Změna poskytovatele služeb zpracování dat (Nařízení o datech)

 

Nařízení o datech schválené v prosinci 2023 navazuje na zastřešující Evropskou strategii Evropské komise pro data z února 2020 a doplňuje mimo jiné akt o správě dat (DGA). Řeší vztahy v oblasti držení a sdílení dat mezi soukromými subjekty (navzájem), spotřebiteli i státním sektorem.

V tomto článku Ministerstva průmyslu a obchodu představujeme nová pravidla, která usnadňují zákazníkům přechod mezi poskytovateli služeb zpracování dat, chrání data a zajišťují interoperabilitu. Upozorňujeme, že jde o odborný text určený zejména pro experty na datové právo, podnikové právníky a konzultanty, avšak nejedná se o vyčerpávající seznam veškerých povinností a pravidel, ani o závazný výklad nařízení, který může provést pouze soud.

---

Koho se nová opatření týkají?

• poskytovatelů služeb zpracování dat poskytující služby zákazníkům v EU (dále také jen „poskytovatelů“);
• zákazníků služeb zpracování dat v EU.

---

Práva zákazníka a povinnosti poskytovatele služeb zpracování dat

Nařízení o datech zavádí minimální smluvní, obchodní a technické požadavky pro poskytovatele cloudových a edgeových služeb a dalších služeb zpracování dat, aby mohli zákazníci změnit poskytovatele těchto služeb nebo přejít na svou vlastní infrastrukturu informačních a komunikačních technologií (dále jen „IKT“).

Všechny zúčastněné strany musí spolupracovat v dobré víře s cílem efektivně dokončit proces změny poskytovatele, umožnit včasný přenos dat a zachovat kontinuitu služby zpracování dat.

Poskytovatel svého potenciálního zákazníka předem smluvně informuje o jeho právech a svých povinnostech.

Poskytovatel nesmí zákazníkům bránit v:

• ukončení smlouvy o službách zpracování dat po uplynutí maximální výpovědní lhůty a úspěšném dokončení procesu změny poskytovatele;
• uzavírání nových smluv s jiným poskytovatelem týkajících se stejného druhu služby;
• přenosu exportovatelných dat zákazníka a digitálních aktiv k jinému poskytovateli nebo na místní infrastrukturu IKT – specifikace kategorií dat a digitálních aktiv, která lze během procesu změny poskytovatele přenést a dat specifických pro vnitřní fungování služby zpracování dat poskytovatele, která mají být vyňata z exportovatelných dat, musí být součástí smlouvy;
• dosažení funkční rovnocennosti při používání nové služby zpracování dat v prostředí informačních a komunikačních technologií jiného poskytovatele pokrývajících službu stejného druhu;
• využívání služeb zpracování dat paralelně s jinou službou zpracování dat;
• je-li to technicky proveditelné, oddělení služeb zpracování dat, které se týkají rozšiřitelných a přizpůsobitelných výpočetních zdrojů omezených čistě na infrastrukturní prvky, od jiných služeb zpracování dat poskytovaných poskytovatelem.

Poskytovatel musí zákazníkovi poskytnout informace o dostupných postupech pro změnu poskytovatele a přenos dat, včetně informací o formátech přenosu a o technických a jiných omezeních, která jsou mu známa, přičemž po skončení výpovědní lhůty musí zákazníkovi umožnit:

1. přejít k jinému poskytovateli (v takovém případě zákazník uvede nezbytné údaje jiného poskytovatele);
2. přejít do místní infrastruktury IKT;
3. vymazat svá exportovatelná data a digitální aktiva.

Poskytovatelé služeb zpracování dat týkajících se rozšiřitelných a přizpůsobitelných výpočetních zdrojů omezených čistě na infrastrukturní prvky (tzv. infrastruktura jako služba, IaaS) přijme veškerá přiměřená opatření, jež má k dispozici, s cílem umožnit, aby zákazník po přechodu na stejnou službu dosáhl funkční rovnocennosti. Funkční rovnocenností se rozumí obnovení minimální úrovně funkčnosti v prostředí nové služby zpracování dat, jež je stejným druhem služby tak, aby cílová služba zpracování dat poskytla v reakci na tentýž vstup ve své podstatě srovnatelný výstup. Zdrojový poskytovatel tomuto napomáhá poskytováním kapacit, vhodných informací, dokumentace, technické podpory a případně nezbytných nástrojů, avšak Data Act neukládá zdrojovému poskytovateli povinnost obnovit danou službu v rámci infrastruktury cílového poskytovatele, k níž nemá přístup.

Poskytovatelé služeb, které nejsou omezeny čistě na infrastrukturní prvky, v rámci procesu změny poskytovatele nebo pro účely paralelního využívání služeb zpracování dat:

• zpřístupní zákazníkům a dotčeným cílovým poskytovatelům otevřená rozhraní s informacemi, které umožní vývoj softwaru pro komunikaci s danými službami pro účely přenositelnosti a interoperability dat;
• vedou a aktualizují online rejstřík služeb zpracování dat s podrobnostmi o všech datových strukturách a datových formátech, jakož i o příslušných normách a otevřených specifikacích pro interoperabilitu, v nichž jsou k dispozici exportovatelná data.
• zajistí kompatibilitu se společnými specifikacemi nebo harmonizovanými normami pro interoperabilitu zveřejněnými v centrálním registru norem Unie pro interoperabilitu služeb zpracování dat, přičemž v případě, že tyto nebyly v tomto registru pro danou službu zveřejněny, poskytovatelé:
  • provedou export veškerých exportovatelných dat ve strukturovaném, běžně používaném a strojově čitelném formátu.

---

Lhůty pro změnu poskytovatele či přechod do místní infrastruktury IKT

Maximální výpovědí lhůta pro zahájení procesu změny poskytovatele nesmí překročit dva měsíce. Na ni poté naváže přechodné období, během kterého probíhá přechod a kdy poskytovatel zákazníkovi a třetím stranám schváleným zákazníkem poskytuje přiměřenou pomoc a zajišťuje vysokou úroveň bezpečnosti, zejména bezpečnost dat během jejich předávání a následné doby zachování a zpřístupnění.

Přechodné období může ve standardních případech trvat maximálně 30 kalendářních dní. Je-li to technicky neproveditelné, poskytovatel informuje zákazníka do 14 pracovních dnů od podání žádosti o změnu poskytovatele, přičemž tuto technickou neproveditelnost řádně odůvodní a uvede alternativní přechodné období, které nesmí přesáhnout sedm měsíců. Zákazník má právo přechodné období jednou prodloužit. Během přechodného období je smlouva o poskytování služeb nadále platná a musí být zajištěna kontinuita služeb.

Období zachování a zpřístupnění dat trvá minimálně 30 dní po dokončení přechodu zákazníka.

---

Poplatky spojené s procesem změny poskytovatele či přechodem do místní infrastruktury IKT

Poskytovatel musí dát ještě před uzavřením smlouvy potenciálnímu zákazníkovi jasné informace:

• o poplatcích za změnu poskytovatele, které může účtovat;
• o standardních poplatcích za služby a případných sankcích za předčasné ukončení smlouvy;
• je-li to relevantní, také o službách zpracování dat, u nichž je změna poskytovatele velmi složitá nebo nákladná, nebo u nichž není možné změnit poskytovatele bez zásadního zásahu do architektury dat, digitálních aktiv nebo služeb.

Od 11. ledna 2024 do 12. ledna 2027 smějí poskytovatelé zákazníkům účtovat poplatky za změnu poskytovatele, které nepřesáhnou náklady přímo spojené s dotčeným procesem změny poskytovatele.

Od 12. ledna 2027 nesmějí poskytovatelé zákazníkům účtovat za proces změny poskytovatele žádné poplatky.

Bude-li služba zpracování dat využívána souběžně s jinou službou zpracování dat, mohou poskytovatelé uložit poplatky za přesun dat v maximální výši vzniklých nákladů.

Poplatky za změnu poskytovatele se přitom rozumí poplatky spojené s přechodem, včetně poplatků za přesun dat, nikoli však standardní poplatky za služby nebo sankce za předčasné ukončení smlouvy.

Poplatky za přesun dat jsou poplatky za extrakci dat prostřednictvím sítě z infrastruktury IKT poskytovatele do systémů jiného poskytovatele nebo do místní infrastruktury IKT.

---

Opatření na ochranu neosobních údajů před nezákonným přístupem mimoevropských veřejných orgánů

Nařízení o datech nabízí záruky zákazníkům ohledně bezpečnosti jejich dat neosobní povahy uložených v EU s cílem podpořit používání cloudových služeb a efektivní sdílení dat v Evropě. Poskytovatelé služeb zpracování dat musí přijmout veškerá přiměřená technická, právní a organizační opatření, aby zabránili mezinárodnímu přístupu orgánů veřejné správy k neosobním údajům uchovávaným v EU, který by byl v rozporu s povinnostmi chránit data podle práva EU nebo vnitrostátních předpisů členských států. Poskytovatelé mají povinnost zveřejnit a aktualizovat obecný popis přijatých opatření spolu s informacemi o jurisdikci, které podléhá IKT infrastruktura použitá pro zpracování dat, na svých internetových stránkách.

Poskytovatel jakožto adresát rozhodnutí správního orgánu či rozsudku soudu třetí země (dále jen „žádosti“) může neosobní údaje předat nebo zpřístupnit pouze na základě existující mezinárodní dohody mezi žádající třetí zemí a EU či členským státem, např. smlouvy o vzájemné právní pomoci. Pokud taková mezinárodní dohoda neexistuje, poskytovatel může žádosti vyhovět pouze pokud:

1. právo dotyčné třetí země požaduje stanovení důvodů a proporcionality takové žádosti spolu se specifickou povahou, např. prokázáním dostatečné vazby na určité podezřelé osoby nebo protiprávní jednání;
2. odůvodněná námitka poskytovatele podléhá přezkumu příslušného soudu třetí země; a
3. podle práva třetí země je možné řádně zohlednit právní zájmy poskytovatele.

Při určování splnění těchto podmínek si může poskytovatel vyžádat stanovisko příslušného vnitrostátního subjektu nebo orgánu příslušného pro mezinárodní spolupráci v právních záležitostech. Stanovisko si poskytovatel povinně vyžádá v případě, kdy se domnívá, že žádost může mít dopad na zájmy EU nebo členských států v oblasti národní bezpečnosti nebo obrany. Neobdrží-li poskytovatel odpověď do jednoho měsíce nebo je-li stanovisko negativní, může žádost o předání neosobních údajů nebo přístup k nim z těchto důvodů odmítnout.

Není-li účelem žádosti prosazování práva, poskytovatel před vyhověním žádosti informuje zákazníka o její existenci.

---

V neposlední řádě nařízení o datech stanovuje rovněž základní požadavky pro evropské normalizační organizace a Evropskou komisí, které musejí uplatnit při vývoji otevřených specifikací a harmonizovaných norem pro interoperabilitu služeb zpracování dat.