V minulém článku jsme se zaměřili na evropské nařízení o datech (tzv. Data Act), které zavádí nová pravidla pro využívání dat generovaných chytrými zařízeními a souvisejícími digitálními službami. Nařízení nově vymezuje, kdo má mít k těmto datům přístup, za jakých podmínek a jaká práva a povinnosti z toho pro jednotlivé subjekty vyplývají. Klíčová část povinností dopadá na tzv. držitele dat – především výrobce zařízení a poskytovatele souvisejících služeb. Ti budou muset upravit nejen své smluvní vztahy, ale také technické a provozní nastavení svých produktů. V dnešním článku se proto podrobněji zaměříme na to, jaké konkrétní požadavky Data Act na držitele dat klade.
V rámci evropského nařízení o datech je zásadní rozlišovat mezi držitelem dat a jejich uživatelem. Toto rozlišení určuje, kdo nese odpovědnost za zpřístupnění dat generovaných chytrými produkty a souvisejícími chytrými službami, jakým způsobem mají být tato data poskytována a jaká práva a povinnosti mají jednotlivé strany při nakládání s těmito daty.
Držitelem dat je typicky výrobce chytrého zařízení, případně poskytovatel související služby, který má faktickou kontrolu nad daty generovanými používáním produktu nebo služby. Držitelem dat může být i jiný subjekt v dodavatelském řetězci, pokud má k datům přístup a rozhoduje o jejich zpřístupnění.
Uživatelem je pak každá fyzická nebo právnická osoba (tedy nejen spotřebitel, ale i společnost), která je vlastníkem, nájemcem, leasingovým nájemcem nebo jinak oprávněným uživatelem připojeného výrobku, případně příjemcem související služby. Uživatel má podle nařízení o datech právo na přístup ke všem datům, která vznikají používáním chytrého zařízení nebo služby.
Jaké jsou nové povinnosti pro výrobce a poskytovatele služeb?
Nařízení o datech se vztahuje na tzv. připojené výrobky (connected products), tedy zařízení, která prostřednictvím svých komponent, senzorů nebo operačních systémů získávají, vytvářejí či shromažďují data o své výkonnosti, použití nebo prostředí a jsou schopna tato data předávat dál (typicky prostřednictvím internetu, ale i exportem offline).
Nařízení o datech se kromě dat získaných přímo z připojených výrobků vztahuje také na data získaná z tzv. souvisejících služeb. Souvisejícími službami jsou typicky aplikace v mobilních zařízeních a počítačích, které jsou spojeny s připojeným výrobkem takovým způsobem, že by jejich absence bránila připojenému výrobku plnit jeho funkce, nebo služby poskytované za účelem rozšíření jeho funkčnosti. Aby mohla být digitální služba považována za související službu, musí být splněny dvě základní podmínky: (i) mezi připojeným výrobkem a poskytovatelem služby musí docházet k obousměrné výměně dat a zároveň (ii) musí mít služba vliv na funkce, chování nebo provoz připojeného výrobku. Zjednodušeně lze říci, že souvisejícími službami nejsou běžné systémové aplikace, ale pouze ty, které skutečně zpřístupňují nebo ovlivňují funkce samotného výrobku.
Data, která jsou předmětem regulace, zahrnují jak data generovaná přímo používáním výrobku (např. údaje ze senzorů, provozní logy), tak data vznikající v rámci souvisejících služeb (např. cloudové platformy, mobilní aplikace). Naopak se nařízení nevztahuje na statická data (např. sériové číslo zařízení, model atp.) ani obsah chráněný autorským právem, ke kterému uživatel přistupuje (např. hudba, video), pokud jej uživatel pouze přehrává prostřednictvím zařízení, ani na data, která jsou v zařízení pouze ukládána jménem třetích stran (např. cloudové servery třetích stran).
Níže najdete praktický seznam kroků, které by měli držitelé dat podniknout k přípravě na účinnost nařízení o datech.
- Pokud jako společnost vyrábíte chytrá zařízení nebo poskytujete s nimi související služby, je nezbytné ještě před nabytím účinnosti nařízení o datech provést důkladnou identifikaci všech dat, která vaše zařízení generují a rozlišit data, která jsou „snadno dostupná“.
- Zajistit uživateli bezplatný přístup ke snadno dostupným datům, tedy k těm, která má držitel dat již sám k dispozici. Tato data musí být poskytnuta v běžně používaném a strojově čitelném formátu.
- Transparentně informovat uživatele před uzavřením smlouvy (o koupi zařízení, jeho pronájmu či leasingu apod.) o tom, jaká data bude produkt vytvářet, v jakém formátu a jak k nim bude možné přistupovat. Držitelé dat musí v tomto ohledu zajistit, aby zákazníci v rámci celého dodavatelského řetězce dostali všechny povinné informace ještě před uzavřením smlouvy (např. prostřednictvím ujednání ve smlouvě s uživatelem, v obchodních podmínkách či jiných informačních dokumentech či manuálech, které jsou uživateli k dispozici nejpozději při uzavírání této smlouvy).
- Umožnit uživatelům, aby na jejich žádost držitelé dat zpřístupnili či jinak předali data vytvořená výrobky třetím stranám dle vlastního výběru uživatele, například poskytovatelům oprav, pojišťovnám či analytickým společnostem
- Dodržovat pravidla ochrany osobních údajů – pokud data obsahují osobní údaje, musí být zpřístupnění v souladu s GDPR a dalšími předpisy.
Výše uvedené povinnosti se vztahují na všechna zařízení, která generují data po 12. září 2025, včetně těch, která byla uvedena na trh před tímto datem.
Zařízení uvedena na trh po 12. září 2026
U připojených zařízení uvedených na trh po 12. září 2026 budou nově muset držitelé dat zpřístupnit uživatelům nejen snadno dostupná, ale veškerá data generovaná samotným zařízením. To v praxi znamená, že jak výrobky, tak související služby musí být navrženy a poskytovány tak, aby tato data – včetně nezbytných metadat pro jejich správnou interpretaci – byla uživateli standardně k dispozici, a to snadno, bezpečně, bezplatně, v komplexním, strukturovaném, běžně používaném a strojově čitelném formátu. Pokud je to relevantní a technicky proveditelné, musí být tato data přímo přístupná uživateli bez nutnosti dalšího zprostředkování.
Výrobci budou již nyní muset už při návrhu produktu myslet na to, jak budou data zpřístupňovat uživatelům a jak budou plnit informační povinnosti.
U zařízení uvedených na trh před tímto datem platí jisté „přechodné období“ nařízení o datech, a tudíž mírnější režim.
Výjimky a omezení
Nařízení se nevztahuje na prototypy a některé typy služeb, které nejsou úzce spjaty s funkcionalitou výrobku (například poradenské nebo analytické služby, které neovlivňují chod zařízení).
Specifická pravidla platí pro malé a střední podniky a pro situace, kdy je držitelem dat subjekt veřejného sektoru.
V dalším ze série článků zaměřených na Data Act se podíváme též na konkrétní práva uživatelů, povinnosti při sdílení dat s třetími stranami, otázky ochrany obchodního tajemství a související právní rizika.
Do okamžiku přímé použitelnosti nařízení o datech zbývá jen několik měsíců, proto je nejvyšší čas začít se na nové povinnosti připravovat. Nařízení o datech ovlivní většinu prodejů chytrých zařízení – od e‑commerce přes retail, a to jak v sektorech IoT, automotive, nebo například farmaceutickém sektoru a dalších. Pokud se vás nové povinnosti týkají, rádi vám pomůžeme s jejich zavedením.
