetnik podatkov ustrezno anonimizira podatke, razen kadar je za izpolnitev zahteve, da se podatki dajo na voljo organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije potrebno razkritje osebnih podatkov. V takih primerih imetnik podatkov psevdonimizira podatke.

5.   Kadar želi organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije izpodbijati zavrnitev imetnika podatkov, da bi dal na voljo zahtevane podatke, ali kadar želi imetnik podatkov izpodbijati zahtevo, vprašanja pa ni mogoče razrešiti z ustrezno spremembo zahteve, se zadeva predloži pristojnemu organu, imenovanemu na podlagi člena 37, države članice, v kateri ima imetnik podatkov sedež.

Člen 19

Obveznosti organov javnega sektorja, Komisije, Evropske centralne banke in organov Unije

1.   Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije, ki je prejel podatke na podlagi zahteve, vložene na podlagi člena 14:

(a)

podatkov ne uporablja na način, ki ni združljiv z namenom, za katerega so bili zahtevani;

(b)

izvede tehnične in organizacijske ukrepe, ki ohranjajo zaupnost in celovitost zahtevanih podatkov ter varnost prenosov podatkov, zlasti osebnih podatkov, ter varujejo pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki;

(c)

izbriše podatke takoj, ko niso več potrebni za navedeni namen, ter brez nepotrebnega odlašanja obvesti imetnika podatkov in posameznike ali organizacije, ki so prejeli podatke na podlagi člena 21(1), da so bili podatki izbrisani, razen če je treba v skladu s pravom Unije ali nacionalnim pravom o dostopu javnosti do dokumentov v okviru obveznosti glede preglednosti podatke arhivirati.

2.   Organ javnega sektorja, Komisija, Evropska centralna banka, organ Unije ali tretja oseba, ki prejme podatke na podlagi tega poglavja:

(a)

ne uporablja podatkov ali vpogleda v gospodarski položaj, sredstva in načine proizvodnje ali delovanja imetnika podatkov za razvoj ali izboljšanje povezanega izdelka ali povezane storitve, ki konkurira povezanemu izdelku ali povezani storitvi imetnika podatkov;

(b)

ne deli podatkov z drugo tretjo osebo za katerega koli od namenov iz točke (a).

3.   Razkritje poslovnih skrivnosti organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije se zahteva le v obsegu, v katerem je nujno potrebno za doseganje namena zahteve na podlagi člena 15. V takem primeru imetnik podatkov ali, kadar nista ista oseba, imetnik poslovne skrivnosti, določi, kateri podatki se varujejo kot poslovne skrivnosti, vključno z ustreznimi metapodatki. Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije pred razkritjem poslovne skrivnosti sprejme vse potrebne in ustrezne tehnične in organizacijske ukrepe za ohranitev zaupnosti poslovnih skrivnosti, po potrebi tudi uporabo vzorčnih pogodbenih pogojev, tehničnih standardov in kodeksov ravnanja.

4.   Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije je odgovoren za varnost podatkov, ki jih prejme.

Člen 20

Nadomestilo v primerih izjemne potrebe

1.   Imetniki podatkov, razen mikropodjetij in malih podjetij, dajo podatke, potrebne za odziv na splošno nevarnost na podlagi člena 15(1), točka (a), na voljo brezplačno. Če imetnik podatkov to zahteva, mu organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije, ki je prejel podatke, za to zagotovi javno priznanje.

2.   Imetnik podatkov je upravičen do poštenega nadomestila za dajanje podatkov na voljo v skladu z zahtevo, vloženo na podlagi člena 15(1), točka (b). Tako nadomestilo krije tehnične in organizacijske stroške, nastale zaradi izpolnitve zahteve, ter po potrebi tudi stroške anonimizacije, psevdonimizacije, združevanja in tehnične prilagoditve in razumno maržo. Imetnik podatkov na zahtevo organa javnega sektorja, Komisije, Evropske centralne banke ali organa Unije da na voljo informacije o podlagi za izračun stroškov in razumne marže.

3.   Odstavek 2 se uporablja tudi, kadar nadomestilo za dajanje podatkov na voljo zahteva mikropodjetje ali malo podjetje.

4.   Imetniki podatkov niso upravičeni do nadomestila za dajanje podatkov na voljo v skladu z zahtevo, vloženo na podlagi člena 15(1), točka (b), kadar je posebna naloga, ki se izvaja v javnem interesu, priprava uradne statistike in kadar nakup podatkov ni dopusten v skladu z nacionalnim pravom. Države članice uradno obvestijo Komisijo, če nakup podatkov za pripravo uradne statistike ni dopusten v skladu z nacionalnim pravom.

5.   Kadar se organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije ne strinja z ravnjo nadomestila, ki ga zahteva imetnik podatkov, se lahko pritoži pri pristojnem organu, imenovanem na podlagi člena 37, v državi članici, v kateri ima imetnik podatkov sedež.

Člen 21

Dajanje podatkov, pridobljenih v okviru izjemne potrebe, v souporabo raziskovalnim organizacijam ali statističnim organom

1.   Organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije ima pravico do dajanja podatkov, prejetih na podlagi tega poglavja, v souporabo:

(a)

posameznikom ali organizacijam za izvedbo znanstvenih raziskav ali analitik, združljivih z namenom, za katerega so bili podatki zahtevani, ali

(b)

nacionalnim statističnim uradom in Eurostatu za pripravo uradne statistike.

2.   Posamezniki ali organizacije, ki prejmejo podatke na podlagi odstavka 1, delujejo nepridobitno ali v okviru poslanstva javnega interesa, priznanega v pravu Unije ali nacionalnem pravu. Mednje ne spadajo organizacije, na katere imajo komercialna podjetja znaten vpliv, ki bo verjetno imel za posledico prednostni dostop do izsledkov raziskav.

3.   Posamezniki ali organizacije, ki prejmejo podatke na podlagi odstavka 1 tega člena, izpolnjujejo iste obveznosti, kot veljajo za organe javnega sektorja, Komisijo, Evropsko centralno banko ali organe Unije na podlagi člena 17(3) in člena 19.

4.   Posamezniki ali organizacije, ki prejmejo podatke na podlagi odstavka 1 tega člena, lahko ne glede na člen 19(1), točka (c), hranijo prejete podatke za namen, za katerega so bili zahtevani, do šest mesecev po tem, ko so organi javnega sektorja, Komisija, Evropska centralna banka in organi Unije te podatke izbrisali.

5.   Kadar organ javnega sektorja, Komisija, Evropska centralna banka ali organ Unije namerava posredovati ali dati na voljo podatke na podlagi odstavka 1 tega člena, o tem brez nepotrebnega odlašanja uradno obvesti imetnika podatkov, od katerega je prejel podatke, ter navede identiteto in kontaktne podatke organizacije ali posameznika, ki prejme podatke, namen posredovanja ali dajanja podatkov na voljo, obdobje, v katerem se bodo podatki uporabljali, ter sprejete ukrepe tehnične zaščite in organizacijske ukrepe, tudi kadar gre za osebne podatke ali poslovne skrivnosti. Kadar se imetnik podatkov ne strinja s posredovanjem ali dajanjem podatkov na voljo, se lahko pritoži pri pristojnem organu, imenovanem na podlagi člena 37, v državi članici, v kateri ima imetnik podatkov sedež.

Člen 22

Medsebojna pomoč in čezmejno sodelovanje

1.   Organi javnega sektorja, Komisija, Evropska centralna banka in organi Unije sodelujejo in drug drugemu pomagajo pri doslednem izvajanju tega poglavja.

2.   Podatki, izmenjani v okviru pomoči, za katero se zaprosi in ki se nudi na podlagi odstavka 1, se ne uporabljajo na način, ki ni združljiv z namenom, za katerega so bili zahtevani.

3.   Kadar organ javnega sektorja namerava zahtevati podatke od imetnika podatkov s sedežem v drugi državi članici, o tej nameri najprej uradno obvesti pristojni organ, imenovan na podlagi člena 37, v tej državi članici. Ta zahteva velja tudi za zahteve Komisije, Evropske centralne banke in organov Unije. Zahtevo preuči pristojni organ države članice, v kateri ima imetnik podatkov sedež.

4.   Ustrezni pristojni organ, potem ko preuči zahtevo glede na zahteve iz člena 17, brez nepotrebnega odlašanja sprejme enega od naslednjih ukrepov:

(a)

zahtevo posreduje imetniku podatkov ter po potrebi da navodilo organu javnega sektorja, Komisiji, Evropski centralni banki ali organu Unije, ki je vložil zahtevo, glede morebitne potrebe po sodelovanju z organi javnega sektorja države članice, v kateri ima imetnik podatkov sedež, da bi se zmanjšalo upravno breme imetnika podatkov pri izpolnjevanju zahteve;

(b)

zaradi ustrezno utemeljenih razlogov v skladu s tem poglavjem zavrne zahtevo.

Organ javnega sektorja, Komisija, Evropska centralna banka in organ Unije, ki so vložili zahtevo, upoštevajo nasvete in razloge, ki jih je predložil zadevni pristojni organ na podlagi prvega pododstavka, preden po potrebi sprejmejo katere koli nadaljnje ukrepe, kot je ponovna vložitev zahteve.

POGLAVJE VI

ZAMENJAVA STORITEV OBDELAVE PODATKOV

Člen 23

Odprava ovir za učinkovito zamenjavo

Ponudniki storitev obdelave podatkov sprejmejo ukrepe iz členov 25, 26, 27, 29 in 30, da strankam omogočijo, da njihovo storitev zamenjajo s storitvijo obdelave podatkov, ki zajema isto vrsto storitve in jo zagotavlja drug ponudnik storitev obdelave podatkov ali z lokalno infrastrukturo IKT, oziroma, kadar je ustrezno, hkrati uporabljajo več ponudnikov storitev obdelave podatkov. Ponudniki storitev obdelave podatkov predvsem ne postavljajo, temveč odpravijo predkomercialne, poslovne, tehnične, pogodbene in organizacijske ovire, ki strankam preprečujejo:

(a)

odpoved pogodbe o storitvi obdelave podatkov po poteku najdaljšega odpovednega roka in uspešnem zaključku postopka zamenjave v skladu s členom 25;

(b)

sklepanje novih pogodb z drugim ponudnikom storitev obdelave podatkov, ki zajema isto vrsto storitve;

(c)

prenos podatkov, ki jih je mogoče izvoziti in drugih digitalnih sredstev strank k drugemu ponudniku storitev obdelave podatkov ali v lokalno infrastrukturo IKT, tudi po tem, ko so izkoristile brezplačno ponudbo;

(d)

doseganje funkcionalne enakovrednosti pri uporabi nove storitve obdelave podatkov v informacijskem okolju drugega ponudnika storitev obdelave podatkov, ki zajema isto storitev, v skladu s členom 24;

(e)

ločevanje, kadar je tehnično izvedljivo, storitev obdelave podatkov iz člena 30(1) od drugih storitev obdelave podatkov, ki jih zagotavlja ponudnik storitev obdelave podatkov.

Člen 24

Obseg tehničnih obveznosti

Odgovornosti ponudnikov storitev obdelave podatkov določene v členih 23, 25, 29, 30 in 34, veljajo le za storitve, pogodbe ali poslovne prakse, ki jih zagotavlja izvorni ponudnik storitev obdelave podatkov.

Člen 25

Pogodbeni pogoji za zamenjavo

1.   Pravice stranke in obveznosti ponudnika storitev obdelave podatkov glede zamenjave ponudnika takih storitev ali, kadar je ustrezno, prehoda na lokalno infrastrukturo IKT so jasno določene v pisni pogodbi. Ponudnik storitev obdelave podatkov da to pogodbo stranki na voljo še pred podpisom pogodbe na način, ki stranki omogoča, da pogodbo shrani in reproducira.

2.   Brez poseganja v Direktivo (EU) 2019/770, pogodba iz odstavka 1 tega člena vključuje vsaj:

(a)

klavzule, ki stranki omogočajo, da na zahtevo preide na storitev obdelave podatkov, ki jo ponuja drug ponudnik storitev obdelave podatkov, ali da vse podatke, ki jih je mogoče izvoziti, in digitalna sredstva prenese v lokalno infrastrukturo IKT, brez nepotrebnega odlašanja in v vsakem primeru najpozneje v roku obveznega najdaljšega prehodnega obdobja 30 koledarskih dni, ki se začne po najdaljšem odpovednem roku iz točke (d), v katerem je pogodba o storitvah še naprej veljavna in v katerem ponudnik storitev obdelave podatkov:

(i)

v postopku zamenjave razumno pomaga stranki in tretjim osebam, ki jih je stranka pooblastila;

(ii)

deluje s potrebno skrbnostjo, da ohrani neprekinjeno poslovanje ter še naprej zagotavlja funkcije ali storitve na podlagi pogodbe;

(iii)

zagotovi jasne informacije o znanih tveganjih za neprekinjeno zagotavljanje funkcij ali storitev s strani izvornega ponudnika storitev obdelave podatkov;

(iv)

zagotovi, da je med celotnim postopkom zamenjave ohranjena visoka raven varnosti, zlasti varnost podatkov med njihovim prenosom in nadaljnja varnost podatkov med obdobjem priklica, določenim v točki (g), v skladu z veljavnim pravom Unije ali nacionalnim pravom;

(b)

obveznost ponudnika storitev obdelave podatkov, da podpira izhodno strategijo stranke, relevantno za pogodbene storitve, vključno z zagotavljanjem vseh ustreznih informacij;

(c)

klavzulo, ki določa, da se šteje, da je pogodba odpovedana, in da je treba stranko uradno obvestiti o odpovedi v enem od naslednjih primerov:

(i)

kadar je ustrezno, po uspešnem zaključku postopka zamenjave;

(ii)

po koncu najdaljšega odpovednega roka iz odstavka (d), kadar stranka po odpovedi storitve noče izvesti zamenjave, temveč hoče izbrisati svoje podatke, ki jih je mogoče izvoziti, in digitalna sredstva;

(d)

najdaljši odpovedni rok za začetek postopka zamenjave, ki ni daljši od dveh mesecev;

(e)

izčrpno specifikacijo vseh kategorij podatkov in digitalnih sredstev, ki jih je mogoče prenesti med postopkom zamenjave, vključno vsaj z vsemi podatki, ki jih je mogoče izvoziti;

(f)

izčrpno specifikacijo kategorij podatkov, specifičnih za notranje delovanje ponudnikove storitve obdelave podatkov, ki jih je treba izvzeti iz podatkov, ki jih je mogoče izvoziti na podlagi točke (e) tega odstavka, kadar obstaja tveganje, da bodo kršene poslovne skrivnosti ponudnika, če tako izvzetje ne ovira ali povzroča zamud pri postopku zamenjave iz člena 23;

(g)

najkrajše obdobje za priklic podatkov, ki traja vsaj 30 koledarskih dni in se začne po koncu prehodnega obdobja, o katerem sta se dogovorila stranka in ponudnik storitev obdelave podatkov v skladu s točko (a) tega odstavka in odstavkom 4;

(h)

klavzulo, ki jamči, da bodo po poteku obdobja priklica iz točke (g) oziroma po poteku drugega dogovorjenega obdobja na dan, ki je poznejši od dneva poteka obdobja priklica iz točke (g), v celoti izbrisani vsi podatki, ki jih je mogoče izvoziti, in digitalna sredstva, ki jih je stranka ustvarila neposredno ali ki neposredno zadevajo stranko, pod pogojem, da je bil postopek zamenjave uspešno zaključen;

(i)

povračila za zamenjavo, ki jih lahko zaračunajo ponudniki storitev obdelave podatkov v skladu s členom 29.

3.   Pogodba iz odstavka 1, vključuje klavzule o tem, da lahko stranka uradno obvesti ponudnika storitev obdelave podatkov o svoji odločitvi, da bo po koncu najdaljšega odpovednega roka iz odstavka 2, točka (d), izvedla eno ali več od naslednjih dejanj:

(a)

ponudnika zamenjala za drugega ponudnika storitev obdelave podatkov, pri čemer stranka zagotovi potrebne podatke o tem ponudniku;

(b)

prešla na lokalno infrastrukturo IKT;

(c)

izbrisala svoje podatke, ki jih je mogoče izvoziti, in digitalna sredstva.

4.   Kadar je obvezno najdaljše prehodno obdobje, kot je določeno v odstavku 2, točka (a), tehnično neizvedljivo, ponudnik storitev obdelave podatkov o tem uradno obvesti stranko v 14 delovnih dneh od vložitve zahteve za zamenjavo ponudnika ter tehnično neizvedljivost ustrezno utemelji in navede nadomestno prehodno obdobje, ki ne sme biti daljše od sedmih mesecev. V skladu z odstavkom 1 se v celotnem nadomestnem prehodnem obdobju zagotovi neprekinjenost storitev.

5.   Brez poseganja v odstavek 4, pogodba iz odstavka 1 vključuje klavzule, ki stranki zagotavljajo pravico, da prehodno obdobje enkrat podaljša za obdobje, ki se stranki zdi primernejše za lastne potrebe.

Člen 26

Obveznost obveščanja ponudnikov storitev obdelave podatkov

Ponudnik storitev obdelave podatkov stranki zagotovi:

(a)

informacije o razpoložljivih postopkih za zamenjavo in prenos storitev obdelave podatkov, vključno z informacijami o razpoložljivih metodah in oblikah zamenjave in prenosa ter omejitvah in tehničnih omejitvah, s katerimi je ponudnik storitev obdelave podatkov seznanjen;

(b)

napotilo na redno posodobljen spletni register na spletnem mestu ponudnika storitev obdelave podatkov s podrobnostmi o vseh podatkovnih strukturah in oblikah zapisov podatkov ter zadevnih standardih in odprtih specifikacijah za interoperabilnost, v katerem so na voljo podatki, ki jih je mogoče izvoziti, iz člena 25(2), točka (e).

Člen 27

Obveznost dobre vere

Vse udeležene strani, vključno s ciljnimi ponudniki storitev obdelave podatkov, sodelujejo v dobri veri, da se zagotovi učinkovit postopek zamenjave, omogoči pravočasen prenos podatkov in ohrani neprekinjenost storitve obdelave podatkov.

Člen 28

Obveznosti pogodbene preglednosti o mednarodnem dostopu in prenosu

1.   Ponudniki storitev obdelave podatkov na svojih spletnih mestih objavijo in redno posodabljajo naslednje informacije:

(a)

pod katero jurisdikcijo spada infrastruktura IKT, ki se uporablja za obdelavo podatkov v okviru njihovih posameznih storitev;

(b)

splošni opis tehničnih, organizacijskih in pogodbenih ukrepov, ki jih je sprejel ponudnik storitev obdelave podatkov, da bi preprečil mednarodno vladni dostop do neosebnih podatkov ali njihov prenos, ki se hranijo v Uniji, kadar bi bil tak dostop ali prenos v nasprotju s pravom Unije ali nacionalnim pravom zadevne države članice.

2.   V pogodbah se za vse storitve obdelave podatkov, ki jih ponujajo ponudniki storitev obdelave podatkov, navedejo spletna mesta iz odstavka 1.

Člen 29

Postopna odprava povračil za zamenjavo

1.   Od 12. januarja 2027 ponudniki storitev obdelave podatkov stranki v postopku zamenjave ne zaračunavajo nobenih povračil za zamenjavo.

2.   Od 11. januarja 2024 do 12. januarja 2027 lahko ponudniki storitev obdelave podatkov stranki v postopku zamenjave zaračunavajo nižja povračila za zamenjavo.

3.   Nižja povračila za zamenjavo iz odstavka 2 ne presegajo stroškov, ki nastanejo ponudniku storitev obdelave podatkov in so neposredno povezani z zadevnim postopkom zamenjave.

4.   Ponudniki storitev obdelave podatkov potencialni stranki pred sklenitvijo pogodbe z njo zagotovijo jasne informacije o standardnih pristojbinah za storitve in kaznih za predčasno odpoved, ki se lahko zaračunajo, pa tudi o nižjih povračilih za zamenjavo, ki se lahko zaračunajo v obdobju iz odstavka 2.

5.   Kadar je ustrezno, ponudniki storitev obdelave podatkov stranki zagotovijo informacije o storitvah obdelave podatkov, povezanih z zelo zapleteno ali drago zamenjavo ali kjer zamenjave ni mogoče opraviti brez večjega poseganja v podatke, digitalna sredstva ali storitveno arhitekturo.

6.   Kadar je ustrezno, dajo ponudniki storitev obdelave podatkov informacije iz odstavkov 4 in 5 strankam na voljo tako, da jih javno objavijo na posebnem razdelku na svojem spletnem mestu ali na drug enostavno dostopen način.

7.   Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 45 za dopolnitev te uredbe z uvedbo mehanizma spremljanja, s katerim bo spremljala povračila za zamenjavo, ki jih na trgu zaračunavajo ponudniki storitev obdelave podatkov, ter tako zagotovila, da bodo povračila za zamenjavo na podlagi odstavkov 1 in 2 tega člena odpravljena in zmanjšana v rokih iz navedenih odstavkov.

Člen 30

Tehnični vidiki zamenjave

1.   Ponudniki storitev obdelave podatkov, ki zadevajo prožne in prilagodljive računalniške vire, omejene na infrastrukturne elemente, kot so strežniki, omrežja in virtualni viri, potrebni za upravljanje infrastrukture, toda ki ne zagotavljajo dostopa do operativnih storitev, programske opreme in aplikacij, ki se shranjujejo, kako drugače obdelujejo ali uporabljajo na teh infrastrukturnih elementih, v skladu s členom 27 sprejmejo vse razumne ukrepe v svoji moči, da stranki po prehodu na storitev, ki zajema isto vrsto storitve, olajšajo doseganje funkcionalne enakovrednosti pri uporabi ciljne storitve obdelave podatkov. Izvorni ponudnik storitev obdelave podatkov olajša postopek zamenjave z zagotavljanjem zmogljivosti, ustreznih informacij, dokumentacije, tehnične podpore in, kadar je ustrezno, potrebnih orodij.

2.   Ponudniki storitev obdelave podatkov, ki niso navedeni v odstavku 1, dajo odprte vmesnike v enakem obsegu in brezplačno na voljo vsem svojim strankam in zadevnim ciljnim ponudnikom storitev obdelave podatkov ter tako olajšajo postopek zamenjave. Ti vmesniki vključujejo dovolj informacij o zadevni storitvi, da omogočijo razvoj programske opreme za komuniciranje s storitvami za namene prenosljivosti in interoperabilnosti podatkov.

3.   Za storitve obdelave podatkov, ki niso navedene v odstavku 1 tega člena, ponudniki storitev obdelave podatkov zagotovijo združljivost s skupnimi specifikacijami, utemeljenimi na odprtih specifikacijah za interoperabilnost ali harmoniziranih standardih za interoperabilnost, vsaj 12 mesecev po objavi sklicev na navedene skupne specifikacije ali harmonizirane standarde za interoperabilnost storitev obdelave podatkov v centralnem odložišču Unije za standarde za interoperabilnost storitev obdelave podatkov, ki sledi objavi osnovnih izvedbenih aktov v Uradnem listu Evropske unije v skladu s členom 35(8).

4.   Ponudniki storitev obdelave podatkov, ki niso navedene v odstavku 1 tega člena, posodabljajo spletni register iz člena 26, točka (b), v skladu s svojimi obveznostmi iz odstavka 3 tega člena.

5.   Ob zamenjavi med storitvami iste vrste, za katere skupne specifikacije ali harmonizirani standardi za interoperabilnost iz odstavka 3 tega člena niso bili objavljeni v centralnem odložišču Unije za standarde za interoperabilnost storitev obdelave podatkov v skladu s členom 35(8), ponudnik storitev obdelave podatkov na zahtevo stranke izvozi vse podatke, ki jih je mogoče izvoziti, v strukturirani, splošno uporabljani in strojno berljivi obliki.

6.   Od ponudnikov storitev obdelave podatkov se ne zahteva, da razvijejo nove tehnologije ali storitve ali razkrijejo ali prenesejo digitalna sredstva, ki so zaščitena s pravicami intelektualne lastnine ali predstavljajo poslovne skrivnosti, stranki ali drugemu ponudniku storitev obdelave podatkov ali ogrožajo varnost stranke ali ponudnika ali celovitost storitve.

Člen 31

Posebna ureditev za nekatere storitve obdelave podatkov

1.   Obveznosti iz člena 23, točka (d), člena 29 ter člena 30(1) in (3) ne veljajo za storitve obdelave podatkov, pri katerih je bila večina glavnih lastnosti oblikovana po meri za prilagoditev posebnim potrebam posamezne stranke ali kadar so bile vse komponente razvite za namene posamezne stranke ter kadar se te storitve obdelave podatkov ne ponujajo v širokem komercialnem obsegu prek kataloga storitev ponudnika storitev obdelave podatkov.

2.   Obveznosti iz tega poglavja ne veljajo za storitve obdelave podatkov, ki se v omejenem časovnem obdobju zagotavljajo kot neproizvodna različica za preizkušanje in ocenjevanje.

3.   Ponudnik storitev obdelave podatkov pred sklenitvijo pogodbe o zagotavljanju storitev obdelave podatkov iz tega člena obvesti potencialno stranko o obveznostih iz tega poglavja, ki ne veljajo za zadevne storitve.

POGLAVJE VII

NEZAKONITI MEDNARODNI VLADNI DOSTOP DO NEOSEBNIH PODATKOV IN NJIHOV PRENOS

Člen 32

Mednarodni vladni dostop in prenos

1.   Brez poseganja v odstavek 2 ali 3 ponudniki storitev obdelave podatkov sprejmejo vse ustrezne tehnične, organizacijske in pravne ukrepe, vključno s pogodbami, da preprečijo mednarodni prenos in dostop ter prenos in dostop državnih organov tretjih držav do neosebnih podatkov, ki se hranijo v Uniji, kadar bi bil tak prenos ali dostop v nasprotju s pravom Unije ali nacionalnim pravom zadevne države članice.

2.   Vsaka odločba ali sodba sodišča tretje države in odločba upravnega organa tretje države, ki od ponudnika storitev obdelave podatkov zahteva prenos ali zagotovitev dostopa do neosebnih podatkov, ki spadajo na področje uporabe te uredbe in se hranijo v Uniji, se prizna ali izvrši, na kateri koli način, le, če temelji na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, ki velja med tretjo državo prosilko in Unijo, ali katerem koli takem sporazumu med tretjo državo prosilko in državo članico.

3.   Če mednarodnega sporazuma iz odstavka 2 ni in kadar je na ponudnika storitev obdelave podatkov naslovljena odločba ali sodba sodišča tretje države ali odločba upravnega organa tretje države o prenosu ali zagotovitvi dostopa do neosebnih podatkov, ki spadajo na področje uporabe te uredbe in se hranijo v Uniji, naslovnik pa bi lahko zaradi spoštovanja take odločbe ravnal v nasprotju s pravom Unije ali nacionalnim pravom zadevne države članice, se temu organu tretje države taki podatki prenesejo ali omogoči dostop do njih le, kadar:

(a)

je v sistemu tretje države potrebna navedba razlogov in sorazmernosti take odločbe ali sodbe, za tako odločbo ali sodbo pa se zahteva, da je po naravi specifična, npr. z vzpostavitvijo zadostne povezave z določenimi osumljenimi osebami ali kršitvami;

(b)

naslovnikov utemeljeni ugovor obravnava pristojno sodišče tretje države in

(c)

je pristojno sodišče tretje države, ki izda odločbo ali sodbo ali obravnava odločbo upravnega organa, na podlagi prava te tretje države pooblaščeno za upoštevanje ustreznih pravnih interesov ponudnika podatkov, zaščitenih s pravom Unije ali nacionalnim pravom zadevne države članice.

Naslovnik odločbe ali sodbe lahko zaprosi za mnenje ustrezno nacionalno telo ali organ, pristojen za mednarodno sodelovanje v pravnih zadevah, da bi ugotovil, ali so pogoji iz prvega pododstavka izpolnjeni, zlasti kadar meni, da bi se odločba lahko nanašala na poslovne skrivnosti in druge poslovno občutljive podatke ter na vsebino, zaščiteno s pravicami intelektualne lastnine, ali da bi prenos lahko povzročil deanonimizacijo. Zadevno nacionalno telo ali organ se lahko posvetuje s Komisijo. Če naslovnik meni, da bi odločba ali sodba lahko vplivala na interese nacionalne varnosti ali obrambne interese Unije ali njenih držav članic, za mnenje zaprosi ustrezno nacionalno telo ali organ, da bi ugotovil, ali zahtevani podatki zadevajo nacionalne varnostne ali obrambne interese Unije ali njenih držav članic. Če naslovnik odgovora ne prejme v enem mesecu ali če tako telo ali organ meni, da pogoji iz prvega pododstavka niso izpolnjeni, lahko na tej podlagi zavrne zahtevo za prenos neosebnih podatkov ali dostop do njih.

EDIB iz člena 42 svetuje in pomaga Komisiji pri pripravi smernic za ocenjevanje, ali so pogoji iz prvega pododstavka tega odstavka izpolnjeni.

4.   Če so izpolnjeni pogoji iz odstavka 2 ali 3, ponudnik storitev obdelave podatkov v odgovor na zahtevo da na voljo podatke v najmanjšem dovoljenem obsegu na podlagi razumne razlage te zahteve s strani ponudnika ali ustreznega nacionalnega telesa ali organa iz odstavka 3, drugi pododstavek.

5.   Ponudnik storitev obdelave podatkov imetnika podatkov obvesti o zahtevi upravnega organa tretje države za dostop do njegovih podatkov pred izpolnitvijo zadevne zahteve, razen kadar gre za zahtevo za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj in dokler je to potrebno za ohranitev učinkovitosti dejavnosti preprečevanja, odkrivanja in preiskovanja kaznivih dejanj.

POGLAVJE VIII

INTEROPERABILNOST

Člen 33

Bistvene zahteve glede interoperabilnosti podatkov, mehanizmov in storitev za souporabo podatkov ter skupnih evropskih podatkovnih prostorov

1.   Udeleženci v podatkovnih prostorih, ki ponujajo podatke ali podatkovne storitve drugim udeležencem, izpolnjujejo naslednje bistvene zahteve za olajšanje interoperabilnosti podatkov ter mehanizmov in storitev souporabe podatkov ter skupnih evropskih podatkovnih prostorov, ki so interoperabilni okviri za specifični namen ali sektor ali medsektorski interoperabilni okviri skupnih standardov in praks za dajanje v souporabo ali skupno obdelavo podatkov, med drugim za razvoj novih izdelkov in storitev, znanstvenih raziskav ali pobud civilne družbe:

(a)

vsebina nabora podatkov, omejitve uporabe, licence, metodologija zbiranja podatkov, kakovost podatkov in nezanesljivost se ustrezno opišejo, po potrebi v strojno berljivi obliki, tako da je prejemniku omogočeno iskanje podatkov, dostop do njih in njihova uporaba;

(b)

strukture podatkov, oblike zapisov podatkov, besednjaki, klasifikacijske sheme, taksonomije in šifranti, kadar so na voljo, se opišejo na javno dostopen in dosleden način;

(c)

tehnična sredstva za dostop do podatkov, kot so vmesniki za aplikacijsko programiranje, ter njihovi pogoji uporabe in kakovost storitve se ustrezno opišejo, da se omogoči samodejen dostop do podatkov in njihov prenos med strankami, tudi neprekinjeno, z masovnim prenosom ali v realnem času v strojno berljivi obliki, kadar je to tehnično izvedljivo in ne ovira dobrega delovanja povezanega izdelka;

(d)

po potrebi se zagotovijo sredstva za omogočanje interoperabilnosti orodij za avtomatizacijo izvajanja sporazumov o souporabi podatkov, kot so pametne pogodbe.

Zahteve so lahko splošne narave ali se nanašajo na posamezne sektorje, pri čemer v celoti upoštevajo medsebojno povezanost z zahtevami iz drugega prava Unije ali nacionalnega prava.

2.   Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 45 te uredbe za dopolnitev te uredbe s podrobnejšo določitvijo bistvenih zahtev iz odstavka 1 tega člena v zvezi s tistimi zahtevami, ki zaradi svoje narave ne morejo imeti nameravanega učinka, če niso podrobneje določene v zavezujočih pravnih aktih Unije, ter da se ustrezno upošteva tehnološki in tržni razvoj.

Komisija pri sprejemanju delegiranih aktov upošteva nasvet EDIB v skladu s členom 42, točka (c)(iii).

3.   Za udeležence v podatkovnih prostorih, ki ponujajo podatke ali podatkovne storitve drugim udeležencem v podatkovnih prostorih, ki izpolnjujejo harmonizirane standarde ali njihove dele, sklici na katere so objavljeni v Uradnem listu Evropske unije, se domneva, da izpolnjujejo bistvene zahteve iz odstavka 1, kolikor navedene zahteve zajemajo taki harmonizirani standardi ali njihovi deli.

4.   Komisija na podlagi člena 10 Uredbe (EU) št. 1025/2012 od ene ali več evropskih organizacij za standardizacijo zahteva, da pripravijo harmonizirane standarde, ki izpolnjujejo bistvene zahteve iz odstavka 1 tega člena.

5.   Komisija lahko z izvedbenimi akti sprejme skupne specifikacije, ki zajemajo katero koli ali vse bistvene zahteve iz odstavka 1, kadar so izpolnjeni naslednji pogoji:

(a)

Komisija je na podlagi člena 10(1) Uredbe (EU) št. 1025/2012 od ene ali več evropskih organizacij za standardizacijo zahtevala osnutek harmoniziranega standarda, ki izpolnjuje bistvene zahteve iz odstavka 1 tega člena, in:

(i)

zahteva ni bila sprejeta;

(ii)

harmonizirani standardi, v katerih je obravnavana ta zahteva, niso bili dostavljeni v roku, določenem v skladu s členom 10(1) Uredbe (EU) št. 1025/2012, ali

(iii)

harmonizirani standardi niso v skladu z zahtevo ter

(b)

Uradnem listu Evropske unije v skladu z Uredbo (EU) št. 1025/2012 ni objavljen noben sklic na harmonizirane standarde, ki zajemajo ustrezne bistvene zahteve iz odstavka 1 tega člena, in njegova objava se v razumnem roku tudi ne pričakuje.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 46(2).

6.   Komisija pred pripravo osnutka izvedbenega akta iz odstavka 5 tega člena obvesti odbor iz člena 22 Uredbe (EU) št. 1025/2012, da lahko šteje, da so pogoji iz odstavka 5 tega člena izpolnjeni.

7.   Komisija pri pripravi osnutka izvedbenega akta iz odstavka 5 upošteva nasvet EDIB in stališča drugih ustreznih organov ali strokovnih skupin ter se posvetuje z vsemi ustreznimi deležniki.

8.   Za udeležence v podatkovnih prostorih, ki ponujajo podatke ali podatkovne storitve drugim udeležencem v podatkovnih prostorih in izpolnjujejo skupne specifikacije, določene z izvedbenimi akti iz odstavka 5 ali njihovimi deli, se domneva, da izpolnjujejo bistvene zahteve iz odstavka 1, v kolikor so te zahteve zajete v takih skupnih specifikacijah ali njihovih delih.

9.   Kadar evropska organizacija za standardizacijo sprejme harmonizirani standard in ga predlaga Komisiji, da se sklic nanj objavi v Uradnem listu Evropske unije, Komisija harmonizirani standard oceni v skladu z Uredbo (EU) št. 1025/2012. Ko se sklic na harmonizirani standard objavi v Uradnem listu Evropske unije, Komisija razveljavi izvedbene akte iz odstavka 5 tega člena ali njihove dele, ki zajemajo enake bistvene zahteve kot tiste, ki so zajete s tem harmoniziranim standardom.

10.   Ko država članica meni, da skupna specifikacija ne izpolnjuje v celoti bistvenih zahtev iz odstavka 1, o tem obvesti Komisijo s predložitvijo podrobne obrazložitve. Komisija to podrobno obrazložitev oceni in po potrebi lahko spremeni izvedbeni akt, ki določa zadevno skupno specifikacijo.

11.   Komisija lahko ob upoštevanju predloga EDIB v skladu s členom 30, točka (h), Uredbe (EU) 2022/868 sprejme smernice za določitev interoperabilnih okvirov splošnih standardov in praks za delovanje skupnih evropskih podatkovnih prostorov.

Člen 34

Interoperabilnost za namene vzporedne uporabe storitev obdelave podatkov

1.   Zahteve iz člena 23, člena 24, člena 25(2), točke (a)(ii), (a)(iv), (e) in (f) ter člena 30(2) do (5), se smiselno uporabljajo tudi za ponudnike storitev obdelave podatkov, da se olajša zagotavljanje interoperabilnosti za namene vzporedne uporabe storitev obdelave podatkov.

2.   Kadar se storitev obdelave podatkov uporablja vzporedno z drugo storitvijo obdelave podatkov, lahko ponudniki storitev obdelave podatkov zaračunavajo povračila za prenos podatkov, vendar le za namen prenosa nastalih stroškov prenosa, ne da bi presegli take stroške.

Člen 35

Interoperabilnost storitev obdelave podatkov

1.   Odprte specifikacije za interoperabilnost in harmonizirani standardi za interoperabilnost storitev obdelave podatkov:

(a)

zagotovijo, kadar je tehnično izvedljivo, interoperabilnost med različnimi storitvami obdelave podatkov, ki zajemajo isto vrsto storitve;

(b)

izboljšujejo prenosljivost digitalnih sredstev med različnimi storitvami obdelave podatkov, ki zajemajo isto vrsto storitve;

(c)

kadar je tehnično izvedljivo, olajšajo doseganje funkcionalne enakovrednosti med storitvami obdelave podatkov iz člena 30(1), ki zajemajo isto vrsto storitve;

(d)

ne vplivajo negativno na varnost in celovitost storitev obdelave podatkov in podatkov;

(e)

so zasnovani tako, da omogočajo tehnični napredek ter vključitev novih funkcij in inovacij v storitve obdelave podatkov.

2.   Odprte specifikacije za interoperabilnost in harmonizirani standardi za interoperabilnost storitev obdelave podatkov nudijo ustrezne rešitve za:

(a)

vidike interoperabilnosti v oblaku v zvezi z interoperabilnostjo prenosa, sintaktično interoperabilnostjo, semantično interoperabilnostjo podatkov, vedenjsko interoperabilnostjo in interoperabilnostjo politik;

(b)

vidike prenosljivosti podatkov v oblaku v zvezi s sintaktično prenosljivostjo podatkov, semantično prenosljivostjo podatkov in prenosljivostjo podatkovnih politik;

(c)

vidike aplikacij v oblaku v zvezi s sintaktično prenosljivostjo aplikacij, prenosljivostjo navodil za aplikacije, prenosljivostjo metapodatkov aplikacij, prenosljivostjo vedenja aplikacij in prenosljivostjo aplikacijskih politik.

3.   Odprte specifikacije za interoperabilnost so skladne s Prilogo II k Uredbi (EU) št. 1025/2012.

4.   Komisija lahko ob upoštevanju ustreznih mednarodnih in evropskih standardov in samoregulativnih pobud ter v skladu s členom 10(1) Uredbe (EU) št. 1025/2012 od ene ali več evropskih organizacij za standardizacijo zahteva, da pripravijo harmonizirane standarde, ki izpolnjujejo bistvene zahteve iz odstavkov 1 in 2 tega člena.

5.   Komisija lahko z izvedbenimi akti sprejme skupne specifikacije na podlagi odprtih specifikacij za interoperabilnost, ki zajemajo vse bistvene zahteve iz odstavkov 1 in 2.

6.   Komisija pri pripravi osnutka izvedbenega akta iz odstavka 5 tega člena upošteva stališča ustreznih pristojnih organov iz člena 37(5), točka (h), in drugih ustreznih organov ali strokovnih skupin ter se posvetuje z vsemi ustreznimi deležniki.

7.   Če država članica meni, da skupna specifikacija ne izpolnjuje v celoti bistvenih zahtev iz odstavkov 1 in 2, o tem obvesti Komisijo s predložitvijo podrobne obrazložitve. Komisija to podrobno obrazložitev oceni in po potrebi lahko spremeni izvedbeni akt, ki določa zadevno skupno specifikacijo.

8.   Za namene člena 30(3) Komisija z izvedbenimi akti objavi sklice na harmonizirane standarde in skupne specifikacije za interoperabilnost storitev obdelave podatkov v centralnem odložišču Unije za standarde za interoperabilnost storitev obdelave podatkov.

9.   Izvedbeni akti iz tega člena se sprejmejo v skladu s postopkom pregleda iz člena 46(2).

Člen 36

Bistvene zahteve v zvezi s pametnimi pogodbami za izvajanje sporazumov o souporabi podatkov

1.   Prodajalec aplikacije, ki uporablja pametne pogodbe, ali če takega prodajalca ni, oseba, katere trgovska, poslovna ali poklicna dejavnost vključuje uvajanje pametnih pogodb za druge v okviru izvajanja sporazuma o dajanju podatkov na voljo ali njegovega dela, zagotovi, da te pametne pogodbe izpolnjujejo naslednje bistvene zahteve:

(a)

zanesljivost in nadzor dostopa, s čimer se zagotavlja, da je pametna pogodba zasnovana tako, da zagotavlja mehanizme za nadzor dostopa in zelo visoko stopnjo zanesljivosti, da se preprečijo funkcionalne napake in preprečijo posegi s strani tretjih oseb;

(b)

varna ustavitev in prekinitev, s čimer se zagotavlja, da obstaja mehanizem za ustavitev nadaljnjega izvajanja transakcij in da pametna pogodba vključuje notranje funkcije, ki lahko pogodbo ponastavijo ali ji naročijo, da ustavi ali prekine operacije, s čimer zlasti preprečujejo prihodnje naključne izvedbe;

(c)

arhiviranje podatkov in kontinuiteta, s čimer se, za primer, da je treba pametno pogodbo odpovedati ali deaktivirati, zagotovi možnost arhiviranja podatkov o transakcijah, logike pametne pogodbe in kode, da se vodi evidenca operacij, ki so bile v preteklosti izvedene v zvezi s podatki (možnost revizije);

(d)

nadzor dostopa, s čimer se zagotovi, da je pametna pogodba zaščitena z mehanizmi za strog nadzor dostopa na ravneh upravljanja in ravneh pametnih pogodb, ter

(e)

skladnost, s čimer se zagotovi skladnost s pogoji iz sporazuma o souporabi podatkov, ki se izvaja s pametno pogodbo.

2.   Prodajalec pametne pogodbe, ali če takega prodajalca ni, oseba, katere trgovska, poslovna ali poklicna dejavnost vključuje uvajanje pametnih pogodb za druge v okviru izvajanja sporazuma o dajanju podatkov na voljo ali njegovega dela, opravi ugotavljanje skladnosti z namenom izpolnjevanja bistvenih zahtev iz odstavka 1, in če so te zahteve izpolnjene, izda EU izjavo o skladnosti.

3.   Pri pripravi izjave EU o skladnosti je prodajalec aplikacije, ki uporablja pametne pogodbe, ali če takega prodajalca ni, oseba, katere trgovska, poslovna ali poklicna dejavnost vključuje uvajanje pametnih pogodb za druge v okviru izvajanja sporazuma o dajanju podatkov na voljo ali njegovega dela, odgovoren za skladnost z bistvenimi zahtevami iz odstavka 1.

4.   Za pametno pogodbo, ki izpolnjuje harmonizirane standarde ali njihove upoštevne dele, za katere so sklici objavljeni v Uradnem listu Evropske unije, se domneva, da je skladna z bistvenimi zahtevami iz odstavka 1, v kolikor so te zahteve zajete v takih harmoniziranih standardih ali njihovih delih.

5.   Komisija na podlagi člena 10 Uredbe (EU) št. 1025/2012 od ene ali več evropskih organizacij za standardizacijo zahteva, da pripravijo harmonizirane standarde, ki izpolnjujejo bistvene zahteve iz odstavka 1 tega člena.

6.   Komisija lahko z izvedbenimi akti sprejme skupne specifikacije, ki zajemajo katero koli ali vse bistvene zahteve iz odstavka 1, kadar so izpolnjeni naslednji pogoji:

(a)

Komisija je na podlagi člena 10(1) Uredbe (EU) št. 1025/2012 od ene ali več evropskih organizacij za standardizacijo zahtevala osnutek harmoniziranega standarda, ki izpolnjuje bistvene zahteve iz odstavka 1 tega člena, in:

(i)

zahteva ni bila sprejeta;

(ii)

harmonizirani standardi, v katerih je obravnavana ta zahteva, niso bili dostavljeni v roku, določenem v skladu s členom 10(1) Uredbe (EU) št. 1025/2012, ali

(iii)

harmonizirani standardi niso v skladu z zahtevo, ter

(b)

Uradnem listu Evropske unije v skladu z Uredbo (EU) št. 1025/2012 ni objavljen noben sklic na harmonizirane standarde, ki zajemajo ustrezne bistvene zahteve iz odstavka 1 tega člena, in njegova objava se v razumnem roku tudi ne pričakuje.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 46(2).

7.   Komisija pred pripravo osnutka izvedbenega akta iz odstavka 6 tega člena obvesti odbor iz člena 22 Uredbe (EU) št. 1025/2012, da lahko šteje, da so pogoji iz odstavka 6 tega člena izpolnjeni.

8.   Komisija pri pripravi osnutka izvedbenega akta iz odstavka 6 upošteva nasvet EDIB in stališča drugih ustreznih organov ali strokovnih skupin ter se posvetuje z vsemi ustreznimi deležniki.

9.   Za prodajalca pametne pogodbe, ali če takega prodajalca ni, osebo, katere trgovska, poslovna ali poklicna dejavnost vključuje uvajanje pametnih pogodb za druge v okviru izvajanja sporazuma o dajanju podatkov na voljo, ali njegovega dela, ki izpolnjuje skupne specifikacije, določene z enim ali več izvedbenimi akti iz odstavka 6 ali njihovimi deli, se domneva, da izpolnjuje bistvene zahteve iz odstavka 1, v kolikor so te zahteve zajete v takih skupnih specifikacijah ali njihovih deli.

10.   Kadar evropska organizacija za standardizacijo sprejme harmonizirani standard in ga predlaga Komisiji, z namenom da se sklic nanj objavi v Uradnem listu Evropske unije, Komisija harmonizirani standard oceni v skladu z Uredbo (EU) št. 1025/2012. Ko se sklic na harmonizirani standard objavi v Uradnem listu Evropske unije, Komisija razveljavi izvedbene akte iz odstavka 6 tega člena ali njihove dele, ki zajemajo enake bistvene zahteve kot tiste, ki so zajete s tem harmoniziranim standardom.

11.   Če država članica meni, da skupna specifikacija ne izpolnjuje v celoti bistvenih zahtev iz odstavka 1, o tem obvesti Komisijo s predložitvijo podrobne obrazložitve. Komisija te podrobne obrazložitve oceni in po potrebi lahko spremeni izvedbeni akt, ki določa zadevno skupno specifikacijo.

POGLAVJE IX

IZVAJANJE IN IZVRŠEVANJE

Člen 37

Pristojni organi in koordinatorji podatkov

1.   Vsaka država članica imenuje enega ali več pristojnih organov, ki so odgovorni za uporabo in izvrševanje te uredbe (pristojni organi). Države članice lahko ustanovijo enega ali več novih organov ali naloge poverijo obstoječim organom.

2.   Kadar država članica imenuje več kot en pristojni organ, enega od njih imenuje za koordinatorja podatkov, ki bo olajšal sodelovanje med pristojnimi organi in pomagal subjektom s področja uporabe te uredbe pri vseh zadevah, povezanih z njeno uporabo in izvrševanjem. Pristojni organi pri izvajanju nalog in pooblastil, ki so jim dodeljena v skladu z odstavkom 5, sodelujejo med seboj.

3.   Nadzorni organi, odgovorni za spremljanje uporabe Uredbe (EU) 2016/679, so odgovorni za spremljanje uporabe te uredbe, kar zadeva varstvo osebnih podatkov. Pri tem se smiselno uporabljata poglavji VI in VII Uredbe (EU) 2016/679.

Evropski nadzornik za varstvo podatkov je odgovoren za spremljanje, kako to uredbo uporabljajo Komisija, Evropska centralna banka ali organi Unije. Pri tem se, kadar je ustrezno, smiselno uporablja člen 62 Uredbe (EU) 2018/1725.

Kar zadeva obdelavo osebnih podatkov, naloge in pooblastila izvajajo nadzorni organi iz tega odstavka.

4.   Brez poseganja v odstavek 1 tega člena velja naslednje:

(a)

glede posebnih sektorskih vprašanj v zvezi z dostopom do podatkov in njihovo uporabo, povezanih z uporabo te uredbe, se spoštuje pristojnost sektorskih organov;

(b)

pristojni organ, odgovoren za uporabo in izvrševanje členov 23 do 31 ter členov 34 in 35, ima izkušnje na področju podatkovnih in elektronskih komunikacijskih storitev.

5.   Države članice zagotovijo, da so naloge in pooblastila pristojnih organov jasno opredeljena in vključujejo:

(a)

spodbujanje podatkovne pismenosti in ozaveščenosti uporabnikov in subjektov, ki spadajo na področje uporabe te uredbe, o pravicah in obveznostih na podlagi te uredbe;

(b)

obravnavo pritožb zaradi domnevnih kršitev te uredbe, tudi v zvezi s poslovnimi skrivnostmi, in preiskavo predmeta pritožb v ustreznem obsegu in redno obveščanje pritožnikov, kadar je to ustrezno in v skladu z nacionalnim pravom, o poteku in rezultatu preiskave v razumnem roku, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim pristojnim organom;

(c)

izvedbo preiskav o zadevah v zvezi z uporabo te uredbe, tudi na podlagi informacij, ki jih prejmejo od drugega pristojnega organa ali drugega javnega organa;

(d)

nalaganje učinkovitih, sorazmernih in odvračilnih denarnih kazni, ki lahko vključujejo periodične kazni in kazni z retroaktivnim učinkom, ali sprožitev sodnega postopka za naložitev glob;

(e)

spremljanje tehnološkega in ustreznega poslovnega razvoja, ki je pomemben za dajanje podatkov na voljo in njihovo uporabo;

(f)

sodelovanje s pristojnimi organi drugih držav članic ter, kadar je ustrezno, s Komisijo ali EDIB, da bi zagotovili dosledno in učinkovito uporabo te uredbe, vključno z izmenjavo vseh pomembnih informacij po elektronski poti brez nepotrebnega odlašanja, tudi v zvezi z odstavkom 10 tega člena;

(g)

sodelovanje z ustreznimi pristojnimi organi, odgovornimi za izvajanje drugih pravnih aktov Unije ali nacionalnih pravnih aktov, tudi z organi s pristojnostjo na področju podatkovnih in elektronskih komunikacijskih storitev, z nadzornim organom, odgovornim za spremljanje uporabe Uredbe (EU) 2016/679, ali s sektorskimi organi, da bi zagotovili, da se ta uredba izvršuje dosledno z drugim pravom Unije in nacionalnim pravom;

(h)

sodelovanje z ustreznimi pristojnimi organi, da bi zagotovili, da se členi 23 do 31 ter člena 34 in 35 izvršujejo usklajeno z drugim pravom Unije in samoregulacijo, ki se uporablja za ponudnike storitev obdelave podatkov;

(i)

zagotovitev, da se povračila za zamenjavo odpravijo v skladu s členom 29;

(j)

preučevanje zahtev za podatke, vloženih na podlagi poglavja V.

Kadar je imenovan, koordinator podatkov olajša sodelovanje iz točk (f), (g) in (h) prvega pododstavka in pristojnim organom na njihovo zahtevo pomaga;

6.   Koordinator podatkov, kadar je tak pristojni organ imenovan:

(a)

deluje kot enotna kontaktna točka za vsa vprašanja v zvezi z uporabo te uredbe;

(b)

zagotavlja spletno javno razpoložljivost zahtev za dajanje podatkov na voljo, ki jih vložijo organi javnega sektorja v primeru izjemne potrebe na podlagi poglavja V, ter spodbuja prostovoljne sporazume o souporabi podatkov med organi javnega sektorja in imetniki podatkov;

(c)

letno obvešča Komisijo o zavrnitvah, priglašenih na podlagi člena 4(2) in (8) in člena 5(11).

7.   Države članice Komisijo uradno obvestijo o imenih pristojnih organov, njihovih nalogah in pooblastilih ter, kadar je ustrezno, imenu koordinatorja podatkov. Komisija vodi javni register teh organov.

8.   Pristojni organi so pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to uredbo nepristranski in niso pod neposrednim ali posrednim zunanjim vplivom ter ne zahtevajo in ne sprejemajo navodil za posamezne primere od katerega koli drugega javnega organa ali zasebne osebe.

9.   Države članice zagotovijo, da imajo pristojni organi na voljo dovolj človeških in tehnoloških virov ter ustrezno strokovno znanje za učinkovito opravljanje svojih nalog v skladu s to uredbo.

10.   Subjekti, ki spadajo na področje uporabe te uredbe, so pod pristojnostjo države članice, v kateri ima subjekt sedež. Kadar ima subjekt sedež v več kot eni državi članici, se šteje, da je pod pristojnostjo države članice, v kateri ima glavi sedež, tj. v kateri ima subjekt glavni urad ali registrirani urad, iz katerega se izvajajo glavne finančne funkcije in operativni nadzor.

11.   Subjekt, ki spada na področje uporabe te uredbe in daje povezane izdelke na voljo ali ponuja storitve v Uniji, vendar v Uniji nima sedeža, imenuje zakonitega zastopnika v eni od držav članic.

12.   Za namen zagotavljanja skladnosti s to uredbo je zakoniti zastopnik s strani subjekta, ki spada na področje uporabe te uredbe in daje povezane izdelke na voljo ali ponuja storitve v Uniji, pooblaščen, da se pristojni organi v zvezi z vsemi vprašanji, povezanimi z zadevnim subjektom, poleg na subjekt obrnejo tudi nanj ali pa samo nanj. Zadevni zakoniti zastopnik sodeluje s pristojnimi organi in jim na zahtevo izčrpno prikaže, kako je subjekt, ki spada na področje uporabe te uredbe in daje povezane izdelke na voljo ali ponuja storitve v Uniji, ukrepal in katere določbe je uvedel, da bi zagotovil skladnost s to uredbo.

13.   Za subjekt, ki spada na področje uporabe te uredbe in daje povezane izdelke na voljo ali ponuja storitve v Uniji, se šteje, da je pod pristojnostjo države članice, v kateri je njegov zakoniti zastopnik. Imenovanje zakonitega zastopnika s strani takega subjekta ne posega v odgovornost in morebitne pravne ukrepe, ki bi lahko bili uvedeni proti takemu subjektu. Dokler subjekt ne imenuje zakonitega zastopnika v skladu s tem členom, je, kadar je primerno, za namene zagotavljanja uporabe in izvrševanja te uredbe pod pristojnostjo vseh držav članic. Vsak pristojni organ lahko izvaja svojo pristojnost, tudi z naložitvijo učinkovitih, sorazmernih in odvračilnih kazni, pod pogojem, da ni že drug organ uvedel izvršilnih postopkov na podlagi te uredbe proti subjektu zaradi istih dejstev.

14.   Pristojni organi so pooblaščeni, da od uporabnikov, imetnikov podatkov ali prejemnikov podatkov ali njihovih zakonitih zastopnikov, ki spadajo pod pristojnost njihove države članice, zahtevajo vse informacije, potrebne za preverjanje skladnosti s to uredbo. Vsaka zahteva po informacijah mora biti sorazmerna z opravljanjem povezane naloge in obrazložena.

15.   Kadar pristojni organ v eni državi članici zaprosi za pomoč ali izvršilne ukrepe pristojni organ v drugi državi članici, predloži ustrezno obrazloženo prošnjo. Pristojni organ po prejetju take prošnje odgovori brez nepotrebnega odlašanja in podrobno opiše ukrepe, ki jih je sprejel ali jih namerava sprejeti.

16.   Pristojni organi upoštevajo načela zaupnosti ter poklicne in poslovne skrivnosti in varujejo osebne podatke v skladu s pravom Unije ali nacionalnim pravom. Vse informacije, ki se izmenjajo v okviru prošnje za pomoč in zagotovijo na podlagi tega člena, se uporabljajo samo v zvezi z zadevo, za katero so bile zaprošene.

Člen 38

Pravica do vložitve pritožbe

1.   Brez poseganja v katero koli drugo upravno ali sodno pravno sredstvo imajo fizične in pravne osebe pravico, da posamično ali, kadar je ustrezno, skupaj vložijo pritožbo pri ustreznem pristojnem organu v državi članici svojega običajnega prebivališča, kraja dela ali sedeža, če menijo, da so bile kršene njihove pravice iz te uredbe. Koordinator podatkov na zahtevo fizičnim in pravnim osebam zagotovi vse potrebne informacije za vložitev njihovih pritožb pri ustreznem pristojnem organu.

2.   Pristojni organ, pri katerem je bila vložena pritožba, pritožnika v skladu z nacionalnim pravom obvešča o poteku postopka in sprejeti odločitvi.

3.   Pristojni organi sodelujejo, da pritožbe obravnavajo in rešujejo učinkovito in hitro, tudi z izmenjavo vseh ustreznih informacij po elektronski poti brez nepotrebnega odlašanja. To sodelovanje ne vpliva na mehanizme sodelovanja iz poglavij VI in VII Uredbe (EU) 2016/679 ter iz Uredbe (EU) 2017/2394.

Člen 39

Pravica do učinkovitega pravnega sredstva

1.   Ne glede na katero koli drugo upravno ali izvensodno sredstvo ima vsaka prizadeta fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev pristojnih organov.

2.   Kadar pristojni organ ne ukrepa v zvezi s pritožbo, ima vsaka prizadeta fizična ali pravna oseba v skladu z nacionalnim pravom pravico do učinkovitega pravnega sredstva ali dostop do preizkusa s strani nepristranskega organa z ustreznim strokovnim znanjem.

3.   Za postopke na podlagi tega člena so pristojna sodišča države članice, v kateri je pristojni organ, zoper katerega je bilo pravno sredstvo vloženo posamično ali, kadar je ustrezno, skupno s strani zastopnikov ene ali več fizičnih ali pravnih oseb.

Člen 40

Kazni

1.   Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve te uredbe, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.

2.   Države članice o teh pravilih in ukrepih uradno obvestijo Komisijo do 12. septembra 2025 ter jo brez odlašanja uradno obvestijo o vsaki naknadni spremembi, ki nanje vpliva. Komisija redno posodablja in vodi enostavno dostopen javni register teh ukrepov.

3.   Države članice pri nalaganju kazni za kršitve te uredbe upoštevajo priporočila EDIB in naslednja neizčrpna merila:

(a)

naravo, resnost, razsežnost in trajanje kršitve;

(b)

morebitne ukrepe, ki jih je kršitelj sprejel za ublažitev ali odpravo škode, povzročene s kršitvijo;

(c)

morebitne predhodne kršitve kršitelja;

(d)

pridobljene finančne koristi ali preprečene izgube, ki jih je kršitelj pridobil s kršitvijo, če je take koristi ali izgube mogoče zanesljivo ugotoviti;

(e)

morebiten drug oteževalni ali olajševalni dejavnik v zvezi z okoliščinami primera;

(f)

letni promet kršitelja v preteklem proračunskem letu v Uniji.

4.   Za kršitve obveznosti iz poglavij II, III in V te uredbe lahko nadzorni organi odgovorni za spremljanje uporabe Uredbe (EU) 2016/679 v okviru svojih pristojnosti naložijo upravne globe v skladu s členom 83 Uredbe (EU) 2016/679 do zneska iz člena 83(5) navedene uredbe.

5.   Za kršitve obveznosti iz poglavja V te uredbe lahko Evropski nadzornik za varstvo podatkov v okviru svojih pristojnosti naloži upravne globe v skladu s členom 66 Uredbe (EU) 2018/1725 do zneska iz člena 66(3) navedene uredbe.

Člen 41

Vzorčni pogodbeni pogoji in standardne pogodbene klavzule

Komisija pred 12. septembrom 2025 razvije in priporoči nezavezujoče vzorčne pogodbene pogoje za dostop do podatkov in njihovo uporabo, vključno s pogoji za razumna nadomestila in varstvo poslovnih skrivnosti, ter nezavezujoče standardne pogodbene klavzule za pogodbe na področju računalništva v oblaku, ki bodo v pomoč strankam pri pripravi pogodb s poštenimi, razumnimi in nediskriminatornimi pogodbenimi pravicami in obveznostmi ter pogajanjih o njih.

Člen 42

Vloga EDIB

EDIB, ki ga je ustanovila Komisija kot strokovno skupino na podlagi člena 29 Uredbe (EU) 2022/868 in v katerem so zastopani pristojni organi, podpira dosledno uporabo te uredbe s:

(a)

svetovanjem in pomočjo Komisiji glede oblikovanja doslednih praks pristojnih organov pri izvrševanju poglavij II, III, V in VII;

(b)

lajšanjem sodelovanja med pristojnimi organi s krepitvijo zmogljivosti in izmenjavo informacij, zlasti z določanjem metod za učinkovito izmenjavo informacij v zvezi z uveljavljanjem pravic in obveznosti iz poglavij II, III in V v čezmejnih zadevah, vključno z usklajevanjem glede določanja kazni;

(c)

svetovanjem in pomočjo Komisiji pri:

(i)

odločanju, ali naj zahteva pripravo harmoniziranih standardov iz člena 33(4), člena 35(4) in člena 36(5);

(ii)

pripravi izvedbenih aktov iz člena 33(5), člena 35(5) in (8) ter člena 36(6);

(iii)

pripravi delegiranih aktov iz člena 29(7) in člena 33(2) ter

(iv)

sprejemanju smernic za interoperabilne okvire za skupne standarde in prakse pri delovanju skupnih evropskih podatkovnih prostorov iz člena 33(11).

POGLAVJE X

PRAVICA SUI GENERIS NA PODLAGI DIREKTIVE 96/9/ES

Člen 43

Podatkovne zbirke, ki vsebujejo določene podatke

Pravica sui generis iz člena 7 Direktive 96/9/ES se ne uporablja, če so podatki ustvarjeni ali pridobljeni s povezanim izdelkom ali povezano storitvijo, ki spada na področje uporabe te uredbe, zlasti v zvezi s členoma 4 in 5.

POGLAVJE XI

KONČNE DOLOČBE

Člen 44

Drugi pravni akti Unije, ki urejajo pravice in obveznosti glede dostopa do podatkov in njihove uporabe

1.   Posebne obveznosti glede dajanja podatkov na voljo med podjetji, med podjetji in potrošniki ter izjemoma med podjetji in javnimi organi v pravnih aktih Unije, ki so začeli veljati 11. januarja 2024 ali pred tem, ter delegiranih ali izvedbenih aktih, ki temeljijo na njih, ostanejo nespremenjene.

2.   Ta uredba ne posega v pravo Unije, ki glede na potrebe sektorja, skupnega evropskega podatkovnega prostora ali področja javnega interesa določa dodatne zahteve, zlasti glede:

(a)

tehničnih vidikov dostopa do podatkov;

(b)

omejitev pravic imetnikov podatkov do dostopa do nekaterih podatkov, ki jih zagotovijo uporabniki, ali njihove uporabe;

(c)

vidikov, ki presegajo dostop do podatkov in njihovo uporabo.

3.   Ta uredba, razen poglavja V, ne posega v pravo Unije in nacionalno pravo, ki zagotavlja dostop do podatkov in dovoljuje uporabo podatkov za namene znanstvenih raziskav.

Člen 45

Izvajanje prenosa pooblastila

1.   Pooblastilo za sprejemanje delegiranih aktov je preneseno na Komisijo pod pogoji, določenimi v tem členu.

2.   Pooblastilo za sprejemanje delegiranih aktov iz člena 29(7) in člena 33(2) se prenese na Komisijo za nedoločen čas od 11. januarja 2024.

3.   Prenos pooblastila iz člena 29(7) in člena 33(2) lahko kadar koli prekliče Evropski parlament ali Svet. S sklepom o preklicu preneha veljati prenos pooblastila iz navedenega sklepa. Sklep začne učinkovati dan po njegovi objavi v Uradnem listu Evropske unije ali na poznejši dan, ki je določen v navedenem sklepu. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.

4.   Komisija se pred sprejetjem delegiranega akta posvetuje s strokovnjaki, ki jih imenujejo države članice, v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje.

5.   Komisija takoj po sprejetju delegiranega akta o njem sočasno uradno obvesti Evropski parlament in Svet.

6.   Delegirani akt, sprejet na podlagi člena 29(7) ali člena 33(2), začne veljati le, če mu niti Evropski parlament niti Svet ne nasprotuje v roku treh mesecev od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če pred iztekom tega roka tako Evropski parlament kot Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za tri mesece.

Člen 46

Postopek v odboru

1.   Komisiji pomaga Odbor, ustanovljen z Uredbo (EU) 2022/868. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.   Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

Člen 47

Sprememba Uredbe (EU) 2017/2394

V Prilogi k Uredbi (EU) 2017/2394 se doda naslednja točka:

„29.

Uredba (EU) 2023/2854 Evropskega parlamenta in Sveta z dne 13. decembra 2023 o harmoniziranih pravilih za pravičen dostop do podatkov in njihovo uporabo ter spremembi Uredbe (EU) 2017/2394 in Direktive (EU) 2020/1828 (Akt o podatkih) (UL L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj). “

Člen 48

Sprememba Direktive (EU) 2020/1828

V Prilogi I k Direktivi (EU) 2020/1828 se doda naslednja točka:

„68.

Uredba (EU) 2023/2854 Evropskega parlamenta in Sveta z dne 13. decembra 2023 o harmoniziranih pravilih za pravičen dostop do podatkov in njihovo uporabo ter spremembi Uredbe (EU) 2017/2394 in Direktive (EU) 2020/1828 (Akt o podatkih) (UL L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).“

Člen 49

Ocenjevanje in pregled

1.   Komisija do 12. septembra 2028 oceni to uredbo ter Evropskemu parlamentu, Svetu in Evropskemu ekonomsko-socialnemu odboru predloži poročilo o glavnih ugotovitvah. Pri tem se zlasti ocenijo:

(a)

primeri, ki štejejo za primere izjemne potrebe za namene člena 15 te uredbe, in uporaba poglavja V te uredbe v praksi, zlasti izkušnje pri uporabi poglavja V te uredbe s strani organov javnega sektorja, Komisije, Evropske centralne banke in organov Unije; število in izid postopkov, začetih pri pristojnemu organu na podlagi člena 18(5) glede uporabe poglavja V te uredbe, o katerih poročajo pristojni organi; vpliv drugih obveznosti, ki so v pravu Unije ali nacionalnem pravu določene za namene izpolnjevanja zahtev za dostop do informacij; vpliv prostovoljnih mehanizmov za souporabo podatkov, kot so tisti, ki so jih vzpostavile organizacije za podatkovni altruizem, priznane na podlagi Uredbe (EU) 2022/868, za doseganje ciljev poglavja V te uredbe ter vlogo osebnih podatkov v smislu člena 15 te uredbe, vključno z razvojem tehnologij za boljše varovanje zasebnosti;

(b)

vpliv te uredbe na uporabo podatkov v gospodarstvu, vključno s podatkovnimi inovacijami, praksami podatkovne monetizacije in storitvami posredovanja podatkov, ter souporabo podatkov v skupnih evropskih podatkovnih prostorih;

(c)

dostopnost in uporabo različnih kategorij in vrst podatkov;

(d)

izključitev nekaterih kategorij podjetij kot upravičencev na podlagi člena 5;

(e)

odsotnost vpliva na pravice intelektualne lastnine;

(f)

vpliv na poslovne skrivnosti, tudi na varstvo pred njihovo nezakonito pridobitvijo, uporabo in razkritjem, ter vpliv mehanizma, ki imetniku podatkov omogoča, da zavrne zahtevo uporabnika v skladu s členom 4(8) in členom 5(11), tako da se čim bolj upošteva vsaka revizija Direktive (EU) 2016/943;

(g)

ali je seznam nepoštenih pogodbenih pogojev iz člena 13 redno posodobljen glede na nove poslovne prakse in hitrost tržnih inovacij;

(h)

spremembe pogodbenih praks ponudnikov storitev obdelave podatkov in vprašanje, ali je s tem v zadostni meri zagotovljena skladnost s členom 25;

(i)

znižanje povračil, ki jih ponudniki storitev obdelave podatkov zaračunavajo za postopek zamenjave, skladno s postopno odpravo povračil za zamenjavo na podlagi člena 29;

(j)

medsebojno vplivanje med to uredbo in drugimi pravnimi akti Unije, ki so pomembni za podatkovno gospodarstvo;

(k)

preprečevanje nezakonitega vladnega dostopa do neosebnih podatkov;

(l)

učinkovitost ureditve za izvrševanje, potrebne na podlagi člena 37;

(m)

vpliv te uredbe na MSP, glede na njihove inovacijske sposobnosti in razpoložljivost storitev obdelave podatkov za uporabnike v Uniji ter breme izpolnjevanja novih obveznosti.

2.   Komisija do 12. septembra 2028 oceni to uredbo ter Evropskemu parlamentu, Svetu in Evropskemu ekonomsko-socialnemu odboru predloži poročilo o glavnih ugotovitvah. V tej oceni je ocenjen vpliv členov 23 do 31 ter členov 34 in 35, zlasti glede določanja cen za storitve obdelave podatkov, ki so na voljo v Uniji, in njihove raznolikosti, s posebnim poudarkom na ponudnikih, ki so MSP.

3.   Države članice Komisiji zagotovijo potrebne informacije za pripravo poročil iz odstavkov 1 in 2.

4.   Na podlagi poročil iz odstavkov 1 in 2 lahko Komisija Evropskemu parlamentu in Svetu po potrebi predloži zakonodajni predlog za spremembo te uredbe.

Člen 50

Začetek veljavnosti in uporaba

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Uporablja se od 12. septembra 2025.

Obveznost iz člena 3(1) se uporablja za povezane izdelke in z njimi povezane storitve, dane na trg po 12. septembru 2026.

Poglavje III se uporablja v zvezi z obveznostmi dajanja podatkov na voljo na podlagi prava Unije ali nacionalne zakonodaje, sprejete v skladu s pravom Unije, ki začne veljati po 12. septembru 2025.

Poglavje IV se uporablja za pogodbe, sklenjene po 12. septembru 2025.

Poglavje IV se uporablja od 12. septembra 2027 za pogodbe, sklenjene 12. septembra 2025 ali pred tem, če:

(a)

so sklenjene za nedoločen čas ali

(b)

potečejo vsaj 10 let po 11. januarja 2024.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Strasbourgu, 13. decembra 2023

Za Evropski parlament

predsednica

R. METSOLA

Za Svet

predsednik

P. NAVARRO RÍOS


(1)   UL C 402, 19.10.2022, str. 5.

(2)   UL C 365, 23.9.2022, str. 18.

(3)   UL C 375, 30.9.2022, str. 112.

(4)  Stališče Evropskega parlamenta z dne 9. novembra 2023 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 27. novembra 2023.

(5)  Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednje velikih podjetij (UL L 124, 20.5.2003, str. 36).

(6)  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

(7)  Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).

(8)  Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

(9)  Direktiva Sveta 93/13/EGS z dne 5. aprila 1993 o nedovoljenih pogojih v potrošniških pogodbah (UL L 95, 21.4.1993, str. 29).

(10)  Direktiva Evropskega parlamenta in Sveta 2005/29/ES z dne 11. maja 2005 o nepoštenih poslovnih praksah podjetij v razmerju do potrošnikov na notranjem trgu ter o spremembi Direktive Sveta 84/450/EGS, direktiv Evropskega parlamenta in Sveta 97/7/ES, 98/27/ES in 2002/65/ES ter Uredbe (ES) št. 2006/2004 Evropskega parlamenta in Sveta (Direktiva o nepoštenih poslovnih praksah) (UL L 149, 11.6.2005, str. 22).

(11)  Direktiva 2011/83/EU Evropskega parlamenta in Sveta z dne 25. oktobra 2011 o pravicah potrošnikov, spremembi Direktive Sveta 93/13/EGS in Direktive 1999/44/ES Evropskega parlamenta in Sveta ter razveljavitvi Direktive Sveta 85/577/EGS in Direktive 97/7/ES Evropskega parlamenta in Sveta (UL L 304, 22.11.2011, str. 64).

(12)  Uredba (EU) 2021/784 Evropskega parlamenta in Sveta z dne 29. aprila 2021 o obravnavanju razširjanja terorističnih spletnih vsebin (UL L 172, 17.5.2021, str. 79).

(13)  Uredba (EU) 2022/2065 Evropskega parlamenta in Sveta z dne 19. oktobra 2022 o enotnem trgu digitalnih storitev in spremembi Direktive 2000/31/ES (Akt o digitalnih storitvah) (UL L 277, 27.10.2022, str. 1).

(14)  Uredba (EU) 2023/1543 Evropskega parlamenta in Sveta z dne 12. julija 2023 o evropskem nalogu za posredovanje in evropskem nalogu za zavarovanje elektronskih dokazov v kazenskih postopkih ter za izvrševanje zapornih kazni po kazenskem postopku (UL L 191, 28.7.2023, str. 118).

(15)  Direktiva (EU) 2023/1544 Evropskega parlamenta in Sveta z dne 12. julija 2023 o določitvi harmoniziranih pravil o imenovanju imenovanih poslovnih enot in pravnih zastopnikov za namen zbiranja elektronskih dokazov v kazenskih postopkih (UL L 191, 28.7.2023, str. 181).

(16)  Uredba (EU) 2015/847 Evropskega parlamenta in Sveta z dne 20. maja 2015 o informacijah, ki spremljajo prenose sredstev, in razveljavitvi Uredbe (ES) št. 1781/2006 (UL L 141, 5.6.2015, str. 1).

(17)  Direktiva (EU) 2015/849 Evropskega parlamenta in Sveta z dne 20. maja 2015 o preprečevanju uporabe finančnega sistema za pranje denarja ali financiranje terorizma, spremembi Uredbe (EU) št. 648/2012 Evropskega parlamenta in Sveta ter razveljavitvi Direktive 2005/60/ES Evropskega parlamenta in Sveta in Direktive Komisije 2006/70/ES (UL L 141, 5.6.2015, str. 73).

(18)  Direktiva (EU) 2019/882 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o zahtevah glede dostopnosti za proizvode in storitve (UL L 151, 7.6.2019, str. 70).

(19)  Direktiva 2001/29/ES Evropskega parlamenta in Sveta z dne 22. maja 2001 o usklajevanju določenih vidikov avtorske in sorodnih pravic v informacijski družbi (UL L 167, 22.6.2001, str. 10).

(20)  Direktiva Evropskega parlamenta in Sveta 2004/48/ES z dne 29. aprila 2004 o uveljavljanju pravic intelektualne lastnine (UL L 157, 30.4.2004, str. 45).

(21)  Direktiva (EU) 2019/790 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o avtorski in sorodnih pravicah na enotnem digitalnem trgu in spremembi direktiv 96/9/ES in 2001/29/ES (UL L 130, 17.5.2019, str. 92).

(22)  Uredba (EU) 2022/868 Evropskega parlamenta in Sveta z dne 30. maja 2022 o evropskem upravljanju podatkov in spremembi Uredbe (EU) 2018/1724 (Akt o upravljanju podatkov) (UL L 152, 3.6.2022, str. 1).

(23)  Direktiva (EU) 2016/943 Evropskega parlamenta in Sveta z dne 8. junija 2016 o varstvu nerazkritega strokovnega znanja in izkušenj ter poslovnih informacij (poslovnih skrivnosti) pred njihovo protipravno pridobitvijo, uporabo in razkritjem (UL L 157, 15.6.2016, str. 1).

(24)  Direktiva 98/6/ES Evropskega parlamenta in Sveta z dne 16. februarja 1998 o varstvu potrošnikov pri označevanju cen potrošnikom ponujenih proizvodov (UL L 80, 18.3.1998, str. 27).

(25)  Direktiva 2000/31/ES Evropskega parlamenta in Sveta z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu (Direktiva o elektronskem poslovanju) (UL L 178, 17.7.2000, str. 1).

(26)  Uredba (EU) 2022/1925 Evropskega parlamenta in Sveta z dne 14. septembra 2022 o tekmovalnih in pravičnih trgih v digitalnem sektorju in spremembi direktiv (EU) 2019/1937 in (EU) 2020/1828 (akt o digitalnih trgih) (UL L 265, 12.10.2022, str. 1).

(27)  Uredba (ES) št. 223/2009 Evropskega parlamenta in Sveta z dne 11. marca 2009 o evropski statistiki ter razveljavitvi Uredbe (ES, Euratom) št. 1101/2008 Evropskega parlamenta in Sveta o prenosu zaupnih podatkov na Statistični urad Evropskih skupnosti, Uredbe Sveta (ES) št. 322/97 o statističnih podatkih Skupnosti in Sklepa Sveta 89/382/EGS, Euratom, o ustanovitvi Odbora za statistične programe Evropskih skupnosti (UL L 87, 31.3.2009, str. 164).

(28)  Direktiva (EU) 2019/1024 Evropskega parlamenta in Sveta z dne 20. junija 2019 o odprtih podatkih in ponovni uporabi informacij javnega sektorja (UL L 172, 26.6.2019, str. 56).

(29)  Direktiva 96/9/ES Evropskega parlamenta in Sveta z dne 11. marca 1996 o pravnem varstvu baz podatkov (UL L 77, 27.3.1996, str. 20).

(30)  Uredba (EU) 2018/1807 Evropskega parlamenta in Sveta z dne 14. novembra 2018 o okviru za prosti pretok neosebnih podatkov v Evropski uniji (UL L 303, 28.11.2018, str. 59).

(31)  Direktiva (EU) 2019/770 Evropskega parlamenta in Sveta z dne 20. maja 2019 o nekaterih vidikih pogodb o dobavi digitalne vsebine in digitalnih storitev (UL L 136, 22.5.2019, str. 1).

(32)  Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).

(33)  Uredba (EU) št. 1025/2012 Evropskega parlamenta in Sveta z dne 25. oktobra 2012 o evropski standardizaciji, spremembi direktiv Sveta 89/686/EGS in 93/15/EGS ter direktiv 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES in 2009/105/ES Evropskega parlamenta in Sveta ter razveljavitvi Sklepa Sveta 87/95/EGS in Sklepa št. 1673/2006/ES Evropskega parlamenta in Sveta (UL L 316, 14.11.2012, str. 12).

(34)  Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30).

(35)  Sklep št. 768/2008/ES Evropskega parlamenta in Sveta z dne 9. julija 2008 o skupnem okviru za trženje proizvodov in razveljavitvi Sklepa Sveta 93/465/EGS (UL L 218, 13.8.2008, str. 82).

(36)  Uredba (EU) 2017/2394 Evropskega parlamenta in Sveta z dne 12. decembra 2017 o sodelovanju med nacionalnimi organi, odgovornimi za izvrševanje zakonodaje o varstvu potrošnikov, in razveljavitvi Uredbe (ES) št. 2006/2004 (UL L 345, 27.12.2017, str. 1).

(37)  Direktiva (EU) 2020/1828 Evropskega parlamenta in Sveta z dne 25. novembra 2020 o zastopniških tožbah za varstvo kolektivnih interesov potrošnikov in razveljavitvi Direktive 2009/22/ES (UL L 409, 4.12.2020, str. 1).

(38)   UL L 123, 12.5.2016, str. 1.

(39)  Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).


ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0804 (electronic edition)


Na vrh