Co musí podnikatelé a právnické osoby
udělat s příchodem Data Actu do praxe?
Nařízení Data Act (EU 2023/2854) začne být v celé EU, tedy i v České republice, použitelné od 12. září 2025.
Pro podnikatele a právnické osoby to znamená nové povinnosti i nutnost přípravy.
1. Zmapovat data a jejich tok
- Proveďte inventarizaci dat, která vaše produkty, zařízení nebo služby generují.
- Rozdělte data na osobní (chráněná GDPR) a neosobní (technická, provozní, telemetrická).
- Identifikujte, kdo má k datům přístup – uživatelé, zaměstnanci, smluvní partneři, poskytovatelé služeb.
👉 Praktický krok:
Vytvořte mapu datových toků (např. v diagramu), která ukáže, jak data vznikají, kde se ukládají a kdo je zpracovává.
2. Připravit se na zpřístupnění dat uživatelům
- Uživatel musí mít právo data získat ve strojově čitelné podobě.
- Musíte mít připravený proces, jak data vydat – např. přes zákaznický portál, API nebo na vyžádání.
- Zajistěte, aby byl postup rychlý, transparentní a nediskriminační.
👉 Praktický krok:
Připravte standardizovaný formulář nebo elektronické rozhraní, kde uživatel může o data požádat a určit třetí stranu, které je chce předat.
3. Revidovat smlouvy a obchodní podmínky
- Zkontrolujte, zda vaše smlouvy s uživateli a partnery obsahují férové podmínky pro nakládání s daty.
- Odstraňte doložky, které by byly jednostranně výhodné.
- Uveďte jasně: jaká data vznikají, kdo je spravuje, kdo je smí používat a jakým způsobem.
👉 Praktický krok:
Aktualizujte Všeobecné obchodní podmínky (VOP) a uživatelské manuály o informace o datech (datová transparentnost).
4. Nastavit procesy pro ochranu obchodního tajemství
- Pokud data obsahují citlivé informace, musíte mít připravené mechanismy pro jejich ochranu.
- Používejte anonymizaci, pseudonymizaci nebo filtrování dat.
👉 Praktický krok:
Zavést interní klasifikaci dat (např. běžná – důvěrná – obchodní tajemství) a podle toho nastavit pravidla sdílení.
5. Připravit se na interoperabilitu a přechod mezi poskytovateli služeb
- Pokud poskytujete cloudové nebo datové služby, musíte umožnit zákazníkovi přechod k jinému poskytovateli.
- To znamená: technicky zajistit export dat ve standardizovaném formátu a odstranit nepřiměřené smluvní nebo finanční překážky.
👉 Praktický krok:
Ověřte, zda vaše systémy umožňují snadný export/import dat – pokud ne, naplánujte technické úpravy.
6. Nastavit interní školení a odpovědnost
- Zaměstnanci musí vědět, jaké nové povinnosti Data Act přináší.
- Určete odpovědnou osobu, která bude mít na starosti implementaci Data Actu.
👉 Praktický krok:
Připravte školení pro klíčové pracovníky a vytvořte interní směrnici „Zásady nakládání s daty dle Data Act“.
7. Připravit krizové scénáře (exceptional need)
- Stát nebo veřejné orgány mohou v krizových situacích požadovat přístup k datům.
- Musíte mít proces, jak takovou žádost vyhodnotíte a jak data poskytnete v souladu se zákonem.
👉 Praktický krok:
Vytvořte interní postup „Jak reagovat na žádost veřejné moci o data“.
Shrnutí
Podnikatelé a právnické osoby musí s příchodem Data Actu:
1. Zmapovat a kategorizovat data.
2. Připravit mechanismy pro zpřístupnění dat uživatelům a třetím stranám.
3. Aktualizovat smlouvy a obchodní podmínky.
4. Zajistit ochranu obchodního tajemství a citlivých údajů.
5. Technicky se připravit na interoperabilitu a přenos dat.
6. Školit zaměstnance a určit odpovědné osoby.
7. Vytvořit postupy pro krizové situace.
📌 První klíčové datum je 12. září 2025.
Do té doby by firmy měly mít všechny procesy a smlouvy sladěny s požadavky Data Actu.
Přehled povinností podle Data Act a jejich dopad na MSP.
Tato sekce shrnuje hlavní povinnosti vyplývající z nařízení (EU) 2023/2854 o evropské správě dat („Data Act“) a jejich vztah k mikropodnikům a malým podnikům (MSP).
- MSP jsou definovány podle doporučení Komise 2003/361/ES jako podniky s méně než 50 zaměstnanci a s ročním obratem nebo bilanční sumou do 10 milionů EUR.
- Mikropodniky mají méně než 10 zaměstnanců a obrat či bilanční sumu do 2 milionů EUR.
Podle nařízení (EU) 2023/2854 o evropské správě dat („Data Act“) se rozlišují mikropodniky a malé podniky podle doporučení Komise 2003/361/ES, které je již dlouho používáno v unijním právu (např. v účetnictví, zadávání veřejných zakázek či v GDPR pro pověřence).
Definice:
- Mikropodnik:
- má méně než 10 zaměstnanců, a
- roční obrat nebo bilanční suma nepřesahuje 2 miliony EUR.
- Malý podnik:
- má méně než 50 zaměstnanců, a
- roční obrat nebo bilanční suma nepřesahuje 10 milionů EUR.
Vztah k Data Actu:
- Data Act v některých povinnostech (zejména v oblasti přístupu k datům mezi podniky – B2B a vůči uživatelům zařízení) upravuje výjimky či zmírnění povinností právě pro mikropodniky a malé podniky.
- Typicky:
- Mikropodniky a malé podniky nejsou povinny poskytovat data třetím stranám za stejných podmínek jako velké podniky, pokud samy vystupují jako výrobce zařízení nebo poskytovatel služeb.
- Cílem je, aby administrativní a ekonomická zátěž Data Actu nedopadala nepřiměřeně na malé hráče na trhu, ale hlavně na velké podniky, které mají větší kapacitu sdílet data a plnit povinnosti.
Hlavní výjimky a úlevy pro mikropodniky a malé podniky (MSP), které nařízení Data Act (EU 2023/2854) přináší.
📌 1. Obecná definice a odkaz
- Data Act se odkazuje na doporučení Komise 2003/361/ES.
- Mikropodniky (<10 zaměstnanců, ≤2 mil. €) a malé podniky (<50 zaměstnanců, ≤10 mil. €) jsou tedy jasně vymezeny.
- Společně se označují jako MSP (micro and small enterprises).
📌 2. Výjimky z povinností sdílení dat (B2B)
- Článek 7 odst. 1–3:
- Výrobci a poskytovatelé služeb, kteří jsou MSP, nemají povinnost zpřístupnit uživatelská data třetím stranám.
- Pokud je malý podnik výrobcem zařízení (např. IoT přístrojů), nemusí plnit stejné datové povinnosti jako velcí hráči.
📌 3. Omezení povinností vůči veřejným orgánům (B2G)
- Článek 35 odst. 1:
- MSP nejsou povinny poskytovat data veřejným orgánům v případech mimořádné potřeby („exceptional need“), pokud by to bylo pro ně neúnosné.
- Tato povinnost platí zejména pro větší firmy, které mají kapacitu data poskytovat.
📌 4. Ochrana při smluvním vyjednávání
- Články 13–17 (férové smluvní podmínky v B2B):
- Data Act posiluje ochranu menších firem při uzavírání smluv s velkými podniky.
- Velké podniky nesmí do smluv vkládat „nespravedlivé“ podmínky týkající se přístupu k datům vůči MSP.
- Prakticky: malý podnik je zde považován za „slabší stranu“ a zákon mu dává extra ochranu.
📌 5. Cloud a změna poskytovatele služeb
- Článek 23 a násl.:
- Pravidla pro přenos dat mezi poskytovateli cloudových služeb (portability) platí primárně pro velké poskytovatele.
- MSP, pokud samy poskytují cloudové služby, mají odlehčený režim a nejsou zatíženy všemi technickými povinnostmi.
📌 6. Administrativní zátěž
- V několika ustanoveních Data Act výslovně uvádí, že cílem je minimalizovat zátěž MSP, aby inovace nebyla brzděna složitými právními či technickými povinnostmi.
Pokud máte dotaz nebo podnět, napište nám.
Text
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) | 2023/2854 ze dne 13. prosince 2023 o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání a o změně nařízení (EU) | 2017/2394 a směrnice (EU) | 2020/1828 (nařízení o datech):
https://www.data-act.cz/wp-content/uploads/2025/09/Data-Act-20232854-TEXT.pdf
Literály k
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) | 2023/2854 ze dne 13. prosince 2023 o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání a o změně nařízení (EU) | 2017/2394 a směrnice (EU) | 2020/1828 (nařízení o datech):
https://www.data-act.cz/wp-content/uploads/2025/09/Data-Act-20232854-LITERALY.pdf