keyboard_tab Data Act 2023/2854 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 1 Předmět a oblast působnosti
- 1 Článek 19 Povinnosti subjektů veřejného sektoru, Komise, Evropské centrální banky a subjektů Unie
- 5 Článek 25 Smluvní ujednání týkající se změny poskytovatele
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
SDÍLENÍ DAT MEZI PODNIKY A SPOTŘEBITELI A MEZI PODNIKY NAVZÁJEM
KAPITOLA III
POVINNOSTI DRŽITELŮ DAT, KTEŘÍ MAJÍ POVINNOST ZPŘÍSTUPNIT DATA PODLE PRÁVA UNIE
KAPITOLA IV
NEPŘIMĚŘENÁ SMLUVNÍ UJEDNÁNÍ TÝKAJÍCÍ SE PŘÍSTUPU K DATŮM A JEJICH VYUŽÍVÁNÍ MEZI PODNIKY
KAPITOLA V
ZPŘÍSTUPŇOVÁNÍ DAT SUBJEKTŮM VEŘEJNÉHO SEKTORU, KOMISI, EVROPSKÉ CENTRÁLNÍ BANCE A SUBJEKTŮM UNIE NA ZÁKLADĚ VÝJIMEČNÉ POTŘEBY
KAPITOLA VI
ZMĚNA POSKYTOVATELE SLUŽEB ZPRACOVÁNÍ DAT
KAPITOLA VII
PROTIPRÁVNÍ MEZINÁRODNÍ PŘÍSTUP ORGÁNŮ VEŘEJNÉ SPRÁVY K NEOSOBNÍM ÚDAJŮM A JEJICH PŘEDÁVÁNÍ
KAPITOLA VIII
INTEROPERABILITA
KAPITOLA IX
PROVÁDĚNÍ A VYMÁHÁNÍ
KAPITOLA X
ZVLÁŠTNÍ PRÁVO PODLE SMĚRNICE 96/9/ES
KAPITOLA XI
ZÁVĚREČNÁ USTANOVENÍ
- nebo 31
- služeb 26
- data 21
- poskytovatele 20
- nařízení 18
- zpracování 18
- unie 13
- které 12
- podle 12
- sektoru 10
- změny 10
- údajů 9
- jsou 9
- veřejného 9
- eu / 9
- předpisy 8
- centrální 8
- vztahuje 8
- období 7
- která 7
- v písmenu 7
- toto 7
- kapitola 6
- lhůty 6
- zejména 6
- a to 6
- v souladu 6
- včetně 6
- tajemství 6
- pokud 6
- musí 6
- v unii 6
- služby 6
- nejsou 6
- souvisejících 6
- procesu 5
- ujednání 5
- údaje 5
- držitele 5
- během 5
- uvedené 5
- maximální 5
- nařízením 5
- mezi 5
- ustanovení 5
- právní 5
- odstavce 5
- subjekt 5
- všech 4
- a zpřístupnění 4
Článek 1
Předmět a oblast působnosti
1. Toto nařízení stanoví harmonizovaná pravidla mimo jiné pro:
| a) | zpřístupňování dat z výrobků a dat ze souvisejících služeb uživatelům připojeného výrobku nebo souvisejících služeb; |
| b) | zpřístupňování dat příjemcům držiteli dat; |
| c) | zpřístupňování dat subjektům veřejného sektoru, Komisi, Evropské centrální bance nebo subjektům Unie držiteli dat, pokud jsou uvedená data výjimečně zapotřebí pro splnění specifického úkolu prováděného ve veřejném zájmu; |
| d) | usnadnění změny poskytovatele mezi službami zpracování dat; |
| e) | zavedení záruk proti nezákonnému přístupu třetích stran k neosobním údajům a |
| f) | vypracování norem interoperability pro přístup k datům, přenos dat a jejich využívání. |
2. Toto nařízení se vztahuje na osobní i neosobní údaje, včetně následujících druhů dat v následujících souvislostech:
| a) | kapitola II se vztahuje na data, s výjimkou obsahu, týkající se výkonnosti, používání a prostředí připojených výrobků a souvisejících služeb; |
| b) | kapitola III se vztahuje na veškerá data soukromého sektoru, na něž se vztahují zákonné povinnosti sdílení dat; |
| c) | kapitola IV se vztahuje na veškerá data soukromého sektoru, která jsou přístupná a využívaná na základě smluv mezi podniky; |
| d) | kapitola V se vztahuje na veškerá data soukromého sektoru se zaměřením na neosobní údaje; |
| e) | kapitola VI se vztahuje na veškerá data a služby zpracovávané poskytovateli služeb zpracování dat; |
| f) | kapitola VII se vztahuje na veškeré neosobní údaje, které mají v Unii v držení poskytovatelé služeb zpracování dat. |
3. Toto nařízení se vztahuje na:
| a) | výrobce připojených výrobků uvedených na trh v Unii a poskytovatele souvisejících služeb, a to bez ohledu na místo usazení těchto výrobců a poskytovatelů; |
| b) | uživatele připojených výrobků nebo souvisejících služeb v Unii, jak jsou uvedeny v písmenu a), |
| c) | držitele dat, bez ohledu na jejich místo usazení, kteří zpřístupňují data příjemcům dat v Unii; |
| d) | příjemce dat v Unii, kterým jsou data zpřístupněna; |
| e) | subjekty veřejného sektoru, Komisi, Evropskou centrální banku a subjekty Unie, které žádají držitele dat o zpřístupnění dat, pokud jsou uvedená data výjimečně zapotřebí pro vykonání specifického úkolu ve veřejném zájmu, a držitele dat, kteří tato data poskytují v reakci na takovou žádost; |
| f) | poskytovatele služeb zpracování dat, bez ohledu na jejich místo usazení, kteří tyto služby poskytují zákazníkům v Unii; |
| g) | účastníky v datových prostorech a prodejce aplikací využívajících inteligentní smlouvy a osoby, jejichž obchodní, podnikatelská nebo profesní činnost zahrnuje zavádění inteligentních smluv pro jiné osoby v souvislosti s realizací dohody. |
4. Odkazy na připojené výrobky nebo související služby v tomto nařízení zahrnují rovněž virtuální asistenty, pokud jsou používáni k interakci s připojeným výrobkem či související službou.
5. Tímto nařízením nejsou dotčeny unijní a vnitrostátní právní předpisy o ochraně osobních údajů, soukromí a důvěrného charakteru sdělení a integrity koncového zařízení, které se použijí na osobní údaje zpracovávané v souvislosti s právy a povinnostmi stanovenými v tomto nařízení, zejména nařízení (EU) 2016/679 a (EU) 2018/1725 a směrnice 2002/58/ES, ani pravomoci a kompetence dozorových úřadů a práva subjektů údajů. Pokud jsou uživatelé subjekty údajů, doplňují práva stanovená v kapitole II tohoto nařízení práva na přístup subjektů údajů a práva na přenositelnost údajů podle článků 15 a 20 nařízení (EU) 2016/679. V případě rozporu mezi tímto nařízením a unijními právními předpisy o ochraně osobních údajů nebo soukromí nebo vnitrostátními právními předpisy přijatými v souladu s těmito právními předpisy Unie mají přednost příslušné unijní nebo vnitrostátní právní předpisy o ochraně osobních údajů nebo soukromí.
6. Toto nařízení se nevztahuje na dobrovolná ujednání o výměně dat mezi soukromými a veřejnými subjekty, zejména na dobrovolná ujednání o sdílení dat, ani taková ujednání neomezuje.
Tímto nařízením nejsou dotčeny unijní ani vnitrostátní právní akty, které upravují sdílení dat, přístup k nim a jejich využívání pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, nebo pro účely celní a daňové, zejména nařízení (EU) 2021/784, (EU) 2022/2065 a (EU) 2023/1543 a směrnice (EU) 2023/1544 nebo mezinárodní spolupráce v této oblasti. Toto nařízení se nevztahuje na shromažďování, sdílení a využívání dat nebo přístup k datům podle nařízení (EU) 2015/847 a směrnice (EU) 2015/849. Toto nařízení se nevztahuje na oblasti, které nespadají do oblasti působnosti práva Unie, a v žádném případě se nedotýká pravomocí členských států v oblasti veřejné bezpečnosti, obrany nebo národní bezpečnosti, a to bez ohledu na typ subjektu pověřeného členskými státy plněním úkolů souvisejících s těmito pravomocemi, ani jejich pravomoci chránit jiné základní funkce státu, včetně zajištění územní celistvosti státu a udržování veřejného pořádku. Tímto nařízením nejsou dotčeny pravomoci členských států týkající se celní a daňové správy ani zdraví a bezpečnosti občanů.
7. Toto nařízení doplňuje samoregulační přístup podle nařízení (EU) 2018/1807 obecně použitelnými povinnostmi týkajícími se změny poskytovatele cloudových služeb.
8. Tímto nařízením nejsou dotčeny právní akty Unie ani vnitrostátní právní předpisy na ochranu práv duševního vlastnictví, zejména směrnic 2001/29/ES, 2004/48/ES a (EU) 2019/790.
9. Toto nařízení doplňuje právo Unie, jehož cílem je podpora zájmů spotřebitelů a zajištění vysoké úrovně ochrany spotřebitelů, ochrana jejich zdraví, bezpečnosti a hospodářských zájmů, včetně směrnic 93/13/EHS, 2005/29/ES a 2011/83/EU, které jím není dotčeno.
10. Toto nařízení nevylučuje uzavírání dobrovolných smluv o sdílení dat, včetně smluv uzavřených na recipročním základě, které nejsou protiprávní a které splňují požadavky stanovené v tomto nařízení.
Článek 19
Povinnosti subjektů veřejného sektoru, Komise, Evropské centrální banky a subjektů Unie
1. Subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie, které obdržely data na základě žádosti podané podle článku 14:
| a) | nepoužijí data způsobem neslučitelným s účelem, pro který byla vyžádána; |
| b) | musí mít zavedena technická a organizační opatření, která zachovávají důvěrnost a integritu požadovaných dat a bezpečnost předávání dat, zejména osobních údajů, a zaručují práva a svobody subjektů údajů; |
| c) | vymažou data, jakmile již nejsou nezbytná pro uvedený účel, a bez zbytečného odkladu informují držitele dat a fyzické osoby nebo organizace, které data obdržely podle čl. 21 odst. 1, o tom, že data byla vymazána, ledaže je archivace dat vyžadována v souladu s právními předpisy Unie nebo vnitrostátními právními předpisy o přístupu veřejnosti k dokumentům v souvislosti s povinnostmi týkajícími se transparentnosti. |
2. Subjekt veřejného sektoru, Komise, Evropská centrální banka, subjekt Unie nebo třetí strana přijímající data podle této kapitoly nesmí:
| a) | použít data ani poznatky o hospodářské situaci, aktivech a výrobních nebo provozních metodách držitele dat k vývoji nebo zlepšení připojeného výrobku nebo související služby, které konkurují připojenému výrobku nebo související službě držitele dat; |
| b) | sdílet data s jinou třetí stranou pro kterýkoli z účelů uvedených v písmenu a). |
3. Zpřístupnění obchodních tajemství subjektu veřejného sektoru, Komisi, Evropské centrální bance nebo subjektu Unie se vyžaduje pouze v rozsahu nezbytně nutném pro dosažení účelu žádosti podle článku 15. V takovém případě držitel dat nebo, pokud jsou rozdílnými osobami, vlastník obchodního tajemství, identifikuje data, která jsou chráněna jako obchodní tajemství, a to i v příslušných metadatech. Daný subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie přijmou před zpřístupněním obchodního tajemství veškerá nezbytná a vhodná technická a organizační opatření k zachování důvěrnosti obchodního tajemství, včetně případného použití vzorových smluvních ujednání, technických norem a uplatňování kodexů chování.
4. Subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie odpovídají za bezpečnost dat, která obdrží.
Článek 25
Smluvní ujednání týkající se změny poskytovatele
1. Práva zákazníka a povinnosti poskytovatele služeb zpracování dat v souvislosti se změnou poskytovatele těchto služeb nebo případně s přechodem do místní infrastruktury informačních a komunikačních technologií musí být jasně stanoveny v písemné smlouvě. Poskytovatel služeb zpracování dat tuto smlouvu zákazníkovi zpřístupní před podpisem způsobem, který mu umožňuje smlouvu si uložit a reprodukovat.
2. Aniž je dotčena směrnice (EU) 2019/770, musí smlouva podle odstavce 1 tohoto článku obsahovat alespoň:
| a) | ustanovení umožňující zákazníkovi na požádání přejít na jinou službu zpracování dat nabízenou jiným poskytovatelem služeb zpracování dat nebo přenést veškerá exportovatelná data a digitální aktiva do místní infrastruktury informačních a komunikačních technologií, a to bez zbytečného prodlení, avšak nejpozději do konce povinného maximálního přechodného období v délce 30 kalendářních dnů, jež začne po uplynutí maximální výpovědní lhůty uvedené v písmenu d), během něhož je smlouva o poskytování služeb nadále platná a během něhož poskytovatel služeb zpracování dat:
|
| b) | povinnost poskytovatele služeb zpracování dat podporovat zákazníkovu strategii pro odchod relevantní pro smluvně zajištěné služby, a to i poskytováním všech relevantních informací; |
| c) | ustanovení o tom, že se smlouva považuje za ukončenou a že je toto ukončení zákazníkovi oznámeno, a to v jednom z těchto případů:
|
| d) | maximální výpovědní lhůtu pro zahájení procesu změny poskytovatele, která nesmí přesáhnout dva měsíce; |
| e) | podrobnou specifikaci všech kategorií dat a digitálních aktiv, která lze během procesu změny poskytovatele přenést, včetně přinejmenším všech exportovatelných dat; |
| f) | vyčerpávající specifikaci kategorií dat specifických pro vnitřní fungování služby zpracování dat poskytovatele, která mají být vyňata z exportovatelných dat podle písmene e) tohoto odstavce, pokud existuje riziko porušení obchodního tajemství poskytovatele; za předpokladu, že tyto výjimky nesmějí bránit procesu změny poskytovatele služeb zpracování dat stanovenému v článku 23 ani jej zdržovat; |
| g) | minimální období pro zachování a zpřístupnění dat v délce nejméně 30 kalendářních dnů, počínaje uplynutím přechodného období dohodnutého mezi zákazníkem a poskytovatelem služeb zpracování dat v souladu s písmenem a) tohoto odstavce a odstavcem 4; |
| h) | ustanovení zaručující úplné vymazání všech exportovatelných dat a digitálních aktiv vytvořených přímo zákazníkem nebo přímo souvisejících se zákazníkem po uplynutí lhůty pro zachování a zpřístupnění dat uvedené v písmenu g) nebo po uplynutí jiné dohodnuté lhůty k pozdějšímu datu, než je datum lhůty pro zachování a zpřístupnění dat stanovené v písmenu g), za předpokladu, že byl proces změny poskytovatele úspěšně dokončen; |
| i) | poplatky za změnu poskytovatele, které mohou poskytovatelé služeb zpracování dat účtovat v souladu s článkem 29. |
3. Smlouva podle odstavce 1 musí obsahovat ustanovení o tom, že zákazník může poskytovateli služeb zpracování dat oznámit své rozhodnutí provést po uplynutí maximální výpovědní lhůty uvedené v odst. 2 písm. d) jeden nebo více z těchto kroků:
| a) | přejít k jinému poskytovateli služeb zpracování dat, v kterémžto případě zákazník o tomto poskytovateli uvede nezbytné údaje; |
| b) | přejít do místní infrastruktury informačních a komunikačních technologií; |
| c) | vymazat svá exportovatelná data a digitální aktiva. |
4. Pokud je povinné maximální přechodné období stanovené v odst. 2 písm. a) technicky neproveditelné, poskytovatel služeb zpracování dat informuje zákazníka do 14 pracovních dnů od podání žádosti o změnu poskytovatele, přičemž tuto technickou neproveditelnost řádně odůvodní a uvede alternativní přechodné období, které nesmí přesáhnout sedm měsíců. V souladu s odstavcem 1 musí být během případného alternativního přechodného období zajištěna kontinuita služeb.
5. Aniž je dotčen odstavec 4, smlouva podle odstavce 1 musí obsahovat ustanovení, na jejichž základě má zákazník právo přechodné období jednou prodloužit o dobu, kterou považuje za vhodnější pro své účely.
whereas