Evropské nařízení o datech vstupuje v platnost. Co to znamená pro firmy a spotřebitele?

Již 12. září 2025 začíná platit nové nařízení Evropské unie o přístupu a sdílení dat. Data Act je významným krokem směrem k tomu, aby EU byla nejen hospodářským prostorem otevřených dat, ale i místem, kde je sdílení dat regulováno spravedlivě, s ohledem na ochranu práv, inovaci i konkurenci. Spotřebitelé by měli získat více práv, větší kontrolu a širší nabídku služeb. Tématu se dále věnuje Tomáš Kubíček, partner společnosti BDO, který se zabývá technologickým poradenstvím.

„Data Act přináší firmám celou řadu nových povinností, na které se musí dobře připravit. Technicky půjde o složitý proces, který si vyžádá investice do systémů. Velkou otázkou bude i nalezení hranice mezi osobními a neosobními daty. V praxi často pracujeme s kombinovanými datovými sadami a není snadné rozlišit, co ještě spadá pod GDPR a co už ne,“ komentuje Tomáš Kubíček z BDO.

„Dalším oříškem je ochrana obchodního tajemství a duševního vlastnictví. Na jedné straně legislativa podporuje otevřenost a sdílení, na straně druhé musíme chránit inovace a know-how firem. Nejasnosti vyvolává i oblast sankcí – protože je stanovují jednotlivé členské státy, mohou se lišit nejen výší pokut, ale i výkladem. Proto je důležité sledovat, jak přesně se Data Act promítne do českého práva. A konečně nesmíme zapomínat na mezinárodní dopady – Data Act se dotkne i firem mimo EU, které na evropském trhu působí, a i ty musejí počítat s kontrolami a možnými sankcemi,“ doplňuje dále Tomáš Kubíček.


Pojďme si problematiku projít detailněji:

Jaké jsou klíčové prvky Data Actu

  • Právo na přístup k datům
    Uživatel zařízení či služby (např. chytrého spotřebiče nebo průmyslového senzoru) má právo získat data, která toto zařízení vytváří. Pokud nejsou k dispozici v reálném čase, musí je výrobce poskytnout bez zbytečného odkladu a zdarma.
  • Možnost sdílet data s třetími stranami
    Uživatel může svá data poskytnout dalším firmám – například nezávislému servisu. Tím se otevírá prostor pro více služeb a férovější konkurenci.
  • Ochrana malých podniků
    Nejmenší firmy (mikro a malé podniky) mají z povinností výjimku, aby je nové náklady neohrozily.
  • Kompensace za zpřístupnění dat
    Pokud data využívá třetí strana, může jejich držitel dostat spravedlivou a přiměřenou odměnu. Pravidla mají zabránit diskriminaci či zneužívání.
  • Spravedlivé smluvní podmínky
    Data Act chrání malé a střední firmy před neférovými smlouvami, které by jim vnucovali silnější partneři. EU navíc chystá vzorové smluvní doložky.
  • Sdílení dat s veřejnými institucemi
    Ve výjimečných situacích (např. přírodní katastrofa, pandemie) budou firmy povinny předat potřebná data státním orgánům – rychle a bezplatně.
  • Snadnější přechod mezi poskytovateli cloudu
    Zákazníci se budou moci jednoduše a bez sankcí přesunout k jinému poskytovateli cloudových služeb, což má omezit tzv. „vendor lock-in“.
  • Ochrana před neoprávněným přístupem ze zahraničí
    Přísná pravidla mají zabránit tomu, aby neosobní data uložená v EU byla vydávána vládám mimo EU v rozporu s evropským právem.
  • Revize databázových práv
    Databáze vzniklé z dat generovaných IoT zařízeními nebudou chráněny speciálním právem sui generis – aby data mohla být lépe využívána.
  • Vyvážení s duševním vlastnictvím a obchodním tajemstvím
    Data Act nemění pravidla duševního vlastnictví ani ochrany obchodních tajemství, ale jasně stanovuje, že povinnost sdílet data nesmí tato práva porušovat.


Jaké mohou firmy očekávat postihy, pokud nebudou plnit povinnosti?

Členské státy si stanovují vlastní pravidla pro sankce. Ty musí být efektivní, proporcionální a odrazující.

Při uložení sankcí mají být zohledněny faktory jako:

  • povaha, závažnost, rozsah a délka porušení
  • opatření ke zmírnění či nápravě škody
  • předchozí porušení
  • finanční výhody plynoucí z porušení nebo úspora nákladů
  • jiné zmírňující nebo přitěžující okolnosti
  • obrat pachatele za předchozí účetní období v rámci Unie

Každý členský stát EU si musí do 12. září 2025 určit, jaké sankce budou uplatňovány.


Jak jsme na tom aktuálně s pravidly pro sankce v ČR?

  • Ministerstvo průmyslu a obchodu uvádí, že připravuje implementaci Data Act.
  • Úřad pro ochranu osobních údajů (ÚOOÚ) by měl být zapojen do dohledu nad dodržováním pravidel, zejména v oblastech osobních údajů.


Co zatím není konkretizováno?

  • Není znám konkrétní český zákon, který by definoval skutkové podstaty přestupků podle Data Actu ani výši pokut.
  • Zatím nejsou zveřejněny návrhy výše sankcí ani mechanismus (pevná částka vs. procento z obratu).
  • Není jasné, které české soudy/orgány budou vykonávat dozor mimo oblast osobních údajů.


Jaké má nové nařízení dopady na organizace a spotřebitele?

Organizace by se měly zaměřit na:

  • Revize smluv: Definovat přístup k datům, formát, podmínky sdílení.
  • Technickou připravenost: Export dat, interoperabilita, API, ochrana dat a obchodního tajemství.
  • Bezpečnost a ochranu: Opatření k ochraně obchodního tajemství a IP.
  • Strategii pro veřejné žádosti: Proces ověřování legitimity požadavků státních orgánů.
  • Soulad s GDPR: Zajistit splnění všech povinností souvisejících s osobními údaji.
 

Pro spotřebitele přináší Data Act výhody:

  • Větší kontrola: Přístup k datům z vlastních IoT zařízení a možnost jejich sdílení.
  • Možnosti nových služeb: Opravny, servis, aplikace využívající data.
  • Více transparentnosti: Jasné smluvní podmínky a jednodušší změna poskytovatele.
  • Ochrana před nekalými praktikami: Rámec pro testování nespravedlivých smluvních podmínek.


„Plné dopady Data Actu se projeví hlavně u nových výrobků a služeb uváděných na trh od roku 2026. Teprve tehdy uvidíme, jak zásadně ovlivní praxi výrobců i poskytovatelů služeb. Velkou neznámou zůstává vztah k americkému Cloud Actu, který ukládá americkým firmám povinnost předat data vládním orgánům i mimo území USA. Není jasné, jak se obě legislativy sladí a zda nedojde k právním konfliktům,“ uzavírá Tomáš Kubíček z BDO.

Celou tiskovou zprávu si můžete stáhnout také ZDE.