Objem zpracovávaných informací se v současné době exponenciálně zvyšuje. Platí to nejen pro data vytvořená lidmi, ale i různými výrobky či stroji, které jsou schopny data generovat v rozličných odvětvích lidské činnosti a připojených zařízení (internet věcí, IoT). Profit z těchto dat má nicméně v současnosti velmi malé množství velkých společností (většinou výrobci daných produktů), protože tato data nejsou ve společnosti dostatečně využívána. Možnost přístupu k datům a jejich využívání naráží na různá omezení, ať už právního, technického nebo ekonomického charakteru, ale i na chybějící motivaci držitelů dat sdílet tato data s někým dalším, nedostatečné normy pro interoperabilitu či zneužívání smluvní nerovnováhy mezi subjekty.
Řadu těchto problému řeší zbrusu nová unijní regulace. Přesněji řečeno, Nařízení Evropského parlamentu a Rady o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání (Akt o datech), který byl v Úředním věstníku Evropské unie zveřejněn dne 22. prosince 2023 pod číslem 2023/2854. Jedná se o přímo závazné nařízení, které bude z velké části účinné od 12. září roku 2025.
Hlavní cíle Aktu o datech
Jaké konkrétní cíle si Akt o datech klade?
Odstranit překážky ve fungování vnitřního trhu s daty, zajistit spravedlivé rozdělování hodnoty z dat mezi jednotlivé subjekty vystupující na trhu a podpořit nejen jejich přístup k datům, ale i opakované použití dat a tím vytvořit tzv. secondary markety (druhotné trhy) s daty. Vzhledem k množství nadnárodních společností, která spravují různé datové sady, je úprava prostřednictvím nařízení vhodná volba, neboť se zamezí roztříštěnosti právních úprav v jednotlivých státech, a podpoří se tak přeshraniční tok a efektivní využití dat.
Co se rozumí výrobkem připojeným k internetu věcí?
Nařízení se vztahuje na výrobky, které prostřednictvím svých součástí získávají, vytvářejí nebo shromažďují data o své výkonnosti, použití nebo prostředí. Tyto výrobky musí být rovněž schopny generovaná data předávat prostřednictvím veřejně dostupné služby elektronických komunikací, přičemž jejichž hlavní funkcí není uchovávání a zpracování dat. Někdy se lze též setkat s termínem připojený výrobek.
Jaké výrobky si můžeme pod tímto popisem představit? Příkladmo lze uvést chytré vybavení do domácnosti (smart home) jako jsou ledničky, pračky nebo topení, které je možno ovládat na dálku, automobily, spotřební zboží v podobě chytrých hodinek, ale i zdravotnické přístroje či průmyslové a zemědělské stroje.
Vedle pojmu výrobek Akt o datech definuje pro účely nařízení například i takové termíny jako související služby (digitální služba, včetně softwaru, která je součástí výrobku nebo je s ním propojena takovým způsobem, že v případě neexistence této služby by výrobek nemohl plnit některé ze svých funkcí), uživatel (fyzická nebo právnická osoba, která disponuje s výrobkem nebo přijímá služby), držitel (právnická nebo fyzická osoba, která má v souladu s tím to nařízením právo nebo povinnost zpřístupnit určitá data) či příjemce dat, jakož i inteligentní smlouva a interoperabilita.
Akt o datech není jen o internetu věcí
Ač by se tak mohlo zdát, nařízení ve své úpravě nepracuje jen s daty z připojených výrobků a souvisejících služeb. Nařízení upřesňuje, na jakou oblast, resp. na jaká data data se ta která úprava vztahuje. Takže zatímco kapitola týkající se sdílení dat mezi podniky a spotřebiteli a mezi podniky navzájem cílí jen na data IoT, hned další kapitola upravující povinnosti držitelů dat, kteří mají zpřístupnit data podle práva Unie, již směřuje na veškerá data soukromého sektoru.
Které oblasti tedy bude Akt o datech regulovat?
Akt o datech se vztahuje na:
uživatele výrobků a souvisejících služeb,
držitele dat,
příjemce dat,
subjekty veřejného sektoru, a
poskytovatele služeb zpracování dat.
Speciální pozornost je v nařízení věnována mikropodnikům, malým a středním podnikům, které jsou od některých povinností osvobozeny.
Akt o datech a GDPR
Nové nařízení se vztahuje jak na zpracování osobních údajů, tak i dat neosobní povahy. Dále v článku budeme pracovat zejména s prvně uvedenými. V případě osobních údajů Akt o datech konstatuje, že nejsou dotčena práva a povinnosti stanovené v obecném nařízení o ochraně osobních údajů (GDPR).
Co se týká problematiky osobních údajů, v Aktu o datech je blíže specifikováno zejména právo na přenositelnost údajů. Uživatelé výrobku budou mít přístup k datům, osobním či neosobním, generovaným připojeným výrobkem a budou se moci rozhodnout, s jakým subjektem chtějí svá data sdílet. Příjemcům dat budou, v souladu se zásadou minimalizace, zpřístupňována pouze data nezbytně nutná ke stanovenému účelu. Držitel dat v případě osobních údajů bude vystupovat v pozici správce osobních údajů dle GDPR.
Je třeba upozornit, že Akt o datech neformuluje samostatný právní titul, který by umožňoval držiteli dat poskytnout osobní údaje třetí straně, pokud o to požádá uživatel dat (podnik), který není subjektem údajů. Držitel dat a uživatel dat (v případech, kdy uživatel je např. podnik) pak mohou být buď v postavením společných správců nebo správce a zpracovatele osobních údajů. V každém případě je nutné smluvně upravit odpovědnost za související zpracování osobních údajů a plnění povinností dle GDPR.
Větší transparentnost a snadný přístup k datům
Akt o datech cílí na větší transparentnost o datech generovaných připojenými výrobky. Uživatel výrobku bude mít možnost od prodejce získat informace například o povaze a o objemu získávaných dat nebo o tom, kdo má přístup k datům, či zda výrobce hodlá použít data sám nebo umožňuje někomu dalšímu, aby tato data použil, a též kdo je držitelem dat.
Uživatel výrobku může též využít svého práva na přístup k datům, která jsou vytvářena používáním výrobku, podáním žádosti o přístup k datům (pokud mu nejsou data přímo zpřístupňována). Pro snadnější vyřízení žádosti může být taková žádost podána například přes zřízený uživatelský účet či doprovodnou aplikaci. Držitel dat musí tato data uživateli zpřístupnit
bez zbytečného odkladu,
bezplatně
a případně nepřetržitě a v reálném čase,
na základě prosté žádosti elektronickými prostředky
a zároveň nesmí pro vyřízení žádosti vyžadovat poskytnutí informací nad rámec toho, co je nezbytné k ověření totožnosti uživatele. Právo na přístup, resp. úprava stanovená v Aktu o datech bude dopadat i na data pocházející z interakce mezi uživatelem a výrobkem prostřednictvím virtuálního asistenta. Uživatel (nejčastěji podnik) nicméně nesmí použít získaná data k vývoji konkurenčního výrobku.
Sdílení dat z internetu věcí se třetími stranami
Ke zpřístupnění dat z připojeného výrobku třetí straně by zásadně mělo dojít pouze na žádost uživatele dat. Akt o datech v tomto směru doplňuje právo subjektu údajů na přenositelnost osobních údajů podle GDPR a rozšiřuje možnost přenositelnosti i na neosobní data. Třetí stranu mohou typicky být subjekty nabízejí poprodejní služby (například servis výrobku). Díky možnosti sdílení dat jim bude umožněno konkurovat službám držitele dat. Tím bude zrušena exkluzivita pro výrobce na služby vztahující se k výrobku.
Držitelé dat mají povinnost na žádost uživatele zpřístupnit data třetí straně, bez zbytečného odkladu, bezplatně pro uživatele (držitelé dat si mohou stanovit přiměřenou odměnu, kterou musí uhradit třetí strana, nikoli uživatel), ve stejné kvalitě, v jaké jimi disponují, v komplexním, strukturovaném, běžně používaném a strojově čitelném formátu, a případně nepřetržitě a v reálném čase.
Nařízení též zajištuje ochranu jak pro držitele dat, tak pro třetí stranu, když zakazuje například získat díky technologickým nedostatkům přístup k dalším datům, nebo získat poznatky o hospodářské situaci či výrobních metodách subjektu.
Povinnosti pro držitele dat
Nařízení stanovuje též podmínky držitelům dat, za nichž jsou oprávněni zpřístupnit zpracovávaná data vymezeným příjemcům dat, jako je například zákaz diskriminace srovnatelných příjemců dat. Zakotvena je i možnost požadovat přiměřenou odměnu po příjemci dat. V případě neshod mezi držitelem dat a příjemcem dat jsou upravena i pravidla pro řešení sporů. Spory by měl řešit certifikovaný orgán splňující v nařízení definované požadavky, jako je nestrannost a nezávislost, odborná znalost problematiky a zároveň musí být snadno přístupný prostřednictvím elektronických komunikačních technologií.
Hlavně přiměřeně
Akt o datech pamatuje i na to, aby bylo zabráněno jednostranně ukládat nepřiměřené smluvní podmínky týkající se přístupu k datům a jejich využívání mikropodnikům a malým nebo středním podnikům. Smluvní nerovnováha poškozuje mikropodniky, malé a střední podniky, neboť často nejsou v takové pozici, aby s velkými společnosti mohly o smluvních podmínkách skutečně vyjednávat. Pro tyto případy je vytvořena zkouška nepřiměřenosti, která obsahuje seznam ujednání, která jsou vždy nepřiměřená nebo se za nepřiměřená považují. Mezi ně patří například vyloučení nebo omezení odpovědnosti silnější strany za úmyslné jednání nebo hrubou nedbalosti, nebo poskytnout silnější straně výlučné právo vykládat některou z podmínek smlouvy. Zkoušce nepřiměřenosti by měly být podrobeny tzv. smlouvy ber nebo nech být.
Zpřístupnění dat soukromého sektoru státu
Nastane-li krizová situace (ohrožení veřejného zdraví, velké přírodní katastrofy, ale i katastrofy způsobené člověkem jako je kybernetický bezpečností incident) mají držitelé dat povinnost na základě žádosti subjektů veřejného sektoru zpřístupnit data. Důležitou podmínkou je, aby se mohla uplatnit ustanovení z Aktu o datech, že musí existovat výjimečná potřeba na použití požadovaných dat za účelem reakce na krizovou situaci nebo v jiných stanovených mimořádných případech. Úpravou v Aktu o datech nicméně nejsou dotčeny povinnosti ohledně zpřístupňování dat veřejným subjektům stanovené v jiných právních předpisech.
Výjimečnou potřebu veřejného subjektu lze chápat tak, že požadovaná data jsou potřebná k zabránění vzniku krizové situace, reakci na ní nebo k pomoci obnovy po krizové situaci v časově blízké době, nebo v případech, kdy se vyžaduje po veřejném subjektu vyžaduje splnění úkolu ve veřejném zájmu výslovně stanoveného zákonem a veřejný subjekt by jinak neměl včasný přístup k požadovaným datům (příkladem lze uvést včasné sestavení oficiálních statistik). Veřejný subjekt zároveň musí prokázat, že neexistují žádné alternativní prostředky k včasnému získání požadovaných dat. Přístup k datům se neuplatní v oblasti prevence, vyšetřování, odhalování či stíhání trestných činů a správních deliktů, výkonu trestních a správních sankcí, sběru dat pro daňové a celní účely.
Žádost subjektu veřejného sektoru musí obsahovat:
upřesnění dat, jaká veřejný subjekt požaduje,
prokázání výjimečné potřeby,
vysvětlení účelu žádosti a zamýšlené použití požadovaných dat a dobu trvání tohoto použití,
právní základ pro žádost o datech,
lhůtu, v níž mají být data veřejnému subjektu zpřístupněna.
Žádost musí být formulována jasně, stručně, srozumitelně, být přiměřená výjimečné potřebě z hlediska objemu požadovaných dat, respektovat legitimní cíle držitele dat a má se týkat, pokud možno neosobních údajů. Žádost veřejný subjekt též bez zbytečného odkladu zpřístupní veřejnosti on-line. Veřejný subjekt má povinnost použít zpřístupněná data jen ke stanovenému účelu (vyjma dalšího sdílení s výzkumnými organizacemi nebo statickými orgány), přijmout dostatečná technická a organizační opatření a data zničit hned, jakmile již nejsou pro stanovený účel nezbytná a informovat o tom držitele dat.
Pro minimalizaci zátěže kladené na držitele dat se uplatní zásada „pouze jednou“. O shodná data se může žádat pouze jednou a pouze jeden veřejný subjekt.
Vzhledem k citlivosti některých požadovaných dat, by tato data neměla být klasifikována jako otevřená data, která jsou k dispozici pro opakované použití třetími stranami.
Usnadnění změny poskytovatele cloudových a edgeových služeb
Cílem tohoto nařízení je rovněž usnadnit zákazníkům změnu poskytovatele služeb zpracování dat. To vyžaduje zavést minimální regulační podmínky a opatření, která jsou nezbytná pro ukončení smluvního ujednání u stávajícího poskytovatele služeb zpracování dat a hladký přechod k jinému poskytovateli služeb při zachování funkční rovnocennosti služby (zachování minimální úrovně funkčnosti). Jedná se o přenos veškerých digitálních aktiv, k nimž má zákazník užívací právo, včetně metadat.
Dle nařízení musí poskytovatelé služby zpracování dat přijmout stanovená opatření k odstranění překážek bránících v tom, aby zákazníci využívající jejich služby mohli přejít k jinému poskytovateli poskytujícímu stejný druh služeb. Nařízení definuje jak smluvní podmínky týkající se změny poskytovatele (například stanovení doby, kterou má nový poskytovatel služby k načtení dat zákazníka), tak technické aspekty při této změně. Poskytovatelé služeb zpracování dat by též měli nabízet veškerou pomoc a podporu, která je nezbytná k tomu, aby proces změny poskytovatele služeb byl úspěšný. Akt o datech též cílí na to, aby byly postupně rušeny poplatky za změnu poskytovatele služeb.
Akt o datech v kostce
A na závěr krátké shrnutí toho, co nová právní úprava přinese pro:
uživatele výrobků a souvisejících služeb:
transparentnost a větší informovat o sběru dat výrobkem připojeným k internetu
právo na přístup k datům z výrobku
snadné podání žádosti o přístup k datům
zpřesnění práva na přenositelnost údajů k jinému poskytovateli služeb
právo určit, které třetí straně chce uživatel data zpřístupnit, např. za účelem servisu výrobku
mikropodniky a malé podniky:
osvobození od některých povinností uvedených v nařízení
neuplatní se na ně povinnosti ze sdílení dat mezi podniky a spotřebiteli nebo podniky navzájem
úhrada odměny za zpřístupnění dat pouze ve výši nákladů spojených se zpřístupněním dat
test nepřiměřenosti při jednostranně uložených smluvních podmínkách druhou smluvní stranou
vzorové smluvní podmínky
subjekty veřejného sektoru:
zpřístupnění dat od držitelů dat jen na základě odůvodněné žádosti
snadnější využití dat při krizové situaci
uplatní se zásada „pouze jednou“
poskytovatele služeb zpracování dat, např. cloudových aplikací
povinnost usnadňovat zákazníkům změnu poskytovatelů služeb
zachování funkční rovnocennosti služeb
rušení poplatků za změnu poskytovatele služeb
standardní smluvní doložky pro cloudové služby
