Nařízení o datech v kostce aneb revoluce v práci s daty v Evropě

Nařízení o datech (angl. Data Act) je evropské nařízení (2023/2854), jehož cílem je vytvořit podmínky pro spravedlivé sdílení a využívání dat, což by mělo přispět k hospodářskému růstu a inovacím. Nová pravidla zásadně ovlivní způsob práce s daty v Evropě.

ilustrační obrázek, zdroj: shutterstock.com

Množství dat v ekonomice neustále narůstá a spolu s tím také jejich význam pro inovace, konkurenceschopnost, digitální gramotnost uživatelů nebo pro řešení krizových situací. V současnosti však až 80 % všech průmyslových dat zůstává nevyužito. Data představují digitalizaci činností a událostí uživatele, a proto by k nim měl mít uživatel, bez ohledu na to, zda jde o fyzickou či právnickou osobu, přístup.

Nařízení o datech je horizontální předpis, který zejména usnadní uživatelům přístup k datům generovaným při používání připojených výrobků (tzv. IoT), stanovuje pravidla pro sdílení dat mezi podniky, umožňuje orgánům veřejné moci v případech výjimečné potřeby požádat držitele dat o přístup k datům a upravuje pravidla pro provoz služeb zpracování dat, zejména usnadňuje klientům přechod mezi různými poskytovateli a zavádí pravidla pro ochranu dat v Evropské unii. To vše při zohlednění specifického postavení malých a středních podniků.

Ministerstvo průmyslu a obchodu, jakožto národní gestor Data Actu, pracuje na implementaci nařízení o datech, které vstoupí v platnost dne 12. září 2025. Pro snadnější orientaci všech dotčených subjektů přináší tento text stručné shrnutí nových práv a povinností. Ministerstvo průmyslu a obchodu dále připravuje minisérii odborných článků popisujících nová opatření více do detailu. Odkazy na tyto články zde budou rovněž průběžně doplňovány. Upozorňujeme, že se nejedná o vyčerpávající seznam veškerých povinností a pravidel, ani o závazný výklad nařízení, který může provést pouze soud.

Přístup k datům z připojených výrobků a souvisejících služeb a sdílení dat mezi podniky

Nařízení o datech zvyšuje právní jistotu pro spotřebitele a podniky v souvislosti s přístupem k datům z připojených výrobků, které jsou schopny data generovaná na základě jejich používání dále komunikovat (tzv. IoT), nebo souvisejícími softwarovými službami, které vlastní nebo si pronajímají. Výrobci a designéři jsou povinni navrhovat připojené výrobky tak, aby byla data snadno a bezplatně přístupná uživatelům, a musí být transparentní, pokud jde o to, jaká data budou přístupná a jak k nim získat přístup.

Přístup k datům a jejich využívání ze strany držitelů dat (např. výrobců zařízení) je zachován, podléhá však dohodě s uživatelem. Se souhlasem uživatele je dále držitel dat povinen zpřístupnit dotčená data třetím stranám, např. poskytovatelům poprodejních služeb. Pokud zpřístupněná data obsahují obchodní tajemství, musí být přijata opatření nezbytná k zachování jejich důvěrnosti. Mikropodniky a malé podniky budou od povinností zpřístupnit data osvobozeny.

V rámci obchodních vztahů mezi podniky nařízení o datech stanovuje obecné zásady pro povinnost zpřístupnění dat. Pokud je držitel dat povinen data zpřístupnit uživateli nebo třetí straně – právnické osobě, musí tak udělat za spravedlivých a nediskriminačních podmínek. Kompenzace za zpřístupnění dat musí být přiměřená a v případě malých a středních podniků nesmí překročit náklady spojené s poskytnutím dat. Evropská komise v této souvislosti vypracuje nezávazná vzorová smluvní ujednání týkající se přístupu k datům a jejich používání, včetně podmínek týkajících se přiměřené kompenzace a ochrany obchodního tajemství. S případnými spory mohou stranám pomoci soukromoprávní subjekty certifikované členskými státy, tzv. subjekty pro řešení sporů.

Nařízení o datech se dále zabývá nepřiměřenými smluvními ujednáními s cílem zajistit spravedlivější rozdělení hodnoty v ekonomice založené na datech. Opatření se týkají smluv o sdílení dat mezi podniky v situacích, kdy jedna strana jednostranně uloží podmínky jinému podniku, který je nemůže ovlivnit. Data Act stanoví, že nepřiměřená smluvní ujednání týkající se sdílení dat jsou právně nezávazná. Nařízení definuje nepřiměřené smluvní podmínky a doplňuje je seznamem ujednání, která jsou vždy nepřiměřená, a dále pak ujednání, která jsou považována za nepřiměřená s možností prokázání opaku.

Změna poskytovatele služeb zpracování dat a ochrana dat v EU

V rámci usnadnění toku dat a podpory využívání cloudových služeb nařízení o datech zavádí minimální regulační požadavky pro poskytovatele cloudových a edgeových služeb a dalších služeb zpracování dat.

Poskytovatelé služeb zpracování dat nesmějí zákazníkům bránit v přechodu ke konkurenci či na vlastní infrastrukturu informačních a komunikačních technologií a musejí jim být v rámci tohoto procesu nápomocní. V rámci služeb zpracování dat spadajících do kategorie „infrastruktura jako služba“ (IaaS) se poskytovatelé vynasnaží, aby klient po přechodu k jinému poskytovateli mohl plynule navázat (tzv. funkční rovnocennost). U jiných typů služeb poskytovatelé zajistí kompatibilitu se společnými specifikacemi nebo harmonizovanými normami pro interoperabilitu zveřejněnými v centrálním registru norem Unie pro interoperabilitu služeb zpracování dat.

Nařízení o datech stanovuje lhůty pro přechod, přičemž výpovědní lhůta nesmí překročit dva měsíce. Přechodné období pak trvá maximálně 30 dní, v odůvodněných případech pak až sedm měsíců, přičemž zákazník má právo jej jednou prodloužit.

Dalším opatřením je přechodná lhůta do ledna 2027, během níž poplatky za změnu poskytovatele nesmějí přesáhnout přímo související náklady, a po jejímž uplynutí nesmějí být za změnu poskytovatele účtovány žádné poplatky. V případně, že se zákazník rozhodne používat službu paralelně s jinou služnou zpracování dat, může poskytovatel nadále účtovat poplatky za přesun dat.

Data Act rovněž zavádí opatření k vyšší míře ochrany neosobních dat uložených v Evropské unii. Pokud se na poskytovatele služeb zpracování dat obrátí orgány třetích států s žádostí o přístup k datům jejich zákazníků, nařízení stanovuje podmínky, za kterých je možné jim vyhovět. Takové žádosti jsou pak odůvodněné pouze v případě existence mezinárodní dohody (např. tzv. MLAT) nebo za předpokladu, že je žádost řádně odůvodněná a pokud soud třetí země může zohlednit legitimní zájmy poskytovatele či jeho námitky. S výjimkou žádostí podmíněných prosazováním práva informuje poskytovatel o její existenci zákazníka.

Ministerstvo průmyslu a obchodu k problematice změny poskytovatele služeb zpracování dat v rámci nařízení o datech připravuje rovněž podrobnější článek. Odkaz na něj zde brzy naleznete.

Zpřístupňování dat veřejným subjektům na základě výjimečné potřeby

Data se ukazují býti nezbytná pro adekvátní a včasnou reakci na mimořádné situace jako jsou např. přírodní pohromy, pandemie či kybernetické incidenty. Nařízení o datech stanovuje jednotný rámec, který umožní subjektům veřejného sektoru, Evropské komisi, Evropské centrální bance a subjektům Unie (dále jen „veřejný subjekt“) v případech výjimečné potřeby využívat data, která jsou v držení podniků. Na základě něj mohou veřejné subjekty předložit časově a rozsahem omezenou žádost držitelům dat, v rámci níž požádají o zpřístupnění dat, která jsou jinak nedostupná.

Výjimečná potřeba je nařízením vymezena buďto jako krizová situace úředně vyhlášená dle práva členských států či EU nebo jiná situace, kdy nedostatek dat tvoří překážku pro plnění konkrétního úkolu ve veřejném zájmu, který je výslovně stanoven zákonem a data nelze získat jiným způsobem. Druhý případ je dále omezen pouze na neosobní data a netýká se mikro a malých podniků.

V případě výjimečné potřeby za účelem reakce na krizovou situaci by data měla být zpřístupněna zdarma, přičemž držitel dat bude mít 5 pracovních dní na odmítnutí žádosti. V ostatních případech, včetně prevence krizových situací nebo pomoci při obnově, by měl držitel dat, který data zpřístupňuje, mít nárok na spravedlivou kompenzaci a 30 pracovních dní na případné odmítnutí žádosti. Spravedlivá kompenzace by měla pokrýt náklady spojené se zpřístupněním dat a zahrnovat také přiměřenou marži.

Aby se zabránilo zneužívání práva na zpřístupnění dat a zároveň byl veřejný sektor odpovědný za jejich využití, je důležité, aby žádosti o data byly přiměřené, jasně specifikovaly účel a respektovaly zájmy podniků, které data poskytují. Veřejné subjekty v této souvislosti přijmou nezbytná technická a organizační opatření k zachování důvěrnosti a integrity dat, zejména pokud jde o osobní údaje či obchodní tajemství. Data smějí být použita pouze způsobem slučitelným s účelem, pro který byla vyžádána a musejí být vymazána, jakmile již nejsou nezbytná, ledaže je archivace dat vyžadována v souladu s právními předpisy EU nebo členských států.

Podrobnější informace k zpřístupňování dat veřejným subjektům na základě výjimečné potřeby zde brzy zveřejníme.

Opatření k podpoře interoperability

Kromě výše uvedeného stanovuje nařízení o datech základní požadavky týkající se interoperability pro účastníky v datových prostorech, kteří nabízejí data nebo datové služby jiným účastníkům, mimo jiné za účelem vývoje nových produktů a služeb, vědeckého výzkumu nebo iniciativ občanské společnosti. Nabízené datové soubory musejí být popsány způsobem umožňujícím jejich snadné získání a využití, a to včetně technických prostředků pro přístup k těmto datům a případně také umožňovat interoperabilitu pomocí nástrojů pro automatizaci realizace dohod o sdílení dat.

Data Act obsahuje také základní požadavky k podpoře interoperability zmíněných nástrojů pro automatizaci realizace dohod o sdílení dat. Dodavatelé inteligentních smluv, jejímž cílem je zpřístupnění dat, musejí zajistit, aby tyto smlouvy nabízely mechanismy kontroly přístupu a velmi vysoký stupeň robustnosti, dále obsahovaly mechanismus pro ukončení trvající realizace transakcí, měly k dispozici možnost vedení záznamů o operacích provedených s daty v minulosti a byly vykonavatelné v souladu s podmínkami dohody o sdílení dat, kterou inteligentní smlouva provádí. Za účelem prokázání splnění výše uvedených požadavků dodavatelé provedou posouzení shody a vydají prohlášení o shodě.