Vysvětlení zákona o datech

Kapitola II: Sdílení dat mezi podniky a mezi podniky a spotřebiteli v kontextu trhu internetu věcí

Proč?

Klíčovým cílem zákona o datech je vytvořit spravedlnost v ekonomice založené na datech a umožnit uživatelům těžit z dat, která generují pomocí propojených produktů, které vlastní, pronajímají nebo pronajímají.

Zákon o datech umožňuje uživatelům připojených produktů (např. připojených automobilů, zdravotnických a fitness zařízení, průmyslových nebo zemědělských strojů) a souvisejících služeb (tj. cokoli, co by způsobilo, že se připojený produkt chová konkrétním způsobem, jako je aplikace pro úpravu jasu světel nebo regulovat teplotu ledničky) získat přístup k údajům, které společně vytvářejí pomocí připojených produktů/souvisejících služeb.

Dostupnost těchto údajů bude mít významný dopad na ekonomiku. Například údaje generované propojenými produkty a souvisejícími službami mohou být využity k podpoře poprodejních a doplňkových služeb, jakož i k vytvoření zcela nových služeb, které budou přínosem jak pro podniky, tak pro spotřebitele. 

Druhy údajů v rozsahu

Kapitola II zákona o datech o sdílení dat mezi podniky a mezi podniky a spotřebiteli se vztahuje na všechna nezpracovaná a předem zpracovaná data vygenerovaná použitím připojeného produktu nebo související služby, která je držiteli dat snadno dostupná (např. výrobce připojeného produktu/poskytovatele související služby), jinými slovy data, ke kterým lze snadno získat přístup bez nepřiměřeného úsilí a jdou nad rámec jednoduché operace. To platí pro osobní i neosobní údaje, včetně příslušných metadat.

Tato data zahrnují data získaná z jednoho senzoru nebo připojené skupiny čidel, jako je teplota, tlak, průtok, zvuk, hodnota pH, hladina kapaliny, poloha, zrychlení nebo rychlost.

Odvozené nebo odvozené údaje a obsah (např. vysoce obohacené údaje, audiovizuální materiál) jsou mimo rozsah. Zákon o datech se navíc nedotýká zákonů na ochranu práv duševního vlastnictví.

V praxi

Kapitola II zákona o datech umožňuje uživatelům (tj. jakékoli právnické nebo fyzické osobě, která vlastní, pronajímá nebo pronajímá připojený produkt) přístup k údajům, které generují při používání připojeného produktu nebo související služby. Pokud si uživatel přeje sdílet tyto údaje s jiným subjektem nebo jednotlivcem (dále jen „třetí strana“), může tak učinit buď přímo, nebo může požádat držitele dat, aby je sdílel s třetí stranou podle svého výběru (s výjimkou strážců podle aktu o digitálních trzích). Držitelem dat je typicky společnost, která vyrábí připojený produkt nebo poskytuje související službu. Držitel dat musí mít smlouvu s uživatelem (např. kupní smlouvu, nájemní smlouvu, smlouvu o poskytování souvisejících služeb atd.), která stanoví práva týkající se přístupu, používání a sdílení dat generovaných připojeným produktem nebo související službou. Je důležité poznamenat, že držitel dat nemůže bez souhlasu uživatele používat žádná neosobní data vygenerovaná produktem.

Jako příklad a s ohledem na to, že příslušná smlouva určuje přesné úlohy:

• Společnost provozuje buldozer: držitelem dat by byl obvykle výrobce buldozerů a uživatel by byl společností, která buldozer provozuje.  

• Pokud si někdo koupí připojenou chladničku a stáhne si aplikaci, která mu pomůže regulovat optimální teplotu pro obsah chladničky, mohli by existovat dva držitelé dat, a to subjekt, který chladničku uvedl na trh, a subjekt nabízející související službu (aplikace) a pouze jeden uživatel (vlastník chladničky).

Zákon o datech obsahuje několik mechanismů, které uživatelům usnadňují využívání těchto ustanovení: držitelé dat musí uživateli poskytnout informace o typu dat, která budou generovat při používání připojeného produktu nebo související služby (včetně objemu, četnosti sběru atd.); uživatelé by měli mít možnost požádat o přístup k údajům jednoduchým postupem, a držitelé dat musí zpřístupnit data uživatelům zdarma.

Omezení týkající se používání údajů

Aby podniky neodradily od investic do produktů vytvářejících data, získané údaje nelze použít k vývoji konkurenčního propojeného produktu. Zákon o datech nezakazuje hospodářskou soutěž v souvisejících nebo poprodejních službách. Kromě toho podle zákona o datech neexistuje povinnost držitele dat sdílet data se třetími stranami se sídlem mimo EU.

Zákon o datech je plně v souladu s pravidly na ochranu údajů, zejména s obecným nařízením o ochraně osobních údajů. Pokud uživatel není subjektem údajů, jehož údaje jsou požadovány, mohou být osobní údaje zpřístupněny pouze tehdy, existuje-li platný právní základ (např. souhlas). To je důležité hledisko, protože spolugenerované údaje často obsahují osobní i neosobní údaje, které mohou být obtížně oddělitelné.  

Podněcuje rozvoj propojených produktů a služeb založených na nových tocích dat, které mají zvláštní hodnotu pro menší společnosti. Kromě toho mikropodniky a malé společnosti jakožto výrobci nebo poskytovatelé souvisejících služeb nepodléhají stejným povinnostem jako větší společnosti.

V zájmu ochrany obchodního tajemství, aniž by byl ohrožen cíl zákona o datech zpřístupnit více údajů, se držitel dat a uživatel/třetí strana mohou dohodnout na určitých opatřeních k zachování důvěrnosti obchodního tajemství. Nejsou-li tato opatření dodržena, může držitel dat odepřít nebo pozastavit sdílení dat. Držitel dat může odmítnout sdílení údajů pouze tehdy, může-li prokázat, že je vysoce pravděpodobné, že zveřejněním obchodního tajemství utrpí vážnou hospodářskou újmu.

Držitel dat a uživatel mohou souhlasit s omezením sdílení dat, pokud existuje riziko, že by bezpečnostní požadavky připojeného produktu mohly být narušeny, což by mělo vážné nepříznivé účinky na zdraví, bezpečnost nebo zabezpečení osob. Tyto požadavky musí být stanoveny v unijním nebo vnitrostátním právu.

Pokud držitel dat pozastaví, zadrží nebo odmítne sdílet údaje z důvodů ochrany obchodního tajemství nebo bezpečnostních požadavků, musí to oznámit příslušnému vnitrostátnímu orgánu. Uživatelé mohou toto rozhodnutí napadnout buď před příslušným soudem nebo tribunálem členského státu, a to prostřednictvím stížnosti u příslušného orgánu nebo po dohodě s držitelem dat před orgánem pro řešení sporů.

Kapitola III: Pravidla pro povinné sdílení dat mezi podniky

Proč?

Zákon o datech zavádí pravidla pro situace, kdy má podnik („držitel údajů“) podle právních předpisů EU nebo vnitrostátních právních předpisů zákonnou povinnost zpřístupnit údaje jinému podniku (dále jen „příjemce údajů“), a to i v souvislosti s daty internetu věcí. Zejména podmínky pro sdílení údajů musí být spravedlivé, přiměřené a nediskriminační.

Jako pobídka ke sdílení dat mohou držitelé dat, kteří jsou povinni sdílet data, požadovat od příjemce dat „přiměřenou náhradu“.

Druhy údajů v rozsahu

Kapitola III zákona o datech se vztahuje na všechny údaje (osobní i neosobní) v držení podniku, včetně situací uvedených v kapitole II zákona o datech.

V praxi

Držitelé dat mohou požadovat přiměřenou náhradu za zpřístupnění dat příjemci dat. To by mohlo zahrnovat náklady vynaložené na zpřístupnění údajů, jakož i technické náklady spojené s šířením a uchováváním údajů. Mikropodnikům, malým a středním podnikům a neziskovým výzkumným organizacím však nelze účtovat více než náklady vynaložené na zpřístupnění údajů.

Za účelem ochrany držitelů dat obsahuje zákon o datech demonstrativní seznam opatření k nápravě situací, kdy třetí strana nebo uživatel neoprávněně přistupoval k datům nebo je použil. Držitel dat by například mohl požadovat, aby strana porušující právo přestala vyrábět dotčený výrobek nebo zničila údaje, které získal protiprávně, nebo mohla požadovat náhradu škody.

Veškeré povinnosti týkající se sdílení údajů, které předcházejí zákonu o datech, zůstávají nedotčeny. Povinnosti v budoucích (odvětvových) právních předpisech by měly být sladěny s ustanoveními kapitoly III zákona o datech.

Kapitola IV: Nepřiměřené smluvní podmínky

Proč?

Smluvní svoboda je ústředním prvkem vztahů mezi podniky. Cílem aktu o datech je však chránit všechny evropské podniky, které se snaží získávat údaje, zejména malé a střední podniky, před nepřiměřenými smluvními podmínkami prostřednictvím svých opatření k zásahu v situacích, kdy se například jeden z podniků nachází v silnější vyjednávací pozici (např. kvůli své velikosti trhu) a ukládá neobchodovatelnou klauzuli („take-it-or-leave-it“) související s přístupem k údajům a jejich využíváním na straně druhé.

Druhy údajů v rozsahu

Tato pravidla se vztahují na veškeré osobní i neosobní údaje v držení soukromého subjektu, ke kterému je přístup a který je využíván na základě smlouvy mezi podniky.

V praxi

Jednostranně uložené podmínky převzetí nebo dovolené mohou být v případě, že se týkají zpřístupnění údajů, podrobeny testu nepřiměřenosti.

Zákon o datech stanoví demonstrativní výčet podmínek, které jsou vždy považovány za nepřiměřené (např. které by vyloučily nebo omezily odpovědnost strany, která jednostranně uložila klauzuli za úmyslné jednání nebo hrubou nedbalost) a podmínek, které jsou považovány za zneužívající (např. které by nepřiměřeně omezily opravné prostředky v případě nesplnění smluvních závazků nebo odpovědnosti v případě porušení těchto povinností nebo rozšířily odpovědnost podniku, kterému byla podmínka jednostranně uložena). Pokud je klauzule považována za zneužívající, není již platná – pokud je to možné, je jednoduše oddělena od kontaktu. Pokud se má za to, že je zneužívající, může se subjekt, který uložil klauzuli, pokusit prokázat, že klauzule není zneužívající.

Kapitola V: Sdílení dat mezi podniky a veřejnou správou

Proč?

Údaje v držení soukromých subjektů mohou mít zásadní význam pro to, aby subjekt veřejného sektoru plnil úkol veřejného zájmu. Kapitola V zákona o datech umožňuje subjektům veřejného sektoru přístup k těmto údajům za určitých podmínek, pokud je to výjimečné potřeby. Posledně uvedené se týká situace, která je nepředvídatelná a časově omezená, kdy jsou údaje v držení soukromého subjektu nezbytné pro plnění úkolu veřejného zájmu, zejména pro zlepšení rozhodování založeného na důkazech. Mimořádné situace zahrnují jak veřejné mimořádné události (jako jsou závažné přírodní katastrofy nebo katastrofy způsobené člověkem, pandemie a kybernetické bezpečnostní incidenty), tak situace, které nejsou naléhavé (například souhrnné a anonymizované údaje ze systémů GPS řidičů by mohly pomoci optimalizovat dopravní toky).

Zákon o datech zajistí, aby orgány veřejné moci měly k těmto údajům přístup včas a spolehlivě, aniž by podnikům představovaly nepřiměřenou administrativní zátěž.

Druhy údajů v rámci oblasti působnosti

V kapitole V jsou všechny údaje zahrnuty do oblasti působnosti se zaměřením na neosobní údaje.

Kapitola V zákona o datech o sdílení dat mezi podniky a veřejnou správou rozlišuje mezi dvěma scénáři:

• V zájmu reakce na stav nouze by měl subjekt veřejného sektoru požadovat neosobní údaje. Pokud to však nepostačuje k reakci na situaci, mohou být osobní údaje požadovány. Pokud je to možné, měl by držitel údajů tyto údaje anonymizovat.    

• V mimořádných situacích mohou subjekty veřejného sektoru požadovat pouze neosobní údaje.

Klíčové zúčastněné strany

Mezi subjekty oprávněné požadovat údaje patří subjekty veřejného sektoru členských států, jakož i některé orgány, instituce a agentury EU. Tyto subjekty mohou za určitých podmínek také sdílet údaje s organizacemi provádějícími výzkum a financujícími organizacemi.

V souvislosti s žádostmi mezi podniky a veřejnou správou jsou držiteli dat obvykle soukromé subjekty, ale mohou zahrnovat i veřejné podniky.

V praxi

Subjekt veřejného sektoru může za určitých podmínek uložit držiteli dat povinnost zpřístupnit určitá data bez zbytečného odkladu za účelem reakce na veřejnou mimořádnou situaci. Zákon o datech definuje stav nouze; jeho existence se však určuje podle vnitrostátních nebo unijních postupů nebo právních předpisů.

V případě výjimečných potřeb, které nesouvisejí s veřejnou mimořádnou situací, může subjekt veřejného sektoru požádat o neosobní údaje za účelem splnění konkrétního úkolu, který je ve veřejném zájmu a který byl stanoven zákonem, pokud subjekt veřejného sektoru může prokázat, že neměl přístup k údajům jinými prostředky.

V obou případech (nouzová i nenásilná) musí žádosti dodržovat řadu přísných zásad a podmínek. Například žádosti musí být konkrétní, transparentní a přiměřené, musí být chráněno obchodní tajemství a údaje musí být vymazány, jakmile již nejsou potřebné.

Níže uvedená tabulka shrnuje, co mohou podniky v této souvislosti požádat o poskytnutí údajů subjektu veřejného sektoru.

Odškodnění za zpřístupnění údajů podle kapitoly V zákona o datech

Aby se minimalizovala zátěž podniků, nemohou být tytéž údaje požadovány více než jednou (zásada pouze jednou) více než jedním subjektem veřejného sektoru. Z tohoto důvodu musí koordinátor údajů zveřejnit všechny žádosti (pokud nevzniká bezpečnostní obava).

Kapitola VI: Přepínání mezi službami zpracování dat

Proč?

V zájmu zajištění konkurenceschopného trhu v EU by zákazníci služeb zpracování dat (včetně cloudových a okrajových služeb) měli mít možnost plynule přejít z jednoho poskytovatele na druhého. Zákazníci však v současné době čelí řadě překážek, včetně vysokých poplatků spojených například s únikem dat, zdlouhavými postupy a nedostatečnou interoperabilitou mezi poskytovateli, což může vést ke ztrátě dat a aplikací.

Zákon o datech zajistí volné, rychlé a plynulé přepínání. To bude přínosem pro zákazníky, kteří si mohou svobodně vybrat služby, které nejlépe vyhovují jejich potřebám, stejně jako poskytovatele, kteří budou těžit z větší skupiny zákazníků.

Rozsah

Kapitola VI zákona o datech se vztahuje na poskytovatele služeb zpracování dat (tj. digitálních služeb umožňujících všudypřítomný přístup k síti a přístupu k síti na vyžádání, jako jsou sítě, servery nebo jiná virtuální nebo fyzická infrastruktura a software). Údaje, které jsou klíčové pro změnu poskytovatele, zahrnují vstupní a výstupní data, včetně metadat, generovaná zákazníkem při využívání služby, s výjimkou údajů chráněných právy duševního vlastnictví nebo představujících obchodní tajemství poskytovatele služeb.  

V praxi

Za účelem překonání nerovnováhy sil mezi poskytovateli a zákazníky na trhu s cloudovými službami stanoví zákon o datech minimální požadavky na obsah smluv o cloudu. Zejména zákazníci ze soukromého a veřejného sektoru budou mít prospěch z mnohem větší smluvní transparentnosti.

Zákon o datech obsahuje opatření, která mají zajistit, aby zákazníci mohli rychle a plynule přejít z jednoho poskytovatele služeb zpracování údajů (dále jen „poskytovatel zdroje“) na jiného poskytovatele (dále jen „určení“) bez ztráty údajů nebo funkčnosti aplikací. Například poskytovatelé platformy a softwaru jako služby musí zpřístupnit otevřená rozhraní a alespoň exportovat data v běžně používaném a strojově čitelném formátu. Poskytovatelé infrastruktury jako služby musí přijmout opatření, která usnadní, aby v případě, že zákazník přechází na službu stejného typu, zákazník dosáhl podstatně srovnatelných výsledků v reakci na stejný vstup pro prvky, které obě služby sdílejí („funkční rovnocennost“). Jako příklad takového opatření může poskytovatel zdroje použít nástroje pro přesun výpočetní zátěže z jedné virtualizační technologie do druhé. 

Všichni poskytovatelé jsou povinni odstranit překážky, kterým mohou jejich zákazníci čelit, když chtějí přejít na jiného poskytovatele nebo využít několik služeb současně.

Zákon o datech rovněž zcela odstraní poplatky za změnu, včetně poplatků za únik dat (tj. poplatky za přenos dat), od 12. ledna 2027. To znamená, že poskytovatelé nebudou moci účtovat svým zákazníkům poplatky za operace, které jsou nezbytné pro usnadnění změny poskytovatele nebo za únik dat. Jako přechodné opatření však během prvních tří let po vstupu zákona o datech v platnost (od 11. ledna 2024 do 12. ledna 2027) mohou poskytovatelé nadále účtovat svým zákazníkům poplatky za náklady vzniklé v souvislosti se změnou poskytovatele služeb a s přechodem na data.

Kapitola VII: Nezákonný přístup vlády třetích zemí

Proč?

Někdy je cílem rozhodnutí nebo rozsudku vydaného zemí mimo EU (dále jen „třetí země“) umožnit vládě přístup k neosobním údajům zpracovávaným a uchovávaným v rámci EU a jejich předávání. V některých případech však může být poskytnutí přístupu k těmto údajům nebo jejich předání skutečně protiprávní, zejména pokud je žádost v rozporu s právními předpisy EU a zárukami ochrany základních práv jednotlivců, zájmů národní bezpečnosti nebo obchodně citlivých údajů.

Zákon o datech navazuje na zákon o správě dat, pokud jde o ustanovení, jejichž cílem je zabránit nezákonnému přístupu vlády třetích zemí k neosobním údajům uchovávaným v EU a jejich předávání. Tato ustanovení nemají žádný dopad na pravidelné sdílení dat mezi podniky. Zvyšují transparentnost a právní jistotu, pokud jde o proces a podmínky, za nichž mohou orgány státní správy mimo EU získat přístup k neosobním údajům nebo je předávat těmto subjektům.

Druhy údajů v rozsahu

Veškeré neosobní údaje uchovávané v EU poskytovatelem služby zpracování údajů.

V praxi

Zákon o datech nezakazuje přeshraniční toky údajů, ale zajišťuje, aby ochrana poskytovaná údajům v EU cestovala s jakýmikoli údaji předávanými mimo EU.

V této souvislosti stanoví akt o datech pravidla a záruky pro žádosti zahraničního subjektu veřejného sektoru o přístup k neosobním údajům uchovávaným v Unii. Legitimní mezinárodní spolupráce v oblasti vymáhání práva není těmito ustanoveními dotčena.

Pokud neexistuje mezinárodní dohoda upravující přístup vlády třetí země k neosobním údajům nacházejícím se v EU, mohou být údaje předány nebo zpřístupněny pouze za zvláštních podmínek. Tyto podmínky se týkají určitých záruk zaručujících evropská práva, které musí právní systém třetí země splnit, včetně požadavku uvést důvody a posoudit přiměřenost v rozhodnutí. Poskytovatel služeb zpracování údajů, který je předmětem takového rozhodnutí, se může obrátit na příslušný vnitrostátní orgán, aby mu pomohl posoudit, zda jsou splněny podmínky stanovené v zákoně o datech. S cílem pomoci posoudit, zda byly tyto podmínky splněny, vypracuje Evropská komise pokyny společně s Evropským sborem pro datové inovace (skupinou odborníků zřízenou podle aktu o správě dat s cílem usnadnit sdílení osvědčených postupů a upřednostnit meziodvětvové normy interoperability).

Poskytovatelé služeb zpracování údajů by měli přijmout veškerá přiměřená opatření (např. šifrování, audity, dodržování systémů certifikace), aby zabránili přístupu k systémům, v nichž uchovávají neosobní údaje. Tato opatření by měla být zveřejněna na jejich internetových stránkách. Kromě toho by měli, kdykoli je to možné, informovat své zákazníky před poskytnutím přístupu ke svým údajům.

Kapitola VIII: Interoperability

Proč?

Normy a interoperabilita jsou klíčové pro zajištění toho, aby údaje z různých zdrojů mohly být používány v rámci společných evropských datových prostorů a mezi nimi za účelem podpory výzkumu a vývoje nových produktů nebo služeb. Za tímto účelem stanoví zákon o datech některé základní požadavky, které musí účastníci datových prostorů splňovat a které mohou být dále upřesněny Evropskou komisí prostřednictvím aktů v přenesené pravomoci.

Jejím cílem je rovněž zajistit interoperabilitu mezi službami zpracování údajů; to je nezbytné, pokud mají zákazníci mít prospěch z snadnějšího přechodu.

Klíčové zúčastněné strany

Tato kapitola se zaměřuje na účastníky datových prostorů, které nabízejí data nebo služby založené na datech ostatním účastníkům a které usnadňují nebo se podílejí na sdílení dat v datových prostorech.

Zaměřuje se také na dodavatele inteligentních smluv a poskytovatele služeb zpracování dat.

V praxi

Účastníci datového prostoru by měli splňovat několik základních požadavků, aby umožnili tok dat uvnitř datových prostorů a mezi nimi. Například popis datových struktur, datových formátů a slovníků, jsou-li k dispozici, by měl být veřejně přístupný. Kromě toho by měly být zajištěny prostředky k zajištění interoperability dohod o sdílení údajů, jako jsou inteligentní smlouvy.

Zákon o datech rovněž připravuje půdu pro zvýšení interoperability služeb zpracování údajů prostřednictvím harmonizovaných norem a otevřených specifikací interoperability.

Kromě toho stanoví požadavky na prodejce inteligentních smluv za účelem automatizovaného plnění dohod o sdílení údajů, například s cílem zajistit, aby řádně prováděli ustanovení dohody o sdílení údajů a odolávali manipulaci třetími stranami.

Komise posoudí překážky bránící interoperabilitě a upřednostní potřeby normalizace, na jejichž základě může požádat evropské normalizační organizace (evropské normalizační organizace) o vypracování harmonizovaných norem, které splňují výše uvedené požadavky.

Pokud žádost nevede k harmonizované normě nebo pokud norma nepostačuje k zajištění souladu s aktem o datech, může Komise přijmout společné specifikace jako záložní řešení. Ty by měly být rozvíjeny otevřeným a inkluzivním způsobem s ohledem na zpětnou vazbu od Evropského sboru pro datové inovace.

Kapitola IX: Ustanovení o prosazování a zastřešující ustanovení

Členské státy určí jeden nebo více (nových nebo stávajících) příslušných orgánů, aby zajistily účinné provádění aktu o datech. Pokud existuje více příslušných orgánů, musí členské státy určit jeden z nich jako „koordinátor údajů“. Koordinátor údajů bude působit jako „jednotné kontaktní místo“ pro všechny otázky související s prováděním zákona o datech na vnitrostátní úrovni, což usnadňuje uplatňování jak pro podniky, tak pro veřejné orgány. Pokud například podnik usiluje o nápravu za porušení svých práv podle zákona o datech, měl by koordinátor údajů (na požádání) poskytnout veškeré nezbytné informace, které mu pomohou podat stížnost příslušnému příslušnému orgánu. Koordinátor údajů rovněž usnadní spolupráci v přeshraničních situacích, například pokud příslušný orgán daného členského státu neví, ke kterému orgánu by se měl v členském státě koordinátora údajů obrátit.

Komise povede veřejný rejstřík příslušných orgánů a koordinátorů údajů.

Evropský sbor pro datové inovace usnadní jednání mezi příslušnými orgány, například za účelem koordinace a přijímání doporučení ohledně stanovení sankcí za porušení aktu o datech. Příslušné orgány stanoví sankce a podle zákona o datech by měly existovat účinné, přiměřené a odrazující sankce.

Členské státy mohou, pokud si to přejí, zřídit certifikované orgány pro řešení sporů, které budou nápomocny stranám, které se nemohou dohodnout na spravedlivých, přiměřených a nediskriminačních podmínkách poskytování údajů. Strany se mohou svobodně obrátit na jakýkoli orgán pro řešení sporů, a to buď v členském státě, v němž jsou usazeny, nebo v jiném.

Certifikované mechanismy řešení sporů a specializované příslušné orgány usnadní společnostem, zejména malým podnikům, prosazování jejich práv podle zákona o datech, neboť zúčastněným stranám nabízejí jednoduché, rychlé a levné řešení.