- Barbora Hanáková
Vyvíjíte nebo poskytujete chytrá zařízení, produkty generující data nebo cloudové služby? Pak by vás mělo zajímat, že od 12. září 2025 platí v celé EU nové nařízení č. 2023/2854, známější jen jako EU Data Act. To mění pravidla přístupu k datům, jejich sdílení i využívání v praxi.
Co je to Data Act a koho se týká?
Data Act je evropské nařízení, které nastavuje pravidla pro přístup k datům vznikajícím při používání digitálních a chytrých produktů. Typicky jde o data z připojených zařízení, strojů, vozidel nebo softwarových platforem – zkrátka všude tam, kde zařízení sbírá a automaticky odesílá data jako součást běžného provozu.
Nařízení se týká výrobců chytrých zařízení, poskytovatelů digitálních služeb i společností, které s těmito daty pracují dál, například je analyzují, využívají pro servis, optimalizaci provozu nebo vývoj navazujících služeb. Dopadá ale i na firmy, které žádná chytrá zařízení nevyvíjejí, ale aktivně je používají.
Data Act zároveň výrazně posiluje práva uživatelů těchto připojených zařízení, typicky IoT produktů. Ti nově získávají:
- právo na přístup k datům, která jejich zařízení generují, a
- větší kontrolu nad tím, zda a komu tato data zpřístupní. Může jít například o servisními partnery, dodavatele softwaru nebo vývojáře aplikací.
Pro firmy to znamená mít jasno v tom, jaká data jejich produkty vytvářejí, komu tato data patří a jakým způsobem k nim umožní přístup. Data se tak z čistě technické záležitosti dostávají do roviny byznysového rozhodování.
Hlavní povinnost firem? Jasná pravidla pro sdílení dat
Pro výrobce zařízení a poskytovatele digitálních služeb přináší Data Act konkrétní povinnosti, které se týkají způsobu, jakým data zpřístupňují a sdílejí. Firmy musejí umožnit přístup k datům v běžně používaném, strukturovaném a strojově čitelném formátu, aby s nimi mohl oprávněný subjekt reálně pracovat, ne je jen „vidět“. Zároveň platí, že data je potřeba sdílet za férových a přiměřených podmínek, bez zvýhodňování vybraných partnerů nebo vlastních služeb.
V praxi se přitom nejedná jen o technické nastavení nebo rozhraní. Data Act se promítá i do smluvních vztahů, obchodních podmínek a interních procesů. Firmy tak musí sladit technologii, právní rámec i způsob, jak s daty pracují v každodenním provozu.
Klíčové povinnosti dle Data Act:
- Zpřístupnit data v běžně používaném, strukturovaném a strojově čitelném formátu.
- Sdílet data za spravedlivých, přiměřených a nediskriminačních podmínek.
- Využívat data pouze k účelu, pro který byla zpřístupněna.
Ochrana citlivých informací a obchodního tajemství
Data Act zároveň počítá i s tím, že ne všechna data lze sdílet bez rizika. Pokud by jejich zpřístupnění mohlo způsobit významnou ekonomickou újmu nebo ohrozit obchodní tajemství, dává nařízení možnost jejich sdílení odmítnout.
Nejde ale o pravidlo, které lze využít kdykoliv se to hodí. Takové rozhodnutí musí firma řádně odůvodnit, zdokumentovat a v některých případech také oznámit příslušnému orgánu. Smyslem není blokovat přístup k datům plošně, ale vytvořit kontrolovaný mechanismus, který chrání legitimní obchodní zájmy a zároveň drží pravidla hry čitelná pro všechny strany.
Konec vendor lock-inu: větší svoboda v cloudu
Významnou část Data Actu tvoří pravidla pro cloudové služby. Jejich cílem je omezit tzv. vendor lock-in, tedy situaci, kdy je zákazník fakticky „uvězněn“ u jednoho poskytovatele, protože změna je technicky nebo smluvně příliš složitá.
V praxi má být přechod mezi cloudovými poskytovateli jednodušší jak z technického, tak smluvního pohledu. Migrace dat musí být proveditelná v krátkém čase, nejdéle do 30 dnů a nejpozději od roku 2027 už poskytovatelé nebudou moci účtovat poplatky za samotnou změnu dodavatele.
Pro poskytovatele cloudových služeb to znamená připravit se na snadnější přenositelnost dat a jejich propojení s jinými platformami. Pro zákazníky je to naopak posun k větší flexibilitě a silnější vyjednávací pozici.
Přístup veřejné správy k datům v krizových situacích
Nařízení řeší i situace, kdy může veřejná správa v mimořádných okolnostech požádat firmy o přístup k vybraným datům. Typicky jde o krizové scénáře, jako jsou přírodní katastrofy, rozsáhlé výpadky infrastruktury nebo zdravotní krize, kdy mohou data sehrát důležitou roli při řešení konkrétního problému.
Takové sdílení ale nepředstavuje plošné otevření firemních dat. Pravidla říkají, že přístup musí být omezený na konkrétní účel, časově vymezený a přiměřený dané situaci. Data se tedy poskytují jen v rozsahu, který je skutečně nezbytný. Pro firmy z toho plyne hlavně praktická potřeba mít dopředu jasno v tom, jak na podobné žádosti reagovat. Kdo rozhoduje, jaká data lze poskytnout, v jakém rozsahu a za jakých podmínek.
Co dělat, pokud se vás Data Act týká?
1. Zmapujte data a přístup k nim
2. Upravte smlouvy a obchodní podmínky
Prověřte, zda smluvní ujednání o využívání a sdílení dat odpovídají požadavkům Data Actu. Podmínky by měly být nastavené férově, přiměřené a bez skrytých omezení, která by mohla být problematická.
3. Připravte se na přechod mezi cloudovými poskytovateli
Pokud poskytujete cloudové služby, musíte být schopni umožnit zákazníkům změnu poskytovatele v jasně dané a krátké lhůtě. Tomu musí odpovídat nejen technické řešení přenosu dat, ale i smluvní podmínky a procesy kolem migrace.
4. Nastavte jasné limity pro využívání dat
Data používejte pouze k účelům, pro které byla zpřístupněna, a nastavte interní kontrolní mechanismy, které zabrání jejich neoprávněnému využití. U osobních a citlivých dat nezapomeňte pohlídat i návaznost na GDPR.
5. Určete odpovědnosti a vyhodnoťte rizika
Stanovte, kdo ve firmě ponese odpovědnost za plnění požadavků Data Actu – po právní i technické stránce. Zároveň projděte datové toky a identifikujte místa, kde mohou vznikat rizika, nejasnosti nebo konflikty odpovědností.
Platí Data Act i pro firmy mimo EU? A jak je to s ČR?
Data Act se může vztahovat i na firmy se sídlem mimo Evropskou unii, zejména pokud dodává připojená zařízení nebo poskytuje datové služby zákazníkům na evropském trhu. Typicky jde o výrobce chytrých spotřebičů, senzorů, strojů nebo poskytovatele služeb, kteří pracují s daty vygenerovanými při používání těchto produktů. Rozhodující není adresa firmy, ale to, že její produkty nebo služby míří na zákazníky v EU.
Z pohledu České republiky platí Data Act už nyní, stejně jako ve všech ostatních členských státech. Nařízení je přímo účinné, takže základní povinnosti z něj vyplývající platí bez ohledu na to, že zatím nebyl plně nastaven národní rámec dohledu a sankcí, například určení konkrétního dozorového orgánu nebo výše pokut za porušení povinností. Samotná pravidla už jsou ale závazná.
Key takeaways
Nejdůležitější je asi počítat s tím, že Data Act není jen další evropská regulace, kterou je potřeba „nějak splnit“. Pro firmy, které se na nové požadavky připraví včas, může být impulzem k lepší orientaci v tom, jak s daty pracují, komu k nim dávají přístup a za jakých podmínek. Zároveň může posílit důvěru zákazníků i obchodních partnerů.
Naopak podcenění změn s sebou nenese jen regulatorní rizika. V dlouhodobém pohledu může znamenat i ztrátu přehledu, důvěry a konkurenceschopnosti v prostředí, kde data hrají čím dál větší roli.
