Nařízení (EU) 2023/2854 Evropského parlamentu a Rady ze dne 13. prosince 2023, které stanovuje harmonizovaná pravidla pro spravedlivý přístup k datům a jejich využívání, a zároveň mění nařízení (EU) 2017/2394 a směrnici (EU) 2020/1828 („Data Act“) bylo zveřejněno v Úředním věstníku Evropské unie dne 22. prosince 2023 a nabyl účinnosti 11. ledna 2024.
Většina ustanovení Data Act začala platit 12. září 2025.
Obecně
Data Act zásadně mění způsob, jakým budou subjekty, až už se jedná o státní instituce, firmy či jednotlivce, nakládat s daty. Přináší další velice významnou unijní regulaci dat, kterou můžeme přirovnat například k GDPR[1].
Data Act se významně dotýká i dalších oblastí digitální regulace, a to zejména Data Governance Act („DGA“)[2], pravidel pro online obsah a dalších klíčových předpisů EU, jako jsou Digital Services Act („DSA“)[3], Digital Markets Act („DMA“)[4] nebo regulace v oblasti umělé inteligence. Data Act představuje zásadní prvek unijní strategie v oblasti digitálního prostoru a dat (zejména nyní často skloňovaný AI Act[5]).
Data Act má zásadní dopad na široké spektrum subjektů, jeho cílem je zejména podpořit inovace tím, že zvýší dostupnost a možnost opakovaného využití dat o výkonu, používání a prostředí chytrých produktů a služeb.
Co je účelem Data Act?
Data Act je cíleně navržen tak, aby posílil postavení uživatelů, a to jak spotřebitelů, tak firem, a poskytl jim větší kontrolu nad daty, která vznikají při používání jejich propojených zařízení, jako jsou automobily, chytré televize nebo jiná průmyslová zařízení.
Na rozdíl od GDPR, které chrání pouze osobní údaje jednotlivců, se Data Act zaměřuje na data obecně, tedy i na neosobní a průmyslová data, a usiluje o to, aby byla dostupná, interoperabilní a spravedlivě sdílena napříč trhem.
Data Act se zabývá především daty generovanými IoT zařízeními („Internet of Things“, neboli „Internet věcí“).
IoT zahrnuje širokou škálu propojených produktů, od chytrých spotřebičů, automobilů, chytrých televizí a nositelné elektroniky až po průmyslové stroje a senzory v zemědělství. Tato zařízení neustále shromažďují a přenášejí data o svém provozu, využití a okolním prostředí. Jedním z hlavních cílů Data Act je tedy zajistit, aby tato data byla dostupná jejich uživatelům a aby je bylo možné spravedlivě a bezpečně sdílet a znovu využívat.
Data Act je horizontální právní předpis, který stanovuje obecné zásady a pravidla platná napříč všemi sektory. Nemění stávající povinnosti týkající se přístupu k datům, ale stanovuje unijní rámec, se kterým by měla být sladěna veškerá budoucí legislativa.
Klíčové oblasti regulace
- Odstranění překážek pro přístup k datům z IoT a jejich využití
Data Act ukládá výrobcům povinnost navrhovat a vyrábět propojené produkty tak, aby bylo možné data z nich snadno zpřístupnit a sdílet. Uživatelé, ať už se jedná o spotřebitele nebo o firmy, mají právo získat data o používání a výkonu těchto produktů a služeb a mohou se rozhodnout je předat třetím stranám.
Data Act stanovuje i požadavky na formát, kvalitu a bezpečnost poskytovaných dat a zavádí pravidla pro jejich využívání včetně ochrany obchodních tajemství a citlivých informací.
- Rámec pro sdílení dat mezi podniky (B2B)
Data Act vytváří férový rámec pro sdílení dat mezi firmami. Upravuje ochranu obchodních tajemství, vyžaduje spravedlivé a vyvážené smluvní podmínky a umožňuje sjednat přiměřené a nediskriminační kompenzace za zpřístupnění dat.
Součástí jsou i mechanismy pro řešení sporů a opatření proti neoprávněnému nebo podvodnému využívání dat, včetně možnosti požadovat jejich vymazání.
- Sdílení dat mezi podniky a veřejným sektorem (B2G)
Data Act umožňuje veřejným orgánům přístup k datům v případech mimořádné potřeby, například při krizových situacích. Požadavky na data musí být konkrétní, odůvodněné a přiměřené.
Veřejné orgány mohou data použít pouze pro stanovený účel, musí je chránit a po využití vymazat. Pokud jde o osobní údaje, je nutná jejich anonymizace nebo pseudonymizace. V některých případech mají držitelé dat nárok na finanční kompenzaci.
- Ochrana před přístupem orgánů třetích zemí a přenosem neosobních dat
Poskytovatelé služeb zpracování dat jsou povinni chránit data před neoprávněnými požadavky orgánů třetích zemí, pokud by byly v rozporu s právem EU nebo členských států. Přístup je povolen pouze na základě mezinárodních dohod a poskytovatelé musí minimalizovat objem sdílených dat a informovat držitele o požadavcích, pokud tím není ohroženo vyšetřování.
- Usnadnění přechodu mezi poskytovateli služeb a interoperabilita
Významnou součástí Data Act je snaha usnadnit zákazníkům přechod mezi různými poskytovateli služeb zpracování dat, jako jsou například cloudové nebo edge služby.
Poskytovatelé nesmí klást technické či smluvní překážky, musí zákazníkům poskytnout jasné informace o postupu přechodu a o formátech dat a spolupracovat, aby přechod proběhl rychle a bezpečně. Nařízení také vyžaduje technickou interoperabilitu a tzv. funkční ekvivalenci nové služby.
Poplatky za přechod musí být během tří let od účinnosti Data Act postupně zrušeny. Data Act tak cílí zejména na předcházení tzv. „vendor lock-in“, který je ve většině situací považován za nežádoucí stav.
Tato oblast bude mít zásadní dopad na poskytovatele SaaS, PaaS i IaaS (Software, Platform nebo Infrastructure as a service) služeb.
Poskytovatelé budou muset umožnit snadný a bezpečný přenos dat, aplikací a digitálních prostředků, odstranit technické či smluvní bariéry a transparentně informovat zákazníky o podmínkách migrace. Zákazníci tak získají možnost svobodně měnit poskytovatele bez obav ze ztráty dat nebo závislosti na jednom dodavateli (vendor lock-in). To se dotkne nejen cloudových služeb pro firmy, ale i běžných online aplikací, které využívají koncoví uživatelé.
Nařízení dále podporuje vznik a fungování unijních datových prostorů tím, že stanovuje pravidla pro obsah datových sad, jejich formáty a kvalitu, transparentnost a smluvní podmínky pro přístup k datům. Cílem je zajistit právní jistotu, technickou kompatibilitu a bezpečné prostředí pro sdílení dat napříč odvětvími.
- Požadavky na chytré smlouvy (smart contracts)
Data Act zavádí základní technické požadavky pro chytré smlouvy, které automatizují plnění dohod o sdílení dat. Tyto smlouvy musí být robustní, bezpečné, umožňovat kontrolovaný přístup a bezpečné ukončení nebo pozastavení provozu.
Obsah smlouvy musí být v souladu s příslušnými dohodami o sdílení dat. Evropská komise plánuje přijmout harmonizované technické standardy, které tato pravidla sjednotí na úrovni celé EU.
Začlenění do legislativního rámce EU
Data Act je součástí širší evropské digitální legislativy a navazuje na další právní předpisy.
- DGA – Data Governance Act: Data Act doplňuje nařízení o správě dat, které stanovuje základná rámec pro přístup a sdílení dat v EU. Zatímco DGA nastavilo základní pravidla a mechanismy pro důvěryhodné dobrovolné sdílení dat, Data Act přidává konkrétní povinnosti pro zpřístupnění dat a harmonizované požadavky na jejich opakované využití;
- GDPR: Data Act se vztahuje jak na osobní, tak na neosobní data. Požadavky týkající se zpracování osobních údajů proto musí být v souladu s GDPR a je nezbytné chápat, jak se obě legislativy prolínají, zejména u smíšených datových souborů;
- DMA – Digital Markets Act: Data Act se úzce propojuje s nařízením o digitálních trzích (DMA), jehož cílem je zajistit férovou hospodářskou soutěž v online prostředí a omezit zneužívání tržní síly velkými platformami. DMA označuje určité velké digitální platformy (například velké vyhledávače, tržiště, operační systémy nebo sociální sítě) jako „gatekeepers“, tedy subjekty, které mají tak silné postavení, že mohou ovlivňovat přístup ostatních k digitálnímu trhu. Data Act v této souvislosti výslovně stanoví, že data z propojených produktů a služeb nesmějí být těmto „gatekeepers“ poskytována, pokud by tím došlo k omezení konkurence nebo k posílení jejich tržní dominance;
- Ochrana práv duševního vlastnictví: Data Act uvádí, že se nedotýká platných práv EU a členských států na ochranu duševního vlastnictví. Výjimkou je tzv. sui generis právo k databázím podle směrnice 96/9/ES, které se neuplatní na data získaná z propojených produktů nebo služeb, jež spadají do působnosti Data Act. Cílem je omezit možné konflikty s ochranou obchodního tajemství či autorskými a patentovými právy.
Vymáhání a dozor nad Data Act
Každý členský stát EU musí určit alespoň jeden příslušný orgán, který bude odpovědný za uplatňování a vymáhání pravidel stanovených v Data Act. V České republice na implementaci Data Act aktivně pracuje Ministerstvo průmyslu a obchodu (MPO), které připravuje potřebné legislativní a organizační kroky pro uvedení nařízení do praxe.
Do dohledu nad dodržováním pravidel bude pravděpodobně zapojen také Úřad pro ochranu osobních údajů (ÚOOÚ), zejména pokud jde o oblast zpracování osobních údajů a ochranu práv subjektů údajů.
Data Act ponechává stanovení konkrétních sankcí na jednotlivých členských státech EU. Každý stát musí pro svou jurisdikci přijmout účinné, přiměřené a odrazující sankce za porušení pravidel Data Act. To znamená, že výše pokut i jejich podoba se může mezi členskými státy lišit, protože nařízení umožňuje tzv. národní režim sankcí.
Při tvorbě sankčních mechanismů mají členské státy povinnost zohlednit doporučení Evropské rady pro datové inovace (European data Inovation Board – EDIB) a také kritéria přímo uvedená v Data Act. U některých typů porušení (například v oblasti osobních údajů) se navíc uplatní i sankční pravidla podle jiných předpisů, typicky GDPR.
V České republice zatím není zcela jasné, ve kterém právním předpise budou sankce za porušení Data Act zakotveny. Lze očekávat, že tato otázka bude vyřešena v rámci připravované implementace MPO a případně i zapojením dalších dozorových orgánů.
Evropská komise od přijetí Data Act aktivně spolupracuje s firmami všech velikostí, profesními svazy i zástupci občanské společnosti, aby vyjasnila jednotlivá ustanovení nařízení a připravila praktické nástroje pro jeho snadnější uplatňování v praxi. Tato spolupráce bude pokračovat i po 12. září 2025, formou průběžného dialogu mezi Evropskou komisí a povinnými subjekty.
Evropská komise již zveřejnila řadu informačních materiálů, například soubor často kladených dotazů (FAQ)[1] a další zdroje. Navíc plánuje zřídit speciální právní helpdesk k Data Act, který povinným subjektům poskytne přímou podporu při řešení konkrétních otázek týkajících se uplatňování nových pravidel.
Závěr
Jedním z dlouhodobých strategických cílů Evropské unie je vybudovat skutečně jednotný a otevřený trh s daty, chápaný jako „pátá svoboda“ vnitřního trhu, vedle volného pohybu osob, zboží, služeb a kapitálu.
Data Act představuje zásadní krok k naplnění této vize, protože odstraňuje technické i smluvní překážky, které dosud bránily efektivnímu sdílení a využívání dat napříč členskými státy.
Data Act vytváří základní pravidla pro spravedlivý přístup k datům a jejich využívání. Jasně stanovuje, kdo a za jakých podmínek může data získat, používat a sdílet, čímž podporuje transparentní a férové prostředí pro všechny účastníky trhu a přispívá k posílení konkurenceschopnosti Evropy v digitálním světě.
Závěrem lze říci, že Data Act ve své podstatě není Evropskou komisí považován pouze za legislativní opatření, ale jako investici do budoucnosti unijní digitální ekonomiky. Povinné subjekty by se na jeho dopady měli včas připravit, a to nejen kvůli splnění nových povinností, ale i proto, aby mohli plně využít příležitostí, které otevřenější přístup k datům přinese.
V případě jakýchkoli dotazů k tématu právní regulace dat či dalším oblastem EU regulace a compliance jsme Vám v PEYTON legal k dispozici.
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[2] Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (nařízení o správě dat).
[3] Nařízení Evropského parlamentu a Rady (EU) 2022/2065 ze dne 19. října 2022 o jednotném trhu digitálních služeb a o změně směrnice 2000/31/ES (nařízení o digitálních službách).
[4] Nařízení Evropského parlamentu a Rady (EU) 2022/1925 ze dne 14. září 2022 o spravedlivých a otevřených trzích v digitálním odvětví a o změně směrnic (EU) 2019/1937 a (EU) 2020/1828 (nařízení o digitálních trzích).
[5] Nařízení Evropského parlamentu a Rady (EU) 2024/1689 ze dne 13. června 2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci a kterým se mění nařízení (ES) č. 300/2008, nařízení (EU) č. 167/2013, nařízení (EU) č. 168/2013, nařízení (EU) 2018/858, nařízení (EU) 2018/1139 a nařízení (EU) 2019/2144 a směrnice 2014/90/EU, (EU) 2016/797 a (EU) 2020/1828 (AI Act).
[6] FAQ zde: https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_1114.
Mgr. Jakub Málek, managing partner – malek@plegal.cz
JUDr. Tereza Pechová, advokátní koncipientka – pechova@plegal.cz
24. 9. 2025