Data Act: Nová éra otevřených dat a co to znamená pro vaši organizaci
data actIoTchytrá zařízení

Data Act: Nová éra otevřených dat a co to znamená pro vaši organizaci

Tým Váš Pověřenec

22. října 2025

Od 12. září 2025 vstoupilo v celé Evropské unii v platnost nařízení o datech – Data Act (Nařízení EU 2023/2854). Toto revoluční nařízení přináší zcela nová pravidla pro přístup k datům generovaným chytrými zařízeními a souvisejícími službami. Pro organizace, které s daty pracují – ať už jako výrobci, poskytovatelé služeb, nebo veřejné instituce – jde o zásadní změnu, kterou je třeba pochopit a na kterou se připravit.

Jaké problémy Data Act řeší?

Představte si situaci, která je v dnešní době běžná: Vaše škola koupí chytré senzory do tříd, které monitorují kvalitu vzduchu a teplotu. Stejně tak město pořídí systém chytrého parkování. Oba tyto produkty generují cenná data – informace o provozu, spotřebě energií, návštěvnosti. Kdo ale tato data vlastní? A kdo do nich má přístup?

Tradičně zůstávala taková data v rukou výrobce zařízení. Pokud jste chtěli tato data využít pro vlastní účely – například k optimalizaci vytápění budovy či analýze obsazenosti tříd – museli jste buď vyjednat speciální smlouvu, nebo vám byl přístup odepřen. Výrobce de facto držel „datový monopol".

Data Act tuto situaci mění zásadně. Nařízení přináší pravidla pro férovější sdílení dat a větší kontrolu uživatelů nad jejich vlastními informacemi.

Klíčové principy Data Actu

Aby bylo jasné, co se mění, pojďme si rozebrat základní pilíře tohoto nařízení:

1. Právo na přístup k datům

Ústředním principem Data Actu je, že uživatel zařízení má právo získat data, která jeho zařízení generuje. Tato data musí být:

·       Snadno dostupná – uživatel by měl data získat bez zbytečných překážek

·       Zdarma – výrobce nesmí účtovat poplatek za poskytnout data (může počítat maximálně přiměřené náklady)

·       Ve strojově čitelné podobě – data musí být v takové formě, aby je bylo možné dále zpracovávat

Praktický příklad: Obec provozuje systém chytrého osvětlení na ulicích. Zařízení sbírají data o denní intenzitě osvětlení a energetické spotřebě. Podle Data Actu má obec právo tato data od výrobce získat a může je například využít k analýze účinnosti systému nebo k optimalizaci energetické politiky.

2. Právo na sdílení dat s třetími stranami

Neméně důležité je, že uživatel může rozhodnout, že svá data bude chtít sdílet s jinou společností – a výrobce to nesmí bránit. Jedinou výjimkou je ochrana obchodního tajemství, ale ta musí být dokazatelná a objektivní.

Praktický příklad: Zubní ordinace používá chytrou sanitaci – zařízení, které sbírá data o podmínkách sterilizace. Ordinace chce tato data poskytnout certifikační společnosti, která bude ověřovat dodržování hygienických standardů. Data Act právě tuto situaci umožňuje.

3. Spravedlivé smluvní podmínky (B2B)

Data Act chrání také menší firmy před neférovými podmínkami od větších partnerů. Pokud velká firma diktuje smluvní podmínky týkající se přístupu k datům bez vzájemného vyjednávání, tak taková ujednání jsou podle Data Actu neplatná.

Praktický příklad: Výrobce chytrých průmyslových senzorů pracuje pro velkou manufakturu. Fabrika požaduje bezplatný přístup ke všem datům ze senzorů bez omezení. Zároveň požaduje, aby výrobce tato data nikdy neposkytl konkurenci. Data Act tyto jednoznačně nevyhovující podmínky zakazuje.

Kdo je podle Data Actu „připojené zařízení"?

Data Act se nevztahuje na všechna zařízení, ale specificky na tzv. připojené výrobky (connected products). Jedná se o fyzická zařízení, která:

·       Sbírají nebo vytváří data o své činnosti nebo prostředí

·       Tato data následně sdílí – obvykle prostřednictvím internetu

Příklady připojených zařízení:

Kategorie

Konkrétní příklady

Doprava

Chytré automobily, elektrokola s GPS, telematics systémy

Domácnost

Chladička s IoT, termostat, zabezpečovací systémy, chytrá osvětlení

Zdravotnictví

Fitness náramky, zdravotnické přístroje, diagnostické přístroje

Průmysl

Průmyslové senzory, stroje s IoT, zemědělské drony

Veřejný sektor

Senzory kvality vzduchu ve školách, chytré parkování v obcích, monitorovací zařízení v nemocnicích

 

Poznámka pro české organizace: Data Act se týká i použitých zařízení prodávaných jako „second-hand". Pokud vaše škola či obec kupuje například repasované chytré senzory, práva na data přecházejí i na nového majitele.

Co Data Act znamená v praxi pro různé subjekty?

Pro výrobce

Pokud vyrábíte zařízení, která generují data, musíte:

1.   Navrhnout produkt s přístupem k datům od začátku – již při vývoji musíte zajistit, že uživatelé budou moci snadno data získat (nejedná se jen o dodatečný modul)

2.   Zpřístupnit data technicky a procesně – vytvořit API, portál, nebo jiný mechanismus pro stažení dat

3.   Předat data bezpečně – včetně opatření na ochranu obchodního tajemství (pokud se to týká)

4.  Umožnit převod dat třetím stranám – bez diskriminace a bez zbytečných podmínek[1]

Výjimka pro mikro a malé podniky: Pokud máte méně než 50 zaměstnanců a obrat nepřesahuje 10 milionů EUR, jste z některých povinností osvobozeni. Konkrétně:

·       Nemusíte poskytovat data třetím stranám (B2B sdílení)

·       Nejste povinni poskytovat data státním institucím v případech „mimořádné potřeby" (s výjimkami pro běžné krizové situace)

Pro prodejce a pronajímatele

Pokud prodáváte, pronajímáte nebo leasujete zařízení, máte nové informační povinnosti. Ještě než zákazník produkt koupí či si jej vezme, musíte mu jasně sdělit:

·       Jaká data zařízení generuje (technická specifikace)

·       Kde se data uchovávají (v zařízení, na cloudu výrobce, jinde?)

·       Kdo má k datům přístup (výrobce, třetí strany?)

·       Jaká práva na data má uživatel (možnost stažení, sdílení s jinými?)

·       Jak dlouho se data uchovávají (doba uchování)

Tyto informace musí být přehledné a srozumitelné – ideálně v jednoduché, ne právnické češtině.

Pro poskytovatele cloudových služeb a datových služeb

Pokud poskytujete cloud, SaaS nebo jiné datové služby, Data Act přináší nové povinnosti týkající se interoperability a přenositelnosti:

·       Usnadnit přechod zákazníka na konkurenci – nesmíte vytvářet umělé technické nebo právní překážky

·       Zajistit snadný export dat – v přehledném a běžně používaném formátu

·       Nesmíte účtovat „výstupní poplatky" – pouze přiměřené náklady přímého přechodu[3][2]

·       Informovat o dostupných možnostech migrace – před uzavřením smlouvy

Praktický příklad: Česká energetická společnost používá Amazon AWS pro ukládání spotřebitelských dat. Pokud se rozhodne přejít na Google Cloud kvůli lepší ceně, AWS jí nesmí bránit a nesmí účtovat diskriminační poplatky.

Pro veřejný sektor (školy, obce, nemocnice)

Data Act přináší také nové příležitosti pro státní orgány a veřejné instituce:

1.   Právo na data v mimořádných situacích – ve výjimečných případech (přírodní katastrofa, pandemie, bezpečnostní ohrožení) mohou státní instituce požadovat od firem poskytnout data bez bariér

Příklad: V případě povodní mohou státní orgány požadovat data od IoT senzorů měřících hladinu řek, od chytrých průmyslových systémů či od domácností o stavu objektů – a firmy jsou povinny data poskytnout bez zbytečného otálení.

2.   Vlastnictví dat generovaných na veřejné infrastruktuře – pokud vaše město provozuje chytré parkování nebo senzory kvality vzduchu, tato data jsou vaše a můžete je dále analyzovat a sdílet

Konkrétní příklady z praxe

Aby byl Data Act jasnější, pojďme se podívat na několik konkrétních scénářů, které se mohou v praxi objevovat:

Případ 1: Chytré auto v autorizovaném servisu

Situace: Zákazník vlastní chytré auto s telemetrií. Když mu auto selže, jede do autorizovaného servisu – ale chce získat druhou názor od nezávislého mechanika.

Dříve: Autoservis tvrdil, že má data ze servisu a konkurent je může pouze koupit za vysoký poplatek.

Nyní s Data Actem: Zákazník si může vyžádat diagnostická data od automobilky. Tato data pak může předat nezávislému servisu, který provede opravu levněji. Autorizovaný servis už nemůže bránit tomu, aby data byla sdílena.

Praktický dopad: Nižší ceny za opravy, více konkurence, lepší volba pro zákazníka.

Případ 2: Chytrá budova v obci

Situace: Obec v Moravě si koupí inteligentní systém vytápění – zařízení měří teplotu, vlhkost, obsazenost budov a energetickou spotřebu. Výrobce tvrdí, že data jsou jeho „know-how" a nechce je sdílet.

Dříve: Obec by musela buď souhlasit s podmínkami výrobce, nebo soud by rozhodoval o „obchodním tajemství".

Nyní s Data Actem: Obec má právo data získat. Pokud by chtěla data poskytnout energetické společnosti k optimalizaci či akademům k výzkumu energetické efektivity, je to zcela v pořádku. Výrobce může pouze dokazovat, že určitá data by mu způsobila vážnou ekonomickou újmu, pokud by byla zveřejněna.

Praktický dopad: Obce a města mohou lépe spravovat svou infrastrukturu, ušetřit energií a podporovat inovace.

Případ 3: Fitness aplikace a zdravotní data

Situace: Uživatel nosí fitness náramek, který měří srdeční tep, spánek a aktivitu. Data jsou uložena v cloudu výrobce.

Dříve: Uživatel nemohl data snadno získat a byl závislý na aplikaci výrobce.

Nyní s Data Actem: Uživatel si může data stáhnout a předat je své zdravotnické pojišťovně, aplikaci od konkurence, nebo zdravotnímu centru. Pokud se rozhodne, že chce své data v cloudu u jiného poskytovatele, nesmí být penalizován.

Praktický dopad: Větší konkurence, lepší služby, kontrola uživatele nad svými daty.

Vztah Data Actu k GDPR – co je nového?

Často v diskusích panuje nejistota: Jak se Data Act liší od GDPR? Jsou to dva komplementární předpisy, ne konkurenční:

·       GDPR se zaměřuje primárně na ochranu osobních údajů – jak by měly být osobní data (jméno, adresa, e-mail) bezpečně a správě zpracovávána

·       Data Act posiluje práva uživatelů na přístup k neosobním údajům – například telemetrické údaje z auta, která nejsou přímo vázaná na konkrétní osobu

Příklad rozlišení: Auto sbírá data o spotřebě paliva (neosobní – Data Act) a zároveň data o tom, kdo auto řídí (osobní – GDPR). Oba předpisy se zde vztahují.

V praxi to znamená: pokud zpracováváte jakákoli data z chytrých zařízení, musíte splňovat oba předpisy současně. A to znamená dvojitou práci – komplexnější implementaci.

Sankce a rizika nedodržení

Povinnosti vycházejí z nařízení EU, ale sankce si stanovuje každý členský stát sám. V České republice zatím nejsou konkrétní sankce definovány, ale lze očekávat, že budou proporcionální a odrazující:

Faktor

Dopad

Povaha porušení

Větší porušení = vyšší pokuta

Rozsah porušení

Dotýká se 1000 osob vs. 1 mil. osob

Finanční výhoda z porušení

Firmy, které uspoříly náklady porušením, platí více

Předchozí porušení

Opakující se porušitel platí více

Obrat firmy

Pokuta se Often kalkuluje jako procento z obratu

 

Srovnání s GDPR: GDPR pokutuje až 20 milionů EUR či 4 % ročního obratu. Je rozumné proto očekávat, že Data Act bude mít porovnatelné sazby.

Jak se připravit: Akční plán pro vaši organizaci

Pokud pracujete s IoT zařízeními, cloudem, nebo jakýmikoli daty, měli byste začít s přípravou hned teď – přestože Data Act již nabyl účinnosti. Zde je praktický checklist:

1. Zmapujte svá data a zařízení (nyní – prosinec 2025)

·       Inventarizujte všechny produkty a služby, které sbírají či zpracovávají data

·       Určete, která data jsou osobní (GDPR) a která neosobní (Data Act)

·       Vytvořte mapu toků dat – kde vznikají, kde se ukládají, kdo k nim má přístup

2. Revidujte smlouvy a obchodní podmínky (leden 2026)

·       Zkontrolujte podmínky s vašimi partnery, distributory a technologickými dodavateli

·       Identifikujte "problematické" klauzule, které brání přístupu k datům nebo jejich sdílení

·       Připravte nové verze smluv, které jsou v souladu s Data Actem

3. Příprava technické infrastruktury (leden–březen 2026)

·       Zajistěte, aby data byla dostupná ve strojově čitelné podobě (JSON, CSV, API)

·       Vytvořte portál nebo API, odkud si data uživatelé mohou stáhnout

·       Implementujte bezpečnostní opatření pro ochranu obchodního tajemství (anonymizace, filtrace)

4. Školení týmu (únor–březen 2026)

·       Proškolte zaměstnance v prodejních, právních a technických odděleních

·       Vytvořte interní směrnice pro nakládání s daty podle Data Actu

·       Určete odpovědného pracovníka za splnění povinností

5. Komunikace se zákazníky (březen 2026 a dále)

·       Aktualizujte webové stránky, smlouvy a uživatelské příručky

·       Informujte stávající zákazníky o jejich nových právech

·       Připravte FAQ nebo návody, jak zákazníci mohou data získat

Příležitosti skryté v Data Actu

Zatímco na první pohled se zdá, že Data Act přináší jen povinnosti, má také pozitivní stránku. Nařízení otevírá nové obchodní příležitosti:

1.   Nové poprodejní služby – firmy, které nyní nemohou přistupovat k datům, budou nyní moci nabízet levnější opravy, údržbu a diagnostiku

2.   Datová analytika a consulting – společnosti smějícího na data mohou nabízet nové analýzy a optimalizace

3.   Cloudové a integrační služby – poptávka po jednoduchém přechodu mezi poskytovateli vytváří prostor pro nové služby

4.  Bezpečnostní a privacy řešení – ochranu obchodního tajemství bude potřeba

Především pro českého malé a střední podniky to může být šance, jak vykročit z „datového monopolu" velkých hráčů.

Závěr

Data Act představuje podobně zásadní změnu jako GDPR před lety. Jde o posun od centralizované kontroly dat u výrobců k distribuovanému modelu, kde mají uživatelé větší kontrolu. To přináší jak povinnosti, tak příležitosti.

Klíčový je proaktivní přístup – firmy, které začnou s přípravou nyní, získají konkurenční výhodu. Těm, které zůstanou pasivní, hrozí nejen sankce, ale také ztráta důvěry zákazníků.

Pokud máte otázky konkrétně ke vaší situaci – ať již jde o e-shop, IoT řešení, cloudové služby, nebo veřejnou instituci – neváhejte nás kontaktovat! Jsme připraveni vám pomoci navigovat se v novém evropském datovém ekosystému.

Související články

GDPR vs. ChatGPT v organizaci: Jak zkrotit umělou inteligenci a ochránit svá data
GPDRAI
GDPR vs. ChatGPT v organizaci: Jak zkrotit umělou inteligenci a ochránit svá data

Umělá inteligence už dávno není hudbou budoucnosti nebo hračkou pro IT oddělení. Zatímco pro produktivitu je to obrovský skok vpřed, z pohledu bezpečnosti a ochrany dat jde o noční můru. Pokud zaměstnanci používají generativní AI živelně, vaše firma balancuje na tenkém ledě. Stačí jeden neopatrný "prompt" (příkaz) a může dojít k masivnímu úniku osobních údajů nebo cenného obchodního tajemství.

Tým Váš Pověřenec · 1. dubna 2026

Co jsou to Cookies a jak fungují?
GDPRcookies
Co jsou to Cookies a jak fungují?

Cookies a sledovací technologie dnes patří mezi citlivé oblasti ochrany osobních údajů, protože mohou pracovat s IP adresou nebo identifikátorem zařízení. Pokud web využívá analytiku, reklamní nástroje nebo externí služby, je obvykle nutný předchozí a aktivní souhlas uživatele podle GDPR a zákona o elektronických komunikacích. V praxi však často dochází k chybám, kdy se tyto nástroje spouštějí ještě před udělením souhlasu nebo dochází k předávání dat mimo EU. Samotná cookie lišta proto nestačí – důležité je správné právní i technické nastavení webu.

Tým Váš Pověřenec · 16. března 2026

Nařízení Cyber Resilience Act (CRA): Nové paradigma kybernetické bezpečnosti pro digitální produkty, legislativní kontext a aplikační praxe
cyber resilience actdigitalni produkty
Nařízení Cyber Resilience Act (CRA): Nové paradigma kybernetické bezpečnosti pro digitální produkty, legislativní kontext a aplikační praxe

V současném hyperkonektivním světě, kde se stírají hranice mezi fyzickou a digitální realitou, představuje bezpečnost technologických produktů jeden z nejkritičtějších pilířů stability moderní společnosti. Cílem tohoto článku je poskytnout analýzu nařízení CRA, detailně rozebrat jeho technické a administrativní požadavky, nabídnout praktické příklady z praxe a formulovat strategická doporučení pro subjekty působící v dodavatelských řetězcích.

Tým Váš Pověřenec · 15. března 2026