Tina Baznik
Tina Baznik
10. septembra 2025

Evropska uredba o podatkih: priporočila za IT podjetja

Z dnem 12. septembra 2025 bo v vseh državah članicah EU neposredno zavezujoča Uredba (EU) 2023/2854 o podatkih (Data Act). Gre za ključni zakonodajni akt v okviru digitalne strategije EU, katerega namen je oblikovanje pravičnega, odprtega in konkurenčnega enotnega trga za neosebne in industrijske podatke. Medtem ko se uredba osredotoča predvsem na dostopnost, prenosljivost in ponovno uporabo podatkov, ima pomembne posledice tudi za pravni položaj nosilcev pravic intelektualne lastnine, predvsem tistih, ki delujejo v podatkovno intenzivnih sektorjih (IoT, digitalna infrastruktura, platformne storitve).

Čeprav Uredba o podatkih ne vzpostavlja posebnih pravic intelektualne lastnine, pa pomembno vpliva na pravni položaj nosilcev pravic, zlasti v kontekstu dostopa do podatkov, podatkovnih zbirk. njihove uporabe ter varovanja poslovnih skrivnosti.

Uredba določa, da imetniki podatkov – najpogosteje proizvajalci povezanih naprav – omogočiti dostop do strojno generiranih podatkov končnim uporabnikom in njihovim pooblaščenim tretjim osebam. Ta obveznost velja tudi v primeru, ko so podatki ustvarjeni z uporabo produktov ali storitev, a jih doslej ni bilo mogoče zakonito pridobiti brez soglasja proizvajalca.

Uredba o podatkih določa, da imajo imetniki zakonit interes po zaščiti poslovnih skrivnosti, kot jih definira Direktiva (EU) 2016/943. V primerih, ko bi razkritje podatkov pomenilo nevarnost razkritja zaupnih informacij, uredba dopušča omejitev dostopa – vendar le ob predpostavki, da je tveganje za škodo konkretizirano in objektivno utemeljeno.

To pomeni, da bodo podjetja morala:

  • identificirati dele podatkov, ki imajo naravo poslovne skrivnosti,
  • oceniti morebitna tveganja razkritja,
  • ter vzpostaviti pravne in tehnične ukrepe, ki omogočajo deljenje brez kršitve zaupnosti.

V praksi bodo zato pogodbe o nerazkritju (NDA), pogodbe o deljenju podatkov ter interni protokoli klasifikacije informacij postali ključni del sistema upravljanja skladnosti z Uredbo.

  1. Podatki kot pravni objekt: ločevanje dejstev od zaščitenih vsebin

Eden osrednjih konceptov Data Acta je jasno ločevanje med podatki kot faktičnimi informacijami ter vsebinami, ki lahko uživajo pravno varstvo po pravilih avtorskega prava ali sui generis pravice na podatkovnih bazah.

Uredba poudarja, da samodejno generirani podatki – npr. senzorni podatki, telemetrija ali operativne metrike – sami po sebi ne ustvarjajo pravice intelektualne lastnine. Imetniki naprav in platform ne pridobijo ekskluzivnih pravic zgolj zaradi posedovanja teh podatkov. Le v primeru, ko obstaja bistvena naložba v organizacijo, strukturo ali predstavitev podatkov (v smislu Direktive 96/9/ES), je možna zaščita zbirke kot podatkovne baze.

Za podjetja je zato ključnega pomena, da:

  • ločijo podatke, ki nastanejo iz uporabe naprav, od strukturiranih vsebin, ki jih ustvarijo sami,
  • in prepoznajo, kje pravice intelektualne lastnine dejansko obstajajo (npr. izvirna vizualizacija, urejena zbirka, programski algoritem).

Prav tako je pomembno razumeti, da Data Act ne ukinja pravic intelektualne lastnine, temveč določa, da ne smejo biti uporabljene kot absolutna ovira za uresničevanje zakonitega dostopa, kadar to zahteva uredba – razen v primerih, ko je ogrožen zakoniti interes imetnika pravic.

30.člen uvaja obvezne zahteve za tako imenovane pametne pogodbe, ki jih ponudniki storitev uporabljajo za avtomatizirano deljenje podatkov med akterji. Te pogodbe bodo morale vključevati:

  • možnost varne prekinitve v primerih zlorab ali sprememb pogojev,
  • revizijsko sled, ki omogoča dokazljivost dostopov in prenosov,
  • ter varnostne mehanizme, ki ščitijo pred nepooblaščenim dostopom.

V kontekstu upravljanja pravic intelektualne lastnine to pomeni, da bo mogoče v pametne pogodbe vključiti tudi licenčne pogoje za uporabo podatkov, algoritmov ali digitalnih storitev, s čimer se IP pravice vključujejo v avtomatizirane podatkovne tokove.

Podjetja, ki razvijajo tovrstne pametne pogodbe, bodo morala zagotoviti, da te:

  • omogočajo pogodbeno uveljavljanje licenčnih omejitev,
  • ščitijo poslovne skrivnosti in zaupne informacije,
  • ter zagotavljajo pravno transparentnost v odnosu do tretjih oseb.
  • Kdo so zavezanci?

Uredba se uporablja za vse deležnike podatkovnih verig in sicer:

  • proizvajalce povezanih naprav,
  • ponudnike storitev,
  • uporabnike (tudi potrošnike),
  • ponudnike oblačnih storitev in pametnih pogodb,
  • tudi subjekte zunaj EU, če ponujajo izdelke ali storitve na enotnem trgu EU.
  • Kakšna je razlika med Data Act in GDPR?

Splošna uredba o varstvu podatkov (GDPR) (Uredba (EU) 2016/679)  se uporablja pri obdelavi osebnih podatkov, torej vseh informacij, ki se nanašajo na določenega ali določljivega posameznika. Namen uredbe je zagotoviti varstvo temeljnih pravic posameznikov, zlasti pravice do zasebnosti. Določa stroge pogoje za zakonito obdelavo, prenose in shranjevanje osebnih podatkov, ter določa pravice posameznikov in dolžnosti upravljavcev in obdelovalcev.

GDPR se uporablja neposredno v vseh državah članicah in ima prednost pred drugimi področnimi predpisi, kadar urejajo isto dejansko stanje v zvezi z osebnimi podatki.

Uredba o podatkih pa ureja dostop, uporabo in prenos neosebnih podatkov, zlasti tistih, ki jih ustvarjajo povezani izdelki (IoT naprave, pametni stroji, senzorji ipd.) in s tem povezane digitalne storitve. Namen uredbe je odpraviti zaprtost podatkov pri proizvajalcih naprav ter omogočiti pravičen, standardiziran in nadzorovan dostop do teh podatkov uporabnikom, tretjim osebam in javnim organom.

Poleg dostopa in deljenja podatkov med zasebnimi subjekti, Uredba določa tudi:

  • obveznosti za proizvajalce naprav glede omogočanja dostopa do podatkov uporabnikom,
  • pogoje za prenos podatkov med ponudniki oblačnih storitev,
  • ukrepe za varovanje poslovnih skrivnosti in preprečevanje zlorabe pravic,
  • zahteve glede dostopa javnih organov v izrednih razmerah (npr. naravne nesreče, epidemije),
  • obveznosti subjektov zunaj EU, če ponujajo povezane naprave ali storitve na trgu EU.

Data Act ne posega v pravice in obveznosti, ki izhajajo iz GDPR, temveč ga dopolnjuje na področju neosebnih in strojno generiranih podatkov, kjer osebna komponenta ni prisotna ali ni več prepoznavna (npr. agregirani ali anonimizirani podatki). Kadar pa je iz teh podatkov mogoče identificirati posameznika, se ti štejejo za osebne podatke in so v celoti podrejeni določbam GDPR.

  •  Zakaj je Data Act pomemben za IT sektor?

Podjetja, ki razvijajo IoT naprave, ponujajo platforme za upravljanje podatkov, oblačne storitve ali napredne analitične rešitve, bodo neposredno zavezana k izpolnjevanju določil Data Acta.

Namesto da bi bili podatki zaklenjeni znotraj naprav in strežnikov proizvajalcev, bo moralo podjetje uporabniku omogočiti dostop do teh podatkov – tudi za prenos k tretjim osebam ali zamenjavo ponudnika storitve v oblaku.

 Strateške priložnosti za podjetja

Uredba odpira prostor za inovacije in nov poslovni model. Med ključne koristi sodijo:

  1. Razvoj novih storitev in aplikacij:
    Dostop do tehničnih podatkov omogoča razvoj personaliziranih aplikacij, storitev za preventivno vzdrževanje, energetsko optimizacijo, itd.
  2. Poštena konkurenca:
    Manjša podjetja lahko pridobijo podatke, ki so bili prej na voljo le velikim proizvajalcem – to spodbuja razvoj in konkurenčnost.

3. Prenosljivost in interoperabilnost:
Podjetja bodo morala omogočiti enostaven prenos podatkov med ponudniki – konec t. i. “vendor lock-in” prakse.

4. Optimizacija delovanja in poslovnih procesov:
Uporaba lastnih IoT podatkov za izboljšanje proizvodnje, znižanje stroškov in bolj trajnostno upravljanje.

5. Vstop na evropske podatkovne prostore:
Nove možnosti sodelovanja z javnimi in zasebnimi akterji v sektorjih mobilnosti, zdravstva, energije ipd.

  • Praktična priporočila za podjetja

 Če ste podjetje, ki razvija, trži ali uporablja povezane naprave, storitve ali platforme, priporočamo naslednje ukrepe:

 Tehnični ukrepi:

  • vzpostavite vmesnike (API-je) za deljenje podatkov z uporabniki in tretjimi osebami,
  • omogočite izvoz podatkov v strojno berljivi obliki (npr. JSON, XML).
  • uskladite strukturo in format podatkov z novimi interoperabilnimi standardi EU. Tehnična interoperabilnost je eden ključnih ciljev akta. Uporabnikom mora biti omogočen učinkovit, strojno berljiv in standardiziran dostop do podatkov (npr. JSON, XML). To zmanjšuje odvisnost od posameznih ponudnikov (vendor lock-in) in omogoča mobilnost podatkov znotraj EU podatkovnih prostorov.
  • Vpeljite sistematično kategorizacijo podatkov. Opravite pravno-tehnično analizo, kateri podatki bi lahko postali osebni (npr. s kombinacijo s podatki iz drugih virov).
  • Če podjetje hrani podatke, ki bi bili lahko ključni v primeru naravnih nesreč, mora imeti izdelan postopek, kako in pod kakšnimi pogoji te podatke posreduje javnim organom (člen 14–22). Uredba določa, da morajo podjetja v primeru javnih izrednih razmer (npr. naravne nesreče, pandemije, velika krizna tveganja) omogočiti brezplačen dostop do podatkov javnim organom, če so ti nujni za obvladovanje krize. V drugih primerih, ko javni organi zahtevajo podatke zaradi izpolnjevanja posebnih nalog v javnem interesu (npr. dolgoročno načrtovanje infrastrukture, ukrepi v kmetijstvu, okoljska politika), lahko podjetja zahtevajo ustrezno nadomestilo za zagotavljanje dostopa. To pomeni, da obveznost deljenja podatkov ne pomeni avtomatičnega odpovedovanja gospodarski vrednosti podatkov, temveč je omejena na sorazmerne situacije.

 Pravni ukrepi:

  • Revizija vseh pravnih pogodb s poudarkom na opredelitvi pravne narave (osebni/neosebni, varovani IP ali poslovna skrivnost),
  • posodobite pogodbe z uporabniki in partnerji, vključno z določbami o dostopu, deljenju in uporabi podatkov. Data Act zahteva pogodbeno jasnost o tem:
    • kdo ima dostop do katerih podatkov,
    • kako se lahko ti podatki uporabljajo ali delijo,
    • pod katerimi pogoji je uporaba omejena (npr. zaščita poslovnih skrivnosti).
    • Vključite določila o FRAND načelih (pošteni, razumni in nediskriminatorni) in zavarujte svojo intelektualno lastnino. To velja predvsem v primerih, ko uporabnik povezanega izdelka pooblasti drugo podjetje za obdelavo ali analizo podatkov. Namen FRAND je preprečiti zlorabo prevladujočega položaja in zagotoviti, da so pogodbeni pogoji za dostop pregledni, predvidljivi in konkurenčni.
  • določite pogoje za zaščito poslovnih skrivnosti in drugih pravic intelektualne lastnine,
  • pripravite interni priročnik ali politiko skladnosti z Data Act.
  • Poskrbite za usposabljanje zaposlenih, ki upravljajo z IoT napravami, analitiko in podatkovnimi sistemi.
  • Vzpostavitev politike prekinitve pametnih pogodb (smart contracts). Čeprav Uredba omenja pametne pogodbe, to ne pomeni, da bo vsaka njihova uporaba predmet uredbe. Uredba se nanaša zlasti na pametne pogodbe, ki se uporabljajo za avtomatizirano izvrševanje sporazumov o deljenju podatkov v okviru podatkovnih prostorov. Te pogodbe morajo omogočati varno prekinitev, revizijsko sled in zaščito pred nepooblaščenim izvajanjem. Namen teh določb ni regulacija pametnih pogodb na splošno (npr. v finančnem sektorju), ampak ustvarjanje zanesljive pravne in tehnične infrastrukture za podatkovno ekonomijo.
  • Če uporabljate pametne pogodbe, poskrbite, da jih bo mogoče prekiniti, kot to zahteva Data Act.
  • Preglejte skladnost z interoperabilnostnimi in varnostnimi zahtevami.
  • zagotovite skladnost z GDPR, kjerkoli obstaja možnost obdelave osebnih podatkov.

Skladnost za ne-EU podjetja:

  • podjetja izven EU, ki ponujajo izdelke ali storitve na trgu EU, morajo imenovati pravnega zastopnika v EU,
  • zastopnik mora biti pooblaščen za sodelovanje z organi in dokazovanje skladnosti z uredbo.

Zastopnik je kontaktna točka in odgovorna oseba za komunikacijo z nadzornimi organi. Vendar pa je pomembno poudariti, da imenovanje zastopnika ne izključuje pravne odgovornosti samega podjetja. Subjekt s sedežem zunaj EU ostaja polno odgovoren za izpolnjevanje obveznosti po Data Actu, zastopnik pa omogoča učinkovito izvrševanje pravic in obveznosti v EU.

Spremljajte smernice Evropske komisije

Ker gre za relativno novo zakonodajo, bo implementacija postopna. Evropska komisija objavlja:

  • uradne smernice,
  • pogosta vprašanja (FAQs),
  • primere dobrih praks za posamezne sektorje.
  • Zaključek

Uredba o podatkih pomeni pomembno spremembo v razumevanju lastništva, dostopa in upravljanja s podatki v EU. Z njo se oblikuje nov pravni in poslovni okvir, ki spodbuja preglednost, večjo udeležbo uporabnikov ter pravičnejšo porazdelitev vrednosti podatkov znotraj digitalnega gospodarstva.

Čeprav Data Act ne zahteva posebnih upravnih postopkov, kot so registracije ali poročanja, podjetjem nalaga obsežne obveznosti glede tehničnih prilagoditev, pogodbenih razmerij in skladnosti z interoperabilnostnimi standardi. Od podjetij se pričakuje, da vzpostavijo jasna pravila glede dostopa do podatkov, zaščite poslovnih skrivnosti in pravic uporabnikov – vse ob spoštovanju že obstoječih pravil, zlasti Splošne uredbe o varstvu podatkov (GDPR).

Skladnost z uredbo zato ne pomeni le formalne obveznosti, temveč postaja ključni dejavnik zaupanja na trgu in pogoj za vključevanje v evropske podatkovne prostore prihodnosti. Podjetja, ki bodo pravočasno prepoznala to spremembo kot strateško priložnost, lahko s premišljeno nadgradnjo svojih podatkovnih modelov okrepijo svojo konkurenčnost, zaupanje strank in dolgoročno odpornost na dinamične zahteve digitalnega okolja.