.jpg?s3=1)
Již 12. září 2025 začíná platit nové nařízení Evropské unie o přístupu a sdílení dat. Data Act je významným krokem směrem k tomu, aby EU byla nejen hospodářským prostorem otevřených dat, ale i místem, kde je sdílení dat regulováno spravedlivě, s ohledem na ochranu práv, inovaci i konkurenci. Spotřebitelé by měli získat více práv, větší kontrolu a širší nabídku služeb. Tématu se dále věnuje Tomáš Kubíček, partner společnosti BDO, který se zabývá technologickým poradenstvím.
„Data Act přináší firmám celou řadu nových povinností, na které se musí dobře připravit. Technicky půjde o složitý proces, který si vyžádá investice do systémů. Velkou otázkou bude i nalezení hranice mezi osobními a neosobními daty. V praxi často pracujeme s kombinovanými datovými sadami a není snadné rozlišit, co ještě spadá pod GDPR a co už ne,“ komentuje Tomáš Kubíček z BDO.
„Dalším oříškem je ochrana obchodního tajemství a duševního vlastnictví. Na jedné straně legislativa podporuje otevřenost a sdílení, na straně druhé musíme chránit inovace a know-how firem. Nejasnosti vyvolává i oblast sankcí – protože je stanovují jednotlivé členské státy, mohou se lišit nejen výší pokut, ale i výkladem. Proto je důležité sledovat, jak přesně se Data Act promítne do českého práva. A konečně nesmíme zapomínat na mezinárodní dopady – Data Act se dotkne i firem mimo EU, které na evropském trhu působí, a i ty musejí počítat s kontrolami a možnými sankcemi,“ doplňuje dále Tomáš Kubíček.
Pojďme si problematiku projít detailněji:
Jaké jsou klíčové prvky Data Actu?
► Právo na přístup k datům
Uživatel zařízení či služby (např. chytrého spotřebiče nebo průmyslového senzoru) má právo získat data, která toto zařízení vytváří. Pokud nejsou k dispozici v reálném čase, musí je výrobce poskytnout bez zbytečného odkladu a zdarma.
► Možnost sdílet data s třetími stranami
Uživatel může svá data poskytnout dalším firmám – například nezávislému servisu. Tím se otevírá prostor pro více služeb a férovější konkurenci.
► Ochrana malých podniků
Nejmenší firmy (mikro a malé podniky) mají z povinností výjimku, aby je nové náklady neohrozily.
► Kompenzace za zpřístupnění dat
Pokud data využívá třetí strana, může jejich držitel dostat spravedlivou a přiměřenou odměnu. Pravidla mají zabránit diskriminaci či zneužívání.
► Spravedlivé smluvní podmínky
Data Act chrání malé a střední firmy před neférovými smlouvami, které by jim vnucovali silnější partneři. EU navíc chystá vzorové smluvní doložky.
► Sdílení dat s veřejnými institucemi
Ve výjimečných situacích (např. přírodní katastrofa, pandemie) budou firmy povinny předat potřebná data státním orgánům – rychle a bezplatně.
► Snadnější přechod mezi poskytovateli cloudu
Zákazníci se budou moci jednoduše a bez sankcí přesunout k jinému poskytovateli cloudových služeb, což má omezit tzv. „vendor lock-in“.
► Ochrana před neoprávněným přístupem ze zahraničí
Přísná pravidla mají zabránit tomu, aby neosobní data uložená v EU byla vydávána vládám mimo EU v rozporu s evropským právem.
► Revize databázových práv
Databáze vzniklé z dat generovaných IoT zařízeními nebudou chráněny speciálním právem sui generis – aby data mohla být lépe využívána.
► Vyvážení s duševním vlastnictvím a obchodním tajemstvím
Data Act nemění pravidla duševního vlastnictví ani ochrany obchodních tajemství, ale jasně stanovuje, že povinnost sdílet data nesmí tato práva porušovat.
.png)
Jaké mohou firmy očekávat postihy, pokud nebudou plnit povinnosti?
Členské státy si stanovují vlastní pravidla pro sankce. Ty musí být efektivní, proporcionální a odrazující.
Při uložení sankcí mají být zohledněny faktory jako:
▪ povaha, závažnost, rozsah a délka porušení;
▪ opatření, jež pachatel přijal ke zmírnění či nápravě škody
▪ předchozí porušení
▪ finanční výhody plynoucí z porušení nebo úspora nákladů
▪ jiné zmírňující nebo přitěžující okolnosti
▪ obrat pachatele za předchozí účetní období v rámci Unie
Každý členský stát EU si musí do 12. září 2025 určit, jaké sankce budou uplatňovány za porušení nařízení v jeho zemi.
Jak jsme na tom aktuálně s pravidly pro sankce v ČR?
► Ministerstvo průmyslu a obchodu uvádí na svých stránkách, že připravuje implementaci Data Act.
► Úřad pro ochranu osobních údajů (ÚOOÚ) by měl být zapojen do dohledu nad dodržováním pravidel, zejména pokud jde o ty případy, které se týkají osobních údajů.
Co zatím není konkretizováno?
► Zatím není veřejně znám konkrétní český zákon, který by definoval přesné skutkové podstaty přestupků podle Data Actu, ani výši pokut, která by se uplatnila v rámci ČR.
► Zveřejněny nejsou dosud žádné návrhy, kolik by mohly sankce v ČR činit za různé druhy porušení, ani to, zda budou definovány jako u GDPR (např. procentní podíl z obratu), stanoveny pevně, nebo půjde o kombinaci.
► Také zatím není jasné, které české soudy/orgány či inspekční instituce budou vykonávat dozor v konkrétních oblastech, pokud není záležitost osobních údajů.
Jaké má nové nařízení dopady na organizace a spotřebitele?
Organizace by se měly zaměřit na tyto oblasti:
-
Revize smluv: Smlouvy o prodeji, pronájmu nebo poskytování IoT / připojených produktů musí jasně definovat, kdo má přístup k jakým datům, v jakém formátu, zda sdílení s třetími stranami je možné, za jakých podmínek.
-
Technická připravenost: Musí být možné extrahovat (exportovat) data, zajistit interoperabilitu, ochranu dat, obchodního tajemství, zajistit, že produkty/služby mají rozhraní (API) nebo jiné mechanismy, které umožňují datový přístup.
-
Bezpečnost & ochrana (trade secrets, IP): Když jsou data obhospodařována v souvislosti s IoT a souvisejícími službami, často obsahují informace, které jsou citlivé (pro IP, know-how). Firmy si budou muset připravit opatření, která ochrání obchodní tajemství, zároveň ale nepřekážejí plnění zákonných povinností.
-
Strategie pro veřejné žádosti: Být připraven reagovat, pokud veřejné orgány požadují data v situacích nouze nebo veřejného zájmu – včetně procesu, jak zjistit, zda je požadavek legitimní, písemný, s ochranou práv (anonymizace, minimalizace) apod.
-
Soulad s GDPR: Osobní data spadají i nadále pod GDPR – takže pokud Data Act vyžaduje přístup nebo sdílení, organizace musí zároveň zajistit, že jsou splněny požadavky GDPR (např. právní základ pro zpracování, účel, informace subjektům, apod.).
Pro spotřebitele z nové legislativy vyplývají především výhody:
-
Větší kontrola nad vlastními daty: Pokud máš zařízení s internetem věcí (IoT), budeš mít právo k datům, která zařízení generují – mít přehled, sdílet tyto data s třetími stranami podle své volby.
-
Možnosti nových služeb: Opravny, aftermarket servis, analytické aplikace či služby založené na využití dat – spotřebitelé mohou těžit z větší nabídky a konkurence.
-
Více transparentnosti: Podmínky budou jasnější, smlouvy musí uvádět, co dostaneš, jak a kdy můžeš přejít na jiného poskytovatele služby, jaká práva máš – méně překvapení.
-
Ochrana před nekalými praktikami: Např. když silnější strana (výrobce, velká firma) nařídí jednostranné smluvní podmínky, které jsou pro spotřebitele znevýhodňující – Data Act stanoví rámec pro testování, zda je smluvní podmínka „nespravedlivá“ a pokud ano, může být neplatná.