Od 12. rujna 2025. većina odredbi EU Data Acta počela se primjenjivati.
Jel itko mari za ovu, još jednu u nizu, EU Uredbu kad se već više od 8 godina nismo baš prilagodili na GDPR, kad rijetko koja tvrtka čita EU AI Akt iako razvija, kupuje, nudi na tržištu ili svojim korisnicima pruža AI sustave, kad nas NIS2 Direktiva kroz lokalne nacionalne zakone obvezuje na zahtjevne promjene u području upravljanja cyber sigurnošću…
EU ovom Data Act uredbom želi „otključati” podatke koje čuvaju proizvođači i omogućiti njihovu upotrebu u novim poslovnim modelima i primjenama.
Neki će zaključiti da je Data Act komplementaran GDPR-u, a drugi da mu je podčinjen.
No, sve dvojbe prestaju čitanjem članka 1. stavka 5. Data Acta, koji jasno kaže da GDPR i drugi propisi o zaštiti podataka, npr. ePrivacy Direktiva, imaju prednost ako se radi o osobnim podacima. To je jasna hijerarhija.
Recital 7 Data Acta dodatno pojašnjava da se nijedna njegova odredba ne primjenjuje niti tumači na način kojim bi se umanjilo ili ograničilo pravo na zaštitu osobnih podataka ili pravo na privatnost i povjerljivost komunikacija, kao i da Data Act sam po sebi nije pravna osnova za prikupljanje, pristup ili dijeljenje osobnih podataka. Za to je i dalje potreban pravni temelj iz članka 6. i 9. GDPR-a.
Zakon pokriva širok spektar tema, od nepoštenih ugovornih odredbi u B2B odnosima, preko promjene pružatelja podatkovnih usluga i međunarodnih prijenosa neosobnih podataka, do interoperabilnosti.
No, ključne dodirne točke s GDPR-om nalaze se u Poglavlju II (prava pristupa podacima iz povezanih proizvoda) i dijelom u Poglavlju V (pristup podataka od strane javnog sektora u izvanrednim situacijama).
Poglavlje II uvodi nova pravila za podatke koje generiraju „povezani proizvodi“, odnosno, pametni uređaji, vozila, sustavi grijanja i slični. Ideja je da korisnik (vlasnik, najmoprimac, zakupac) odlučuje tko i kako koristi podatke koje proizvod generira.
Članak 3(1) propisuje da svi podaci koje je proizvođač učinio dohvatljivima moraju biti dostupni ili direktno kroz proizvod ili putem infrastrukture proizvođača.
Ako se podaci mogu dohvatiti lokalno (npr. putem USB-a na kotlu), tada je „voditelj obrade“ onaj tko kontrolira pristup uređaju – primjerice korisnik koji mijenja postavke grijanja.
Kad se podaci šalju proizvođaču u oblak, postaju „spremno dostupni podaci“. Korisnik ima pravo zatražiti pristup tim podacima (čl. 4) i zatražiti njihovo dijeljenje s trećom stranom (čl. 5).
Ako je korisnik ujedno i ispitanik (npr. fizička osoba koja koristi uređaj), ova prava nadopunjuju GDPR prava na pristup i prenosivost podataka.
Ali kad korisnik nije ispitanik, primjerice kad stambena tvrtka želi podatke o navikama stanara, stvari postaju složene.
Članak 4(12) kaže da proizvođač smije omogućiti pristup osobnim podacima drugih osoba samo ako postoji valjana pravna osnova prema članku 6 GDPR-a. Nije, međutim, jasno tko mora dokazati tu osnovu i do koje mjere.
Ne zaboravimo da podatak jest osobni ovisno o tome tko ga može povezati s konkretnim pojedincem. Dakle, isti podatak može biti neosobni za proizvođača, ali osobni za samog korisnika.
Poglavlje V daje državnim tijelima i institucijama EU pravo traženja podataka u izvanrednim situacijama, npr. zdravstvene krize, katastrofe, ozbiljni kibernetički incidenti. Takav zahtjev je dopušten samo ako se podaci ne mogu pribaviti na drugi učinkovit način.
Za posebne javne interese (npr. statistike) može se tražiti samo neosobne podatke i to tek nakon pokušaja kupnje istih na tržištu. Dakle, opseg tog pristupa je vrlo ograničen.
Provedba Data Acta uređena je slično kao kod GDPR-a. Svaka država mora imenovati nadzorno tijelo. Do sada nijedna to još nije formalno učinila.
Prema članku 37. stavku 3. data Acta, tijela za zaštitu podataka (DPA) i dalje ostaju nadležna za sve što uključuje osobne podatke.
Europska komisija mora objaviti neobvezujuće ugovorne klauzule za dijeljenje podataka, koje bi trebale pokriti pitanja naknade i zaštite poslovnih tajni. EDPB je u srpnju kritizirao nacrte jer nisu dovoljno razjasnili odnos s GDPR-om.
Za sada su te klauzule usmjerene samo na B2B dijeljenje podataka, ali očekuje se da će se proširiti i na B2C, gdje su rizici za privatnost veći.
Iako Data Act ima svoje nejasnoće, veći izazov za njegovu provedbu zapravo će biti GDPR. On će često ograničiti koliko se Data Act može primijeniti u praksi.
Da zaključimo, ako iskreno priznamo, još nismo ni GDPR apsolvirali, eto nam Data Acta koji izravno ovisi o GDPR-u.
Data Act ili Akt o podacima je ovdje:
https://eur-lex.europa.eu/eli/reg/2023/2854
a izvorna analiza odnosa s GDPR-om ovdje:
Image from FreePik
#gdprcroatia
