Zakon o provedbi Uredbe (EU) 2022/868 o europskom upravljanju podacima i izmjeni Uredbe (EU) 2018/1724 (Akt o upravljanju podacima)

I. OPĆE ODREDBE

Predmet Zakona

Članak 1.

Ovim Zakonom određuju se nadležna tijela i njihove ovlasti za provedbu Uredbe (EU) 2022/868 Europskog parlamenta i Vijeća od 30. svibnja 2022. o europskom upravljanju podacima i izmjeni Uredbe (EU) 2018/1724 (SL L 152, 3. 6. 2022., u daljnjem tekstu: Uredba (EU) 2022/868), postupak ostvarivanja prava na ponovnu uporabu zaštićenih podataka, evidentiranja pružatelja usluga podatkovnog posredovanja, registracije organizacija za podatkovni altruizam, nadležno tijelo za nadzor, pravni lijekovi na odluke nadležnih tijela te prekršaji i prekršajnopravne sankcije.

Pojmovi

Članak 2.

Pojmovi u smislu ovoga Zakona imaju jednako značenje kao pojmovi definirani u Uredbi (EU) 2022/868.

Rodna neutralnost

Članak 3.

Izrazi koji se koriste u ovom Zakonu, a koji imaju rodno značenje, odnose se jednako na muški i ženski rod.

II. PONOVNA UPORABA ZAŠTIĆENIH PODATAKA

Jedinstvena informacijska točka

Članak 4.

(1) Jedinstvena informacijska točka dio je Portala otvorenih podataka.

(2) Jedinstvena informacijska točka sadrži katalog dostupnih skupova podataka zajedno s metapodacima (u daljnjem tekstu: katalog metapodataka), odnosno relevantnim informacijama koje opisuju dostupne podatke u posjedu tijela javnog sektora koji su zaštićeni zbog razloga utvrđenih u članku 3. stavku 1. Uredbe (EU) 2022/868 (u daljnjem tekstu: zaštićeni podaci).

(3) Nadležno tijelo za uspostavu i održavanje jedinstvene informacijske točke je tijelo državne uprave nadležno za digitalnu transformaciju.

Katalog metapodataka

Članak 5.

(1) Putem jedinstvene informacijske točke tijela javnog sektora koja posjeduju zaštićene podatke objavljuju metapodatkovni zapis u katalogu metapodataka.

(2) Katalog metapodataka obuhvaća informacije o skupu zaštićenih podataka, kao što su naziv i opis skupa zaštićenih podataka, naznaku tijela javnog sektora te kategoriju zaštićenosti podataka.

(3) Tijela javnog sektora dužna su katalog metapodataka redovito ažurirati i održavati.

Ponovna uporaba zaštićenih podataka

Članak 6.

(1) Nadležna tijela javnog sektora odlučuju o zahtjevu za ponovnu uporabu podataka, svatko u granicama svoga djelokruga.

(2) Nadležna tijela iz stavka 1. ovoga članka odlučuju o zahtjevu za ponovnu uporabu zaštićenih podataka sukladno uvjetima utvrđenima u Uredbi (EU) 2022/868 i ovom Zakonu te u slučaju odbijanja zahtjeva donose rješenje.

Podnošenje zahtjeva za ponovnu uporabu zaštićenih podataka

Članak 7.

(1) Zahtjev za ponovnu uporabu zaštićenih podataka treba sadržavati:

a) naziv skupa podataka na koji se zahtjev odnosi

b) osobno ime, OIB i adresu prebivališta podnositelja zahtjeva fizičke osobe odnosno naziv, OIB i sjedište podnositelja zahtjeva pravne osobe

c) naziv tijela javnog sektora kojem se šalje zahtjev

d) svrhu ponovne uporabe zaštićenih podataka

e) ako se zaštićeni podaci namjeravaju prenijeti u državu koja nije članica Europske unije, navesti naziv države u koju se namjeravaju prenijeti, kao i svrhu radi koje se namjeravaju prenijeti

f) ako se radi o istraživanju, opis istraživanja, uključujući:

1. naziv istraživanja

2. svrhu istraživanja

3. predviđena sredstva i radnje ponovne uporabe zaštićenih podataka

4. način na koji se istraživanje objavljuje ili na drugi način stavlja na raspolaganje.

(2) Zahtjev za ponovnu uporabu zaštićenih podataka podnosi se u elektroničkom obliku putem jedinstvene informacijske točke iz članka 4. ovoga Zakona.

(3) Tijelo javnog sektora odbit će rješenjem zahtjev za ponovnu uporabu zaštićenih podataka ako:

a) nisu ispunjeni uvjeti iz stavka 1. ovoga članka te članka 5. Uredbe (EU) 2022/868

b) procijeni da traženi podaci nisu prikladni za provedbu istraživanja iz stavka 1. točke f) ovoga članka

c) procijeni da svrha ili ciljevi istraživanja ne opravdavaju zadiranje u prava ispitanika ili imatelja podataka

d) je riječ o klasificiranim podacima, sukladno propisima kojima se uređuju klasificirani podaci.

Pravo na pravni lijek

Članak 8.

Protiv rješenja tijela javnog sektora kojim se odbija zahtjev za ponovnu uporabu zaštićenih podataka iz članka 7. stavka 3. ovoga Zakona nije dopuštena žalba, ali se može pokrenuti upravni spor.

Sudjelovanje drugih tijela

Članak 9.

(1) Za pružanje tehničke i stručne pomoći pri obradi zahtjeva za ponovnu uporabu zaštićenih podataka, kako je definirana člankom 7. stavkom 4. točkama b), c) i d) Uredbe (EU) 2022/868, nadležno je tijelo državne uprave za poslove službene statistike.

(2) Tijelo javnog sektora može, u postupku obrade zahtjeva za ponovnu uporabu zaštićenih podataka koji se tiču osobnih podataka, zatražiti mišljenje državnog tijela nadležnog za zaštitu osobnih podataka o usklađenosti ponovne uporabe zaštićenih podataka s pravilima o zaštiti osobnih podataka.

Naknade i uvjeti za ponovnu uporabu zaštićenih podataka

Članak 10.

(1) Tijela javnog sektora iz članka 6. stavka 1. ovoga Zakona mogu naplaćivati naknadu za nužne troškove koje imaju u vezi s obradom ponovne uporabe zaštićenih podataka.

(2) Pri utvrđivanju naknada iz stavka 1. ovoga članka uzimaju se u obzir troškovi iz članka 6. stavka 5. Uredbe (EU) 2022/868, složenost rada i razina satnice zaposlenika.

(3) Kriterije i metodologiju za izračun naknada iz stavka 1. ovoga članka utvrđuju odlukom čelnici tijela javnog sektora iz članka 6. stavka 1. ovoga Zakona.

(4) Čelnik tijela javnog sektora iz članka 6. stavka 1. ovoga Zakona može utvrditi popis kategorija ponovnih korisnika kojima se podaci stavljaju na raspolaganje za ponovnu uporabu uz sniženu naknadu ili bez naknade. Popis se objavljuje zajedno s kriterijima upotrijebljenima za njegovu izradu.

(5) Tijela javnog sektora iz članka 6. stavka 1. ovoga Zakona dužna su javno objaviti uvjete za dopuštanje ponovne uporabe i postupak za traženje ponovne uporabe putem jedinstvene informacijske točke.

III. USLUGE PODATKOVNOG POSREDOVANJA

Nadležno tijelo za usluge podatkovnog posredovanja

Članak 11.

Nadležno tijelo za usluge podatkovnog posredovanja je tijelo državne uprave nadležno za digitalnu transformaciju.

Obavijest pružatelja usluga podatkovnog posredovanja

Članak 12.

(1) Fizička osoba obrtnik i osoba koja obavlja druge samostalne djelatnosti ili pravna osoba koja ima poslovni nastan u Republici Hrvatskoj i koja namjerava pružati usluge podatkovnog posredovanja dostavljaju nadležnom tijelu za usluge podatkovnog posredovanja obavijest u skladu s odredbama članka 11. stavaka 1. do 7. Uredbe (EU) 2022/868.

(2) Na zahtjev pružatelja usluga podatkovnog posredovanja nadležno tijelo za usluge podatkovnog posredovanja izdaje standardiziranu izjavu sukladno članku 11. stavku 8. Uredbe (EU) 2022/868.

(3) Na zahtjev pružatelja usluga podatkovnog posredovanja nadležno tijelo za usluge podatkovnog posredovanja, sukladno članku 11. stavku 9. Uredbe (EU) 2022/868, potvrđuje da pružatelj usluga podatkovnog posredovanja ispunjava uvjete iz članaka 11. i 12. Uredbe (EU) 2022/868.

Evidencija pružatelja usluga podatkovnog posredovanja

Članak 13.

(1) Nadležno tijelo za usluge podatkovnog posredovanja vodi evidenciju pružatelja usluga podatkovnog posredovanja koji su ga obavijestili o svojoj namjeri pružanja usluga podatkovnog posredovanja.

(2) Evidencija mora sadržavati podatke iz članka 11. stavka 6. Uredbe (EU) 2022/868.

(3) Nadležno tijelo za usluge podatkovnog posredovanja po službenoj dužnosti briše iz evidencije iz stavka 1. ovoga članka pružatelja usluga podatkovnog posredovanja koji ga je obavijestio o prestanku pružanja usluga podatkovnog posredovanja ili kojemu je izrečena mjera zabrane pružanja usluga podatkovnog posredovanja.

Registar pružatelja usluga podatkovnog posredovanja

Članak 14.

Nadležno tijelo za usluge podatkovnog posredovanja bez odgode elektroničkim putem obavještava Europsku komisiju o svakoj obavijesti iz članka 12. stavka 1. i članka 13. stavka 3. ovoga Zakona radi upisa u registar Europske komisije. Upis u registar Europske komisije nije zapreka za ostvarivanje prava i obveza pružatelja usluga posredovanja na temelju Uredbe (EU) 2022/868.

IV. PODATKOVNI ALTRUIZAM

Nadležno tijelo za registraciju organizacija za podatkovni altruizam

Članak 15.

Nadležno tijelo za registraciju organizacija za podatkovni altruizam je tijelo državne uprave nadležno za digitalnu transformaciju.

Registar priznatih organizacija za podatkovni altruizam

Članak 16.

(1) Nadležno tijelo za registraciju organizacija za podatkovni altruizam ustrojava i vodi Registar priznatih organizacija za podatkovni altruizam koji sadržava podatke iz članka 19. stavka 6. Uredbe (EU) 2022/868 te ga objavljuje na svojim mrežnim stranicama.

(2) Način vođenja Registra priznatih organizacija za podatkovni altruizam pravilnikom propisuje čelnik tijela državne uprave nadležnog za registraciju organizacija za podatkovni altruizam.

Registracija priznatih organizacija za podatkovni altruizam

Članak 17.

(1) Fizička osoba obrtnik i osoba koja obavlja druge samostalne djelatnosti ili pravna osoba koja se želi registrirati za obavljanje djelatnosti podatkovnog altruizma zahtjev za upis u Registar priznatih organizacija za podatkovni altruizam podnose nadležnom tijelu za registraciju organizacija za podatkovni altruizam.

(2) Zahtjev za registraciju iz stavka 1. ovoga članka mora sadržavati podatke iz članka 19. stavka 4. Uredbe (EU) 2022/868.

(3) Nadležno tijelo za registraciju organizacija za podatkovni altruizam provjerava ispunjava li podnositelj zahtjeva uvjete utvrđene člankom 18. Uredbe (EU) 2022/868 i sadrži li zahtjev sve podatke propisane člankom 19. stavkom 4. Uredbe (EU) 2022/868.

(4) Ako nadležno tijelo za registraciju organizacija za podatkovni altruizam utvrdi da podnositelj zahtjeva ispunjava uvjete utvrđene člankom 18. Uredbe (EU) 2022/868 i da njegov zahtjev sadrži sve podatke propisane člankom 19. stavkom 4. Uredbe (EU) 2022/868, donijet će rješenje o upisu podnositelja zahtjeva u Registar priznatih organizacija za podatkovni altruizam.

(5) Nadležno tijelo za registraciju organizacija za podatkovni altruizam rješenjem će brisati priznatu organizaciju za podatkovni altruizam iz Registra priznatih organizacija za podatkovni altruizam ako joj je izrečena mjera zabrane obavljanja djelatnosti ili ako je zbog drugog razloga prestala postojati.

(6) Nadležno tijelo za registraciju organizacija za podatkovni altruizam postupke upisa i brisanja priznatih organizacija za podatkovni altruizam iz Registara priznatih organizacija za podatkovni altruizam provodi po pravilima općeg upravnog postupka.

(7) Protiv rješenja iz stavaka 4. i 5. ovoga članka nije dopuštena žalba, ali se može pokrenuti upravni spor.

V. NADZOR NAD PROVEDBOM ZAKONA

Inspekcijski nadzor

Članak 18.

Inspekcijski nadzor nad provedbom Uredbe (EU) 2022/868 provodi tijelo državne uprave nadležno za digitalnu transformaciju sukladno člancima 14. i 24. Uredbe (EU) 2022/868 i odredbama ovoga Zakona.

Samostalnost u obavljanju inspekcijskog nadzora

Članak 19.

(1) Službenik tijela državne uprave nadležnog za digitalnu transformaciju koji je općim aktom o unutarnjem redu ovlašten neposredno obavljati poslove inspekcijskog nadzora prema ovom Zakonu (u daljnjem tekstu: ovlašteni službenik) je u provedbi inspekcijskog nadzora samostalan u radu.

(2) Nitko ne smije korištenjem službenog položaja ili na drugi način onemogućavati ili ometati ovlaštenog službenika u obavljanju inspekcijskog nadzora i poduzimanju mjera i radnji za koje je ovlašten.

Dužnost davanja podataka

Članak 20.

(1) Ovlašteni službenik u provedbi inspekcijskog nadzora ima pravo pregledati dokumentaciju i evidencije, radne i poslovne prostorije i spise, javne isprave na temelju kojih može utvrditi identitet osoba koje obavljaju poslove za pružatelja usluga podatkovnog posredovanja i organizacije za podatkovni altruizam, koje su zatečene na mjestu nadzora te saslušati i uzeti izjave tih osoba.

(2) Ovlašteni službenik u provođenju inspekcijskog nadzora može prikupljati osobne i druge podatke i obavijesti iz već postojećih izvora podataka i neposredno od osobe na koju se ti podaci odnose.

(3) Na prikupljanje podataka primjenjuju se propisi kojima se uređuje zaštita podataka, tajnost podataka i informacijska sigurnost.

(4) Nadzirane osobe dužne su na zahtjev ovlaštenog službenika dostaviti tražene podatke i obavijesti u primjerenom roku koji odredi ovlašteni službenik.

Dužnost čuvanja službene tajne

Članak 21.

(1) Ovlašteni službenik dužan je kao službenu tajnu čuvati svu dokumentaciju te sve druge podatke i dokaze utvrđene postupkom odnosno nastale u vezi s postupkom inspekcijskog nadzora.

(2) Ovlašteni službenik dužan je čuvati podatak o identitetu podnositelja predstavke ako to podnositelj zatraži, osim kad je zbog potrebe vođenja postupka identitet podnositelja zahtjeva bitan ili kad čuvanje podataka o identitetu podnositelja zahtjeva po prirodi stvari nije moguće.

(3) Dokumentaciju, podatke i dokaze iz stavka 1. ovoga članka te podatak o identitetu podnositelja predstavke, u skladu sa stavkom 2. ovoga članka, ovlašteni službenik može dati samo sudovima, tijelima državne uprave i drugim državnim tijelima na njihov obrazloženi pisani zahtjev, u postupcima iz njihove nadležnosti.

Obveze nadziranih subjekata

Članak 22.

(1) Pružatelj usluga podatkovnog posredovanja, pravni za­stupnik pružatelja usluga podatkovnog posredovanja koji nema poslovni nastan u Europskoj uniji te organizacija za podatkovni altruizam dužni su ovlaštenom službeniku na njegovo traženje osigurati uvjete za nesmetanu provedbu inspekcijskog nadzora te mu pružiti potrebne podatke, dokumente i obavijesti.

(2) Subjekti iz stavka 1. ovoga članka dužni su postupiti po traženju ovlaštenog službenika u roku koji on odredi.

Pokretanje postupka inspekcijskog nadzora

Članak 23.

(1) Postupak inspekcijskog nadzora pokreće se po službenoj dužnosti.

(2) Inicijativu za pokretanje inspekcijskog nadzora može dati drugo tijelo državne uprave, državno odvjetništvo ili podnositelj predstavke.

(3) Predstavkom iz stavka 2. ovoga članka smatra se prijava, pritužba ili drugi podnesak kojim se upozorava na nepravilnosti odnosno stanje, propust ili postupanje protivno odredbama Uredbe (EU) 2022/868 i ovoga Zakona.

(4) Ovlašteni službenik dužan je razmotriti predstavku ili drugu obavijest upućenu tijelu državne uprave nadležnom za digitalnu transformaciju kojom se upozorava na postupanja protivna odredbama Uredbe (EU) 2022/868 i ovoga Zakona te procijeniti potrebu za pokretanjem inspekcijskog nadzora.

(5) Ovlašteni službenik dužan je obavijestiti podnositelja predstavke iz stavka 2. ovoga članka, u kojoj su navedeni njegovi podaci koji uključuju ime i prezime, adresu stanovanja te podatke za kontakt odnosno za pravnu osobu naziv, sjedište i potpis odgovorne osobe, o pokretanju postupka inspekcijskog nadzora odnosno o nepostojanju uvjeta za pokretanje postupka inspekcijskog nadzora.

(6) Ako podnositelj predstavke ponovno podnese predstavku koja u odnosu na prethodno podnesenu ne sadrži nove činjenice, okolnosti ili dokaze, smatra se da je po predstavci postupljeno.

Način provedbe inspekcijskog nadzora

Članak 24.

Inspekcijski nadzor provodi se kao:

1. neposredni inspekcijski nadzor, izravnim uvidom u opće i pojedinačne akte, elektroničke baze podataka, kao i uvjete i način rada nadziranog subjekta

2. posredni inspekcijski nadzor, uvidom u elektroničke baze podataka, zatražene i dostavljene podatke i dokumentaciju nadziranog subjekta.

Obavijest o provedbi inspekcijskog nadzora

Članak 25.

(1) Ovlašteni službenik dužan je o početku provedbe neposrednog inspekcijskog nadzora obavijestiti odgovornu osobu u pravnoj osobi odnosno fizičku osobu ili pravnog zastupnika.

(2) Iznimno od stavka 1. ovoga članka, ovlašteni službenik može provesti neposredni inspekcijski nadzor bez prethodne obavije­sti ako na temelju predstavke ili drugih saznanja ocijeni da okolnosti slučaja opravdavaju hitno postupanje i da bi takvo obavještavanje moglo bitno umanjiti učinkovitost nadzora.

Zapisnik i obavijest

Članak 26.

(1) O provedenom inspekcijskom nadzoru i utvrđenom stanju ovlašteni službenik sastavlja zapisnik.

(2) Zapisnik iz stavka 1. ovoga članka sastavlja se, zaključuje i potpisuje u skladu s odredbama zakona kojim se uređuje opći upravni postupak, a treba sadržavati sve činjenice relevantne za ocjenu stanja vezano za predmet nadzora.

(3) Ako u inspekcijskom nadzoru nisu utvrđene neusklađenosti sa zahtjevima iz III. i IV. poglavlja Uredbe (EU) 2022/868, ovlašteni službenik tu će činjenicu upisati u zapisnik.

(4) Ako su u inspekcijskom nadzoru utvrđene neusklađenosti sa zahtjevima iz III. i IV. poglavlja Uredbe (EU) 2022/868, ovlašteni službenik tu će činjenicu upisati u zapisnik, obavijestiti o istome pružatelja usluga podatkovnog posredovanja, pravnog zastupnika pružatelja usluga podatkovnog posredovanja koji nema poslovni nastan u Europskoj uniji i organizaciju za podatkovni altruizam te zatražiti očitovanje u roku od 30 dana od dana primitka obavijesti.

(5) Očitovanjem iz stavka 4. ovoga članka može se dokazati da su utvrđene neusklađenosti ispravljene što će se navesti u dopuni zapisnika iz stavka 1. ovoga članka.

Mjere inspekcijskog nadzora

Članak 27.

Ovlašteni službenik na temelju utvrđenih činjenica može izreći sljedeće mjere:

1. narediti odgodu početka pružanja ili suspendirati pružanje usluge podatkovnog posredovanja sukladno članku 14. stavku 4. točki b) Uredbe (EU) 2022/868

2. narediti odgodu početka pružanja ili suspendirati pružanje usluge podatkovnog posredovanja pružatelju usluga koji nema poslovni nastan u Europskoj uniji, a koji nije imenovao pravnog zastupnika ili ako pravni zastupnik ne dostavi potrebne informacije sukladno članku 14. stavku 5. Uredbe (EU) 2022/868

3. zabraniti pružanje usluge podatkovnog posredovanja ako teške ili ponovljene povrede nisu ispravljene sukladno članku 14. stavku 4. točki c) Uredbe (EU) 2022/868

4. zabraniti upotrebu oznake »organizacija za podatkovni altruizam priznata u Europskoj uniji« sukladno članku 24. stavku 5. točki a) Uredbe (EU) 2022/868

5. brisati organizaciju za podatkovni altruizam iz registra priznatih organizacija za podatkovni altruizam i javnog registra Europske unije priznatih organizacija za podatkovni altruizam sukladno članku 24. stavku 5. točki b) Uredbe (EU) 2022/868.

Upravni akti

Članak 28.

(1) Naredbe i zabrane izriču se rješenjem.

(2) Rješenje iz stavka 1. ovoga članka ovlašteni službenik dužan je donijeti najkasnije u roku od 15 dana od dana zaključenja zapisnika odnosno dopune zapisnika.

Pravni lijek

Članak 29.

Protiv rješenja donesenog u provođenju inspekcijskog nadzora žalba nije dopuštena, ali se tužbom može pokrenuti upravni spor.

VI. PREKRŠAJNE ODREDBE

Ponovna uporaba zaštićenih podataka

Članak 30.

(1) Novčanom kaznom u iznosu od 10.000,00 do 132.720,00 eura kaznit će se pravna osoba kojoj je odobreno pravo na ponovnu uporabu zaštićenih podataka, a koja:

a) protivno članku 5. stavku 14. Uredbe (EU) 2022/868 izvrši prijenos zaštićenih podataka u treću zemlju za koje nisu ispunjeni zahtjevi iz članka 5. stavaka 10., 12. i 13. Uredbe (EU) 2022/868

b) ponovno upotrebljava zaštićene podatke protivno svrsi iz zahtjeva za ponovnu uporabu zaštićenih podataka iz članka 7. stavka 1. točke d) ovoga Zakona za koju je prethodno dobila odobrenje za njihovu ponovnu upotrebu

c) protivno članku 31. stavku 1. Uredbe (EU) 2022/868 ne poduzme sve razumne tehničke, pravne i organizacijske mjere, uključujući ugovorne aranžmane, kako bi se spriječio međunarodni prijenos neosobnih podataka

d) protivno članku 31. stavku 4. Uredbe (EU) 2022/868 dostavi veću količinu podataka od minimalno dopuštene

e) prenese podatke upravnom tijelu države koja nije članica Europske unije bez prethodne obavijesti imatelju podataka sukladno članku 31. stavku 5. Uredbe (EU) 2022/868.

(2) Novčanom kaznom u iznosu od 2000,00 do 5000,00 eura kaznit će se i odgovorna osoba u pravnoj osobi iz stavka 1. ovoga članka.

(3) Novčanom kaznom u iznosu od 100,00 do 6630,00 eura kaz­nit će se fizička osoba kojoj je odobreno pravo na ponovnu uporabu zaštićenih podataka, a koja:

a) protivno članku 5. stavku 14. Uredbe (EU) 2022/868 izvrši prijenos zaštićenih podataka u treću zemlju za koje nisu ispunjeni zahtjevi iz članka 5. stavaka 10., 12. i 13. Uredbe (EU) 2022/868

b) ponovno upotrebljava zaštićene podatke protivno svrsi iz zahtjeva za ponovnu uporabu zaštićenih podataka iz članka 7. stavka 1. točke d) ovoga Zakona za koju je prethodno dobila odobrenje za njihovu ponovnu upotrebu

c) protivno članku 31. stavku 1. Uredbe (EU) 2022/868 ne poduzme sve razumne tehničke, pravne i organizacijske mjere, uključujući ugovorne aranžmane, kako bi se spriječio međunarodni prijenos neosobnih podataka

d) protivno članku 31. stavku 4. Uredbe (EU) 2022/868 dostavi veću količinu podataka od minimalno dopuštene

e) prenese podatke upravnom tijelu države koja nije članica Europske unije bez prethodne obavijesti imatelju podataka sukladno članku 31. stavku 5. Uredbe (EU) 2022/868.

(4) Novčanom kaznom u iznosu od 1000,00 do 66.360,00 eura kaznit će se fizička osoba obrtnik i osoba koja obavlja druge samostalne djelatnosti kojoj je odobreno pravo na ponovnu uporabu zaštićenih podataka, a koja:

a) protivno članku 5. stavku 14. Uredbe (EU) 2022/868 izvrši prijenos zaštićenih podataka u treću zemlju za koje nisu ispunjeni zahtjevi iz članka 5. stavaka 10., 12. i 13. Uredbe (EU) 2022/868

b) ponovno upotrebljava zaštićene podatke protivno svrsi iz zahtjeva za ponovnu uporabu zaštićenih podataka iz članka 7. stavka 1. točke d) ovoga Zakona za koju je prethodno dobila odobrenje za njihovu ponovnu upotrebu

c) protivno članku 31. stavku 1. Uredbe (EU) 2022/868 ne poduzme sve razumne tehničke, pravne i organizacijske mjere, uključujući ugovorne aranžmane, kako bi se spriječio međunarodni prijenos neosobnih podataka

d) protivno članku 31. stavku 4. Uredbe (EU) 2022/868 dostavi veću količinu podataka od minimalno dopuštene

e) prenese podatke upravnom tijelu države koja nije članica Europske unije bez prethodne obavijesti imatelju podataka sukladno članku 31. stavku 5. Uredbe (EU) 2022/868 ako je prekršaj počinjen u vezi s obavljanjem njezina obrta ili druge samostalne djelatnosti.

(5) Ovlašteni tužitelj za pokretanje prekršajnih postupaka iz ovoga članka je tijelo državne uprave nadležno za digitalnu trans­formaciju.

Usluge podatkovnog posredovanja

Članak 31.

(1) Novčanom kaznom u iznosu od 10.000,00 do 132.720,00 eura kaznit će se pružatelj usluga podatkovnog posredovanja pravna osoba ako:

a) pruža usluge podatkovnog posredovanja bez obavještavanja nadležnog tijela za usluge podatkovnog posredovanja sukladno članku 11. stavku 1. Uredbe (EU) 2022/868

b) pružatelj usluga podatkovnog posredovanja koji nema poslovni nastan u Europskoj uniji, ali unutar Europske unije nudi usluge podatkovnog posredovanja iz članka 10. Uredbe (EU) 2022/868, ne imenuje pravnog zastupnika u jednoj od država članica u kojima se te usluge nude sukladno članku 11. stavku 3. Uredbe (EU) 2022/868

c) u propisanim rokovima sukladno članku 11. stavcima 12. i 13. Uredbe (EU) 2022/868 ne obavijesti nadležno tijelo za usluge podatkovnog posredovanja o promjenama iz članka 11. stavka 6. Uredbe (EU) 2022/868 ili o prestanku obavljanja djelatnosti

d) ne ispunjava uvjete za pružanje usluga podatkovnog posredovanja sukladno članku 12. Uredbe (EU) 2022/868.

(2) Novčanom kaznom u iznosu od 2000,00 do 5000,00 eura kaznit će se i odgovorna osoba u pravnoj osobi iz stavka 1. ovoga članka.

(3) Novčanom kaznom u iznosu od 1000,00 do 66.360,00 eura kaznit će se pružatelj usluga podatkovnog posredovanja fizička osoba obrtnik i osoba koja obavlja druge samostalne djelatnosti ako:

a) pruža usluge podatkovnog posredovanja bez obavještavanja nadležnog tijela za usluge podatkovnog posredovanja sukladno članku 11. stavku 1. Uredbe (EU) 2022/868

b) pružatelj usluga podatkovnog posredovanja koji nema poslovni nastan u Europskoj uniji, ali unutar Europske unije nudi usluge podatkovnog posredovanja iz članka 10. Uredbe (EU) 2022/868, ne imenuje pravnog zastupnika u jednoj od država članica u kojima se te usluge nude sukladno članku 11. stavku 3. Uredbe (EU) 2022/868

c) u propisanim rokovima sukladno članku 11. stavcima 12. i 13. Uredbe (EU) 2022/868 ne obavijesti nadležno tijelo za usluge podatkovnog posredovanja o promjenama iz članka 11. stavka 6. Uredbe (EU) 2022/868 ili o prestanku obavljanja djelatnosti

d) ne ispunjava uvjete za pružanje usluga podatkovnog posredovanja sukladno članku 12. Uredbe (EU) 2022/868.

(4) Ovlašteni tužitelj za pokretanje prekršajnih postupaka iz ovoga članka je nadležno tijelo za usluge podatkovnog posredovanja.

Organizacije za podatkovni altruizam

Članak 32.

(1) Novčanom kaznom u iznosu od 10.000,00 do 132.720,00 eura kaznit će se priznata organizacija za podatkovni altruizam pravna osoba ako:

a) tijekom obavljanja djelatnosti podatkovnog altruizma, a zbog statusnih promjena prestane biti pravna osoba osnovana radi ispunjavanja ciljeva od općeg interesa sukladno članku 18. točki b) Uredbe (EU) 2022/868

b) tijekom obavljanja djelatnosti podatkovnog altruizma, a zbog promjena djelatnosti prestane djelovati na neprofitnoj osnovi i postane pravno ovisna o bilo kojem subjektu koji djeluje na profitnoj osnovi sukladno članku 18. točki c) Uredbe (EU) 2022/868

c) obavlja aktivnosti podatkovnog altruizma putem strukture koja nije funkcionalno odvojena od svojih drugih aktivnosti sukladno članku 18. točki d) Uredbe (EU) 2022/868

d) ne ispunjava zahtjeve u pogledu transparentnosti sukladno članku 20. Uredbe (EU) 2022/868

e) ne ispunjava posebne zahtjeve u svrhu zaštite prava i interesa ispitanika i imatelja podataka u odnosu na njihove podatke, sukladno članku 21. Uredbe (EU) 2022/868

f) ne uskladi svoje poslovanje s pravilnikom iz članka 22. stavka 1. Uredbe (EU) 2022/868.

(2) Novčanom kaznom u iznosu od 2000,00 do 5000,00 eura kaznit će se i odgovorna osoba u pravnoj osobi iz stavka 1. ovoga članka.

(3) Novčanom kaznom u iznosu od 1000,00 do 66.360,00 eura kaznit će se priznata organizacija za podatkovni altruizam fizička osoba obrtnik i osoba koja obavlja druge samostalne djelatnosti ako:

a) tijekom obavljanja djelatnosti podatkovnog altruizma, a zbog statusnih promjena prestane biti pravna osoba osnovana radi ispunjavanja ciljeva od općeg interesa sukladno članku 18. točki b) Uredbe (EU) 2022/868

b) tijekom obavljanja djelatnosti podatkovnog altruizma, a zbog promjena djelatnosti prestane djelovati na neprofitnoj osnovi i postane pravno ovisna o bilo kojem subjektu koji djeluje na profitnoj osnovi sukladno članku 18. točki c) Uredbe (EU) 2022/868

c) obavlja aktivnosti podatkovnog altruizma putem strukture koja nije funkcionalno odvojena od svojih drugih aktivnosti sukladno članku 18. točki d) Uredbe (EU) 2022/868

d) ne ispunjava zahtjeve u pogledu transparentnosti sukladno članku 20. Uredbe (EU) 2022/868

e) ne ispunjava posebne zahtjeve u svrhu zaštite prava i interesa ispitanika i imatelja podataka u odnosu na njihove podatke, sukladno članku 21. Uredbe (EU) 2022/868

f) ne uskladi svoje poslovanje s pravilnikom iz članka 22. stavka 1. Uredbe (EU) 2022/868.

(4) Ovlašteni tužitelj za pokretanje prekršajnih postupaka iz ovoga članka je nadležno tijelo za registraciju organizacija za podatkovni altruizam.

VII. PRIJELAZNE I ZAVRŠNE ODREDBE

Prijelazne odredbe

Članak 33.

(1) Tijelo državne uprave nadležno za digitalnu transformaciju uspostavit će jedinstvenu informacijsku točku iz članka 4. stavka 1. ovoga Zakona u roku od 30 dana od dana stupanja na snagu ovoga Zakona.

(2) Čelnik tijela državne uprave nadležnog za digitalnu transformaciju donijet će pravilnik iz članka 16. stavka 2. ovoga Zakona u roku od 90 dana od dana stupanja na snagu ovoga Zakona.

Završna odredba

Članak 34.

Ovaj Zakon stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.