Právní poradna: Co o vás ví vysavač. Brusel donutí firmy, aby vám to řekly

Článek si také můžete poslechnout v audioverzi.

Údaje jsou v dnešní době velice cennou komoditou, díky čemuž téma jejich ochrany rezonuje napříč celou Evropskou unií již několik let.

Nejprve vzbudilo před více než šesti lety velký rozruch obecné nařízení o ochraně osobních údajů, zkráceně GDPR, nyní na něj navazuje nařízení o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání neboli Data Act.

Od 12. září 2025 začnou platit nové povinnosti ve vztahu k datům, jež vyplývají z Data Actu. Tato úprava se dotkne zejména firem podnikajících v oboru tzv. internetu věcí – připojených zařízení. „Právě tyto společnosti budou v důsledku přijetí Data Actu muset implementovat nová opatření, aby zajistily soulad s novými pravidly,“ upozorňuje advokátka Kateřina Suchanová z EY Law.

Jednou z nových povinností je umožnit přístup k datům z tzv. připojených zařízení. Držitelé dat (typicky výrobci zařízení či poskytovatelé souvisejících služeb) musí své připojené výrobky navrhnout takovým způsobem, aby bylo technicky možné data z takových výrobků zpřístupnit uživateli. „Uživatel se v souladu s Data Actem bude moci rozhodnout, že chce taková data dále předávat libovolné třetí straně, což musí držitel dat umožnit,“ vysvětluje advokátka Barbora Suchá z EY Law.

Další významnou novinkou je povinnost poskytovatelů služeb zpracování dat (např. cloudových služeb) odstranit překážky, které brání snadnému přechodu od jednoho poskytovatele k druhému. Poskytovatelé toho dosáhnou například tím, že zajistí soulad svých systémů se společnými specifikacemi EU, informují zákazníka o dostupných postupech a metodách pro změnu poskytovatele nebo že za přechod neúčtují jiné poplatky než přímo související náklady.

Data Act dále mimo jiné stanoví obecné povinnosti držitelů dat, výčet zakázaných ujednání v datových smlouvách, podmínky zpřístupňování dat subjektům veřejného sektoru nebo principy předávání neosobních údajů do zemí mimo Evropskou unii.

„Pokud jde o vztah GDPR a Data Actu, samotný Data Act opakovaně odkazuje na použití GDPR, jehož platnost není dotčena. Data Act výslovně v tomto ohledu říká, že žádné z jeho ustanovení by nemělo být uplatňováno ani vykládáno způsobem, který by zmenšil nebo omezil právo na ochranu osobních údajů,“ říká mluvčí Úřadu pro ochranu osobních údajů (ÚOOÚ) Milan Řepka.

Předpokládá se tedy obvyklé použití pravidel ochrany osobních údajů na konkrétní specifické situace zpracování dat. „Mluví se o komplementárním charakteru Data Actu, což znamená, že doplňuje právo Unie v oblasti ochrany osobních údajů popisem situací relevantních při zpřístupnění dat, na něž se vztahuje,“ dodal Řepka.

Data Act především zvyšuje dostupnost a sdílení dat v ekonomice. „Byl přijat s cílem rozvíjet a posílit ekonomiku EU založenou na datech a podpořit konkurenceschopný trh s daty tím, že data (např. data vytvářená inteligentními výrobky) učiní přístupnějšími a použitelnějšími, podpoří inovace založené na datech a zvýší dostupnost dat,“ vysvětlil mluvčí Úřadu pro ochranu osobních údajů.

Nové nařízení doplnilo akt o evropské správě dat, časově předcházející výstup v rámci evropské strategie pro data, který vstoupil v platnost v září 2023. „Zjednodušeně lze říct, že zatímco akt o evropské správě dat směřuje ke sdílení dat veřejných orgánů, Data Act zajišťuje přístup k údajům propojených zařízení,“ vysvětlil Řepka.

Věcným garantem implementace Data Actu je Ministerstvo průmyslu a obchodu ČR. Zvýšené nároky však nařízení klade především na Úřad pro ochranu osobních údajů. Společnosti dnes často shromažďují a sdílejí velké množství dat, například o tom, co nakupujeme, jak používáme své přístroje nebo jaké webové stránky navštěvujeme.

Zda s těmito daty zacházejí správně, bude ÚOOÚ kontrolovat. Týká se to třeba dat uložených v cloudu, informací o našich zařízeních připojených k internetu nebo údajů o tom, jak taková zařízení fungují.

„Případné sankce budou sice rámcově vycházet z evropské právní úpravy, ale přestupky budou vymezeny podle vnitrostátních předpisů a budou rovněž obsahovat sankce,“ říká Milan Řepka k případným postihům za provinění proti novému Datu Actu.

Pokud půjde o porušení projednávané podle předpisů o ochraně osobních údajů, použijí se sankce platné podle zákona o zpracování osobních údajů. „V případě, že bude existovat specifická skutková podstata přestupku v oblasti ochrany osobních údajů v implementační legislativě, použila by se tam stanovená sankce,“ prozradil Řepka.

Bližšími ani konkrétnějšími informacemi o této věci v souvislosti s připravovanou legislativou však zatím úřad, za který mluví, nedisponuje.

GDPR před lety zavedlo nejen celou řadu nových povinností ve vztahu ke zpracování osobních údajů fyzických osob, ale také hrozbu vysokých pokut. Ty se v českém prostředí, s výjimkou případů nejkřiklavějších porušení typu velké krádeže dat či masového spamování, zatím nekonaly a zejména menší společnosti tak často zůstávají ukolébány falešným pocitem, že mají z hlediska ochrany osobních údajů hotovo.

„Když se na nastavení zpracování osobních údajů v jednotlivých společnostech v naší advokátní praxi díváme podrobněji, typicky v případě prodeje společnosti, narážíme na překvapivé množství chyb a nedostatků, které by při kontrole byly jednoznačným problémem a potenciálním důvodem k pokutě,“ upozorňuje na skutečný stav věcí advokátka EY Law Kateřina Suchanová.

Potvrzuje, že na tomto poli stále přetrvává překvapivé množství chyb a nedostatků. „A nejedná se rozhodně jen o dokumenty, které za celých šest let nikdo neaktualizoval tak, aby odpovídaly aktuální praxi ve společnosti.“

K nejčastějším příkladům pochybení v práci s osobními údaji patří:

1. Informační povinnost vůči subjektům údajů

(čl. 13 a 14 GDPR)

Správce osobních údajů (typicky společnost) je povinen informovat fyzické osoby (subjekty osobních údajů) o zpracování jejich osobních údajů, a to v jakémkoli vztahu, kde k němu dochází.