keyboard_tab Data Act 2023/2854 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 4 Článek 2 Definice
- 1 Článek 4 Práva a povinnosti uživatelů a držitelů dat týkající se přístupu k datům z výrobků a datům ze související služby, jejich používání a zpřístupňování
- 1 Článek 5 Právo uživatele sdílet data se třetími stranami
- 1 Článek 7 Rozsah povinností sdílení dat mezi podniky a spotřebiteli a mezi podniky navzájem
- 2 Článek 13 Nepřiměřená smluvní ujednání jednostranně uložená jinému podniku
- 1 Článek 28 Smluvní povinnosti týkající se transparentnosti mezinárodního přístupu a předávání
- 1 Článek 32 Mezinárodní přístup orgánů veřejné správy a předávání
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
SDÍLENÍ DAT MEZI PODNIKY A SPOTŘEBITELI A MEZI PODNIKY NAVZÁJEM
KAPITOLA III
POVINNOSTI DRŽITELŮ DAT, KTEŘÍ MAJÍ POVINNOST ZPŘÍSTUPNIT DATA PODLE PRÁVA UNIE
KAPITOLA IV
NEPŘIMĚŘENÁ SMLUVNÍ UJEDNÁNÍ TÝKAJÍCÍ SE PŘÍSTUPU K DATŮM A JEJICH VYUŽÍVÁNÍ MEZI PODNIKY
KAPITOLA V
ZPŘÍSTUPŇOVÁNÍ DAT SUBJEKTŮM VEŘEJNÉHO SEKTORU, KOMISI, EVROPSKÉ CENTRÁLNÍ BANCE A SUBJEKTŮM UNIE NA ZÁKLADĚ VÝJIMEČNÉ POTŘEBY
KAPITOLA VI
ZMĚNA POSKYTOVATELE SLUŽEB ZPRACOVÁNÍ DAT
KAPITOLA VII
PROTIPRÁVNÍ MEZINÁRODNÍ PŘÍSTUP ORGÁNŮ VEŘEJNÉ SPRÁVY K NEOSOBNÍM ÚDAJŮM A JEJICH PŘEDÁVÁNÍ
KAPITOLA VIII
INTEROPERABILITA
KAPITOLA IX
PROVÁDĚNÍ A VYMÁHÁNÍ
KAPITOLA X
ZVLÁŠTNÍ PRÁVO PODLE SMĚRNICE 96/9/ES
KAPITOLA XI
ZÁVĚREČNÁ USTANOVENÍ
- nebo 187
- která 39
- třetí 37
- data 36
- smluvní 35
- zpracování 34
- ujednání 34
- služby 28
- držitel 27
- pokud 26
- podle 25
- služeb 22
- tajemství 22
- výrobku 20
- jsou 18
- tohoto 18
- uživatele 18
- nařízení 18
- jednostranně 17
- který 17
- strany 17
- rozhodnutí 17
- může 16
- orgánu 16
- které 16
- strana 16
- související 15
- unie 14
- v souladu 14
- včetně 14
- být 13
- smlouvy 13
- připojeného 13
- obchodního 13
- obchodní 13
- podnik 12
- jejich 12
- na základě 12
- straně 12
- žádosti 12
- odst 12
- údajů 11
- práva 11
- přístupu 11
- údaje 11
- smyslu 11
- přístup 11
- jako 11
- odstavce 10
- eu / 10
Článek 2
Definice
Pro účely tohoto nařízení se rozumí:
| 1) | „daty“ veškeré digitální záznamy jednání, skutečností nebo informací a všechny soubory takových jednání, skutečností nebo informací, včetně záznamů v podobě zvukové, vizuální nebo audiovizuální nahrávky; |
| 2) | „metadaty“ strukturovaný popis obsahu nebo používání dat usnadňující vyhledávání nebo používání těchto dat; |
| 3) | „osobními údaji“ osobní údaje ve smyslu čl. 4 bodu 1 nařízení (EU) 2016/679; |
| 4) | „neosobními údaji“ údaje jiné než osobní údaje; |
| 5) | „připojeným výrobkem“ předmět, který získává, vytváří nebo shromažďuje data o svém použití nebo prostředí, je schopen přenášet data z výrobku prostřednictvím služby elektronických komunikací, fyzického připojení nebo přístupu na zařízení a jehož hlavní funkcí není uchovávání, zpracování nebo předávání dat jménem osob jiných než je uživatel; |
| 6) | „související službou“ digitální služba jiná než služba elektronických komunikací, včetně softwaru, která je v době koupě, pronájmu nebo leasingu spojena s připojeným výrobkem takovým způsobem, že by její absence bránila připojenému výrobku plnit jednu nebo více jeho funkcí, nebo která je k připojenému výrobku následně připojena výrobcem nebo třetí stranou za účelem doplnění, aktualizace nebo úpravy funkcí připojeného výrobku; |
| 7) | „zpracováním“ jakákoli operace nebo soubor operací s daty nebo soubory dat, prováděné pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jejich zpřístupnění jinými prostředky, seřazení či zkombinování, omezení, výmaz nebo zničení; |
| 8) | „službou zpracování dat“ digitální služba poskytnutá zákazníkovi, která mu umožňuje na vyžádání odkudkoli síťový přístup ke sdílenému úložišti konfigurovatelných, rozšiřitelných a přizpůsobitelných výpočetních zdrojů centralizované, distribuované nebo vysoce distribuované povahy, přičemž tato služba může být poskytnuta a uvolněna rychle s minimálními nároky na řízení nebo interakci s poskytovatelem služby; |
| 9) | „stejným druhem služby“ soubor služeb zpracování dat, které mají tentýž primární cíl, model služby zpracování dat a hlavní funkce; |
| 10) | „službou zprostředkování dat“ služba zprostředkování dat ve smyslu čl. 2 bodu 11 nařízení (EU) 2022/868; |
| 11) | „subjektem údajů“ subjekt údajů uvedený v čl. 4 bodu 1 nařízení (EU) 2016/679; |
| 12) | „uživatelem“ fyzická nebo právnická osoba, která vlastní připojený výrobek nebo na kterou byla smluvně převedena dočasná práva na používání tohoto připojeného výrobku nebo která přijímá související služby; |
| 13) | „držitelem dat“ fyzická nebo právnická osoba, která má v souladu s tímto nařízením, použitelným právem Unie nebo vnitrostátními právními předpisy přijatými v souladu s právem Unie právo nebo povinnost používat a zpřístupňovat data, včetně dat z výrobků nebo dat ze související služby, která získala nebo vytvořila během poskytování související služby, je-li to smluvně dohodnuto; |
| 14) | „příjemcem dat“ fyzická nebo právnická osoba, která jedná za účelem, který souvisí s její obchodní činností, podnikáním, řemeslem nebo povoláním, jiná než uživatel připojeného výrobku nebo související služby, jíž držitel dat zpřístupňuje data, včetně třetí strany na žádost uživatele podanou držiteli dat nebo v souladu s právní povinností podle práva Unie nebo vnitrostátních právních předpisů přijatých v souladu s právem Unie; |
| 15) | „daty z výrobků“ data vytvořená používáním připojeného výrobku, která výrobce navrhl tak, aby je uživatel, držitel dat nebo třetí strana, případně včetně výrobce, mohli z výrobku získat prostřednictvím služby elektronických komunikací, fyzickým připojením nebo přístupem na zařízení; |
| 16) | „daty ze související služby“ data představující digitalizaci činností uživatelů nebo událostí souvisejících s připojeným výrobkem, která jsou zaznamenána úmyslně uživatelem nebo jsou vytvořena jako vedlejší produkt činnosti uživatele během poskytování související služby poskytovatelem; |
| 17) | „snadno dostupnými daty“ data z výrobků a data ze související služby, která držitel dat oprávněně získá nebo může oprávněně získat z připojeného výrobku nebo související služby bez nepřiměřeného úsilí přesahujícího rámec jednoduché operace; |
| 18) | „obchodním tajemstvím“ obchodní tajemství ve smyslu čl. 2 bodu 1 směrnice (EU) 2016/943; |
| 19) | „vlastníkem obchodního tajemství“ vlastník obchodního tajemství ve smyslu čl. 2 bodu 2 směrnice (EU) 2016/943; |
| 20) | „profilováním“ profilování ve smyslu čl. 4 bodu 4 nařízení (EU) 2016/679; |
| 21) | „zpřístupněním na trhu“ dodání připojeného výrobku k distribuci, spotřebě nebo použití na trhu Unie v rámci obchodní činnosti, a to za úplatu či bezplatně; |
| 22) | „uvedením na trh“ první zpřístupnění připojeného výrobku na trhu Unie; |
| 23) | „spotřebitelem“ jakákoliv fyzická osoba, která jedná za účelem, jejž nelze považovat za její obchodní činnost, podnikání, řemeslo nebo povolání; |
| 24) | „podnikem“ fyzická nebo právnická osoba, která v souvislosti se smlouvami a postupy, na něž se vztahuje toto nařízení, jedná za účelem, který souvisí s její obchodní činností, podnikáním, řemeslem nebo povoláním; |
| 25) | „malým podnikem“ malý podnik ve smyslu čl. 2 odst. 2 přílohy doporučení 2003/361/ES. |
| 26) | „mikropodnikem“ mikropodnik ve smyslu čl. 2 odst. 3 přílohy doporučení 2003/361/ES; |
| 27) | „subjekty Unie“ instituce a jiné subjekty Unie zřízené akty přijatými na základě Smlouvy o Evropské unii, Smlouvy o fungování EU nebo Smlouvy o založení Evropského společenství pro atomovou energii, nebo podle těchto aktů; |
| 28) | „subjektem veřejného sektoru“ celostátní, regionální nebo místní orgány členských států, veřejnoprávní subjekt členského státu nebo sdružení tvořené jedním nebo více takovými orgány nebo jedním nebo více takovými veřejnoprávními subjekty; |
| 29) | „krizovou situací“ výjimečná časově omezená situace, jako je mimořádná situace v oblasti veřejného zdraví, mimořádná situace v důsledku přírodních katastrof a závažná katastrofa způsobená člověkem, včetně závažného incidentu v oblasti kybernetické bezpečnosti, která má negativní dopad na obyvatelstvo Unie, členského státu nebo jeho části, s rizikem závažných a trvalých důsledků pro životní podmínky nebo hospodářskou či finanční stabilitu nebo podstatné a bezprostřední zhoršení hospodářských aktiv v Unii nebo v relevantním členském státě, a která je určena nebo úředně vyhlášena v souladu s příslušnými postupy podle unijního nebo vnitrostátního práva; |
| 30) | „zákazníkem“ fyzická nebo právnická osoba, která vstoupila do smluvního vztahu s poskytovatelem služeb zpracování dat s cílem využít jednu nebo více služeb zpracování dat; |
| 31) | „virtuálními asistenty“ software, který dokáže zpracovávat požadavky, úkoly nebo otázky, a to i na základě zvukových, písemných vstupů, gest nebo pohybů, a který na základě těchto požadavků, úkolů nebo otázek poskytuje přístup k dalším službám nebo ovládání funkcí připojených výrobků; |
| 32) | „digitálními aktivy“ prvky v digitální podobě, včetně aplikací, pro něž má zákazník právo na užívání, nezávisle na smluvním vztahu se službou zpracování dat, již hodlá změnit; |
| 33) | „místní infrastrukturou informačních a komunikačních technologií“ infrastruktura informačních a komunikačních technologií a výpočetní zdroje vlastněné, pronajaté nebo pronajaté prostřednictvím leasingu zákazníkem, umístěné v datovém centru zákazníka a provozované zákazníkem nebo třetí stranou; |
| 34) | „změnou poskytovatele“ proces zahrnující zdrojového poskytovatele služeb zpracování dat, zákazníka služby zpracování dat a tam, kde je to relevantní, cílového poskytovatele služeb zpracování dat, při němž zákazník služby zpracování dat změní užívání jedné služby zpracování dat na užívání jiné služby zpracování dat stejného druhu služby nebo jiné služby, které nabízí jiný poskytovatel služeb zpracování dat, nebo přejde na místní infrastrukturu informačních a komunikačních technologií mimo jiné prostřednictvím extrakce, transformace a nahrávání dat; |
| 35) | „poplatky za přesun dat“ poplatky, které jsou zákazníkům účtovány za extrakci jejich dat prostřednictvím sítě z infrastruktury informačních a komunikačních technologií poskytovatele služeb zpracování dat do systémů jiného poskytovatele nebo do místní infrastruktury informačních a komunikačních technologií; |
| 36) | „poplatky za změnu poskytovatele“ poplatky jiné než standardní poplatky za služby nebo sankce za předčasné ukončení smlouvy, které poskytovatel zpracování dat účtuje zákazníkovi za úkony, které toto nařízení ukládá za přechod do systému jiného poskytovatele služeb zpracování dat nebo na místní infrastrukturu informačních a komunikačních technologií, včetně poplatků za přesun dat; |
| 37) | „funkční rovnocenností“ obnovení, na základě exportovatelných dat a digitálních aktiv zákazníka, minimální úrovně funkčnosti v prostředí nové služby zpracování dat, jež je stejným druhem služby, po dokončení procesu změny poskytovatele, kde cílová služba zpracování dat pro sdílené funkce poskytnuté zákazníkovi na základě smlouvy poskytuje v reakci na tentýž vstup ve své podstatě srovnatelný výsledek; |
| 38) | „exportovatelnými daty“ pro účely článků 23 až 31 a článku 35 vstupní a výstupní data včetně metadat, která přímo nebo nepřímo vytváří nebo spoluvytváří zákazník při používání služby zpracování dat, s výjimkou aktiv nebo dat poskytovatele služby zpracování dat nebo třetí strany chráněných právem duševního vlastnictví nebo představujících obchodní tajemství; |
| 39) | „inteligentní smlouvou“ počítačový program používaný pro automatizované plnění dohody nebo její části s využitím posloupnosti elektronických datových záznamů a zajišťující jejich integritu a přesnost jejich chronologického pořadí; |
| 40) | „interoperabilitou“ schopnost dvou nebo více datových prostorů nebo komunikačních sítí, systémů, připojených výrobků, aplikací nebo komponent vyměňovat si a používat data za účelem plnění svých funkcí; |
| 41) | „otevřenou specifikací pro interoperabilitu“ technická specifikace v oblasti informačních a komunikačních technologií, která je zaměřena na výkon a na dosažení interoperability mezi službami zpracování dat; |
| 42) | „společnými specifikacemi“ dokument jiný než norma, který obsahuje technická řešení sloužící jako nástroj pro plnění některých požadavků a povinností stanovených v tomto nařízení; |
| 43) | „harmonizovanou normou“ harmonizovaná norma ve smyslu čl. 2 bodu 1 písm. c) nařízení (EU) č. 1025/2012; |
KAPITOLA II
SDÍLENÍ DAT MEZI PODNIKY A SPOTŘEBITELI A MEZI PODNIKY NAVZÁJEM
Článek 4
Práva a povinnosti uživatelů a držitelů dat týkající se přístupu k datům z výrobků a datům ze související služby, jejich používání a zpřístupňování
1. Pokud uživatel nemá přímý přístup k datům z připojeného výrobku nebo k datům ze související služby, zpřístupní držitelé dat bez zbytečného odkladu snadno dostupná data, včetně relevantních metadat nezbytných pro interpretaci a využívání těchto dat, uživateli, a to ve stejné kvalitě, jaká je dostupná držiteli dat, snadným a bezpečným způsobem, bezplatně a v komplexním, strukturovaném, běžně používaném a strojově čitelném formátu, a, je-li to relevantní a technicky proveditelné, nepřetržitě a v reálném čase. Učiní tak na základě prosté žádosti elektronickými prostředky, je-li to technicky proveditelné.
2. Uživatelé a držitelé dat mohou smluvně omezit nebo zakázat přístup k datům, jejich využívání nebo další sdílení, pokud by takové zpracování mohlo narušit bezpečnostní požadavky daného připojeného výrobku stanovené unijním nebo vnitrostátním právem, což by mělo za následek závažný nepříznivý dopad na zdraví, bezpečnost nebo ochranu fyzických osob. Odvětvové orgány mohou v této souvislosti poskytnout technické odborné znalosti. Pokud držitel dat odmítne sdílet data podle tohoto článku, oznámí to příslušnému orgánu určenému podle článku 37.
3. Aniž je dotčeno právo uživatele domáhat se v jakékoli fázi nápravy u soudu členského státu, smí uživatel v souvislosti s jakýmkoli sporem s držitelem dat týkajícím se smluvních omezení nebo zákazů uvedených v odstavci 2:
| a) | podat v souladu s čl. 37 odst. 5 písm. b) stížnost příslušnému orgánu; nebo |
| b) | se s držitelem dat dohodnout, že věc postoupí subjektu pro řešení sporů v souladu s čl. 10 odst. 1. |
4. Držitelé dat nesmí nepřiměřeně ztěžovat volbu nebo výkon práv uživatele podle tohoto článku, a to ani tím, že by uživateli nabízeli volby jiným než neutrálním způsobem nebo jakkoli narušovali či oslabovali jeho autonomní postavení, rozhodování nebo volbu prostřednictvím struktury, designu, funkce nebo způsobu fungování uživatelského digitálního rozhraní či jeho části.
5. S cílem ověřit, zda lze fyzickou nebo právnickou osobu považovat za uživatele pro účely odstavce 1, nesmí držitel dat od uvedené osoby vyžadovat, aby poskytla jakékoli informace nad rámec toho, co je nezbytné. Držitel dat nesmí uchovávat žádné informace, zejména protokoly, o přístupu uživatele k požadovaným datům nad rámec toho, co je nezbytné pro řádné vyřízení žádosti uživatele o přístup a pro bezpečnost a údržbu datové infrastruktury.
6. Obchodní tajemství se zachovává a zpřístupní se pouze v případě, že držitel dat a uživatel přijmou před zpřístupněním veškerá nezbytná opatření k zachování jejich důvěrnosti, zejména pokud jde o třetí strany. Držitel dat nebo, pokud se jedná o rozdílné osoby, vlastník obchodního tajemství, určí data, která jsou chráněna jako obchodní tajemství, včetně relevantních metadat, a dohodne s uživatelem přiměřená technická a organizační opatření nezbytná k zachování důvěrnosti sdílených dat, zejména ve vztahu k třetím stranám, jako jsou vzorová smluvní ujednání, dohody o důvěrnosti, přísné přístupové protokoly, technické normy a uplatňování kodexů chování.
7. Pokud neexistuje dohoda o nezbytných opatřeních uvedených v odstavci 6 nebo pokud uživatel dohodnutá opatření neprovede podle odstavce 6 nebo narušuje důvěrnost obchodního tajemství, může držitel dat sdílení dat označených jako obchodní tajemství dočasně odmítnout nebo případně pozastavit. Rozhodnutí držitele dat musí být řádně odůvodněno a uživateli poskytnuto písemně a bez zbytečného odkladu. V takových případech držitel dat příslušnému vnitrostátnímu orgánu určenému podle článku 37 oznámí, že sdílení dat dočasně odmítl nebo pozastavil, a identifikuje opatření, jež nebyla dohodnuta nebo provedena a případně u kterých obchodních tajemství byla narušena důvěrnost.
8. Za výjimečných okolností, pokud držitel dat, který je vlastníkem obchodního tajemství, může prokázat, že je vysoce pravděpodobné, že v důsledku vyzrazení obchodního tajemství utrpí vážnou hospodářskou újmu, a to navzdory technickým a organizačním opatřením přijatým uživatelem podle článku 6 tohoto článku, může tento držitel dat v jednotlivých případech žádost o přístup k dotčeným konkrétním datům odmítnout. Toto prokázání musí být řádně odůvodněno na základě objektivních faktů, zejména vymahatelnosti ochrany obchodního tajemství ve třetích zemích, povahy a míry důvěrnosti vyžádaných dat a jedinečnosti a novosti připojeného výrobku, a musí být písemně poskytnuto uživateli bez zbytečného odkladu. Pokud držitel dat odmítne sdílet data podle tohoto odstavce, oznámí to příslušnému vnitrostátnímu orgánu určenému v souladu s článkem 37.
9. Aniž je dotčeno právo uživatele domáhat se nápravy u soudu členského státu, smí uživatel, který si přeje napadnout rozhodnutí, jímž držitel dat odmítl, dočasně odmítl nebo pozastavil sdílení dat podle odstavců 7 a 8:
| a) | podat v souladu s čl. 37 odst. 5 písm. b) stížnost příslušnému orgánu, který bez zbytečného odkladu rozhodne, zda a za jakých podmínek má být sdílení dat zahájeno nebo obnoveno; nebo |
| b) | se s držitelem dat dohodnout, že věc postoupí subjektu pro řešení sporů v souladu s čl. 10 odst. 1. |
10. Uživatel nesmí použít data získaná na základě žádosti uvedené v odstavci 1 k vývoji připojeného výrobku, který konkuruje připojenému výrobku, z něhož data pocházejí, ani tato data s tímto záměrem sdílet s třetí stranou, a nesmí tato data používat k získávání poznatků o hospodářské situaci, aktivech a výrobních metodách výrobce, nebo případně držitele dat.
11. Uživatel nesmí použít nátlak nebo zneužít nedostatky v technické infrastruktuře držitele dat, jež je určena k ochraně dat, za účelem získání přístupu k datům.
12. Pokud uživatel není subjektem údajů, jehož osobní údaje jsou předmětem žádosti, zpřístupní držitel dat jakékoli osobní údaje vytvořené používáním připojeného výrobku nebo související služby uživateli pouze tehdy, existuje-li platný právní základ pro zpracování podle článku 6 nařízení (EU) 2016/679 a pokud jsou v příslušných případech splněny podmínky článku 9 uvedeného nařízení a čl. 5 odst. 3 směrnice 2002/58/ES.
13. Držitel dat použije jakékoli snadno dostupné neosobní údaje pouze na základě smlouvy s uživatelem. Držitel dat nesmí použít žádná taková data k získání poznatků o hospodářské situaci, aktivech a výrobních metodách uživatele nebo o používání výrobku nebo související služby uživatelem jiným způsobem, který by mohl narušit obchodní postavení uživatele na trzích, na nichž působí.
14. Držitelé dat nezpřístupní neosobní údaje z výrobků třetím stranám pro jiný komerční nebo nekomerční účel, než je plnění jejich smlouvy s uživatelem. V příslušných případech držitelé dat smluvně zavážou třetí strany, aby dále nesdílely data, která od nich obdržely.
Článek 5
Právo uživatele sdílet data se třetími stranami
1. Na žádost uživatele nebo strany jednající jménem uživatele zpřístupní držitel dat bez zbytečného odkladu snadno dostupná data, včetně relevantních metadat nezbytných pro interpretaci a využívání těchto dat, třetí straně, a to ve stejné kvalitě, jaká je dostupná držiteli dat, snadným a bezpečným způsobem, bezplatně pro uživatele, v komplexním, strukturovaném, běžně používaném a strojově čitelném formátu, a je-li to relevantní a technicky proveditelné, nepřetržitě a v reálném čase. Držitel zpřístupní data třetí straně v souladu s články 8 a 9.
2. Odstavec 1 se nepoužije na snadno dostupná data v souvislosti s testováním nových připojených výrobků, látek nebo postupů, které dosud nebyly uvedeny na trh, pokud není jejich použití třetí stranou smluvně povoleno.
3. Žádný podnik označený jako strážce přístupu podle článku 3 nařízení (EU) 2022/1925 není způsobilou třetí stranou podle tohoto článku, a nesmí proto:
| a) | požadovat po uživateli nebo jej komerčně motivovat jakýmkoli způsobem, včetně poskytnutí peněžní nebo jakékoli jiné kompenzace, aby zpřístupnil některé z jeho služeb data, která získal na základě žádosti podle čl. 4 odst. 1; |
| b) | požadovat po uživateli nebo jej komerčně motivovat k tomu, aby podal držiteli dat žádost o zpřístupnění dat některé z jeho služeb podle odstavce 1 tohoto článku; |
| c) | přijímat od uživatele data, která uživatel získal na základě žádosti podle čl. 4 odst. 1. |
4. Za účelem ověření, zda lze fyzickou nebo právnickou osobu považovat za uživatele nebo třetí stranu pro účely odstavce 1 se od uživatele nebo třetí strany nesmí vyžadovat, aby poskytli jakékoli informace nad rámec toho, co je nezbytné. Držitelé dat neuchovávají žádné informace o přístupu třetí strany k požadovaným datům nad rámec toho, co je nezbytné pro řádné vyřízení žádosti třetí strany o přístup a pro bezpečnost a údržbu datové infrastruktury.
5. Třetí strana nesmí použít nátlak nebo zneužít nedostatky v technické infrastruktuře držitele dat určené k ochraně dat za účelem získání přístupu k datům.
6. Držitel dat nesmí použít žádná snadno dostupná data k získání poznatků o hospodářské situaci třetí strany nebo o jejích aktivech, výrobních metodách nebo používání výrobku nebo související služby třetí stranou jiným způsobem, který by mohl narušit obchodní postavení třetí strany na trzích, na nichž působí, ledaže k takovému použití třetí strana udělila povolení a je z technického hlediska schopna toto povolení kdykoli snadno odejmout.
7. Pokud uživatel není subjektem údajů, jehož osobní údaje jsou předmětem žádosti, zpřístupní držitel dat jakékoli osobní údaje vytvořené používáním připojeného výrobku nebo související služby, třetím osobám pouze tehdy, existuje-li platný právní základ pro zpracování podle článku 6 nařízení (EU) 2016/679 a pokud jsou v příslušných případech splněny podmínky článku 9 uvedeného nařízení a čl. 5 odst. 3 směrnice 2002/58/ES.
8. Pokud se držitel dat a třetí strana nedohodnou na opatřeních pro předávání dat, tato skutečnost nenarušuje, nebrání ani nezasahuje do výkonu práv subjektu údajů podle nařízení (EU) 2016/679, a zejména práva na přenositelnost údajů podle článku 20 uvedeného nařízení.
9. Obchodní tajemství se zachovává a zpřístupní se třetím stranám pouze v rozsahu nezbytně nutném ke splnění účelu dohodnutého mezi uživatelem a třetí stranou. Držitel dat, nebo pokud se jedná o rozdílné osoby, vlastník obchodního tajemství, určí data, která jsou chráněna jako obchodní tajemství, včetně relevantních metadat, a dohodne se třetí stranou veškerá přiměřená technická a organizační opatření nezbytná k zachování důvěrnosti sdílených dat, jako jsou vzorová smluvní ujednání, dohody o důvěrnosti, přísné přístupové protokoly, technické normy a uplatňování kodexů chování.
10. Pokud neexistuje dohoda o nezbytných opatřeních uvedených v odstavci 9 tohoto článku, nebo pokud třetí strana dohodnutá opatření podle odstavce 9 tohoto článku neprovede nebo narušuje důvěrnost obchodního tajemství, může držitel dat sdílení dat označených jako obchodní tajemství dočasně odmítnout nebo případně pozastavit. Rozhodnutí držitele dat musí být řádně odůvodněno a poskytnuto písemně třetí straně bez zbytečného odkladu. V takových případech držitel dat příslušnému orgánu určenému podle článku 37 oznámí, že sdílení dat dočasně odmítl nebo pozastavil, a identifikuje opatření, jež nebyla dohodnuta nebo provedena, a případně u kterých obchodních tajemství byla narušena jejich důvěrnost.
11. Za výjimečných okolností, pokud držitel dat, který je vlastníkem obchodního tajemství, může prokázat, že je vysoce pravděpodobné, že v důsledku vyzrazení obchodního tajemství utrpí vážnou hospodářskou újmu, a to navzdory technickým a organizačním opatřením přijatým třetí stranou podle odstavce 9 tohoto článku, může tento držitel dat v jednotlivých případech žádost o přístup k dotčeným konkrétním datům odmítnout. Toto prokázání musí být řádně odůvodněno na základě objektivních faktů, zejména vymahatelnosti ochrany obchodního tajemství ve třetích zemích, povahy a míry důvěrnosti vyžádaných dat a jedinečnosti a novosti připojeného výrobku, a musí být poskytnuto písemně třetí straně bez zbytečného odkladu. Pokud držitel dat odmítne sdílet data podle tohoto odstavce, oznámí to příslušnému orgánu určenému podle článku 37.
12. Aniž je dotčeno právo třetí strany domáhat se nápravy u soudu členského státu, smí třetí strana, která si přeje napadnout rozhodnutí, jímž držitel dat dočasně odmítl nebo pozastavil sdílení dat podle odstavců 10 a 11:
| a) | podat v souladu s čl. 37 odst. 5 písm. b) stížnost příslušnému orgánu, který bez zbytečného odkladu rozhodne, zda a za jakých podmínek má být sdílení dat zahájeno nebo obnoveno; nebo |
| b) | se s držitelem dat dohodnout, že věc postoupí subjektu pro řešení sporů v souladu s čl. 10 odst. 1. |
13. Právem uvedeným v odstavci 1 nesmějí být nepříznivě dotčena práva subjektů údajů podle použitelných unijních a vnitrostátních právních předpisů o ochraně údajů.
Článek 7
Rozsah povinností sdílení dat mezi podniky a spotřebiteli a mezi podniky navzájem
1. Povinnosti této kapitoly se nevztahují na data vytvořená používáním připojených výrobků, jež vyrobily nebo navrhly mikropodniky nebo malé podniky, nebo používáním souvisejících služeb poskytovaných takovými podniky, pokud tento podnik nemá partnerský podnik nebo propojený podnik ve smyslu článku 3 přílohy doporučení 2003/361/ES, který nelze považovat za mikropodnik nebo malý podnik, a v případě, kdy mikropodnik nebo malý podnik není subdodavatelsky pověřen výrobou nebo navržením připojeného výrobku nebo poskytováním související služby.
Totéž platí pro data vytvořená používáním připojených výrobků, jež podnik, který lze považovat za střední podnik ve smyslu článku 2 přílohy doporučení 2003/361/ES, vyrobil, nebo souvisejících služeb, jež tento podnik poskytl, po dobu kratší než jeden rok, nebo pro připojené výrobky po dobu jednoho roku od data, kdy byly středním podnikem uvedeny na trh.
2. Žádné smluvní ujednání, které v neprospěch uživatele vylučuje uplatnění práv uživatele podle této kapitoly, odchyluje se od nich nebo mění jejich účinek, není pro uživatele závazné.
KAPITOLA III
POVINNOSTI DRŽITELŮ DAT, KTEŘÍ MAJÍ POVINNOST ZPŘÍSTUPNIT DATA PODLE PRÁVA UNIE
Článek 13
Nepřiměřená smluvní ujednání jednostranně uložená jinému podniku
1. Smluvní ujednání týkající se přístupu k datům a jejich využívání nebo odpovědnosti a prostředků nápravy v případě porušení nebo zániku povinností souvisejících s daty, kterou určitý podnik jednostranně uložil jinému podniku, není pro posledně uvedený podnik závazné, pokud je nepřiměřené.
2. Smluvní ujednání, které odráží závazná ustanovení práva Unie, nebo ustanovení práva Unie, která by se použila, pokud by smluvní ujednání danou záležitost neupravovalo, se nepovažuje za nepřiměřené.
3. Smluvní ujednání je nepřiměřené, pokud je takové povahy, že se jeho použití v rozporu se zásadami dobré víry a poctivého jednání podstatně odchyluje od poctivých obchodních zvyklostí v oblasti přístupu k datům a jejich využívání.
4. Smluvní ujednání je pro účely odstavce 3 nepřiměřené, zejména pokud má za cíl nebo účinek:
| a) | vyloučit nebo omezit odpovědnost strany, která jednostranně uložila smluvní ujednání, za úmyslné jednání nebo hrubou nedbalost; |
| b) | vyloučit prostředky nápravy, které má k dispozici strana, jíž bylo smluvní ujednání jednostranně uloženo, v případě neplnění smluvních závazků nebo odpovědnosti strany, která tuto podmínku jednostranně uložila v případě porušení těchto závazků; |
| c) | poskytnout smluvní straně, která smluvní ujednání jednostranně uložila, výlučné právo určit, zda jsou poskytnutá data v souladu se smlouvou, nebo vykládat některé ze smluvních ujednání. |
5. Smluvní ujednání se pro účely odstavce 3 považuje za nepřiměřené, má-li za cíl nebo účinek:
| a) | neúměrně omezovat prostředky nápravy v případě neplnění smluvních závazků nebo odpovědnost v případě porušení těchto povinností nebo rozšířit odpovědnost podniku, jemuž bylo toto smluvní ujednání jednostranně uloženo; |
| b) | umožnit straně, která toto smluvní ujednání jednostranně uložila, přístup k datům druhé smluvní strany a jejich využívání způsobem, který významně poškozuje oprávněné zájmy druhé smluvní strany, zejména pokud tato data obsahují citlivé obchodní údaje nebo jsou chráněna obchodním tajemstvím nebo právy duševního vlastnictví; |
| c) | bránit straně, které bylo smluvní ujednání jednostranně uloženo, používat data, která tato strana poskytla nebo vytvořila během doby platnosti smlouvy, nebo omezit použití takových dat do té míry, že tato strana není oprávněna dotčená data adekvátně používat, získat k nim přístup nebo je kontrolovat či zhodnotit; |
| d) | bránit straně, které bylo smluvní ujednání jednostranně uloženo, ukončit dohodu v přiměřené lhůtě; |
| e) | bránit straně, které bylo smluvní ujednání jednostranně uloženo, získat kopii dat, která tato strana poskytla nebo vytvořila během doby platnosti smlouvy nebo v přiměřené lhůtě po jejím ukončení; |
| f) | umožnit straně, která smluvní ujednání jednostranně uložila, ukončit smlouvu s nepřiměřeně krátkou výpovědní lhůtou s přihlédnutím k přiměřené možnosti druhé smluvní strany přejít na alternativní a srovnatelnou službu a k finanční újmě způsobené takovým ukončením, s výjimkou případů, kdy k tomu existují závažné důvody; |
| g) | umožnit straně, která smluvní ujednání jednostranně uložila, aby podstatně změnila cenu stanovenou ve smlouvě nebo jakoukoli jinou podstatnou podmínku týkající se povahy, formátu, kvality nebo množství dat, která mají být sdílena, aniž byly ve smlouvě pro případ takové změny uvedeny platný důvod a právo druhé strany smlouvu ukončit. |
Prvním pododstavcem písm. g) nejsou dotčena smluvní ujednání, kterými si strana, která toto smluvní ujednání jednostranně uložila, vyhrazuje právo jednostranně změnit smluvní ujednání smlouvy uzavřené na dobu neurčitou, a to za předpokladu, že v uvedené smlouvě je uveden platný důvod této jednostranné změny, že strana, která toto ujednání jednostranně uložila, je povinna oznámit v přiměřené lhůtě druhé smluvní straně jakoukoli takovou zamýšlenou změnu a že druhá smluvní strana může smlouvu v případě takové změny bezplatně ukončit.
6. Smluvní ujednání se považuje za jednostranně uložené ve smyslu tohoto článku, pokud bylo uloženo jednou smluvní stranou a druhá smluvní strana nebyla schopna ovlivnit jeho obsah navzdory pokusu o něm vyjednávat. Smluvní strana, která smluvní ujednání uložila, nese důkazní břemeno, pokud jde o prokázání toho, že dané smluvní ujednání nebylo uloženo jednostranně. Smluvní strana, která sporné smluvní ujednání předložila, nemůže tvrdit, že se jedná o nepřiměřené smluvní ujednání.
7. Je-li nepřiměřené smluvní ujednání oddělitelné od ostatních smluvních ujednání, jsou tato ostatní smluvní ujednání závazná.
8. Tento článek se nevztahuje na smluvní ujednání vymezující hlavní předmět smlouvy nebo na adekvátnost ceny za data poskytnutá výměnou.
9. Strany smlouvy, na kterou se vztahuje odstavec 1, nesmějí vyloučit použití tohoto článku, odchýlit se od něj nebo měnit jeho účinky.
KAPITOLA V
ZPŘÍSTUPŇOVÁNÍ DAT SUBJEKTŮM VEŘEJNÉHO SEKTORU, KOMISI, EVROPSKÉ CENTRÁLNÍ BANCE A SUBJEKTŮM UNIE NA ZÁKLADĚ VÝJIMEČNÉ POTŘEBY
Článek 28
Smluvní povinnosti týkající se transparentnosti mezinárodního přístupu a předávání
1. Poskytovatelé služeb zpracování dat zpřístupní na svých internetových stránkách tyto informace, které průběžně aktualizují:
| a) | jurisdikce, které podléhá infrastruktura informačních a komunikačních technologií použitá pro zpracování dat jejich jednotlivých služeb; |
| b) | obecný popis technických, organizačních a smluvních opatření, která poskytovatel služeb zpracování dat přijal, aby zabránil mezinárodnímu přístupu orgánů veřejné správy k neosobním údajům uchovávaným v Unii nebo v jejich předávání, pokud by takový přístup či předávání mohly být v rozporu s unijními nebo vnitrostátními právními předpisy příslušného členského státu. |
2. Odkazy na internetové stránky uvedené v odstavci 1 se uvedou ve smlouvách týkajících se všech služeb zpracování dat, které poskytovatelé služeb zpracování dat nabízejí.
Článek 32
Mezinárodní přístup orgánů veřejné správy a předávání
1. Aniž jsou dotčeny odstavce 2 nebo 3, přijmou poskytovatelé služeb zpracování dat veškerá adekvátní technická, organizační a právní opatření, včetně smluv, aby zabránili přístupu orgánů veřejné správy k neosobním údajům uchovávaným v Unii a jejich předávání na mezinárodní úrovni a úrovni třetích zemí, pokud by takové předávání nebo přístup mohly být v rozporu s unijními nebo vnitrostátními právními předpisy příslušného členského státu.
2. Jakékoli rozhodnutí či rozsudek soudu třetí země a jakékoli rozhodnutí správního orgánu třetí země, jež po poskytovateli služeb zpracování dat požadují předání nebo zpřístupnění neosobních údajů spadajících do oblasti působnosti tohoto nařízení uchovávaných v Unii, jsou jakýmkoli způsobem uznatelné nebo vymahatelné, pouze pokud vycházejí z mezinárodní dohody, například smlouvy o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií, nebo dohody mezi žádající třetí zemí a členským státem.
3. V případě neexistence mezinárodní dohody uvedené v odstavci 2, pokud je poskytovatel služeb zpracování dat adresátem rozhodnutí či rozsudku soudu třetí země nebo rozhodnutí správního orgánu třetí země, které jim ukládá předat neosobní údaje z Unie či umožnit přístup k neosobním údajům uchovávaným v Unii spadajícím do oblasti působnosti tohoto nařízení, a v případě vyhovění takovému rozhodnutí by hrozilo, že by adresát jednal v rozporu s unijními právními předpisy nebo s vnitrostátními právními předpisy příslušného členského státu, pak může dojít k předání takových údajů dotyčnému orgánu třetí země nebo k umožnění přístupu tohoto orgánu k nim pouze pokud:
| a) | systém dotyčné třetí země požaduje stanovení důvodů a proporcionality takového rozhodnutí či rozsudku a požaduje, aby takové rozhodnutí či rozsudek byly specifické povahy, například prokázáním dostatečné vazby na určité podezřelé osoby nebo protiprávní jednání; |
| b) | odůvodněná námitka adresáta rozhodnutí podléhá přezkumu příslušného soudu třetí země; a |
| c) | příslušný soud třetí země, který dané rozhodnutí nebo rozsudek vydal nebo provádí přezkum rozhodnutí správního orgánu, má podle práva této třetí země pravomoc řádně zohlednit příslušné právní zájmy poskytovatele údajů chráněných unijním právem či vnitrostátním právem příslušného členského státu. |
Adresát rozhodnutí či rozsudku si může vyžádat stanovisko příslušného vnitrostátního subjektu nebo orgánu příslušného pro mezinárodní spolupráci v právních záležitostech s cílem určit, zda jsou podmínky stanovené v prvním pododstavci splněny, zejména pokud se domnívá, že se rozhodnutí může týkat obchodního tajemství a jiných obchodně citlivých dat, jakož i obsahu chráněného právy duševního vlastnictví, nebo že dané předání může vést k opětovné identifikaci. Příslušný vnitrostátní subjekt nebo orgán může konzultovat Komisi. Pokud se adresát domnívá, že dané rozhodnutí může mít dopad na zájmy Unie nebo jejích členských států v oblasti národní bezpečnosti nebo obrany, vyžádá si stanovisko příslušného vnitrostátního subjektu nebo orgánu s cílem určit, zda se požadovaná data dotýkají zájmů Unie nebo jejích členských států v oblasti národní bezpečnosti nebo obrany. Neobdrží-li adresát odpověď do jednoho měsíce nebo dospěje-li příslušný subjekt nebo orgán ve svém stanovisku k závěru, že podmínky uvedené v prvním pododstavci nejsou splněny, může adresát žádost o předání neosobních údajů nebo přístup k nim z těchto důvodů odmítnout.
Evropský sbor pro datové inovace uvedený v článku 42 předkládá Komisi doporučení a je jí nápomocen při vypracovávání pokynů pro posuzování toho, zda jsou podmínky stanovené v prvním pododstavci tohoto odstavce splněny.
4. Jsou-li podmínky stanovené v odstavci 2 nebo 3 splněny, poskytovatel služeb zpracování dat poskytne v reakci na žádost minimální přípustné množství dat na základě přiměřeného výkladu dané žádosti poskytovatelem nebo příslušným subjektem nebo orgánem uvedeným v odstavci 3 druhém pododstavci.
5. Poskytovatel služeb zpracování dat před vyhověním uvedené žádosti informuje zákazníka o existenci žádosti orgánu třetí země o přístup k jeho datům, s výjimkou případů, kdy je účelem žádosti prosazování práva, a pokud je to nezbytné k zajištění účinnosti prosazování práva.
KAPITOLA VIII
INTEROPERABILITA
whereas