Štítek: GDPR

Evropské nařízení o datech vstupuje v platnost. Co to znamená pro firmy a spotřebitele?

Praha, 11. září 2025 – Již 12. září 2025 začíná platit nové nařízení Evropské unie o přístupu a sdílení dat. Data Act je významným krokem směrem k tomu, aby EU byla nejen hospodářským prostorem otevřených dat, ale i místem, kde je sdílení dat regulováno spravedlivě, s ohledem na ochranu práv, inovaci i konkurenci. Spotřebitelé by měli získat více práv, větší kontrolu a širší nabídku služeb. Tématu se dále věnuje Tomáš Kubíček, partner společnosti BDO, který se zabývá technologickým poradenstvím.

„Data Act přináší firmám celou řadu nových povinností, na které se musí dobře připravit. Technicky půjde o složitý proces, který si vyžádá investice do systémů. Velkou otázkou bude i nalezení hranice mezi osobními a neosobními daty. V praxi často pracujeme s kombinovanými datovými sadami a není snadné rozlišit, co ještě spadá pod GDPR a co už ne,“ komentuje Tomáš Kubíček z BDO.

„Dalším oříškem je ochrana obchodního tajemství a duševního vlastnictví. Na jedné straně legislativa podporuje otevřenost a sdílení, na straně druhé musíme chránit inovace a know-how firem. Nejasnosti vyvolává i oblast sankcí – protože je stanovují jednotlivé členské státy, mohou se lišit nejen výší pokut, ale i výkladem. Proto je důležité sledovat, jak přesně se Data Act promítne do českého práva. A konečně nesmíme zapomínat na mezinárodní dopady – Data Act se dotkne i firem mimo EU, které na evropském trhu působí, a i ty musejí počítat s kontrolami a možnými sankcemi,“ doplňuje dále Tomáš Kubíček.

Pojďme si problematiku projít detailněji:

Jaké jsou klíčové prvky Data Actu?

  • Právo na přístup k datům
    Uživatel zařízení či služby (např. chytrého spotřebiče nebo průmyslového senzoru) má právo získat data, která toto zařízení vytváří. Pokud nejsou k dispozici v reálném čase, musí je výrobce poskytnout bez zbytečného odkladu a zdarma.
  • Možnost sdílet data s třetími stranami
    Uživatel může svá data poskytnout dalším firmám – například nezávislému servisu. Tím se otevírá prostor pro více služeb a férovější konkurenci.
  • Ochrana malých podniků
    Nejmenší firmy (mikro a malé podniky) mají z povinností výjimku, aby je nové náklady neohrozily.
  • Kompensace za zpřístupnění dat
    Pokud data využívá třetí strana, může jejich držitel dostat spravedlivou a přiměřenou odměnu. Pravidla mají zabránit diskriminaci či zneužívání.
  • Spravedlivé smluvní podmínky
    Data Act chrání malé a střední firmy před neférovými smlouvami, které by jim vnucovali silnější partneři. EU navíc chystá vzorové smluvní doložky.
  • Sdílení dat s veřejnými institucemi
    Ve výjimečných situacích (např. přírodní katastrofa, pandemie) budou firmy povinny předat potřebná data státním orgánům – rychle a bezplatně.
  • Snadnější přechod mezi poskytovateli cloudu
    Zákazníci se budou moci jednoduše a bez sankcí přesunout k jinému poskytovateli cloudových služeb, což má omezit tzv. „vendor lock-in“.
  • Ochrana před neoprávněným přístupem ze zahraničí
    Přísná pravidla mají zabránit tomu, aby neosobní data uložená v EU byla vydávána vládám mimo EU v rozporu s evropským právem.
  • Revize databázových práv
    Databáze vzniklé z dat generovaných IoT zařízeními nebudou chráněny speciálním právem sui generis – aby data mohla být lépe využívána.
  • Vyvážení s duševním vlastnictvím a obchodním tajemstvím
    Data Act nemění pravidla duševního vlastnictví ani ochrany obchodních tajemství, ale jasně stanovuje, že povinnost sdílet data nesmí tato práva porušovat.

Jaké mohou firmy očekávat postihy, pokud nebudou plnit povinnosti?

Členské státy si stanovují vlastní pravidla pro sankce. Ty musí být efektivní, proporcionální a odrazující.

Při uložení sankcí mají být zohledněny faktory jako:

    • povaha, závažnost, rozsah a délka porušení;
    • opatření, jež pachatel přijal ke zmírnění či nápravě škody
    • předchozí porušení
    • finanční výhody plynoucí z porušení nebo úspora nákladů
    • jiné zmírňující nebo přitěžující okolnosti
    • obrat pachatele za předchozí účetní období v rámci Unie

Každý členský stát EU si musí do 12. září 2025 určit, jaké sankce budou uplatňovány za porušení nařízení v jeho zemi.

Jak jsme na tom aktuálně s pravidly pro sankce v ČR?

  • Ministerstvo průmyslu a obchodu uvádí na svých stránkách, že připravuje implementaci Data Act.
  • Úřad pro ochranu osobních údajů (ÚOOÚ) by měl být zapojen do dohledu nad dodržováním pravidel, zejména pokud jde o ty případy, které se týkají osobních údajů.

Co zatím není konkretizováno?

  • Zatím není veřejně znám konkrétní český zákon, který by definoval přesné skutkové podstaty přestupků podle Data Actu, ani výši pokut, která by se uplatnila v rámci ČR.
  • Zveřejněny nejsou dosud žádné návrhy, kolik by mohly sankce v ČR činit za různé druhy porušení, ani to, zda budou definovány jako u GDPR (např. procentní podíl z obratu), stanoveny pevně, nebo půjde o kombinaci.
  • Také zatím není jasné, které české soudy/orgány či inspekční instituce budou vykonávat dozor v konkrétních oblastech, pokud není záležitost osobních údajů.

Jaké má nové nařízení dopady na organizace a spotřebitele?

Organizace by se měly zaměřit na tyto oblasti:

  • Revize smluv: Smlouvy o prodeji, pronájmu nebo poskytování IoT / připojených produktů musí jasně definovat, kdo má přístup k jakým datům, v jakém formátu, zda sdílení s třetími stranami je možné, za jakých podmínek.
  • Technická připravenost: Musí být možné extrahovat (exportovat) data, zajistit interoperabilitu, ochranu dat, obchodního tajemství, zajistit, že produkty/služby mají rozhraní (API) nebo jiné mechanismy, které umožňují datový přístup.
  • Bezpečnost & ochrana (trade secrets, IP): Když jsou data obhospodařována v souvislosti s IoT a souvisejícími službami, často obsahují informace, které jsou citlivé (pro IP, know-how). Firmy si budou muset připravit opatření, která ochrání obchodní tajemství, zároveň ale nepřekážejí plnění zákonných povinností.
  • Strategie pro veřejné žádosti: Být připraven reagovat, pokud veřejné orgány požadují data v situacích nouze nebo veřejného zájmu – včetně procesu, jak zjistit, zda je požadavek legitimní, písemný, s ochranou práv (anonymizace, minimalizace) apod.
  • Soulad s GDPR: Osobní data spadají i nadále pod GDPR – takže pokud Data Act vyžaduje přístup nebo sdílení, organizace musí zároveň zajistit, že jsou splněny požadavky GDPR (např. právní základ pro zpracování, účel, informace subjektům, apod.).

Pro spotřebitele z nové legislativy vyplývají především výhody:

  • Větší kontrola nad vlastními daty: Pokud máš zařízení s internetem věcí (IoT), budeš mít právo k datům, která zařízení generují – mít přehled, sdílet tyto data s třetími stranami podle své volby.
  • Možnosti nových služeb: Opravny, aftermarket servis, analytické aplikace či služby založené na využití dat – spotřebitelé mohou těžit z větší nabídky a konkurence.
  • Více transparentnosti: Podmínky budou jasnější, smlouvy musí uvádět, co dostaneš, jak a kdy můžeš přejít na jiného poskytovatele služby, jaká práva máš – méně překvapení.
  • Ochrana před nekalými praktikami: Např. když silnější strana (výrobce, velká firma) nařídí jednostranné smluvní podmínky, které jsou pro spotřebitele znevýhodňující – Data Act stanoví rámec pro testování, zda je smluvní podmínka „nespravedlivá“ a pokud ano, může být neplatná.

„Plné dopady Data Actu se projeví hlavně u nových výrobků a služeb uváděných na trh od roku 2026. Teprve tehdy uvidíme, jak zásadně ovlivní praxi výrobců i poskytovatelů služeb. Velkou neznámou zůstává vztah k americkému Cloud Actu, který ukládá americkým firmám povinnost předat data vládním orgánům i mimo území USA. Není jasné, jak se obě legislativy sladí a zda nedojde k právním konfliktům,“ uzavírá Tomáš Kubíček z BDO.

O společnosti BDO

BDO je poradenská společnost poskytující auditorské, daňové, právní, účetní, znalecké a poradenské služby. Na českém trhu působí již přes 30 let. S více než 600 odborníky a dlouholetou praxí se řadí k předním společnostem s tímto zaměřením v České republice, kde také opakovaně vyhrála titul Největší poradenská firma roku. Kanceláře má v Praze, Brně, Ostravě, Plzni, Českých Budějovicích, Pardubicích, Jindřichově Hradci a Domažlicích.

BDO je v České republice zastoupena společnostmi BDO Audit s.r.o., BDO Czech Republic s.r.o., BDO Consulting s.r.o., BDO Legal s.r.o., advokátní kancelář, BDO Valuation, s.r.o., BDO Fund Administration a.s. a BDO Euro-Trend s.r.o. Společnost je součástí mezinárodní sítě BDO, která celosvětově tvoří jednu z největších sítí auditorských a poradenských skupin. Zaměstnává více jak 119 tisíc odborníků a působí ve 166 zemích, v nichž provozuje více než 1 800 kanceláří.

Evropa zavádí revoluční pravidla pro data. Data Act začne platit už od půlky září

Praha, 8. září 2025 – Evropské nařízení Data Act začne platit už od pátku 12. září 2025 a zásadně mění způsob, jakým firmy, státní instituce i občané nakládají s daty. Jde o jednu z nejvýznamnějších regulací posledních let – podobně důležitou jako byl před lety GDPR, upozorňuje Tomáš Kubíček, partner poradenské společnosti BDO, který se zaměřuje na technologické výzvy firem.

Proč Data Act vůbec vznikl? „Evropská komise odhaduje, že až 80 % dat v EU zůstává dnes nevyužito. Jde přitom o obrovský zdroj inovací, hospodářského růstu i lepší reakce na krizové situace. Data Act má otevřít cestu k širšímu využívání dat, zajistit férovější přístup pro firmy a spotřebitele, posílit konkurenci v oblasti datových a cloudových služeb a vytvořit prostředí, ve kterém budou data využívána transparentně a bezpečně,“ prohlašuje Tomáš Kubíček z BDO.

Nejvíce se dotkne výrobců připojených zařízení (IoT) – od automobilů přes domácí spotřebiče až po průmyslové technologie. Ti budou muset zpřístupnit uživatelům data, která jejich zařízení generují. Změny se týkají i poskytovatelů cloudových služeb, kterým nařízení ukládá povinnost usnadnit přechod zákazníků ke konkurenci a zamezit tzv. „vendor lock-inu“.

Dopady pocítí podle Tomáše Kubíčka také firmy a spotřebitelé, kteří získají lepší přístup ke svým datům a možnost sdílet je s třetími stranami, například servisy nebo aplikacemi. Významná změna se týká i veřejného sektoru – státní instituce budou mít v mimořádných situacích možnost získat data od soukromých firem, například při přírodní katastrofě či jiné krizové události.

Praktické dopady Data Actu budou výrazné. „Uživatelé například získají větší kontrolu nad daty – například uživatel auta si bude moci vyžádat telemetrická data a předat je nezávislému servisu. Data Act také přinese férovější podmínky mezi firmami – sdílení dat bude muset být transparentní a za přiměřenou kompenzaci,“ komentuje Tomáš Kubíček.

Firmy získají podle BDO jednodušší možnosti změnit poskytovatele cloudu, čímž se vyhnou složitým překážkám a vysokým poplatkům při migraci. Veřejný sektor bude moci v případě krizí efektivněji řídit situace díky přístupu k potřebným datům, a to pouze pro jasně vymezený účel. Dále se zavádějí standardy pro zajištění interoperability, tedy snadnějšího sdílení dat a inteligentních smluv napříč různými systémy.

„Firmy by si měly co nejdříve ověřit, zda se na ně Data Act vztahuje – zejména pokud vyvíjejí IoT zařízení, pracují s cloudem nebo jinak nakládají s daty. Klíčové bude revidovat smlouvy, připravit se na nové povinnosti a začlenit princip ‚data-ready by design‘ přímo do vývoje produktů a služeb,“ doporučuje Tomáš Kubíček k tomu, co by firmy měly udělat hned v prví fázi.

O společnosti BDO

BDO je poradenská společnost poskytující auditorské, daňové, právní, účetní, znalecké a poradenské služby. Na českém trhu působí již přes 30 let. S více než 600 odborníky a dlouholetou praxí se řadí k předním společnostem s tímto zaměřením v České republice, kde také opakovaně vyhrála titul Největší poradenská firma roku. Kanceláře má v Praze, Brně, Ostravě, Plzni, Českých Budějovicích, Pardubicích, Jindřichově Hradci a Domažlicích.

BDO je v České republice zastoupena společnostmi BDO Audit s.r.o., BDO Czech Republic s.r.o., BDO Consulting s.r.o., BDO Legal s.r.o., advokátní kancelář, BDO Valuation, s.r.o., BDO Fund Administration a.s. a BDO Euro-Trend s.r.o. Společnost je součástí mezinárodní sítě BDO, která celosvětově tvoří jednu z největších sítí auditorských a poradenských skupin. Zaměstnává více jak 119 tisíc odborníků a působí ve 166 zemích, v nichž provozuje více než 1 800 kanceláří.

Advokátní kancelář Dentons posiluje Jiří Kvaček, odborník na oblast technologií

Praha, 26. února 2025 – Poradenství v oblasti technologií, kybernetické bezpečnosti a ochrany dat je pro firmy čím dál zásadnější. Služby v této oblasti pomůže ještě rozšířit seniorní advokát Jiří Kvaček pro klienty Dentons, který do pražské pobočky této největší právní společnosti světa nastoupil během února.

Praxe Jiřího Kvačka v oblasti informačních a komunikačních technologií (ICT) zahrnuje ochranu osobních údajů, duševní vlastnictví, problematiku elektronického uzavírání smluv, spotřebitelské právo a marketing. Jeho zvláštní odbornost zahrnuje poradenství v oblasti digitální legislativy, včetně obecného nařízení o ochraně osobních údajů (GDPR), směrnice NIS2, zákona o digitální provozní odolnosti (DORA), zákona o ochraně osobních údajů a zákona o správě osobních údajů.

„S ohledem na neustále rostoucí agendu v těchto oblastech není Jiří Kvaček poslední posilou, kterou plánujeme. Oblast práva a technologií dnes vyžaduje neustále větší specializaci. Jeho nástup proto pomůže také uvolnit ruce dalším kolegům, kteří se budou moci více soustředit na oblasti e-commerce, nebo implementaci nástrojů umělé inteligence,“ prohlašuje Zdeněk Kučera, partner Dentons a vedoucí technologického týmu.

Dále Jiří Kvaček zastupuje místní i mezinárodní klienty v řadě sporů, včetně squeeze-outu, nemovitostních, maloobchodních a dalších druhů sporů před obecnými a rozhodčími soudy. Rovněž zastupuje klienty ve správních řízeních před Úřadem pro ochranu osobních údajů, Českou obchodní inspekcí a Národním úřadem pro kybernetickou a informační bezpečnost.

„Přestože počet technologických právníků v pražské kanceláři je dvouciferný, naší prioritou není enormní počet lidí, ale mít ty, kteří jsou špičkou na trhu,“ uvádí dále Zdeněk Kučera k příchodu advokáta Jiřího Kvačka.

„V Dentons se soustředíme na práci specializovanou, ať už jsou to technologické spory, implementace IT systémů, či nástrojů umělé inteligence, AdTech, nebo designování systémů využívající data,“ doplňuje Zdeněk Kučera.

O společnosti Dentons

Advokátní kancelář Dentons zastoupená ve více než 80 zemích světa pomáhá rozvíjet, chránit, provozovat a financovat vaši organizaci poskytováním jedinečných globálních i úzce lokálních právních řešení. Polycentrický přístup, orientace na smysluplné cíle a aktivní uplatňování principů inkluze, rozmanitosti, rovnosti a trvalé udržitelnosti nám umožňují soustředit se na to, co je pro vás nejdůležitější. www.dentons.com

Zájem o ochranu soukromí se díky GDPR za posledních pět let zvýšil. I přesto má z praktického hlediska k dokonalosti daleko, hodnotí advokát ROWAN LEGAL

Nařízení o ochraně osobních údajů – známé pod zkratkou GDPR – oslavilo v těchto dnech pět let od nabytí účinnosti. V České republice se díky němu zvýšil zájem o ochranu soukromí jak ve veřejném, tak soukromém sektoru. Podle Michala Nulíčka z advokátní kanceláře ROWAN LEGAL se ale aspirace evropských legislativců ani po pěti letech zdaleka nepodařilo naplnit. Díky GDPR se sice tématu dostává zasloužené pozornosti, ale aplikační praxe členských zemí stále často sužují rozdíly. Určité napětí panuje i ve vztahu k modelu ochrany osobních údajů uplatňovanému ve Spojených státech amerických, což se negativně odráží především ve světě byznysu.

Podle odborníků na ochranu osobních údajů z přední české advokátní kanceláře ROWAN LEGAL pomohlo GDPR během uplynulých pěti let účinnosti kultivovat celoevropskou debatu o ochraně soukromí. Souvisejícím otázkám se nyní konečně věnuje pozornost, kterou si tato disciplína zaslouží. Díky sjednocení pravidel jednotlivých členských zemí došlo k usnadnění přeshraničního předávání dat. Nařízením se navíc inspirovala i řada mimoevropských zemí, které na jeho základě modelovaly své národní předpisy. To ovšem neznamená, že se cíle regulace podařilo bez dalšího naplnit.

„Po pěti letech je stále patrné, že přístupy jednotlivých evropských států k ochraně osobních údajů zůstávají rozdílné a společnosti působící ve více zemích stále musí vynakládat prostředky na ověření a přizpůsobení lokálním specifikům. Co se rovněž za uplynulých pět let nepovedlo, je snaha ‚vrátit lidem kontrolu nad daty‘, což byl jeden z hlavních cílů GDPR. Nástroje pro to existují, ale lidé jsou ke svému soukromí bohužel často lhostejní,“ hodnotí dopad nařízení po pěti letech Michal Nulíček, odborník na ochranu osobních údajů z ROWAN LEGAL.

V praxi to podle něj má dopad zejména na menší firmy, které si se zavedením požadavků GDPR stále neví rady. Tomu nenapomáhá ani fakt, že GDPR je velmi obecný předpis, jehož znění si aktéři vykládají různě. V důsledku toho vznikají problémy při vyjednávání smluv – uzavírání obchodů se tak často prodlužuje a prodražuje. V extrémních, ovšem ne nereálných případech jsou pravidla na ochranu osobních údajů i důvodem, proč k dokončení transakce nikdy nedojde.

Jako obzvláště problematické se rovněž ukázalo předávání osobních dat do USA. Před několika lety totiž došlo k zásadním odhalením, ze kterých vyplynulo, že Evropa je pod setrvalým dozorem amerických orgánů. Evropané tak ve výsledku nemají možnost zjistit, jak za oceánem s jejich daty nakládají a nemají k dispozici ani žádné vhodné nástroje ochrany. V reakci na to byl zrušen mechanismus, který umožnil volné předávání dat mezi EU a USA, což dodnes trvá. V praxi to způsobuje obrovské problémy – ať již globálním korporacím například při výměně zaměstnaneckých dat, nebo třeba i při používání běžných kancelářských softwarových nástrojů,“ zdůrazňuje Nulíček.

„Aktuálně je to tak, že se byznys samozřejmě nezastavil a data se do USA předávají dál. Přitom společnosti, které tak činí, se nikoliv svojí vinou pohybují na hraně zákona a musí vynakládat nepřiměřené úsilí a prostředky na to, aby rizika alespoň snížily. Do budoucna se rýsuje řešení, nicméně bude ještě několik měsíců trvat, než bude přijato,“ dodává.

Další záležitostí, která po pěti letech zůstává stále nedořešena, je ukládání pokut za porušení GDPR. Tato praxe se v tuzemsku a dalších státech EU liší, navíc v Česku došlo k nemožnosti pokutovat veřejné instituce, a proto řada z nich přestala brát ochranu osobních údajů vážně. Rovněž i ukládané pokuty v minulosti nedosahovaly takových výšek, aby to soukromé společnosti skutečně pocítily. „Nicméně se zdá, že se situace mění. V roce 2021 uložil Úřad na ochranu osobních údajů první opravdu vysokou pokutu ve výši 350 milionů korun, byť rozhodnutí zatím není konečné. V praxi jsme okamžitě viděli zvýšení zájmu o ochranu soukromí,“ konstatuje advokát.

Do budoucna se proto dá předpokládat, že se EU zaměří především na sjednocení rozhodovací a vymáhací praxe v členských státech. Poměrně živá debata panuje i ohledně zpřístupňování dat. V EU se momentálně diskutuje o nových pravidlech pro veřejnou správu i soukromé společnosti, které získávají data z tzv. smart technologií. Pod drobnohled evropských legislativců se tak mimo jiné dostanou i největší globální internetové společnosti. 

O ROWAN LEGAL

ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví, IT, telekomunikace a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 70 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.

Exit mobile version