(1)

V posledních letech měly technologie založené na datech transformační účinky na všechna hospodářská odvětví. Zejména šíření výrobků připojených k internetu zvýšilo objem a potenciální hodnotu dat pro spotřebitele, podniky a společnost. Vysoce kvalitní a interoperabilní data z různých oblastí zvyšují konkurenceschopnost a inovace a zajišťují udržitelný hospodářský růst. Stejná data mohou být použita a opětovně použita pro různé účely a v neomezené míře, aniž by došlo ke ztrátě kvality nebo kvantity.

(2)

Překážky ve sdílení dat brání optimální alokaci dat ve prospěch společnosti. Mezi tyto překážky patří nedostatečná motivace držitelů dat k tomu, aby dobrovolně uzavírali dohody o sdílení dat, nejistota ohledně práv a povinností v souvislosti s daty, náklady na zadávání zakázek týkajících se technických rozhraní a na implementaci těchto rozhraní, vysoká míra roztříštěnosti informací v datových silech, špatná správa metadat, chybějící normy pro sémantickou a technickou interoperabilitu, překážky bránící přístupu k datům, nedostatek společných postupů sdílení dat a zneužívání smluvní nerovnosti, pokud jde o přístup k datům a jejich využívání.

(3)

V odvětvích, která se vyznačují přítomností mikropodniků a malých a středních podniků ve smyslu článku 2 přílohy doporučení Komise 2003/361/ES (5) (dále jen „malé a střední podniky“), často chybí digitální kapacity a dovednosti pro shromažďování, analýzu a využívání dat a přístup je často omezen, pokud jej drží jeden subjekt v systému, nebo z důvodu nedostatečné interoperability mezi daty, mezi datovými službami nebo přeshraničně.

(4)

Aby bylo možné reagovat na potřeby digitální ekonomiky a odstranit překážky bránící dobrému fungování vnitřního trhu s daty, je nezbytné stanovit harmonizovaný rámec, který specifikuje, kdo má právo využívat data z výrobků nebo ze souvisejících služeb, za jakých podmínek a na jakém základě. Členské státy by proto neměly přijímat ani zachovávat dodatečné vnitrostátní požadavky týkající se záležitostí spadajících do oblasti působnosti tohoto nařízení, pokud to v něm není výslovně stanoveno, neboť by to ovlivnilo jeho přímé a jednotné uplatňování. Kromě toho by opatřeními na unijní úrovni neměly být dotčeny povinnosti a závazky vyplývající z mezinárodních obchodních dohod uzavřených Unií.

(5)

Toto nařízení zajišťuje, aby uživatelé připojeného výrobku nebo související služby v Unii měli včasný přístup k datům vytvářeným používáním daného připojeného výrobku nebo související služby a aby tito uživatelé mohli data využívat, a to i sdílením s třetími stranami podle vlastního výběru. Ukládá držitelům dat povinnost za určitých okolností data zpřístupnit uživatelům a třetím stranám, které si uživatel zvolí. Rovněž zajišťuje, aby držitelé dat zpřístupnili data příjemcům dat v Unii za spravedlivých, přiměřených a nediskriminačních podmínek a transparentním způsobem. V celkovém rámci sdílení dat jsou klíčová pravidla soukromého práva. Toto nařízení proto upravuje pravidla smluvního práva a zamezuje zneužívání smluvní nerovnováhy, která brání spravedlivému přístupu k datům a jejich využívání. Toto nařízení rovněž zajišťuje, aby držitelé dat v případě výjimečné potřeby zpřístupnili subjektům veřejného sektoru, Komisi, Evropské centrální bance nebo subjektům Unie data, která jsou nezbytná pro plnění konkrétního úkolu prováděného ve veřejném zájmu. Kromě toho se toto nařízení snaží usnadnit změnu poskytovatele služeb zpracování dat a posílit interoperabilitu dat a mechanismů a služeb sdílení dat v Unii. Toto nařízení by nemělo být vykládáno tak, že uznává nebo uděluje držitelům dat jakékoli nové právo využívat data vytvořená používáním připojeného výrobku nebo související služby.

(6)

Vytváření dat je výsledkem činnosti nejméně dvou subjektů, konkrétně návrháře nebo výrobce připojeného výrobku, jenž může být v mnoha případech také poskytovatelem souvisejících služeb, a uživatele připojeného výrobku nebo související služby. To vyvolává otázky týkající se spravedlnosti v digitální ekonomice, neboť data zaznamenaná připojenými výrobky nebo souvisejícími službami představují důležitý vstup pro poprodejní, doplňkové a jiné služby. Aby bylo možné dosáhnout významných hospodářských přínosů dat, včetně přínosů prostřednictvím sdílení dat na základě dobrovolných dohod a rozvoje tvorby hodnot založené na datech ze strany podniků v Unii, je vhodnější obecný přístup k přidělování přístupových a užívacích práv k datům než udělování výlučných práv na přístup a užívání. Toto nařízení stanoví horizontální pravidla, na která by mohly navazovat unijní nebo vnitrostátní právo zaměřené na konkrétní situace v příslušných odvětvích.

(7)

Základní právo na ochranu osobních údajů je chráněno zejména nařízeními Evropského parlamentu a Rady (EU) 2016/679 (6) a (EU) 2018/1725 (7). Směrnice Evropského parlamentu a Rady 2002/58/ES (8) navíc chrání soukromý život a důvěrný charakter sdělení, mimo jiné prostřednictvím podmínek pro uchovávání jakýchkoli osobních a neosobních údajů v koncových zařízeních a přístup k těmto údajům z takových zařízení. Uvedené legislativní akty Unie poskytují základ pro udržitelné a odpovědné zpracování dat, včetně případů, kdy datové soubory zahrnují kombinaci osobních a neosobních údajů. Toto nařízení doplňuje právo Unie v oblasti ochrany osobních údajů a soukromí, zejména nařízení (EU) 2016/679 a (EU) 2018/1725 a směrnici 2002/58/ES, aniž je jím toto právo dotčeno. Žádné ustanovení tohoto nařízení by nemělo být uplatňováno ani vykládáno způsobem, který by zmenšil nebo omezil právo na ochranu osobních údajů nebo právo na soukromí a důvěrný charakter sdělení. Veškeré zpracování osobních údajů podle tohoto nařízení by mělo být v souladu s právem Unie na ochranu údajů, včetně požadavku platného právního základu pro zpracování podle článku 6 nařízení (EU) 2016/679, a tam, kde je to relevantní, podmínek stanovených v článku 9 uvedeného nařízení a čl. 5 odst. 3 směrnice 2002/58/ES. Toto nařízení nepředstavuje právní základ pro shromažďování nebo vytváření osobních údajů ze strany držitele dat. Toto nařízení však ukládá držitelům dat povinnost zpřístupnit na žádost uživatele osobní údaje uživatelům nebo třetím stranám podle volby uživatele. Tento přístup by měl být poskytnut k osobním údajům, které držitel dat zpracovává na základě kteréhokoli z právních základů uvedených v článku 6 nařízení (EU) 2016/679. Pokud uživatel subjektem údajů není, nevytváří toto nařízení právní základ, který by umožňoval poskytnutí přístupu k osobním údajům nebo jejich zpřístupnění třetí straně, a nemělo by být chápáno tak, že držiteli dat uděluje nové právo využívat osobní údaje vytvořené používáním připojeného výrobku nebo související služby. V těchto případech by mohlo být v zájmu uživatele umožnit splnění požadavků článku 6 nařízení (EU) 2016/679. Vzhledem k tomu, že by tímto nařízením neměla být nepříznivě dotčena práva na ochranu údajů subjektů údajů, může držitel dat v těchto případech vyhovět žádostem mimo jiné tím, že osobní údaje anonymizuje nebo, v případě, že snadno dostupná data obsahují osobní údaje několika subjektů údajů, předá pouze osobní údaje týkající se daného uživatele.

(8)

Zásady minimalizace údajů a záměrné a standardní ochrany údajů mají zásadní význam, pokud zpracování představuje významná rizika pro základní práva fyzických osob. S ohledem na současný stav techniky by všechny strany podílející se na sdílení dat, včetně sdílení dat spadajícího do oblasti působnosti tohoto nařízení, měly zavést technická a organizační opatření na ochranu těchto práv. Tato opatření zahrnují nejenom pseudonymizaci a šifrování, ale také používání stále dostupnějších technologií, které umožňují vkládat do dat algoritmy a umožňují získat cenné poznatky bez přenosu mezi stranami nebo bez zbytečného kopírování samotných nezpracovaných nebo strukturovaných dat.

(9)

Nestanoví-li toto nařízení jinak, není jím dotčeno vnitrostátní závazkové právo, včetně pravidel pro uzavírání, platnost nebo účinky smluv, nebo pravidel upravujících důsledky ukončení smlouvy. Toto nařízení doplňuje právo Unie, jehož cílem je podpora zájmů spotřebitelů, zajištění vysoké úrovně ochrany spotřebitelů a ochrana jejich zdraví, bezpečnosti a hospodářských zájmů, zejména směrnici Rady 93/13/EHS (9), a směrnici Evropského parlamentu a Rady 2005/29/ES (10) a směrnici Evropského parlamentu a Rady 2011/83/EU (11), aniž je jím toto právo dotčeno.

(10)

Tímto nařízením nejsou dotčeny unijní ani vnitrostátní právní akty, které upravují sdílení dat, přístup k nim a jejich využívání pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů nebo pro celní a daňové účely, bez ohledu na právní základ podle Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“), na němž byly přijaty, ani jím není dotčena mezinárodní spolupráce v této oblasti, zejména na základě Úmluvy Rady Evropy o počítačové kriminalitě (ETS č. 185), uzavřené v Budapešti dne 23. listopadu 2001. Tyto akty zahrnují nařízení Evropského parlamentu a Rady (EU) 2021/784 (12), (EU) 2022/2065 (13) a (EU) 2023/1543 (14) a směrnici Evropského parlamentu a Rady (EU) 2023/1544 (15). Toto nařízení se nevztahuje na shromažďování, sdílení a využívání dat nebo přístup k datům podle nařízení Evropského parlamentu a Rady (EU) 2015/847 (16) a směrnice Evropského parlamentu a Rady (EU) 2015/849 (17). Toto nařízení se nevztahuje na oblasti, které nespadají do oblasti působnosti práva Unie, a v žádném případě jím nejsou dotčeny pravomoci členských států v oblasti veřejné bezpečnosti, obrany nebo národní bezpečnosti, celní a daňové správy nebo zdraví a bezpečnosti občanů, a to bez ohledu na typ subjektu pověřeného členskými státy plnit úkoly související s těmito pravomocemi.

(11)

Právo Unie stanovující požadavky na fyzickou konstrukci a data výrobků, které mají být uvedeny na trh Unie, by nemělo být tímto nařízením dotčeno, pokud to v tomto nařízení není výslovně stanoveno.

(12)

Toto nařízení doplňuje právo Unie, jehož cílem je stanovit požadavky na přístupnost u některých výrobků a služeb, zejména směrnici Evropského parlamentu a Rady (EU) 2019/882 (18), a toto právo jím není nijak dotčeno.

(13)

Tímto nařízením nejsou dotčeny unijní ani vnitrostátní právní akty na ochranu práv duševního vlastnictví, včetně směrnic Evropského parlamentu a Rady 2001/29/ES (19), 2004/48/ES (20) a (EU) 2019/790 (21).

(14)

Toto nařízení by se mělo vztahovat na připojené výrobky, které prostřednictvím svých součástí nebo operačních systémů získávají, vytvářejí nebo shromažďují data o své výkonnosti, použití nebo prostředí a které jsou schopny tato data předávat prostřednictvím služby elektronických komunikací, fyzického připojení nebo přístupu na zařízení, často označovaných jako internet věcí, a to s výjimkou prototypů. Příklady těchto služeb elektronických komunikací zahrnují zejména pozemní telefonní sítě, televizní kabelové sítě, satelitní sítě a bezdrátové komunikační sítě krátkého dosahu. Připojené výrobky se nacházejí ve všech aspektech hospodářství a společnosti, včetně soukromé, občanské nebo obchodní infrastruktury, vozidel, zdravotnického vybavení a vybavení zaměřeného na životní styl, lodí, letadel, vybavení pro domácnost a spotřebního zboží, zdravotnických prostředků nebo zemědělských a průmyslových strojů. Volba, kterou činí výrobci při navrhování výrobku, a případně unijní nebo vnitrostátní právo zaměřené na potřeby a cíle daného odvětví nebo relevantní rozhodnutí příslušných orgánů pro hospodářskou soutěž by měly určit, která data je připojený výrobek schopen zpřístupnit.

(15)

Data představují digitalizaci činností a událostí uživatele, a proto by k nim měl uživatel mít přístup. Pravidla pro přístup k datům z připojených výrobků a souvisejících služeb a jejich využívání podle tohoto nařízení se týkají dat z výrobků i dat ze souvisejících služeb. Data z připojených výrobků jsou data vytvořená používáním připojeného výrobku, která výrobce navrhl tak, aby je uživatel, držitel dat nebo třetí strana, případně včetně výrobce, mohli z výrobku získat. Data ze souvisejících služeb jsou data, která rovněž představují digitalizaci činností nebo událostí uživatele souvisejících s připojeným výrobkem a která jsou vytvořena v průběhu poskytování související služby poskytovatelem. Data vytvořená používáním připojeného výrobku nebo související služby je třeba chápat tak, že zahrnují záměrně zaznamenaná data nebo data, která nepřímo vyplývají z činnosti uživatele, jako jsou data o prostředí nebo interakcích připojeného výrobku. Měla by sem patřit data o používání připojeného výrobku vytvořená uživatelským rozhraním nebo prostřednictvím související služby a neměla by se omezovat pouze na informace o tom, že připojený výrobek byl použit, nýbrž by měla zahrnovat veškerá data, která připojený výrobek v důsledku jeho použití vytvořil, jako jsou data automaticky vytvořená senzory a data zaznamenaná vestavěnými aplikacemi, včetně aplikací informujících o stavu a poruchách hardwaru. Rovněž by sem měla patřit data vytvořená připojeným výrobkem nebo související službou v době nečinnosti uživatele, například když se uživatel rozhodne připojený výrobek po určitou dobu nepoužívat a ponechá jej v pohotovostním režimu, nebo dokonce vypnutý, neboť stav připojeného výrobku nebo jeho součástí, například jeho baterií, se může měnit, když je připojený výrobek v pohotovostním režimu nebo vypnutý. Do oblasti působnosti tohoto nařízení spadají data, která nebyla podstatným způsobem upravena, tedy data v nezpracované podobě, známá také jako zdrojová nebo primární data, která odkazují na datové body, které jsou vytvořeny automaticky bez jakékoli další formy zpracování, jakož i data, která byla předzpracována za účelem jejich srozumitelnosti a využití před dalším zpracováním a analýzou. Taková data zahrnují data shromážděná z jednoho senzoru nebo z propojené skupiny senzorů za účelem zajištění srozumitelnosti shromážděných dat pro širší případy použití tím, že se určí fyzikální veličina nebo vlastnost nebo změna fyzikální veličiny, jako je teplota, tlak, průtok, zvuk, hodnota pH, hladina kapaliny, poloha, zrychlení nebo rychlost. Pojem „předzpracovaná data“ by neměl být vykládán tak, že ukládá držiteli dat povinnost značně investovat do čištění a transformace dat. Aby bylo možné data, která mají být zpřístupněna, využívat, kombinovat s jinými daty, jako jsou data roztříděná a klasifikovaná s jinými datovými body, které se jich týkají, nebo přeformátovat do běžně používaného formátu, měla by obsahovat příslušná metadata, včetně jejich základního kontextu a časového razítka. Taková data jsou pro uživatele potenciálně cenná a podporují inovace a rozvoj digitálních a jiných služeb na ochranu životního prostředí, zdraví a oběhového hospodářství, mimo jiné tím, že usnadňují údržbu a opravy dotčených připojených výrobků. Naopak informace získané nebo odvozené z těchto dat, jež jsou výsledkem dodatečných investic do přidělování hodnot nebo poznatků z dat, zejména prostřednictvím komplexních proprietárních algoritmů, včetně algoritmů, které jsou součástí proprietárního softwaru, by neměly být považovány za informace spadající do oblasti působnosti tohoto nařízení, a proto by se na ně neměla vztahovat povinnost držitele dat zpřístupnit je uživateli nebo příjemci dat, pokud se uživatel a držitel dat nedohodnou jinak. Tato data by mohla zahrnovat zejména informace získané fúzí senzorů, při níž jsou za pomoci komplexních proprietárních algoritmů získávána nebo odvozována data z více senzorů, a shromážděné v připojeném výrobku, a na které by se mohla vztahovat práva duševního vlastnictví.

(16)

Toto nařízení umožňuje uživatelům připojených výrobků využívat poprodejní, doplňkové a jiné služby, a to na základě dat shromážděných senzory zabudovanými v těchto výrobcích, přičemž shromažďování těchto dat může přispět ke zlepšení výkonnosti připojených výrobků. Je důležité rozlišovat mezi trhy pro poskytování těchto připojených výrobků vybavených senzory a souvisejících služeb a trhy s nesouvisejícím softwarem a obsahem, jako je textový, zvukový nebo audiovizuální obsah, na který se často vztahují práva duševního vlastnictví. Toto nařízení by se tudíž nemělo vztahovat na data, která tyto připojené produkty vybavené senzory vytvářejí, když uživatel nahrává, přenáší, zobrazuje nebo přehrává obsah, ani na samotný obsah, na který se často vztahují práva duševního vlastnictví, mimo jiné pro použití on-line službou. Rovněž by se nemělo vztahovat na data, která byla získána či vytvořena připojeným výrobkem nebo k nimž byl z tohoto výrobku získán přístup nebo která do něj byla přenesena za účelem jejich uložení nebo jiného druhu zpracování jménem jiných stran, které nejsou uživateli, například v případě serverů nebo cloudové infrastruktury, které jejich vlastníci provozují výhradně jménem třetích stran, mimo jiné pro použití on-line službou.

(17)

Je nezbytné stanovit pravidla pro výrobky, jež jsou v době koupě, pronájmu nebo leasingu připojeny k související službě, a to takovým způsobem, že by její neexistence bránila připojenému výrobku v plnění jedné nebo více jeho funkcí, nebo u nichž jsou související služby připojeny výrobcem nebo třetí stranou dodatečně za účelem rozšíření nebo přizpůsobení funkčnosti připojeného výrobku. Tyto související služby zahrnují výměnu dat mezi připojeným výrobkem a poskytovatelem služeb a je třeba je chápat jako služby úzce spjaté s fungováním funkcí připojeného výrobku, jako jsou služby, které případně zasílají připojenému výrobku příkazy, které mohou ovlivnit jeho činnost nebo chování. Služby, které na fungování připojeného výrobku nemají vliv a jejichž poskytovatel tomuto připojenému výrobku data nebo příkazy nezasílá, by neměly být považovány za související služby. Mezi tyto služby by mohly patřit například pomocné poradenské, analytické nebo finanční služby nebo pravidelné opravy a údržba. Související služby mohou být nabízeny v rámci smlouvy o koupi, pronájmu nebo leasingu. Související služby by rovněž mohly být poskytovány u výrobků stejného typu a uživatelé by mohli jejich poskytování důvodně očekávat vzhledem k povaze připojeného výrobku a s přihlédnutím k jakémukoli veřejnému prohlášení učiněnému prodávajícím, nájemcem, pronajímatelem nebo jinými osobami v předchozích článcích řetězce transakcí, včetně výrobce, nebo jejich jménem. Tyto související služby mohou pro uživatele samy vytvářet hodnotná data nezávisle na schopnosti připojeného výrobku, s nímž jsou propojeny. Toto nařízení by se mělo rovněž vztahovat na související službu, kterou neposkytuje samotný prodávající, nájemce nebo pronajímatel, nýbrž třetí strana. V případě pochybností o tom, zda je poskytovaná služba součástí smlouvy o koupi, pronájmu nebo leasingu, by se mělo použít toto nařízení. Napájení ani zajištění připojení nelze vykládat jako související služby podle tohoto nařízení.

(18)

Uživatelem připojeného výrobku by se měla rozumět fyzická nebo právnická osoba, například podnik, spotřebitel nebo subjekt veřejného sektoru, které jsou buď vlastníkem připojeného výrobku, získali určitá dočasná práva, například prostřednictvím nájemní nebo leasingové smlouvy, na přístup k datům získaným z připojeného výrobku nebo na využívání těchto dat, nebo které jsou příjemcem souvisejících služeb pro připojený výrobek. Tato přístupová práva by, pokud se jedná o osobní údaje vytvářené připojeným výrobkem nebo v průběhu poskytování související služby, neměla žádným způsobem měnit práva subjektů údajů, které mohou být v interakci s tímto výrobkem nebo související službou, ani do těchto práv zasahovat. Uživatel nese rizika a požívá výhod plynoucích z používání připojeného výrobku a měl by mít rovněž přístup k datům, která tento výrobek vytváří. Uživatel by proto měl mít právo těžit z dat vytvořených tímto připojeným výrobkem a jakoukoli související službou. Vlastník, nájemce nebo leasingový nájemce by měl být rovněž považován za uživatele, včetně případů, kdy lze za uživatele považovat několik subjektů. V případě více uživatelů může každý z nich přispívat k vytváření dat jiným způsobem a může mít zájem o několik forem jejich využití, například o správu vozového parku pro leasingovou společnost nebo o řešení v oblasti mobility pro fyzické osoby využívající službu sdílení automobilů.

(19)

Datovou gramotností se rozumí dovednosti, znalosti a porozumění, které uživatelům, spotřebitelům a podnikům, zejména malým a středním podnikům spadajícím do oblasti působnosti tohoto nařízení, umožňují získat povědomí o potenciální hodnotě dat, která vytvořili, vytvářejí a sdílejí, a že jsou motivováni k nabízení a poskytování přístupu k datům v souladu s příslušnými právními předpisy. Datová gramotnost by se neměla omezovat pouze na učení se o nástrojích a technologiích a jejím cílem by mělo být vybavit občany a podniky schopností požívat výhod inkluzivního a spravedlivého trhu s daty, a posílit tak jejich postavení. Rozšíření opatření v oblasti datové gramotnosti a zavedení vhodných následných opatření by mohlo přispět ke zlepšení pracovních podmínek a v konečném důsledku k pokračování v konsolidaci a inovaci ekonomiky založené na datech v Unii. Příslušné orgány by měly podporovat nástroje a přijmout opatření ke zvýšení datové gramotnosti uživatelů a subjektů spadajících do oblasti působnosti tohoto nařízení, jakož i povědomí o jejich právech a povinnostech z něj vyplývajících.

(20)

Ne všechna data vytvořená připojenými výrobky nebo souvisejícími službami jsou v praxi uživatelům těchto výrobků nebo souvisejících služeb snadno dostupná a často existují omezené možnosti týkající se přenositelnosti dat vytvářených výrobky připojenými k internetu. Uživatelé nejsou schopni získat data nezbytná k využití služeb poskytovatelů oprav a jiných služeb, a podniky nejsou schopny zavádět inovativní, vhodné a účinnější služby. V mnoha odvětvích jsou výrobci díky kontrole, kterou mají nad technickým návrhem připojených výrobků nebo souvisejících služeb, schopni určit, jaká data se vytvářejí a jak k nim lze získat přístup, i když na tato data nemají žádné zákonné právo. Je proto nezbytné zajistit, aby připojené výrobky byly navrhovány a vyráběny a související služby byly navrhovány a poskytovány takovým způsobem, aby data z připojených výrobků nebo ze souvisejících služeb včetně relevantních metadat nezbytných pro interpretaci a využívání těchto dat, mimo jiné za účelem jejich získání, využití nebo sdílení, byla uživateli vždy snadno dostupná, a to bezplatně, v komplexním, strukturovaném, běžně používaném a strojově čitelném formátu. Data z výrobků a data ze souvisejících služeb, která držitel dat legálně získá nebo může legálně získat z připojeného výrobku nebo ze související služby, například prostřednictvím návrhu připojeného výrobku, smlouvy držitele dat s uživatelem o poskytování souvisejících služeb nebo technických prostředků připojeného výrobku pro přístup k datům, a to bez nepřiměřeného úsilí, se označují jako „snadno dostupná data“. Snadno dostupná data nezahrnují data vytvářená používáním připojeného výrobku, pokud návrh připojeného výrobku nepředpokládá, že by tato data měla být uchovávána nebo přenášena mimo součást, v níž jsou vytvářena, nebo mimo připojený výrobek jako celek. Toto nařízení by proto nemělo být chápáno tak, že ukládá povinnost uchovávat data v centrální výpočetní jednotce připojeného výrobku. Neexistence takové povinnosti by neměla výrobci nebo držiteli dat bránit v tom, aby se s uživatelem dobrovolně dohodli na provedení takových úprav. Povinnostmi týkajícími se návrhu uvedenými v tomto nařízení rovněž není dotčena zásada minimalizace údajů stanovená v čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679 a tyto povinnosti by neměly být chápány tak, že ukládají povinnost navrhovat připojené výrobky a související služby tak, aby uchovávaly nebo jinak zpracovávaly jiné osobní údaje než ty, které jsou nezbytné ke splnění účelů, pro které jsou zpracovávány. Unijní nebo vnitrostátní právo by mohlo být zavedeno s cílem vymezit další specifické aspekty, jako data z výrobku, která by měla být přístupná z připojených výrobků nebo souvisejících služeb, neboť tato data mohou být nezbytná pro účinný provoz, opravu nebo údržbu těchto připojených výrobků či souvisejících služeb. Pokud následné aktualizace nebo změny připojeného výrobku nebo související služby provedené výrobcem nebo jinou stranou povedou k rozšíření přístupných dat nebo omezení původně přístupných dat, uživatel by měl být v souvislosti s takovou aktualizací či změnou o této skutečnosti informován.

(21)

Jestliže je za uživatele považováno několik osob nebo subjektů, například v případě spoluvlastnictví nebo pokud vlastník, nájemce nebo leasingový nájemce sdílí práva na přístup k datům nebo na jejich využívání, měl by návrh připojeného výrobku nebo související služby nebo příslušného rozhraní umožnit každému uživateli přístup k datům, která vytváří. Uživatelé připojených výrobků, které vytvářejí data, obvykle vyžadují zřízení uživatelského účtu. Takový uživatelský účet umožňuje identifikaci uživatele držitelem dat, kterým může být i výrobce. Zároveň slouží jako způsob komunikace, jakož i za účelem podávání a zpracování žádostí o přístup k datům. Pokud několik výrobců nebo poskytovatelů souvisejících služeb prodalo, pronajalo nebo pronajalo formou leasingu připojené výrobky nebo poskytlo související služby integrované dohromady stejnému uživateli, měl by se tento uživatel obrátit na každou ze stran, s níž uzavřel smlouvu. Výrobci nebo návrháři připojeného výrobku, který je obvykle používán několika osobami, by měli zavést nezbytné mechanismy, které v příslušných případech umožní používat oddělené uživatelské účty pro jednotlivé osoby nebo stejný účet pro několik osob. Řešení týkající se účtů by měla uživatelům umožnit vymazat jejich účty i data s nimi související a mohla by uživatelům umožnit ukončit přístup k datům, jejich využívání nebo sdílení nebo podat žádost o takové ukončení, zejména pokud jde o situace, kdy dojde ke změně vlastnictví nebo používání připojeného produktu. Přístup by měl být uživateli poskytnut na základě jednoduchého mechanismu žádostí, které umožňují automatické vyřízení a nevyžadují přezkoumání nebo povolení ze strany výrobce nebo držitele dat. To znamená, že data by měla být zpřístupněna pouze tehdy, pokud si to uživatel skutečně přeje. Není-li automatické vyřízení žádosti o přístup k datům možné, například prostřednictvím uživatelského účtu nebo doprovodné mobilní aplikace poskytnuté s připojeným výrobkem nebo související službou, měl by výrobce uživatele informovat o tom, jak může k datům získat přístup.

(22)

Připojené výrobky mohou být navrženy tak, aby určitá data byla přístupná přímo z paměti zařízení nebo ze vzdáleného serveru, na který jsou data přenášena. Přístup k paměti zařízení může být umožněn prostřednictvím kabelových nebo bezdrátových místních sítí připojených k veřejně dostupné službě elektronických komunikací nebo mobilní síti. Server může být součástí místní serverové kapacity výrobce nebo třetí strany nebo poskytovatele cloudových služeb. Zpracovatelé dat ve smyslu čl. 4 bodu 8 nařízení (EU) 2016/679 se nepovažují za držitele dat. Mohou však být správcem ve smyslu čl. 4 bodu 7 nařízení (EU) 2016/679 výslovně pověřeni zpřístupněním dat. Připojené výrobky mohou být navrženy tak, aby uživateli nebo třetí straně umožnily zpracovávat data na připojeném výrobku, výpočetní instanci výrobce nebo v prostředí informačních a komunikačních technologií (IKT), které si uživatel nebo třetí strana zvolí.

(23)

Virtuální asistenti hrají stále významnější úlohu při digitalizaci spotřebitelského a profesního prostředí a slouží jako snadno použitelné rozhraní pro přehrávání obsahu, získávání informací nebo aktivaci výrobků připojených k internetu. Virtuální asistenti mohou fungovat jako jediná brána například v inteligentním domácím prostředí a zaznamenávat značné množství příslušných dat o tom, jak uživatelé interagují s výrobky připojenými k internetu, včetně výrobků vyrobených jinými stranami, a mohou nahradit používání rozhraní poskytovaných výrobcem, jako jsou dotykové obrazovky nebo aplikace pro chytré telefony. Uživatel může chtít tato data zpřístupnit výrobcům, kteří jsou třetími stranami, a umožnit nové chytré služby. Na virtuální asistenty by se měla vztahovat práva na přístup k datům stanovená v tomto nařízení. Práva na přístup k datům podle tohoto nařízení by se měla vztahovat i na data vytvářená, když uživatel interaguje s připojeným výrobkem prostřednictvím virtuálního asistenta poskytnutého jiným subjektem, než je výrobce připojeného výrobku. Toto nařízení by se však mělo vztahovat pouze na data pocházející z interakce mezi uživatelem a připojeným výrobkem nebo související službou prostřednictvím virtuálního asistenta. Na data vytvořená virtuálním asistentem, která nesouvisejí s používáním připojeného výrobku nebo související služby, se toto nařízení nevztahuje.

(24)

Před uzavřením smlouvy o koupi, pronájmu nebo leasingu připojeného výrobku by měl prodejce, pronajímatel nebo poskytovatel leasingu, jimiž může být i výrobce, uživateli poskytnout jasným a srozumitelným způsobem informace o datech, která je tento připojený výrobek schopen vytvářet, včetně typu, formátu a odhadovaného objemu těchto dat. Zahrnuty by mohly být informace o datových strukturách, datových formátech, slovnících, klasifikačních systémech, taxonomiích a seznamech kódů, jsou-li k dispozici, jakož i jasné a dostatečné informace týkající se výkonu práv uživatele o tom, jak lze data uchovávat, vyhledávat nebo jak k nim získat přístup, včetně podmínek používání a kvality služeb rozhraní pro programování aplikací nebo případně informace o poskytování sad pro vývoj softwaru. Tato povinnost zajišťuje transparentnost vytvořených dat z výrobku a zlepšuje snadný přístup pro uživatele. Povinnost poskytovat informace by mohla být splněna například tak, že bude na internetu udržován stabilní jednotný lokátor zdroje (URL), který lze šířit jako internetový odkaz nebo kód QR s odkazem na příslušné informace, jež by mohl prodejce, pronajímatel nebo poskytovatel leasingu, jimiž může být i výrobce, poskytnout uživateli před uzavřením smlouvy o koupi, pronájmu nebo leasingu připojeného výrobku. V každém případě je nezbytné zajistit, aby uživatel mohl informace uchovávat způsobem, který je přístupný pro budoucí využití a který umožňuje reprodukci uložených informací v nezměněném stavu. Od držitele dat nelze očekávat, že bude data uchovávat bez časového omezení s ohledem na potřeby uživatele připojeného výrobku, měl by však zavést přiměřenou politiku uchovávání dat, která je v příslušných případech v souladu se zásadou omezení uložení podle čl. 5 odst. 1 písm. e) nařízení (EU) 2016/679 a která umožní účinné uplatňování práv na přístup k datům stanovených v tomto nařízení. Povinností poskytovat informace není dotčena povinnost správce poskytovat informace subjektu údajů podle článků 12, 13 a 14 nařízení (EU) 2016/679. Povinnost poskytnout informace před uzavřením smlouvy o poskytování související služby by měl mít potenciální držitel dat, a to nezávisle na tom, zda tento potenciální držitel dat uzavře smlouvu o koupi, pronájmu nebo leasingu připojeného výrobku. Pokud se informace během doby životnosti připojeného výrobku nebo smluvního období související služby změní, včetně případů, kdy má dojít ke změně původně stanoveného účelu použití těchto dat, měly by být uživateli rovněž sděleny.

(25)

Toto nařízení by nemělo být chápáno tak, že držitelům dat uděluje jakékoli nové právo využívat data z výrobků nebo data ze souvisejících služeb. Pokud je držitelem dat výrobce připojeného výrobku, měla by být základem pro použití neosobních údajů výrobcem smlouva mezi ním a uživatelem. Taková smlouva by měla být součástí dohody o poskytování související služby, která může být poskytována společně se smlouvou o koupi, pronájmu nebo leasingu týkající se připojeného výrobku. Jakékoli smluvní ujednání, které stanoví, že držitel dat může data z výrobku nebo data ze související služby používat, by mělo být pro uživatele transparentní, a to i pokud jde o účely, pro které držitel dat hodlá data použít. Mezi tyto účely by mohlo patřit zlepšení fungování připojeného výrobku nebo souvisejících služeb, vývoj nových výrobků nebo služeb nebo agregace dat s cílem zpřístupnit výsledná data třetím stranám, pokud taková odvozená data neumožňují identifikaci konkrétních dat předaných držiteli dat z připojeného výrobku nebo neumožňují třetí straně tato data odvodit z datového souboru. Veškeré změny ve smlouvě by měly podléhat informovanému souhlasu uživatele. Toto nařízení nebrání stranám, aby se dohodly na smluvních ujednáních, jejichž účinkem je vyloučit nebo omezit použití neosobních údajů nebo některých jejich kategorií držitelem dat. Nebrání ani stranám, aby se dohodly na zpřístupnění dat z výrobků nebo dat ze souvisejících služeb třetím stranám, a to buď přímo, nebo případně nepřímo prostřednictvím jiného držitele dat. Kromě toho toto nařízení nebrání odvětvovým regulačním požadavkům podle práva Unie nebo vnitrostátního práva slučitelného s právem Unie v tom, aby vyloučily nebo omezily použití některých takových dat držitelem dat z jasně vymezených důvodů veřejného pořádku. Dále nebrání uživatelům v tom, aby v případě vztahů mezi podniky zpřístupnili data třetím stranám nebo držitelům dat na základě jakéhokoli smluvního ujednání, které není protiprávní, včetně souhlasu s omezením nebo omezením dalšího sdílení těchto dat, nebo aby jim byla poskytnuta přiměřená kompenzace, například výměnou za to, že se vzdají svého práva na používání nebo sdílení takových dat. Pojem „držitel dat“ obecně nezahrnuje subjekty veřejného sektoru; může však zahrnovat veřejné podniky.

(26)

Aby se podpořil vznik likvidních, spravedlivých a účinných trhů s neosobními údaji, měli by mít uživatelé připojených výrobků možnost sdílet data s ostatními, a to i pro komerční účely, při vynaložení minimálního právního a technického úsilí. Pro podniky je v současné době často obtížné odůvodnit náklady na zaměstnance nebo výpočetní techniku, které jsou nezbytné pro přípravu souborů neosobních údajů nebo datových produktů, a nabídnout je potenciálním protistranám prostřednictvím služeb zprostředkování dat, včetně datových tržišť. Značná překážka pro sdílení neosobních údajů ze strany podniků tak vyplývá z nedostatečné předvídatelnosti ekonomické návratnosti investic do kurátorství a zpřístupňování datových souborů nebo datových produktů. S cílem umožnit vznik likvidních, spravedlivých a účinných trhů s neosobními údaji v Unii, musí být vyjasněna strana, která má právo tyto údaje nabízet na trhu. Uživatelé by proto měli mít právo sdílet neosobní údaje s příjemci dat pro komerční a nekomerční účely. Toto sdílení údajů by mohlo být prováděno přímo uživatelem, a to na základě jeho žádosti, prostřednictvím držitele dat nebo prostřednictvím služeb zprostředkování dat. Služby zprostředkování dat, jak jsou upraveny nařízením Evropského parlamentu a Rady (EU) 2022/868 (22), by mohly usnadnit ekonomiku založenou na datech tím, že vytvoří obchodní vztahy mezi uživateli, příjemci dat a třetími stranami, a mohou podporovat uživatele při výkonu jejich práva na využívání dat, například zajištěním anonymizace osobních údajů nebo agregací přístupu k datům od více jednotlivých uživatelů. Pokud jsou data vyňata z povinnosti držitele dat zpřístupnit je uživatelům nebo třetím stranám, mohl by být rozsah těchto dat upřesněn ve smlouvách mezi uživatelem a držitelem dat o poskytování související služby, aby uživatelé mohli snadno určit, která data jsou pro ně k dispozici pro sdílení s příjemci dat nebo třetími stranami. Držitelé dat by neměli zpřístupnit neosobní údaje z produktu třetím stranám pro jiné komerční nebo nekomerční účely, než je plnění jejich smlouvy s uživatelem, aniž by tím byly dotčeny právní požadavky na zpřístupnění dat držitelem dat podle unijního nebo vnitrostátního práva. V příslušných případech by měli držitelé dat smluvně zavázat třetí strany, aby dále nesdílely data, která od nich obdržely.

(27)

V odvětvích, která se vyznačují koncentrací malého počtu výrobců dodávajících připojené výrobky koncovým uživatelům, mohou mít uživatelé k dispozici pouze omezené možnosti, pokud jde o přístup k datům, jejich využívání a sdílení. Za těchto okolností mohou být smlouvy nedostatečné k dosažení cíle spočívajícího v posílení postavení uživatelů, a pro uživatele je tak obtížnější získat hodnotu z dat vytvářených připojeným výrobkem, který si zakoupili, pronajali nebo pronajali formou leasingu. V důsledku toho existují pro inovativní menší podniky v Unii jen omezené možnosti nabízet řešení založená na datech konkurenčním způsobem a pro rozmanitou ekonomiku založenou na datech. Toto nařízení by proto mělo vycházet z nedávného vývoje v konkrétních odvětvích, jako je kodex chování o sdílení zemědělských dat na základě smlouvy. K řešení potřeb a cílů specifických pro jednotlivá odvětví mohou být přijaty příslušné unijní nebo vnitrostátní právní předpisy. Držitelé dat by dále neměli používat žádná snadno dostupná data, která jsou neosobními údaji, k získání poznatků o ekonomické situaci uživatele nebo o jeho aktivech či výrobních metodách nebo o využívání těchto dat uživatelem jakýmkoli jiným způsobem, jenž by mohl narušit obchodní postavení uživatele na trzích, na nichž působí. To by mohlo zahrnovat využití znalostí o celkové výkonnosti podniku nebo zemědělského podniku v rámci vyjednávání smluv s uživatelem o možném nabytí výrobků nebo zemědělských produktů uživatele ke škodě uživatele nebo využití těchto informací k zanesení v souhrnné podobě do větších databází o určitých trzích, například do databází výnosů plodin pro nadcházející sklizeň, neboť takové využití by mohlo uživatele nepřímo negativně ovlivnit. Uživatel by měl mít k dispozici nezbytné technické rozhraní pro správu povolení, pokud možno s podrobnými možnostmi povolení, například „povolit jednou“ nebo „povolit při používání této aplikace nebo služby“, včetně možnosti povolení odebrat.

(28)

Ve smlouvách mezi držitelem dat a spotřebitelem jakožto uživatelem připojeného výrobku nebo související služby vytvářejících data se uplatní spotřebitelské právo Unie, zejména směrnice 93/13/EHS a 2005/29/ES, aby se zajistilo, že se na spotřebitele nebudou vztahovat nepřiměřená smluvní ujednání. Pro účely tohoto nařízení by nepřiměřená smluvní ujednání jednostranně uložená danému podniku neměla být pro tento podnik závazná.

(29)

Držitelé dat mohou požadovat vhodnou identifikaci uživatele, aby ověřili jeho oprávnění k přístupu k datům. V případě osobních údajů zpracovávaných zpracovatelem jménem správce by měli držitelé dat zajistit, aby zpracovatel žádost o přístup obdržel a vyřídil.

(30)

Uživatel by měl mít možnost používat data k jakémukoli zákonnému účelu. To zahrnuje poskytnutí dat, která uživatel obdržel při výkonu svých práv podle tohoto nařízení, třetí straně nabízející poprodejní službu, která může soutěžit se službou poskytovanou držitelem dat, nebo tím pověřit držitele dat. Výše uvedenou žádost by měl podat uživatel nebo oprávněná třetí strana jednající jménem uživatele, včetně poskytovatele oprávněné služby zprostředkování dat. Držitelé dat by měli zajistit, aby data zpřístupněná třetí straně byla stejně přesná, úplná, spolehlivá, relevantní a aktuální jako data z používání připojeného výrobku nebo související služby, k nimž může být sám držitel dat schopen nebo oprávněn získat přístup. Při nakládání s daty by měla být dodržována veškerá práva duševního vlastnictví. Je důležité zachovat pobídky k investování do výrobků, jejichž funkce jsou založené na využívání dat ze senzorů zabudovaných do těchto výrobků.

(31)

Směrnice Evropského parlamentu a Rady (EU) 2016/943 (23) stanoví, že získání, využití nebo zpřístupnění obchodního tajemství se považuje za oprávněné, mimo jiné pokud toto získání, využití nebo zpřístupnění požaduje nebo povoluje unijní nebo vnitrostátní právo. Ačkoli toto nařízení vyžaduje, aby držitelé dat zpřístupnili určitá data uživatelům nebo třetím stranám podle volby uživatele, a to i v případě, že tato data splňují podmínky pro ochranu obchodního tajemství, mělo by být vykládáno tak, aby byla zachována ochrana obchodního tajemství podle směrnice (EU) 2016/943. V této souvislosti by držitelé dat měli mít možnost požadovat, aby uživatelé nebo třetí strany podle volby uživatele zachovávali důvěrnost dat považovaných za obchodní tajemství. Za tímto účelem by měli držitelé dat určit obchodní tajemství před zpřístupněním dat a měli by mít možnost dohodnout se s uživateli nebo třetími stranami podle volby uživatele na opatřeních nezbytných k zachování důvěrnosti tohoto tajemství, včetně použití vzorových smluvních ujednání, dohod o důvěrnosti, přísných přístupových protokolů, technických norem a uplatňování kodexů chování. Kromě využívání vzorových smluvních ujednání, které má vypracovat a doporučit Komise, by k dosažení cíle tohoto nařízení mohlo přispět zavedení kodexů chování a technických norem týkajících se ochrany obchodního tajemství při nakládání s daty a mělo by být podporováno. Pokud dohoda o nezbytných opatřeních neexistuje nebo pokud uživatel nebo třetí strany podle volby uživatele dohodnutá opatření neprovádějí nebo narušují důvěrnost obchodního tajemství, měl by mít držitel dat možnost dočasně odmítnout nebo pozastavit sdílení dat označených jako obchodní tajemství. V takových případech by měl držitel dat neprodleně toto rozhodnutí sdělit písemně uživateli nebo třetí straně a oznámit příslušnému orgánu členského státu, v němž je držitel dat usazen, že sdílení dat dočasně odmítl nebo pozastavil, a určit, která opatření nebyla dohodnuta nebo provedena a případně u kterých obchodních tajemství byla narušena jejich důvěrnost. Držitelé dat v zásadě nemohou odmítnout žádost o přístup k datům podle tohoto nařízení pouze na základě toho, že některá data jsou považována za obchodní tajemství, neboť by to oslabilo zamýšlené účinky tohoto nařízení. Za výjimečných okolností však může držitel dat, který je vlastníkem obchodního tajemství, v jednotlivých případech žádost o konkrétní data odmítnout, je-li schopen uživateli nebo třetí straně prokázat, že navzdory technickým a organizačním opatřením přijatým uživatelem nebo třetí stranou je velmi pravděpodobné, že v důsledku vyzrazení tohoto obchodního tajemství vzniknou vážné hospodářské škody. „Vážné hospodářské škody“ znamenají vážné a nenapravitelné hospodářské ztráty. Držitel dat by měl uživateli nebo třetí straně své odmítnutí řádně a neprodleně písemně odůvodnit a informovat v tomto smyslu příslušný orgán. Toto odůvodnění by mělo vycházet z objektivních skutečností a prokázat konkrétní riziko vážných hospodářských škod očekávaných v důsledku vyzrazení konkrétních dat, jakož i důvody, proč opatření přijatá na ochranu požadovaných dat nejsou považována za dostatečná. V této souvislosti lze zohlednit možný negativní dopad na kybernetickou bezpečnost. Pokud si uživatel nebo třetí strana přejí napadnout rozhodnutí držitele dat odmítnout, dočasně odmítnout nebo pozastavit sdílení dat, mohou podat stížnost příslušnému orgánu, který by měl bez zbytečného odkladu rozhodnout, zda a za jakých podmínek by mělo být sdílení dat zahájeno nebo obnoveno, nebo se s držitelem dat dohodnout, že věc postoupí subjektu pro řešení sporů, a to aniž je dotčeno právo domáhat se nápravy u soudu členského státu. Výjimky z práv na přístup k datům v tomto nařízení by v žádném případě neměly omezit práva subjektů údajů na přístup k datům a práva na přenositelnost dat podle nařízení (EU) 2016/679.

(32)

Cílem tohoto nařízení je nejen podpořit vývoj nových inovativních připojených výrobků nebo souvisejících služeb a stimulovat inovace na poprodejních trzích, ale také stimulovat vývoj zcela nových služeb využívajících dotčená data, a to i na základě dat z různých připojených výrobků nebo souvisejících služeb. Cílem tohoto nařízení je rovněž zabránit oslabení motivace investovat do typu připojeného výrobku, z něhož jsou data získávána, například použitím dat k vývoji konkurenčního připojeného výrobku, jenž je uživateli považován za zaměnitelný nebo nahraditelný, zejména na základě jeho vlastností, ceny a zamýšleného použití. Toto nařízení nestanoví žádný zákaz vývoje související služby za použití dat získaných podle tohoto nařízení, neboť by to mělo nežádoucí odrazující účinek na inovace. Zákaz používání dat, k nimž byl získán přístup na základě tohoto nařízení, pro vývoj konkurenčního připojeného výrobku chrání inovační úsilí držitelů dat. To, zda připojený výrobek konkuruje připojenému výrobku, z něhož data pocházejí, závisí na tom, zda si oba připojené výrobky konkurují na stejném výrobkovém trhu. To lze určit na základě zavedených zásad práva Unie v oblasti hospodářské soutěže pro vymezení relevantního výrobkového trhu. Nicméně, mezi další zákonné účely využití dat by mohlo patřit reverzní inženýrství za předpokladu, že je v souladu s požadavky stanovenými v tomto nařízení a v unijním nebo vnitrostátním právu. Může se jednat o účely opravy nebo prodloužení životnosti připojeného výrobku nebo poskytování poprodejních služeb pro připojené výrobky.

(33)

Třetí stranou, které se data zpřístupňují, může být fyzická nebo právnická osoba, jako je spotřebitel, podnik, nezisková výzkumná organizace nebo subjekt jednající v rámci profesní činnosti. Při zpřístupňování dat třetí straně by držitel dat neměl zneužívat svého postavení k získání konkurenční výhody na trzích, na nichž mohou být držitel dat a třetí strana přímými konkurenty. Držitel dat by proto neměl používat žádná snadno dostupná data k získání poznatků o hospodářské situaci třetí strany nebo o jejích aktivech či výrobních metodách nebo o využívání těchto dat touto třetí stranou jakýmkoli jiným způsobem, jenž by mohl narušit obchodní postavení třetí strany na trzích, na nichž působí. Uživatel by měl mít možnost sdílet neosobní údaje s třetími stranami pro komerční účely. Po dohodě s uživatelem a s výhradou ustanovení tohoto nařízení by třetí strany měly mít možnost převést práva na přístup k datům udělená uživatelem dalším třetím stranám, a to i za kompenzaci. Zprostředkovatelé dat mezi podniky a systémy pro správu osobních informací (PIMS), jež jsou v nařízení (EU) 2022/868 označovány jako služby zprostředkování dat, mohou podporovat uživatele nebo třetí strany při navazování obchodních vztahů s neurčeným počtem potenciálních protistran pro jakýkoli zákonný účel spadající do oblasti působnosti tohoto nařízení. Mohli by hrát zásadní úlohu při agregaci přístupu k datům, která by mohla usnadňovat analýzy dat velkého objemu nebo strojové učení, za předpokladu, že uživatelé budou mít i nadále plnou kontrolu nad tím, zda poskytnou svá data k takové agregaci, a nad obchodními podmínkami, za nichž mají být jejich data používána.

(34)

Používáním připojeného výrobku nebo související služby mohou být, zejména je-li uživatelem fyzická osoba, vytvářena data, která se týkají subjektu údajů. Zpracování těchto dat podléhá pravidlům stanoveným v nařízení (EU) 2016/679, včetně případů, kdy jsou osobní a neosobní údaje v datovém souboru neoddělitelně propojeny. Subjektem údajů může být uživatel nebo jiná fyzická osoba. Osobní údaje může požadovat pouze správce nebo subjekt údajů. Uživatel, který je subjektem údajů, je za určitých okolností podle nařízení (EU) 2016/679 oprávněn k přístupu k osobním údajům, které se jej týkají, a tato práva nejsou tímto nařízením dotčena. Podle tohoto nařízení má uživatel, který je fyzickou osobou, dále právo na přístup ke všem údajům vytvořeným připojeným výrobkem, bez ohledu na to, zda jsou osobní či neosobní. Pokud uživatel není subjektem údajů, ale podnikem, včetně samostatného obchodníka, avšak nikoli v případě, že připojený výrobek používá společná domácnost, považuje se uživatel za správce. Takový uživatel, který má jako správce v úmyslu požádat o osobní údaje vytvořené používáním připojeného výrobku nebo související služby, proto musí mít právní základ pro zpracování údajů, jak vyžaduje čl. 6 odst. 1 nařízení (EU) 2016/679, jako je souhlas subjektu údajů nebo splnění smlouvy, jejíž smluvní stranou je subjekt údajů. Tento uživatel by měl zajistit, aby byl subjekt údajů náležitě informován o konkrétních, výslovně vyjádřených a legitimních účelech zpracování těchto údajů a o tom, jak může subjekt údajů účinně vykonávat svá práva. Pokud jsou držitel dat a uživatel společnými správci ve smyslu článku 26 nařízení (EU) 2016/679, jsou povinni transparentním ujednáním vymezit své podíly na odpovědnosti za plnění příslušných povinností podle uvedeného nařízení. Přitom se rozumí, že tento uživatel se poté, co byla data zpřístupněna, může stát držitelem dat, pokud splňuje kritéria podle tohoto nařízení, a tudíž se na něj budou vztahovat povinnosti zpřístupnit data podle tohoto nařízení.

(35)

Data z výrobku nebo data ze související služby by měla být zpřístupněna třetí straně pouze na žádost uživatele. Toto nařízení proto doplňuje právo subjektů údajů, stanovené v článku 20 nařízení (EU) 2016/679, získat osobní údaje, které se jich týkají, ve strukturovaném, běžně používaném a strojově čitelném formátu, jakož i právo předat tyto údaje jiným správcům, pokud jsou zpracovávány automatizovanými postupy na základě čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na základě smlouvy podle čl. 6 odst. 1 písm. b) uvedeného nařízení. Subjekty údajů mají též právo na to, aby osobní údaje byly předány přímo jedním správcem jinému správci, ale pouze pokud je to technicky možné. Článek 20 nařízení (EU) 2016/679 upřesňuje, že se to týká údajů poskytnutých subjektem údajů, ale neuvádí, zda to vyžaduje aktivní jednání na straně subjektu údajů, nebo zda se to vztahuje i na situace, kdy jsou připojený výrobek nebo související služba koncipovány tak, aby pasivně sledovaly chování subjektu údajů nebo jiné informace týkající se subjektu údajů. Práva podle tohoto nařízení doplňují právo získat a předat osobní údaje podle článku 20 nařízení (EU) 2016/679 několika způsoby. Toto nařízení uděluje uživatelům právo na přístup k datům z výrobku nebo ze související služby, bez ohledu na to, zda se jedná o osobní údaje nebo zda se jedná o aktivně poskytnutá nebo pasivně pozorovaná data, a bez ohledu na právní základ zpracování, a právo zpřístupnit tato data třetí straně. Na rozdíl od článku 20 nařízení (EU) 2016/679 toto nařízení ukládá a zajišťuje technickou proveditelnost přístupu třetích stran pro všechny druhy dat spadajících do jeho oblasti působnosti bez ohledu na to, zda jsou osobní či neosobní povahy, čímž zajišťuje, aby technické překážky již neznemožňovaly přístup k těmto datům nebo v něm nebránily. Umožňuje rovněž držitelům dat stanovit přiměřenou kompenzaci, kterou musí uhradit třetí strany, nikoli však uživatel, za náklady vzniklé při poskytování přímého přístupu k datům vytvořeným připojeným výrobkem uživatele. Pokud se držitel dat a třetí strana nemohou dohodnout na podmínkách takového přímého přístupu, subjektu údajů by v žádném případě nemělo být bráněno ve výkonu práv stanovených v nařízení (EU) 2016/679, včetně práva na přenositelnost údajů, tím, že bude usilovat o nápravu v souladu s uvedeným nařízením. V této souvislosti se má za to, že v souladu s nařízením (EU) 2016/679 smlouva neumožňuje držiteli dat nebo třetí straně zpracovávat zvláštní kategorie osobních údajů.

(36)

Přístup k veškerým datům uloženým v koncovém zařízení a z takového zařízení přístupným podléhá směrnici 2002/58/ES a vyžaduje souhlas účastníka nebo uživatele ve smyslu uvedené směrnice, pokud to není nezbytně nutné pro poskytování služby informační společnosti výslovně požadované uživatelem nebo účastníkem nebo pouze pro účely přenosu sdělení. Směrnice 2002/58/ES chrání integritu koncového zařízení uživatele, pokud jde o využívání funkcí zpracování a uchovávání a shromažďování informací. Zařízení internetu věcí se považuje za koncové zařízení, pokud je přímo nebo nepřímo připojené k veřejné komunikační síti.

(37)

Aby se zabránilo využívání uživatelů, měly by třetí strany, kterým byla data na žádost uživatele zpřístupněna, zpracovávat tato data pouze pro účely dohodnuté s uživatelem a sdílet je s jinou třetí stranou pouze tehdy, pokud s tímto sdílením uživatel souhlasí.

(38)

V souladu se zásadou minimalizace údajů by třetí strany měly mít přístup pouze k informacím, které jsou nezbytné pro poskytování služby požadované uživatelem. Po obdržení přístupu k datům by třetí strana měla tato data zpracovávat pro účely dohodnuté s uživatelem, aniž by do toho zasahoval držitel dat. Pro uživatele by mělo být stejně snadné odmítnout nebo ukončit přístup třetí strany k datům jako povolit přístup. Třetí strany ani držitelé dat by neměli uživatelům nepřiměřeně ztěžovat volbu nebo výkon práv, například tím, že by uživatelům nabízeli volbu jiným než neutrálním způsobem, nebo uživatele jakýmkoli způsobem nutili, klamali nebo manipulovali nebo oslabovali či narušovali autonomii, rozhodování nebo volbu uživatele, a to ani prostřednictvím digitálního rozhraní s uživatelem nebo jeho částí. V této souvislosti by třetí strany nebo držitelé dat neměli při navrhování svých digitálních rozhraní spoléhat na tzv. temné vzorce („dark patterns“). Temné vzorce jsou techniky navrhování, které klamou spotřebitele nebo je nutí k rozhodnutím, která pro ně mají negativní důsledky. Tyto manipulační techniky lze použít k přesvědčování uživatelů, zejména zranitelných spotřebitelů, k tomu, aby se dopouštěli nežádoucího chování, ke klamání uživatelů tím, že je nabádají k rozhodnutím o transakcích souvisejících se zpřístupněním dat nebo k nepřiměřenému ovlivňování rozhodování uživatelů služby způsobem, který oslabuje nebo narušuje jejich autonomii, rozhodování a volbu. Běžné a legitimní obchodní praktiky, které jsou v souladu s právem Unie, by samy o sobě neměly být považovány za temné vzorce. Třetí strany a držitelé dat by měli dodržovat své povinnosti podle příslušného práva Unie, zejména požadavky stanovené ve směrnicích Evropského parlamentu a Rady 98/6/ES (24) a 2000/31/ES (25) a ve směrnicích 2005/29/ES a 2011/83/EU.

(39)

Třetí strany by se rovněž měly zdržet používání dat spadajících do oblasti působnosti tohoto nařízení k profilování fyzických osob, pokud tyto činnosti zpracování nejsou nezbytně nutné pro poskytování služby požadované uživatelem, a to i v souvislosti s automatizovaným rozhodováním. Požadavek vymazat data, pokud již nejsou potřeba pro účel dohodnutý s uživatelem a nebylo-li v souvislosti s neosobními údaji dohodnuto jinak, doplňuje právo subjektu údajů na výmaz podle článku 17 nařízení (EU) 2016/679. Je-li třetí strana poskytovatelem služby zprostředkování dat, použijí se záruky pro subjekt údajů stanovené v nařízení (EU) 2022/868. Třetí strana může data použít k vývoji nového a inovativního připojeného výrobku nebo související služby, nikoli však k vývoji konkurenčního připojeného výrobku.

(40)

Začínající podniky, malé podniky a podniky, které jsou považovány za střední podniky podle článku 2 přílohy doporučení 2003/361/ES, a podniky z tradičních odvětví s méně rozvinutými digitálními kapacitami mají potíže získat přístup k příslušným datům. Cílem tohoto nařízení je usnadnit těmto subjektům přístup k datům a zároveň zajistit, aby odpovídající povinnosti byly z hlediska oblasti působnosti co nejpřiměřenější, aby se zabránilo přesahu. V digitální ekonomice se zároveň objevil malý počet velmi velkých podniků se značnou hospodářskou silou pramenící z hromadění a agregace velkých objemů dat a technologické infrastruktury pro jejich zpeněžení. Mezi tyto velmi velké podniky patří podniky, které poskytují hlavní služby platforem a kontrolují celé ekosystémy platforem v digitální ekonomice a s nimiž stávající nebo noví účastníci trhu nemohou soutěžit nebo pro ně být výzvou. Cílem nařízení Evropského parlamentu a Rady (EU) 2022/1925 (26) je napravit tyto nedostatky a nerovnováhu tím, že Komisi umožní označit konkrétní podnik za „strážce přístupu“, a ukládá těmto strážcům přístupu řadu povinností, včetně zákazu kombinovat některá data bez souhlasu a povinnosti zajistit účinná práva na přenositelnost údajů podle článku 20 nařízení (EU) 2016/679. V souladu s nařízením (EU) 2022/1925 a vzhledem k bezkonkurenční schopnosti těchto podniků získávat data není nutné dosáhnout cíle tohoto nařízení, a bylo by proto nepřiměřené ve vztahu k držitelům dat, na něž se uvedené povinnosti vztahují, zahrnout strážce přístupu jako poživatele práva na přístup k datům. Toto zahrnutí by také pravděpodobně omezilo přínosy tohoto nařízení pro malé a střední podniky v souvislosti se spravedlivým rozložením hodnoty dat mezi účastníky trhu. To znamená, že podnik poskytující hlavní služby platforem, který byl označen za strážce přístupu, nemůže požádat o data uživatelů vytvářená používáním připojeného výrobku nebo související služby nebo virtuálním asistentem podle tohoto nařízení ani k nim získat přístup. Kromě toho třetí strany, jimž jsou data na žádost uživatele zpřístupněna, je nesmějí strážci přístupu zpřístupnit. Třetí strana například nesmí zadat poskytování služeb strážci přístupu. To však nebrání třetím stranám ve využívání služeb zpracování dat nabízených strážcem přístupu. Nebrání to ani těmto podnikům v získávání a využívání stejných dat jinými zákonnými prostředky. Přístupová práva stanovená v tomto nařízení přispívají k širší nabídce služeb pro spotřebitele. Jelikož dobrovolné dohody mezi strážci přístupu a držiteli dat zůstávají nedotčeny, omezení poskytování přístupu strážcům přístupu by je nevyloučilo z trhu ani jim nebránilo v nabízení jejich služeb.

(41)

Vzhledem k současnému stavu techniky by další povinnosti týkající se návrhu ve vztahu k připojeným výrobkům vyrobeným nebo navrženým mikropodniky a malými podniky nebo jimi poskytovaným souvisejícím službám představovaly pro tyto podniky přílišnou zátěž. Tak tomu však není v případě, kdy mikropodnik nebo malý podnik má partnerský podnik nebo propojený podnik ve smyslu článku 3 přílohy doporučení 2003/361/ES, které nelze považovat za mikropodnik nebo malý podnik a je subdodavatelsky pověřen výrobou nebo navržením připojeného výrobku nebo poskytováním souvisejících služeb. V takových situacích je podnik, který mikropodniku nebo malému podniku tyto subdodávky na výrobu nebo navržení výrobku zadal, schopen subdodavateli uhradit odpovídající kompenzaci. Nicméně se na mikropodnik nebo malý podnik mohou vztahovat požadavky stanovené tímto nařízením jako na držitele dat, pokud není výrobcem připojeného výrobku nebo poskytovatelem souvisejících služeb. Na podnik, který lze považovat za střední podnik po dobu kratší než jeden rok, a připojené výrobky, které střední podnik uvádí na trh po dobu kratší než jeden rok, by se mělo vztahovat přechodné období. Toto jednoroční období umožňuje takovému střednímu podniku přizpůsobit a připravit se, než bude na trhu služeb pro připojené výrobky, které vyrábí, vystaven hospodářské soutěži založené na přístupových právech podle tohoto nařízení. Toto přechodné období se neuplatní, pokud takový střední podnik má partnerský podnik nebo propojený podnik, které nelze považovat za mikropodnik nebo malý podnik nebo byl takový střední podnik subdodavatelsky pověřen výrobou nebo navržením připojeného výrobku nebo poskytováním související služby.

(42)

S ohledem na řadu připojených výrobků, které vytvářejí data různé povahy, objemu a četnosti, představují různé úrovně dat a kybernetických bezpečnostních rizik a nabízejí ekonomické příležitosti různé hodnoty, a za účelem zajištění jednotnosti postupů sdílení dat na vnitřním trhu, a to i napříč odvětvími, jakož i za účelem podpory a prosazování spravedlivých postupů sdílení dat, a to i v oblastech, kde takové právo na přístup k datům není poskytnuto, stanoví toto nařízení horizontální pravidla týkající se způsobů přístupu k datům, kdykoli je držitel dat podle právních předpisů Unie nebo vnitrostátních právních předpisů přijatých v souladu s právními předpisy Unie povinen zpřístupnit data příjemci dat. Takový přístup by měl být založen na spravedlivých, přiměřených, nediskriminačních a transparentních podmínkách. Tato obecná pravidla pro přístup se nevztahují na povinnosti zpřístupnit data podle nařízení (EU) 2016/679. Dobrovolné sdílení dat zůstává těmito pravidly nedotčeno. Nezávazná vzorová smluvní ujednání pro sdílení dat mezi podniky, která má vypracovat a doporučit Komise, mohou stranám pomoci uzavřít smlouvy, které obsahují spravedlivé, přiměřené a nediskriminační podmínky a které mají být prováděny transparentním způsobem. Uzavření smluv obsahujících nezávazná vzorová smluvní ujednání by však nemělo znamenat, že právo sdílet data se třetími stranami je jakkoli podmíněno existencí takové smlouvy. Pokud strany nejsou schopny uzavřít smlouvu o sdílení dat, a to ani s podporou subjektů pro řešení sporů, je právo sdílet data se třetími stranami vymahatelné u vnitrostátních soudů.

(43)

Na základě zásady smluvní svobody by strany měly mít i nadále možnost sjednat přesné podmínky pro zpřístupnění dat ve svých smlouvách v rámci obecných pravidel pro přístup upravujících zpřístupňování dat. Podmínky těchto smluv by mohly zahrnovat technická a organizační opatření, a to i v souvislosti se zabezpečením dat.

(44)

Aby se zajistilo, že podmínky pro povinný přístup k datům budou pro obě strany smlouvy spravedlivé, měla by obecná pravidla upravující práva přístupu k datům odkazovat na pravidla týkající se zamezení nepřiměřeným smluvním ujednáním.

(45)

Veškeré dohody uzavřené v rámci vztahů mezi podniky za účelem zpřístupnění dat by rovněž neměly diskriminovat srovnatelné kategorie příjemců dat, a to bez ohledu na to, zda jsou stranami velké podniky, mikropodniky nebo malé či střední podniky. Za účelem vyvážení nedostatku informací o podmínkách obsažených v různých smlouvách, znesnadňujícího příjemci dat posouzení, zda podmínky pro zpřístupnění dat nejsou diskriminační, by povinnost prokázat, že smluvní ujednání není diskriminační, měli mít držitelé dat. Nezákonnou diskriminaci nepředstavují situace, kdy držitel dat používá pro zpřístupnění dat různá smluvní ujednání, jestliže to může odůvodnit objektivními důvody. Těmito povinnostmi není dotčeno nařízení (EU) 2016/679.

(46)

Na podporu pokračujících investic do vytváření cenných dat a do jejich zpřístupnění, včetně investic do příslušných technických nástrojů, a zároveň k zamezení nadměrné zátěži související s přístupem k datům a jejich využívání, v jejímž důsledku sdílení dat přestává být z obchodního hlediska proveditelné, obsahuje toto nařízení zásadu, že v rámci vztahů mezi podniky mohou držitelé dat požadovat přiměřenou kompenzaci, pokud jsou podle právních předpisů Unie nebo podle vnitrostátních právních předpisů přijatých v souladu s právními předpisy Unie povinni zpřístupnit data příjemci dat. Tato kompenzace by neměla být chápána jako platba za samotná data. Komise by měla přijmout pokyny pro výpočet přiměřené kompenzace v ekonomice založené na datech.

(47)

Za prvé může přiměřená kompenzace za splnění právní povinnosti podle právních předpisů Unie nebo vnitrostátních právních předpisů přijatých v souladu s právními předpisy Unie vyhovět žádosti o zpřístupnění dat zahrnovat kompenzaci za náklady vzniklé v souvislosti se zpřístupněním dat. Těmito náklady na zpřístupnění dat mohou být náklady technického charakteru nezbytné pro reprodukci dat, šíření dat elektronickými prostředky a jejich uchovávání, nikoli však pro sběr nebo vytváření dat. Tyto technické náklady by mohly rovněž zahrnovat náklady na zpracování, které jsou nezbytné pro zpřístupnění dat, včetně nákladů souvisejících s formátováním dat. Náklady spojené se zpřístupněním dat mohou rovněž zahrnovat náklady na to, aby se usnadnilo podávání konkrétních žádosti o sdílení dat. Mohou se rovněž lišit v závislosti na objemu dat a na opatřeních přijatých pro jejich zpřístupnění. Dlouhodobá ujednání mezi držiteli dat a příjemci dat, například formou předplatného nebo použitím inteligentních smluv, by mohla snížit náklady v rámci pravidelných nebo opakovaných transakcí v obchodním vztahu. Náklady spojené se zpřístupněním dat jsou buď specifické pro konkrétní žádost, nebo jsou sdíleny s náklady na jiné žádosti. V posledně uvedeném případě by jediný příjemce dat neměl hradit náklady na zpřístupnění dat v plné výši. Za druhé může přiměřená kompenzace zahrnovat také marži, s výjimkou malých a středních podniků a neziskových výzkumných organizací. Marže se může lišit v závislosti na faktorech souvisejících se samotnými daty, jako jsou jejich objem, formát nebo povaha. Lze přitom zohlednit náklady na shromažďování dat. Marže se proto může snížit, pokud držitel dat shromáždil data pro účely svého podnikání bez významných investic, nebo se může zvýšit, pokud jsou investice do sběru dat pro účely podnikání držitele dat vysoké. Může být omezena nebo dokonce vyloučena v situacích, kdy použití dat příjemcem dat nemá vliv na vlastní činnost držitele dat. Skutečnost, že data jsou spoluvytvářena připojeným výrobkem vlastněným, pronajatým, nebo pronajatým formou leasingu uživatelem, by mohla rovněž snížit výši kompenzace ve srovnání s jinými situacemi, kdy data vytváří držitel dat, například při poskytování související služby.

(48)

Není nutné zasahovat v případě sdílení dat mezi velkými podniky nebo v případě, že držitelem dat je malý nebo střední podnik a příjemcem dat je velký podnik. V takových případech se má za to, že podniky jsou schopny vyjednat kompenzaci ve výši, která je přiměřená a není diskriminační.

(49)

V zájmu ochrany malých a středních podniků před nadměrnou ekonomickou zátěží, která by jim z obchodního hlediska příliš ztížila vývoj a provozování inovativních obchodních modelů, by přiměřená odměna za zpřístupnění dat, kterou mají zaplatit, neměla přesáhnout náklady přímo související se zpřístupněním dat. Přímo související náklady jsou náklady, které lze přičíst jednotlivým žádostem, s přihlédnutím k tomu, že držitel dat bude muset trvale zajistit nezbytná technická rozhraní nebo související software a připojení. Stejný režim by se měl vztahovat na neziskové výzkumné organizace.

(50)

V řádně odůvodněných případech, včetně případů, kdy je potřeba zabezpečit účast spotřebitelů a hospodářskou soutěž nebo podporovat inovace na určitých trzích, mohou právní předpisy Unie nebo vnitrostátní právní předpisy přijaté v souladu s právními předpisy Unie stanovit za zpřístupnění konkrétních druhů dat regulovanou kompenzaci.

(51)

Transparentnost je důležitou zásadou k zajištění toho, aby kompenzace požadovaná držitelem dat byla přiměřená, nebo pokud je příjemcem dat malý a střední podnik nebo nezisková výzkumná organizace, aby odměna nepřesáhla náklady přímo související se zpřístupněním dat příjemci dat a aby se týkala příslušné individuální žádosti. Aby příjemci dat mohli posoudit a ověřit, že kompenzace splňuje požadavky tohoto nařízení, měl by držitel dat poskytnout příjemci dat dostatečně podrobné informace pro výpočet výše kompenzace.

(52)

Zajištění přístupu k alternativním způsobům řešení vnitrostátních a přeshraničních sporů vzniklých v souvislosti se zpřístupňováním dat by mělo být přínosem pro držitele dat a příjemce dat, a tak posílit důvěru ve sdílení dat. V případech, kdy se strany nedokáží dohodnout na spravedlivých, přiměřených a nediskriminačních podmínkách zpřístupňování dat, by subjekty pro řešení sporů měly stranám nabídnout jednoduché, rychlé a levné řešení. Zatímco toto nařízení pouze stanoví podmínky, které musí subjekty pro řešení sporů splnit, aby mohly být certifikovány, členské státy mohou přijmout konkrétní pravidla pro postup certifikace, včetně pravidel týkajících se ukončení platnosti nebo zrušení certifikace. Ustanovení tohoto nařízení o řešení sporů by neměla členským státům ukládat povinnost zřídit subjekty pro řešení sporů.

(53)

Postup řešení sporů podle tohoto nařízení je dobrovolný a umožňuje, aby se uživatelé, držitelé dat a příjemci dat dohodli na předložení svých sporů subjektům pro řešení sporů. Dotčené strany by proto měly mít možnost obrátit se na subjekt pro řešení sporů podle vlastního výběru, ať už v členských státech, v nichž jsou tyto strany usazeny, nebo mimo ně.

(54)

Aby se zabránilo případům, kdy pro tentýž spor bude zahájeno řízení u dvou nebo více subjektů pro řešení sporů, zejména v situaci, kdy se jedná o přeshraniční spor, měl by mít subjekt pro řešení sporů možnost odmítnout zabývat se žádostí o vyřešení sporu, který již byl předložen jinému subjektu pro řešení sporů nebo soudu členského státu.

(55)

Aby bylo zajištěno jednotné uplatňování tohoto nařízení, měly by subjekty pro řešení sporů zohlednit nezávazná vzorová smluvní ujednání, která má vypracovat a doporučit Komise, jakož i unijní nebo vnitrostátní právo upřesňující povinnosti sdílení dat nebo pokyny vydané odvětvovými orgány pro uplatňování těchto předpisů.

(56)

Stranám řízení o řešení sporu by nemělo být bráněno ve výkonu jejich základních práv na účinnou právní ochranu a spravedlivý proces. Rozhodnutí předložit spor subjektu pro řešení sporů by proto nemělo tyto strany zbavit práva domáhat se nápravy u soudu členského státu. Subjekty pro řešení sporů by měly zveřejňovat výroční zprávy o své činnosti.

(57)

Držitelé dat mohou uplatnit přiměřená technická ochranná opatření, aby zabránili neoprávněnému zpřístupnění dat nebo přístupu k nim. Tato opatření by však neměla rozlišovat mezi příjemci dat ani bránit uživatelům nebo příjemcům dat v přístupu k datům nebo jejich využívání. V případě nekalých praktik ze strany příjemce dat, jako uvedení držitele dat v omyl poskytnutím nepravdivých informací s úmyslem použít data k nezákonným účelům, včetně vývoje konkurenčního připojeného výrobku na základě těchto dat, může držitel dat, případně vlastník obchodního tajemství, nejde-li o stejnou osobu, nebo uživatel požádat třetí stranu nebo příjemce dat, aby neprodleně přijali nápravná opatření. Veškeré takové žádosti, a zejména žádosti týkající se ukončení výroby, nabízení nebo uvádění zboží, odvozených dat nebo služeb na trh, jakož i žádosti o ukončení dovozu, vývozu, skladování zboží porušujícího právo nebo jeho zničení, by měly být posuzovány z hlediska jejich přiměřenosti ve vztahu k zájmům držitele dat, vlastníka obchodního tajemství, nebo uživatele.

(58)

Pokud je jedna ze stran v silnější vyjednávací pozici, existuje riziko, že by tato strana mohla při vyjednávání o přístupu k datům využít tohoto postavení na úkor druhé smluvní strany, což by mělo za následek, že přístup k datům by byl z obchodního hlediska hůře proveditelný a někdy ekonomicky neúnosný. Taková smluvní nerovnováha působí újmu všem podnikům, které nejsou v pozici vyjednat podmínky pro přístup k datům a jimž případně nezbude nic jiného než přijmout smluvní ujednání typu „ber nebo nech být“. Nepřiměřená smluvní ujednání upravující přístup k datům a jejich využívání nebo odpovědnost a prostředky nápravy v případě porušení nebo zániku povinností souvisejících s daty by proto neměla být pro podniky závazná, pokud jim byla uložena jednostranně.

(59)

Pravidla týkající se smluvních ujednání by měla zohledňovat zásadu smluvní svobody jako pojem, který je ve vztazích mezi podniky zásadní. Zkoušce přiměřenosti by tudíž neměla podléhat všechna smluvní ujednání, ale pouze ta, která jsou uložena jednostranně. To se týká situací typu „ber nebo nech být“, kdy jedna strana stanoví určité smluvní ujednání a jiný podnik nemůže obsah tohoto ujednání ovlivnit navzdory snaze o jeho vyjednání. Smluvní ujednání, které je pouze předloženo jednou stranou a přijato jiným podnikem, nebo ujednání, které je sjednáno a následně dohodnuto změněným způsobem mezi smluvními stranami, by nemělo být považováno za jednostranně uložené.

(60)

Pravidla týkající se nepřiměřených smluvních ujednání by se navíc měla vztahovat pouze na ty prvky smlouvy, které se týkají zpřístupňování dat, tj. smluvních ujednání týkajících se přístupu k datům a jejich využívání, jakož i odpovědnosti nebo prostředků nápravy v případě porušení a zániku povinností souvisejících s daty. Zkouška přiměřenosti stanovená v tomto nařízení by se neměla vztahovat na jiné části téže smlouvy, které nesouvisejí se zpřístupněním dat.

(61)

Kritéria pro určení nepřiměřených smluvních ujednání by se měla uplatňovat pouze na neúměrná smluvní ujednání, v jejichž případě došlo ke zneužití silnější vyjednávací pozice. Převážná většina smluvních ujednání, která jsou z obchodního hlediska výhodnější pro jednu stranu než pro druhou, včetně těch, které jsou běžné ve smlouvách mezi podniky, je běžným vyjádřením zásady smluvní svobody a platí i nadále. Pro účely tohoto nařízení by podstatné odchýlení se od poctivých obchodních zvyklostí zahrnovalo mimo jiné objektivní narušení schopnosti strany, jíž bylo dané ujednání jednostranně uloženo, chránit svůj oprávněný obchodní zájem na dotčených datech.

(62)

V zájmu zajištění právní jistoty stanoví toto nařízení seznam ujednání, která jsou vždy považována za nepřiměřená, a seznam ujednání, u nichž se předpokládá, že jsou nepřiměřená. V tomto druhém případě by měl mít podnik, který smluvní ujednání prosazuje, možnost vyvrátit domněnku nepřiměřenosti tím, že prokáže, že uvedené smluvní ujednání uvedené v tomto nařízení není v daném konkrétním případě nepřiměřené. Není-li smluvní ujednání uvedeno na seznamu ujednání, která jsou vždy považována za nepřiměřená, nebo se u nich předpokládá, že jsou nepřiměřená, použije se obecné ustanovení o nepřiměřenosti. V tomto ohledu by seznam nepřiměřených smluvních ujednání podle tohoto nařízení měl sloužit jako měřítko pro výklad obecného ustanovení o nepřiměřenosti. A konečně, pro obchodní strany mohou být při sjednávání smluv užitečné také nezávazná vzorová smluvní ujednání pro smlouvy o sdílení dat mezi podniky, které vypracuje a doporučí Komise. Je-li smluvní ujednání prohlášeno za nepřiměřené, měla by dotčená smlouva platit i nadále bez tohoto ujednání, ledaže nepřiměřené smluvní ujednání nelze od ostatních ujednání smlouvy oddělit.

(63)

V situacích výjimečné potřeby může být nezbytné, aby subjekty veřejného sektoru, Komise, Evropská centrální banka nebo subjekty Unie použily při výkonu svých zákonných povinností ve veřejném zájmu stávající data, případně včetně doprovodných metadat, a to za účelem reakce na krizovou situaci nebo v jiných mimořádných případech. Na rozdíl od jiných situací, které mohou být plánované, ohlášené, pravidelné nebo časté, jsou situace výjimečné potřeby nepředvídatelné a časově omezené. Ačkoli pojem „držitel dat“ obecně subjekty veřejného sektoru nezahrnuje, může zahrnovat veřejné podniky. Organizace provádějící výzkum a organizace financující výzkum by rovněž mohly mít strukturu a fungovat jako subjekty veřejného sektoru nebo veřejnoprávní subjekty. V zájmu omezení zátěže podniků by mikropodniky a malé podniky měly mít povinnost poskytovat data subjektům veřejného sektoru, Komisi, Evropské centrální bance nebo subjektům Unie pouze v situacích výjimečné potřeby za účelem reakce na krizovou situaci, kdy subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie nejsou schopny tato data včas a efektivně získat za rovnocenných podmínek alternativními prostředky.

(64)

V případě krizových situací, jako jsou ohrožení veřejného zdraví, mimořádné situace způsobené velkými přírodními katastrofami, včetně těch, které jsou umocněny změnou klimatu a zhoršováním stavu životního prostředí, i závažných katastrof způsobených člověkem, jako jsou významné kybernetické bezpečnostní incidenty, převáží veřejný zájem vyplývající z použití dat nad zájmy držitelů dat volně nakládat s daty, která mají v držení. V takovém případě by držitelé dat měli mít povinnost data subjektům veřejného sektoru, Komisi, Evropské centrální bance či subjektům Unie na jejich žádost zpřístupnit. Existence krizové situace by měla být určena nebo vyhlášena v souladu s unijním nebo vnitrostátním právem a vycházet z příslušných postupů, včetně přístupů příslušných mezinárodních organizací. V takových případech by měl subjekt veřejného sektoru prokázat, že data spadající do rozsahu žádosti by jinak nemohla být získána včas a efektivně a za rovnocenných podmínek, a to například tím, že data dobrovolně poskytne jiný podnik, nebo využitím veřejné databáze.

(65)

Výjimečná potřeba může rovněž vyplynout z jiných než mimořádných situací. V takových případech by subjektu veřejného sektoru, Komisi, Evropské centrální bance nebo subjektu Unie mělo být umožněno požadovat pouze neosobní údaje. Subjekt veřejného sektoru by měl prokázat, že dotčená data jsou nezbytná pro splnění konkrétního úkolu prováděného ve veřejném zájmu, který je výslovně stanoven zákonem, jako je vypracování oficiálních statistik nebo zmírňování krizové situace nebo zotavení z ní. Kromě toho lze takovou žádost podat pouze tehdy, pokud subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie určily konkrétní data, která by jinak nebylo možné získat včas a efektivně a za rovnocenných podmínek, a pokud vyčerpal všechny ostatní prostředky, které měl k získání těchto dat k dispozici, jako je získávání dat na základě dobrovolných dohod, včetně zakoupení neosobních údajů na trhu nabízením tržních cen, nebo spoléhání se na stávající povinnosti data zpřístupnit nebo přijetí nových legislativních opatření, která by mohla zaručit včasnou dostupnost dat. Dále by se měly použít podmínky a zásady, jimiž se řídí žádosti týkající se účelového omezení, proporcionality, transparentnosti a časového omezení. V případě žádostí o data nezbytná pro tvorbu oficiálních statistik by měl žádající subjekt veřejného sektoru rovněž prokázat, zda mu vnitrostátní právo mu neumožňuje zakoupit neosobní údaje na trhu.

(66)

Toto nařízení by se nemělo vztahovat na dobrovolná ujednání o výměně dat mezi soukromými a veřejnými subjekty, včetně poskytování dat malými a středními podniky, ani taková ujednání omezovat, přičemž jím nejsou dotčeny právní akty Unie, které stanoví povinné žádosti veřejných subjektů o informace určené soukromým subjektům. Tímto nařízením by neměly být dotčeny povinnosti poskytnout data ukládané držitelům dat, které jsou odůvodněny potřebami nevýjimečné povahy, zejména pokud je známa škála dat a držitelů dat nebo pokud lze data pravidelně využívat, jako je tomu v případě oznamovacích povinností a povinností vnitřního trhu. Tímto nařízením by rovněž neměly být dotčeny požadavky na přístup k datům za účelem ověření souladu s platnými pravidly, a to i v případech, kdy subjekty veřejného sektoru pověří ověřováním souladu jiné subjekty než subjekty veřejného sektoru.

(67)

Toto nařízení doplňuje unijní a vnitrostátní právo, které stanoví přístup k datům pro statistické účely a využívání těchto dat, zejména nařízení Evropského parlamentu a Rady (ES) č. 223/2009 (27), jakož i vnitrostátní právní akty týkající se oficiálních statistik, přičemž však uvedené právo není tímto nařízením nijak dotčeno.

(68)

Při plnění svých úkolů v oblasti prevence, vyšetřování, odhalování či stíhání trestných činů nebo správních deliktů nebo výkonu trestních a správních sankcí, jakož i sběru dat pro daňové nebo celní účely by subjekty veřejného sektoru, Komise, Evropská centrální banka nebo subjekty Unie měly vycházet ze svých pravomocí podle unijního nebo vnitrostátního práva. Tímto nařízením proto nejsou dotčeny legislativní akty o sdílení dat, přístupu k nim a jejich využívání v uvedených oblastech.

(69)

V souladu s čl. 6 odst. 1 a 3 nařízení (EU) 2016/679 je při stanovení právního základu nezbytný přiměřený, omezený a předvídatelný rámec na úrovni Unie k tomu, aby držitelé dat zpřístupnili data subjektům veřejného sektoru a Komisi, Evropské centrální bance nebo subjektům Unie v případě výjimečné potřeby, a to jak pro zajištění právní jistoty, tak pro minimalizaci administrativní zátěže kladené na podniky. Za tímto účelem by žádosti subjektů veřejného sektoru, Komise, Evropské centrální banky nebo subjektů Unie o data předkládané držitelům dat měly být specifické, transparentní a přiměřené, pokud jde o rozsah jejich obsahu a jejich granularitu. Účel žádosti a zamýšlené použití požadovaných dat by měly být konkrétní a jasně vysvětlené a subjekt podávající žádost by zároveň měl mít náležitou flexibilitu při plnění svých specifických úkolů ve veřejném zájmu. Žádost by měla rovněž respektovat oprávněné zájmy držitelů dat, jimž je podávána. Zátěž držitelů dat by měla být minimalizována tím, že se subjektům, které žádají o data, uloží povinnost dodržovat zásadu „pouze jednou“, která brání tomu, aby o stejná data žádal více než jednou více než jeden subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekty Unie. Pro zajištění transparentnosti by žádosti o data předložené Komisí, Evropskou centrální bankou nebo subjekty Unie měly být bez zbytečného odkladu zveřejněny subjektem požadujícím data. Evropská centrální banka a subjekty Unie by měly informovat Komisi o svých žádostech. Pokud byla žádost o data předložena subjektem veřejného sektoru, měl by tento subjekt tuto skutečnost rovněž oznámit datovému koordinátoru členského státu, v němž je subjekt veřejného sektoru usazen. Všechny žádosti by měly být veřejně dostupné on-line. Po obdržení oznámení žádosti o data může příslušný orgán rozhodnout, že posoudí zákonnost žádosti, a vykonávat své funkce v souvislosti s vymáháním a uplatňováním tohoto nařízení. Datový koordinátor by měl zajistit, aby byly všechny žádosti předložené subjekty veřejného sektoru veřejně dostupné on-line.

(70)

Cílem povinnosti poskytnout data je zajistit, aby subjekty veřejného sektoru, Komise, Evropská centrální banka nebo subjekty Unie měly k dispozici informace nezbytné pro reakci na krizové situace, předcházení takovým situacím nebo zotavení z nich nebo pro zachování schopnosti plnit specifické úkoly výslovně stanovené zákonem. Data získaná uvedenými subjekty mohou mít z obchodního hlediska citlivou povahu. Nařízení (EU) 2022/868 ani směrnice Evropského parlamentu a Rady (EU) 2019/1024 (28) by se proto neměly použít na data zpřístupněná podle tohoto nařízení a tato data by neměla být považována za otevřená data, která jsou k dispozici pro opakované použití třetími stranami. Tím by však neměla být dotčena použitelnost směrnice (EU) 2019/1024 na opakované použití oficiálních statistik, pro jejichž vypracování byla použita data získaná podle tohoto nařízení, za předpokladu, že opakované použití nezahrnuje podkladová data. Dále by jím neměla být dotčena možnost sdílení dat pro účely provádění výzkumu nebo vývoje, tvorby a šíření oficiálních statistik, a to za předpokladu, že jsou splněny podmínky stanovené v tomto nařízení. Subjektům veřejného sektoru by rovněž mělo být umožněno vyměňovat si data získaná podle tohoto nařízení s jinými subjekty veřejného sektoru, Komisí, Evropskou centrální bankou nebo subjekty Unie za účelem řešení výjimečných potřeb, pro které byla data vyžádána.

(71)

Držitelé dat by měli mít možnost buď odmítnout žádost podanou subjektem veřejného sektoru, Komisí, Evropskou centrální bankou nebo subjektem Unie, nebo požádat o její změnu bez zbytečného odkladu a v každém případě nejpozději ve lhůtě pěti nebo 30 pracovních dnů v závislosti na povaze výjimečné potřeby uvedené v žádosti. Držitel dat by měl mít v příslušných případech tuto možnost, pokud nemá nad požadovanými daty kontrolu, konkrétně pokud k nim nemá okamžitý přístup a nemůže rozhodnout o jejich dostupnosti. Pokud lze prokázat, že žádost je podobná žádosti, která již byla podána za stejným účelem jiným subjektem veřejného sektoru nebo Komisí, Evropskou centrální bankou nebo subjektem Unie, a pokud držiteli dat nebylo oznámeno vymazání dat podle tohoto nařízení, mělo by to představovat oprávněný důvod pro nezpřístupnění dat. Držitel dat, který žádost odmítne nebo žádá o její změnu, by měl subjektu veřejného sektoru, Komisi, Evropské centrální bance nebo subjektu Unie, které data požadují, sdělit své odůvodnění. V případech, kdy se na požadované soubory dat vztahuje právní ochrana databází podle směrnice Evropského parlamentu a Rady 96/9/ES (29), by měli držitelé dat vykonávat svá práva tak, aby nebránili subjektu veřejného sektoru, Komisi, Evropské centrální bance nebo subjektům Unie data získat nebo je sdílet v souladu s tímto nařízením.

(72)

V případě výjimečné potřeby související s reakcí na krizovou situaci by subjekty veřejného sektoru měly pokud možno používat neosobní údaje. Pokud jde o žádosti založené na výjimečné potřebě, která s krizovou situací nesouvisí, nelze osobní údaje požadovat. Vždy, když jsou osobní údaje součástí žádosti, měl by je držitel dat anonymizovat. Je-li naprosto nezbytné do dat zpřístupněných subjektu veřejného sektoru, Komisi, Evropské centrální bance nebo subjektu Unie osobní údaje zahrnout, nebo pokud se anonymizace ukáže jako nemožná, měl by subjekt požadující data prokázat naprostou nezbytnost a specifické a omezené účely zpracování. Přitom by měla být dodržována příslušná pravidla pro ochranu osobních údajů. Zpřístupnění dat a jejich následné použití by mělo být doprovázeno zárukami týkajícími se práv a zájmů fyzických osob, jichž se tato data týkají.

(73)

Data zpřístupněná subjektům veřejného sektoru, Komisi, Evropské centrální bance nebo subjektům Unie na základě výjimečné potřeby by měla být použita pouze pro účely, pro které byla vyžádána, pokud držitel dat, který data zpřístupnil, výslovně nesouhlasil s tím, aby byla použita k jiným účelům. Data by měla být vymazána, jakmile již nejsou nezbytná pro účely uvedené v žádosti, není-li dohodnuto jinak, a držitel dat by o tom měl být informován. Toto nařízení vychází ze stávajících režimů přístupu v Unii a členských státech a nemění vnitrostátní právní předpisy upravující přístup veřejnosti k dokumentům v souvislosti s povinnostmi týkajícími se transparentnosti. Data by měla být vymazána, jakmile již nejsou pro plnění povinností týkajících se transparentnosti potřebná.

(74)

Při opakovaném použití dat poskytnutých držiteli dat by subjekty veřejného sektoru, Komise, Evropská centrální banka nebo subjekty Unie měly dodržovat stávající použitelné unijní nebo vnitrostátní právo i smluvní závazky, které se na držitele dat vztahují. Měly by se zdržet vývoje nebo vylepšování připojeného výrobku či související služby, které konkurují připojenému výrobku nebo související službě držitele dat, jakož i sdílení dat s třetí stranou za uvedenými účely. Měly by rovněž poskytnout držitelům dat veřejné uznání, pokud o něj požádají, a měly by odpovídat za zachování bezpečnosti obdržených dat. Je-li ke splnění účelu, pro který byla data vyžádána, nezbytně nutné zpřístupnit subjektům veřejného sektoru, Komisi, Evropské centrální bance nebo subjektům Unie obchodní tajemství, měla by být před zpřístupněním dat zaručena důvěrnost zpřístupnění dotčeného obchodního tajemství.

(75)

Je-li v sázce ochrana významného veřejného zájmu, jako je reakce na krizové situace, nemělo by se od subjektu veřejného sektoru, Komise, Evropské centrální banky nebo dotčeného subjektu Unie očekávat, že podnikům za získaná data poskytne kompenzaci. Krizové situace jsou ojedinělé situace a ne všechny takové situace vyžadují použití dat, která mají podniky k dispozici. Zároveň by povinnost poskytovat data mohla představovat značnou zátěž pro mikropodniky a malé podniky, a tudíž by jim mělo být umožněno požadovat kompenzaci i v souvislosti s reakcí na krizovou situaci. Není proto pravděpodobné, že by podnikatelské činnosti držitelů dat byly negativně ovlivněny, když subjekty veřejného sektoru, Komise, Evropská centrální banka nebo subjekty Unie uplatní toto nařízení. Ovšem vzhledem k tomu, že jiné případy výjimečné potřeby než reakce na krizové situace mohou být častější, měli by mít držitelé dat v takových případech nárok na přiměřenou kompenzaci, která by neměla přesáhnout technické a organizační náklady vzniklé v souvislosti s vyhověním žádosti a přiměřenou marži pro zpřístupnění dat subjektu veřejného sektoru, Komisi, Evropské centrální bance nebo subjektu Unie. Uvedená kompenzace by neměla být chápána jako platba za samotná data ani jako povinná. Držitelé dat by neměli mít možnost požadovat kompenzaci, pokud vnitrostátní právo brání národním statistickým úřadům nebo jiným vnitrostátním orgánům odpovídajícím za tvorbu statistik poskytovat držitelům dat kompenzaci za zpřístupnění dat. Subjekt veřejného sektoru, Komise, Evropská centrální banka nebo dotčený subjekt Unie by měly být oprávněny výši kompenzace požadované držitelem dat zpochybnit tím, že se v této věci obrátí na příslušný orgán členského státu, v němž je držitel dat usazen.

(76)

Subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie by měly být oprávněny sdílet data získaná na základě žádosti s jinými subjekty nebo osobami, pokud je to nezbytné k provádění činností vědeckého výzkumu nebo analytických činností, které tento subjekt nemůže provádět sám, a to za předpokladu, že jsou tyto činnosti slučitelné s účelem, pro který byla data vyžádána. O tomto sdílení by měl dotčený subjekt včas informovat držitele dat. Taková data mohou být za stejných okolností rovněž sdílena s národními statistickými úřady a Eurostatem pro účely vývoje, tvorby a šíření oficiálních statistik. Tyto výzkumné činnosti by však měly být slučitelné s účelem, pro který byla data vyžádána, a držitel dat by měl být informován o dalším sdílení dat, která poskytl. Fyzické osoby provádějící výzkum nebo výzkumné organizace, s nimiž mohou být tato data sdílena, by měly jednat buď na neziskovém základě, nebo v rámci poslání ve veřejném zájmu uznaného státem. Pro účely tohoto nařízení by za výzkumné organizace neměly být považovány organizace pod významným vlivem obchodních podniků, které nad nimi vykonávají kontrolu skrze postavení ve struktuře, což by mohlo mít za následek přednostní přístup k výsledkům výzkumu.

(77)

V zájmu řešení přeshraničních krizových situací nebo jiných výjimečných potřeb mohou být žádosti o data adresovány držitelům dat v jiných členských státech, než je stát žádajícího subjektu veřejného sektoru. V takovém případě by měl žádající subjekt veřejného sektoru učinit oznámení u příslušného orgánu členského státu, v němž je držitel dat usazen, aby tento orgán mohl žádost posoudit podle kritérií stanovených v tomto nařízení. Stejný postup by měl platit pro žádosti Komise, Evropské centrální banky nebo subjektu Unie. Pokud jsou předmětem žádosti osobní údaje, mělo by být oznámení učiněno dozorovému úřadu odpovědnému za monitorování uplatňování nařízení (EU) 2016/679 v členském státě, v němž je držitel dat usazen. Dotčený příslušný orgán by měl být oprávněn doporučit subjektu veřejného sektoru, Komisi, Evropské centrální bance nebo subjektu Unie, aby spolupracovaly se subjekty veřejného sektoru členského státu, v němž je usazen držitel dat, pokud jde o zajištění co nejmenší administrativní zátěže pro držitele dat. Má-li příslušný orgán odůvodněné námitky ohledně souladu žádosti s tímto nařízením, měl by žádost subjektu veřejného sektoru, Komise, Evropské centrální banky nebo subjektu Unie zamítnout, přičemž dotčený subjekt by měl tyto námitky před učiněním jakýchkoli dalších úkonů, včetně opětovného podání žádosti, zohlednit.

(78)

Schopnost zákazníků služeb zpracování dat, včetně cloudových a edgeových služeb, změnit poskytovatele služby zpracování dat a přitom zachovat minimální funkčnost služby a zabránit přerušení služeb nebo využívat služeb několika poskytovatelů současně bez zbytečných překážek a nákladů na přenos dat je klíčovou podmínkou pro konkurenceschopnější trh s menšími překážkami pro vstup nových poskytovatelů služeb zpracování dat na trh a pro zajištění vyšší odolnosti uživatelů těchto služeb. Zákazníci, kteří využívají nabídky bezplatných služeb, by rovněž měli mít možnost využívat ustanovení o změně poskytovatele, která jsou stanovena v tomto nařízení, aby nedocházelo k jejich závislosti na těchto službách.

(79)

Nařízení Evropského parlamentu a Rady (EU) 2018/1807 (30) vybízí poskytovatele služeb zpracování dat, aby vytvářeli a účinně prováděli samoregulační kodexy chování zahrnující osvědčené postupy mimo jiné pro usnadnění změny poskytovatele služeb zpracování dat a přenosu dat. Vzhledem k omezenému zavádění takto vytvořených samoregulačních rámců a obecné nedostupnosti otevřených norem a rozhraní je nezbytné přijmout soubor minimálních regulačních povinností pro poskytovatele služeb zpracování dat s cílem odstranit překážky v předobchodní fázi, jakož i obchodní, technické, smluvní a organizační překážky, mimo jiné omezování rychlosti předávání dat při odchodu zákazníka, které brání účinné změně poskytovatelů služeb zpracování dat.

(80)

Služby zpracování dat by měly zahrnovat služby, které umožňují na vyžádání všudypřítomný síťový přístup ke konfigurovatelnému, rozšiřitelnému a přizpůsobitelnému sdílenému úložišti distribuovaných výpočetních zdrojů. Tyto výpočetní zdroje zahrnují zdroje, jako jsou sítě, servery nebo jiná virtuální nebo fyzická infrastruktura, software, včetně nástrojů pro vývoj softwaru, úložiště, aplikace a služby. Schopnost zákazníka využívajícího službu zpracování dat jednostranně vlastními silami využívat výpočetní potenciál, jako je čas serveru nebo ukládání na síti, bez jakékoli interakce poskytovatele služeb zpracování dat s člověkem, by bylo možné popsat jako schopnost vyžadující minimální úsilí vynaložené na správu a minimální interakci mezi poskytovatelem a zákazníkem. Pojmem „všudypřítomný“ se rozumí výpočetní kapacita poskytovaná po síti a zpřístupněná prostřednictvím mechanismů podporujících použití heterogenních platforem s tenkými nebo tlustými klienty (od webových prohlížečů po mobilní zařízení a pracovní stanice). Pojem „rozšiřitelný“ poukazuje na skutečnost, že v zájmu pokrytí nerovnoměrné poptávky jsou výpočetní zdroje přidělovány poskytovatelem služeb zpracování dat flexibilně, bez ohledu na zeměpisnou polohu zdrojů. Pojem „přizpůsobitelný“ označuje skutečnost, že uvedené výpočetní zdroje jsou poskytovány a uvolňovány na základě poptávky, aby bylo možno urychleně zvyšovat nebo snižovat dostupné zdroje se zřetelem na zatížení. Pojmem „sdílené úložiště“ se rozumí, že uvedené výpočetní zdroje jsou poskytovány vícero uživatelům, kteří k dané službě sdílejí společný přístup, avšak zpracování probíhá pro každého uživatele odděleně, byť je služba poskytována z téhož elektronického zařízení. Pojem „distribuovaný“ označuje ty výpočetní zdroje, které se nacházejí na různých sítově propojených počítačích nebo zařízeních a které mezi sebou komunikují a koordinují se prostřednictvím předávání zpráv. Pojem „vysoce distribuovaný“ se používá k popisu služeb zpracování dat, které zahrnují zpracování dat blíže místu, kde jsou data generována nebo shromažďována, například v připojeném zařízení pro zpracování dat. Očekává se, že edge computing, který je formou takového vysoce distribuovaného zpracování dat, vytvoří nové obchodní modely a modely poskytování cloudových služeb, které by měly být od samého počátku otevřené a interoperabilní.

(81)

Obecný pojem „služby zpracování dat“ zahrnuje značný počet služeb s velmi širokou škálou různých účelů, funkcí a technického uspořádání. Jak je obecně chápáno poskytovateli a uživateli a v souladu s široce používanými normami, spadají služby zpracování dat do jednoho nebo více z následujících tří modelů poskytování služeb zpracování dat, a to IaaS (infrastruktura jako služba – Infrastructure-as-a-Service), PaaS (platforma jako služba – Platform-as-a-Service) a SaaS (software jako služba – Software-as-a-Service). Tyto modely poskytování služeb představují specifickou, předem připravenou kombinaci zdrojů informačních a komunikačních technologií, které nabízí poskytovatel služby zpracování dat. Uvedené tři základní modely poskytování služeb zpracování dat jsou dále rozšířeny o nové variace, přičemž se každá skládá z odlišné kombinace zdrojů informačních a komunikačních technologií, jako je úložiště jako služba (Storage-as-a-Service) a databáze jako služba (Database-as-a-Service). Služby zpracování dat lze rozdělit podrobněji a nevyčerpávajícím způsobem do souborů služeb zpracování dat, které mají stejný primární cíl a hlavní funkce, jakož i stejný typ modelů zpracování dat, které nesouvisejí s provozními vlastnostmi služby (stejný druh služby). Služby stejného druhu mohou sdílet stejný model poskytování služeb zpracování dat, nicméně se může zdát, že dvě databáze mají tentýž primární cíl, avšak po zvážení jejich modelu zpracování dat, distribučního modelu a případů použití, na které jsou zaměřeny, by tyto databáze mohly spadat do užší podkategorie podobných služeb. Služby stejného druhu mohou mít odlišné a vzájemně si konkurující vlastnosti, jako jsou výkonnost, bezpečnost, odolnost a kvalita služeb.

(82)

Narušení extrakce exportovatelných dat patřících zákazníkovi a pocházejících od zdrojového poskytovatele služeb zpracování dat může bránit obnovení funkcí služby v infrastruktuře cílového poskytovatele služeb zpracování dat. S cílem usnadnit strategii pro odchod zákazníka, vyhnout se zbytečným a zatěžujícím úkolům a zajistit, aby zákazník v důsledku procesu změny poskytovatele nepřišel o žádná svá data, by měl zdrojový poskytovatel služeb zpracování dat zákazníka předem informovat o rozsahu dat, která lze exportovat, jakmile se zákazník rozhodne přejít na jinou službu k jinému poskytovateli služeb zpracování dat nebo přejít na místní infrastrukturu informačních a komunikačních technologií. Rozsah exportovatelných dat by měl zahrnovat alespoň vstupní a výstupní data včetně metadat, která přímo nebo nepřímo vytváří nebo spoluvytváří zákazník při používání služby zpracování dat, s výjimkou aktiv nebo dat poskytovatele služby zpracování dat nebo třetí strany. Exportovatelná data by měla vylučovat veškerá aktiva nebo data poskytovatele služeb zpracování dat nebo třetí strany, která jsou chráněna právy duševního vlastnictví nebo představují obchodní tajemství tohoto poskytovatele, nebo této třetí strany, která se týkají integrity a bezpečnosti dotčené služby a jejichž export učiní poskytovatele služeb zpracování dat zranitelným z hlediska kybernetické bezpečnosti. Tyto výjimky by neměly bránit procesu změny poskytovatele ani jej zdržovat.

(83)

Digitálními aktivy se rozumí prvky v digitální podobě, k jejichž využívání má zákazník právo, včetně aplikací a metadat souvisejících s konfigurací nastavení, zabezpečením a správou přístupových a kontrolních práv, a další prvky, jako jsou projevy virtualizačních technologií, včetně virtuálních strojů a kontejnerů. Digitální aktiva lze převést, pokud má zákazník právo na jejich využívání nezávisle na smluvním vztahu se službou zpracování dat, od níž hodlá přejít. Uvedené další prvky jsou nezbytné pro účinné využívání dat a aplikací zákazníka v prostředí cílového poskytovatele služeb zpracování dat.

(84)

Cílem tohoto nařízení je usnadnit změnu poskytovatele služeb zpracování dat, což zahrnuje podmínky a opatření, které jsou nezbytné k tomu, aby zákazník mohl ukončit smlouvu o službě zpracování dat, uzavřít jednu nebo více nových smluv s různými poskytovateli služeb zpracování dat, přenést svá exportovatelná data a digitální aktiva a případně těžit z funkční rovnocennosti.

(85)

Změna poskytovatele je operace řízená zákazníky, která sestává z několika kroků, včetně extrakce dat zahrnující stažení dat z ekosystému zdrojového poskytovatele služeb zpracování dat; transformace, pokud jsou data strukturována způsobem, který neodpovídá schématu cílového umístění; a nahrání dat do nového cílového umístění. Ve zvláštní situaci uvedené v tomto nařízení by se za změnu poskytovatele mělo považovat rovněž oddělení konkrétní služby od smlouvy a její převedení k jinému poskytovateli. Proces změny poskytovatele někdy jménem zákazníka řídí třetí strana. Všechna práva a povinnosti zákazníka stanovené tímto nařízením, včetně povinnosti spolupracovat v dobré víře, by proto měly být za těchto okolností chápány tak, že se vztahují na tuto třetí stranu. Poskytovatelé služeb zpracování dat a zákazníci mají různé úrovně odpovědnosti v závislosti na uvedených krocích tohoto procesu. Například zdrojový poskytovatel služeb zpracování dat je odpovědný za extrakci dat do strojově čitelného formátu, ale data do nového prostředí mají nahrát zákazník a cílový poskytovatel služeb zpracování dat, pokud se pro přenos nevyužije specifická odborná služba. Zákazník, který má v úmyslu uplatnit práva související se změnou poskytovatele, jež jsou stanovena v tomto nařízení, by měl zdrojového poskytovatele služeb zpracování dat informovat o svém rozhodnutí o přechodu k jinému poskytovateli služeb zpracování dat, nebo přechodu na místní infrastrukturu informačních a komunikačních technologií, nebo o vymazání aktiv tohoto klienta a jeho exportovatelných dat.

(86)

Funkční rovnocenností se rozumí obnovení, na základě exportovatelných dat a digitálních aktiv zákazníka, minimální úrovně funkčnosti v prostředí nové služby zpracování dat stejného druhu služby po změně poskytovatele, kde cílová služba zpracování dat pro sdílené funkce poskytnuté zákazníkovi na základě smlouvy poskytuje v reakci na tentýž vstup podstatou srovnatelný výsledek. Lze očekávat, že poskytovatelé služeb zpracování dat umožní funkční rovnocennost pouze u funkcí, které zdrojové i cílové služby zpracování dat nabízejí nezávisle. Toto nařízení neukládá povinnost umožnit funkční rovnocennost jiným poskytovatelům služeb zpracování dat než těm, kteří nabízejí služby modelu poskytování služeb IaaS.

(87)

Služby zpracování dat se používají v různých odvětvích a liší se složitostí a druhem služby. To je důležitý faktor s ohledem na proces přenosu a časové rámce. Nicméně prodloužení přechodného období z důvodu technické neproveditelnosti, což by umožnilo dokončení procesu změny poskytovatele v daném časovém rámci, by mělo být možné uplatnit pouze v řádně odůvodněných případech. Důkazní břemeno by měl v tomto ohledu nést výhradně poskytovatel dotčené služby zpracování dat. Tím není dotčeno výlučné právo zákazníka přechodné období jedenkrát prodloužit, a to o dobu, kterou považuje za vhodnější vzhledem ke svým vlastním účelům. Zákazník může toto právo na prodloužení uplatnit před přechodným obdobím nebo v jeho průběhu s tím, že smlouva zůstává v platnosti i během přechodného období.

(88)

Poplatky za změnu poskytovatele jsou poplatky, které poskytovatelé služeb zpracování dat účtují svým zákazníkům za proces změny poskytovatele. Cílem těchto poplatků je obvykle přenést náklady, které mohou vzniknout zdrojovému poskytovateli služeb zpracování dat v důsledku procesu změny poskytovatele, na zákazníka, který si přeje změnit poskytovatele. Běžným příkladem poplatků za změnu poskytovatele jsou náklady spojené s přesunem dat od jednoho poskytovatele služeb zpracování dat k druhému nebo do místního systému informačních komunikačních technologií („poplatky za přesun dat“) nebo náklady vzniklé v souvislosti s konkrétními podpůrnými činnostmi během procesu změny poskytovatele. Zbytečně vysoké poplatky za přesun dat a jiné neoprávněné poplatky, které nejsou spojeny se skutečnými náklady na změnu poskytovatele, brzdí přechod zákazníka k jinému poskytovateli, omezují volný tok dat, mohou omezovat hospodářskou soutěž a způsobit efekty proprietárního uzamčení („lock-in“) zákazníků, protože snižují motivaci k výběru jiného nebo dalšího poskytovatele služeb. Veškeré poplatky za změnu poskytovatele by proto měly být zrušeny tři roky ode dne vstupu tohoto nařízení v platnost. Poskytovatelé služeb zpracování dat by měli být oprávněni účtovat do té doby snížené poplatky za změnu poskytovatele.

(89)

Zdrojový poskytovatel služeb zpracování dat by měl mít možnost zadávat určité úkoly externím subjektům a poskytovat kompenzaci třetím stranám za účelem splnění povinností stanovených v tomto nařízení. Zákazník by neměl nést náklady vyplývající z externího zajišťování služeb, které zdrojový poskytovatel služeb zpracování dat sjednal během procesu změny poskytovatele, a tyto náklady by měly být považovány za neodůvodněné, ledaže by pokrývaly práci vykonanou poskytovatelem služeb zpracování dat na žádost zákazníka za účelem dodatečné podpory v procesu změny poskytovatele, která jde nad rámec povinností poskytovatele v souvislosti se změnou poskytovatele, jak je výslovně stanoveno v tomto nařízení. Žádné ustanovení tohoto nařízení nebrání tomu, aby zákazník kompenzoval třetí strany za podporu v procesu přechodu od jednoho poskytovatele k druhému nebo aby se strany v souladu s unijním nebo vnitrostátním právem dohodly na smlouvách o službách zpracování dat na dobu určitou, včetně na přiměřených sankcích za předčasné ukončení těchto smluv s cílem pokrýt náklady s tím spojené. S cílem podpořit hospodářskou soutěž by postupné rušení poplatků spojených se změnou poskytovatele služeb zpracování dat mělo zahrnovat zejména poplatky za přesun dat účtované poskytovatelem služeb zpracování dat zákazníkovi. Standardní poplatky za poskytování služeb zpracování dat jako takové nepředstavují poplatky za změnu poskytovatele. Tyto standardní poplatky za služby nepodléhají rušení poplatků a zůstanou zachovány, dokud nepřestane platit smlouva o poskytování příslušných služeb. Toto nařízení zákazníkovi umožňuje požádat o poskytnutí doplňkových služeb, které přesahují rámec povinností poskytovatele v souvislosti se změnou poskytovatele stanovených tímto nařízením. Tyto doplňkové služby může poskytovatel poskytovat a zpoplatnit, pokud jsou poskytovány na žádost zákazníka a ten s jejich cenou předem souhlasí.

(90)

Je zapotřebí ambiciózní a inovace podporující regulatorní přístup k interoperabilitě, aby se překonalo proprietární uzamčení („lock-in“), které ohrožuje hospodářskou soutěž a rozvoj nových služeb. Interoperabilita mezi službami zpracování dat zahrnuje více rozhraní a vrstev infrastruktury a softwaru a zřídkakdy se omezuje na binární test případné dosažitelnosti. Místo toho je vytváření takové interoperability podrobeno analýze nákladů a přínosů, která je nezbytná k určení toho, zda je smysluplné usilovat o rozumně předvídatelné výsledky. Důležitou referenční mezinárodní normou pro dosažení cílů tohoto nařízení je norma ISO/IEC 19941:2017, neboť obsahuje technické aspekty objasňující složitost takového procesu.

(91)

Pokud jsou poskytovatelé služeb zpracování dat zákazníky služeb zpracování dat poskytovaných poskytovatelem, který je třetí stranou, mohou sami využít účinnější změnu poskytovatele,, přičemž současně zůstávají vázáni povinnostmi tohoto nařízení, pokud jde o jejich vlastní nabídky služeb.

(92)

Poskytovatelé služeb zpracování dat by měli mít povinnost nabízet v rámci své kapacity veškerou pomoc a podporu, která je přiměřená vzhledem k jejich příslušným povinnostem a nezbytná k tomu, aby byl proces přechodu na službu jiného poskytovatele služeb zpracování dat úspěšný, účinný a bezpečný. Toto nařízení nevyžaduje, aby poskytovatelé služeb zpracování dat vyvíjeli nové kategorie služeb zpracování dat, a to ani v rámci infrastruktury informačních a komunikačních technologií jiných poskytovatelů služeb zpracování dat nebo na jejím základě, s cílem zaručit funkční rovnocennost v jiném prostředí, než jsou jejich vlastní systémy. Zdrojový poskytovatel služeb zpracování dat nemá přístup k prostředí cílového poskytovatele služeb zpracování dat ani informace o tomto prostředí. Funkční rovnocennost by neměla být chápána tak, že ukládá povinnost zdrojovému poskytovateli služeb zpracování dat obnovit danou službu v rámci infrastruktury cílového poskytovatele služeb zpracování dat. Namísto toho by zdrojový poskytovatel služeb zpracování dat měl v rámci svých pravomocí přijmout veškerá přiměřená opatření, aby usnadnil proces dosažení funkční rovnocennosti tím, že poskytne kapacity, odpovídající informace, dokumentaci, technickou podporu a případně nezbytné nástroje.

(93)

Poskytovatelé služeb zpracování dat by měli mít rovněž povinnost odstranit stávající překážky a neměli by vytvářet překážky nové, a to i v případě, že zákazníci chtějí přejít na místní infrastrukturu informačních a komunikačních technologií. Překážky mohou mít mimo jiné předobchodní, obchodní, technickou, smluvní nebo organizační povahu. Poskytovatelé služeb zpracování dat by měli mít také povinnost odstranit překážky, které brání oddělení konkrétní individuální služby od jiných služeb zpracování dat poskytovaných na základě smlouvy, a umožnit u příslušné služby změnu poskytovatele, pokud neexistují závažné a prokázané technické překážky, které by takovému oddělení bránily.

(94)

Během celého procesu změny poskytovatele by měla být zachována vysoká úroveň bezpečnosti, což znamená, že zdrojový poskytovatel služeb zpracování dat by měl rozšířit úroveň bezpečnosti, k níž se u dané služby zavázal, na všechna technická opatření, za něž je tento poskytovatel odpovědný během procesu změny poskytovatele, jako jsou připojení k síti nebo fyzická zařízení. Stávající práva týkající se ukončení smluv, včetně práv zavedených nařízením (EU) 2016/679 a směrnicí Evropského parlamentu a Rady (EU) 2019/770 (31), by neměla být dotčena. Toto nařízení by nemělo být chápáno tak, že brání poskytovateli služeb zpracování dat v tom, aby zákazníkům poskytoval nové a zdokonalené služby, prvky a funkce nebo aby na tomto základě soutěžil s jinými poskytovateli služeb zpracování dat.

(95)

Informace, které mají zákazníkovi poskytovat poskytovatelé služeb zpracování dat, by mohly podporovat strategii pro odchod zákazníka. Tyto informace by měly zahrnovat postupy pro zahájení procesu změny poskytovatele služby zpracování dat, strojově čitelné datové formáty, do nichž lze exportovat data uživatele, nástroje určené pro exportování dat, včetně otevřených rozhraní, jakož i informace o kompatibilitě s harmonizovanými normami nebo se společnými specifikacemi vycházejícími z otevřených specifikací pro interoperabilitu, určenými pro export dat, informace o známých technických omezeních a omezení, která by mohla mít dopad na proces změny poskytovatele a odhadovanou dobu potřebnou k jeho dokončení.

(96)

V zájmu usnadnění interoperability a změny poskytovatele služeb zpracování dat by měli uživatelé a poskytovatelé služeb zpracování dat zvážit použití nástrojů pro provádění a dodržování předpisů, zejména nástrojů zveřejněných Komisí v podobě Souboru pravidel EU týkajících se cloudových služeb a Pokynů pro zadávání zakázek na služby zpracování dat. Přínosné jsou především standardní smluvní doložky, jelikož zvyšují důvěru ve služby zpracování dat, vytvářejí vyváženější vztah mezi uživateli a poskytovateli služeb zpracování dat a zlepšují právní jistotu, pokud jde o podmínky, které se vztahují na změnu poskytovatele služeb zpracování dat. V této souvislosti by uživatelé a poskytovatelé služeb zpracování dat měli zvážit použití standardních smluvních doložek nebo jiných samoregulačních nástrojů pro dodržování předpisů, které vypracovaly příslušné subjekty nebo skupiny odborníků zřízené podle práva Unie, pokud jsou plně v souladu s tímto nařízením.

(97)

Aby se usnadnila změna poskytovatele služeb zpracování dat, měly by všechny zúčastněné strany, včetně jak zdrojových, tak cílových poskytovatelů služeb zpracování dat, spolupracovat v dobré víře s cílem zajistit účinný proces změny poskytovatele a umožnit bezpečný a včasný přenos nezbytných dat v běžně používaném strojově čitelném formátu a prostřednictvím otevřeného rozhraní a zároveň zabránit narušení služby a zachovat její kontinuitu.

(98)

Služby zpracování dat, které se týkají služeb, jejichž většina hlavních funkcí byla vytvořena na míru specifickým požadavkům jednotlivých zákazníků nebo jejichž veškeré součásti byly vyvinuty pro individuální potřeby zákazníků, by měly být od některých povinností vztahujících se na změnu poskytovatele služby zpracování dat osvobozeny. Mezi takové služby by neměly patřit služby, které poskytovatel služeb zpracování dat nabízí v širokém obchodním měřítku prostřednictvím svého katalogu služeb. Jednou z povinností poskytovatele služeb zpracování dat je před uzavřením smlouvy řádně informovat potenciální zákazníky těchto služeb o povinnostech uvedených v tomto nařízení, které se na příslušné služby nevztahují. Poskytovateli služeb zpracování dat nic nebrání v tom, aby tyto služby nakonec zavedl ve větším měřítku, přičemž by v takovém případě musel splnit veškeré povinnosti vztahující se na změnu poskytovatele stanovené v tomto nařízení.

(99)

V souladu s minimálním požadavkem na umožnění změny poskytovatele služeb zpracování dat je cílem tohoto nařízení rovněž zlepšit interoperabilitu pro souběžné využívání více služeb zpracování dat s doplňkovými funkcemi. Jedná se o situace, kdy zákazníci během změny poskytovatele služeb zpracování dat neukončí smlouvu, ale využívají souběžně a interoperabilním způsobem více služeb různých poskytovatelů, aby mohli těžit z doplňkových funkcí různých služeb ve svém systémovém uspořádání. Má se však za to, že přesun dat od jednoho poskytovatele služeb zpracování dat k jinému za účelem usnadnění souběžného využívání služeb může být na rozdíl od jednorázového přesunu dat vyžadovaného v rámci procesu změny poskytovatele průběžnou činností. Poskytovatelé služeb zpracování dat by proto měli být nadále oprávněni účtovat za přesun dat pro účely souběžného využívání služeb poplatky i po uplynutí třech let od vstupu tohoto nařízení v platnost, přičemž tyto poplatky nesmí být vyšší než vzniklé náklady. To je důležité mimo jiné pro úspěšné zavádění multicloudových strategií, které zákazníkům umožňují provádět strategie informačních a komunikačních technologií, jež obstojí i v budoucnu, a které snižují závislost na jednotlivých poskytovatelích služeb zpracování dat. Usnadnění multicloudového přístupu pro zákazníky služeb zpracování dat může také přispět ke zvýšení jejich digitální provozní odolnosti, jak v případě institucí finančních služeb uznává nařízení Evropského parlamentu a Rady (EU) 2022/2554 (32).

(100)

Očekává se, že otevřené specifikace pro interoperabilitu a normy vypracované v souladu s přílohou II nařízení Evropského parlamentu a Rady (EU) č. 1025/2012 (33) v oblasti interoperability a přenositelnosti umožní existenci cloudového prostředí tvořeného více poskytovateli služeb, které je klíčovým požadavkem pro otevřené inovace v evropské ekonomice založené na datech. Vzhledem k omezené akceptaci určených norem na trhu v rámci iniciativy koordinace normalizace v oblasti cloud computingu (CSC), která byla uzavřena v roce 2016, je rovněž nezbytné, aby se Komise spoléhala na to, že strany na trhu vypracují příslušné otevřené specifikace pro interoperabilitu, aby bylo možné udržet krok s rychlým technologickým vývojem v tomto odvětví. Tyto otevřené specifikace pro interoperabilitu pak může Komise přijmout ve formě společných specifikací. Kromě toho, pokud procesy, které se řídí potřebami trhu, neprokázaly schopnost stanovit společné specifikace nebo normy, které usnadňují účinnou interoperabilitu na úrovni PaaS a SaaS, měla by být Komise schopna na základě tohoto nařízení a v souladu s nařízením (EU) č. 1025/2012 požadovat, aby evropské normalizační orgány takové normy vypracovaly pro konkrétní druhy služeb, pro něž ještě nejsou takové normy k dispozici. Komise bude navíc podněcovat strany na trhu k vypracování příslušných otevřených specifikací pro interoperabilitu. Na základě konzultace se zúčastněnými stranami by Komise měla mít možnost nařídit prostřednictvím prováděcích aktů používání harmonizovaných norem pro interoperabilitu nebo společných specifikací pro konkrétní druhy služeb prostřednictvím odkazu v centrálním registru norem Unie pro interoperabilitu služeb zpracování dat. Poskytovatelé služeb zpracování dat by měli zajistit kompatibilitu s uvedenými harmonizovanými normami a společnými specifikacemi vycházejícími z otevřených specifikací pro interoperabilitu, které by neměly mít nepříznivý dopad na bezpečnost nebo integritu dat. Na harmonizované normy pro interoperabilitu služeb zpracování dat a společné specifikace vycházející z otevřených specifikací pro interoperabilitu bude odkazováno pouze v případě, že jsou v souladu s kritérii stanovenými v tomto nařízení, která mají stejný význam jako požadavky stanovené v příloze II nařízení (EU) č. 1025/2012 a aspekty interoperability vymezené v mezinárodní normě ISO/IEC 19941:2017. Normalizace by navíc měla zohlednit potřeby malých a středních podniků.

(101)

Třetí země mohou přijímat právní předpisy a jiné právní akty, jejichž účelem je přímé předávání neosobních údajů nacházejících se za jejich hranicemi, a to i v Unii, nebo poskytování přístupu k těmto údajům veřejným orgánům. Rozsudky soudů či rozhodnutí jiných soudních nebo správních orgánů, včetně donucovacích orgánů, ve třetích zemích vyžadující takovéto předání neosobních údajů či přístup k těmto údajům by měly být vykonatelné, pokud jsou založeny na mezinárodní dohodě, jako je například smlouva o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií nebo členským státem. V jiných případech mohou nastat situace, kdy je žádost o předání nebo poskytnutí přístupu k neosobním údajům založená na právu třetí země v rozporu s povinností chránit tyto údaje podle práva Unie nebo vnitrostátního práva relevantního členského státu, zejména pokud jde o ochranu základních práv fyzické osoby, jako jsou právo na bezpečnost a právo na účinnou právní ochranu, nebo základních zájmů členského státu souvisejících s národní bezpečností nebo obranou, jakož i ochranu obchodně citlivých dat, včetně ochrany obchodního tajemství, a ochranu práv duševního vlastnictví, včetně smluvních závazků týkajících se důvěrnosti v souladu s takovým právem. V případě neexistence mezinárodních dohod upravujících tyto záležitosti by předání neosobních údajů nebo přístup k nim měly být povoleny, pouze pokud bylo ověřeno, že právní systém třetí země vyžaduje odůvodnění a přiměřenost rozhodnutí, že soudní příkaz nebo rozhodnutí mají zvláštní povahu a že odůvodněná námitka adresáta podléhá přezkumu ze strany příslušného soudu ve třetí zemi, který je oprávněn náležitě zohlednit příslušné právní zájmy poskytovatele těchto údajů. Je-li to možné na základě podmínek žádosti orgánu třetí země o přístup k datům, měl by mít poskytovatel služeb zpracování dat možnost informovat zákazníka, jehož data jsou požadována, a to před poskytnutím přístupu k těmto datům, s cílem ověřit existenci možného rozporu takového přístupu s unijními nebo vnitrostátními předpisy, jako jsou předpisy o ochraně obchodně citlivých dat, včetně ochrany obchodního tajemství a práv duševního vlastnictví a smluvních závazků týkajících se důvěrnosti.

(102)

V zájmu posílení důvěry v data je důležité, aby byly v co největší míře prováděny záruky ve vztahu k občanům Unie, subjektům veřejného sektoru a podnikům. Kromě toho by měly být dodržovány právní předpisy, hodnoty a normy Unie, pokud jde, mimo jiné, o bezpečnost, ochranu údajů a soukromí a ochranu spotřebitele. Aby se zabránilo protiprávnímu přístupu veřejných orgánů třetích zemí k neosobním údajům, měli by poskytovatelé služeb zpracování dat, na něž se vztahuje toto nařízení, jako jsou cloudové a edgeové služby, přijmout veškerá přiměřená opatření, aby zabránili přístupu k systémům, v nichž se neosobní údaje uchovávají, a to v příslušných případech i pomocí šifrování dat, častých kontrol, ověřeného dodržování příslušných systémů certifikace zajištění bezpečnosti a změny podnikových politik.

(103)

Normalizace a sémantická interoperabilita by měly hrát klíčovou úlohu při poskytování technických řešení k zajištění interoperability v rámci společných evropských datových prostorů a mezi nimi, přičemž se jedná o účelově či odvětvově specifické nebo meziodvětvové interoperabilní rámce společných norem a postupů pro sdílení nebo společné zpracování dat, mimo jiné pro vývoj nových produktů a služeb, vědecký výzkum nebo iniciativy občanské společnosti. Toto nařízení stanoví určité základní požadavky na interoperabilitu. Účastníci v datových prostorech, kteří nabízejí data nebo datové služby jiným účastníkům, což jsou subjekty, které usnadňují sdílení dat v rámci společných evropských datových prostorů nebo se do sdílení zapojují a mezi něž patří i držitelé dat, by měli tyto požadavky splňovat, jedná-li se o prvky pod jejich kontrolou. Soulad s těmito pravidly lze zajistit dodržováním základních požadavků stanovených v tomto nařízení nebo jej lze předpokládat dodržením harmonizovaných norem nebo společných specifikací na základě předpokladu shody. Za účelem usnadnění shody s požadavky na interoperabilitu je nezbytné stanovit předpoklad shody pro řešení interoperability, která splňují harmonizované normy nebo jejich části v souladu s nařízením (EU) č. 1025/2012, jež představuje standardní rámec pro vypracování norem, které takový předpoklad stanoví. Komise by měla posoudit překážky bránící interoperabilitě a upřednostnit potřeby normalizace, na jejichž základě může v souladu s nařízením (EU) č. 1025/2012 požádat jednu nebo více evropských normalizačních organizací o vypracování harmonizovaných norem, které splňují základní požadavky stanovené v tomto nařízení. Pokud tyto žádosti nepovedou k vytvoření harmonizovaných norem nebo pokud jsou takové harmonizované normy nedostatečné k zajištění shody se základními požadavky stanovenými v tomto nařízení, měla by mít Komise možnost přijmout v těchto oblastech společné specifikace za předpokladu, že při tom řádně zohlední úlohu a funkce normalizačních organizací. Přijetí těchto společných specifikací by mělo být výjimečné, záložní řešení k usnadnění dodržování základních požadavků stanovených v tomto nařízení v případě, že je proces normalizace blokován, nebo v případě, že při stanovování vhodných harmonizovaných norem dojde ke zpoždění. Je-li toto zpoždění způsobeno technickou složitostí dané normy, měla by to Komise zvážit před tím, než začne zvažovat stanovení společných specifikací. Společné specifikace by měly být vypracovány otevřeným a inkluzivním způsobem a měly by v příslušných případech zohledňovat doporučení přijatá Evropským sborem pro datové inovace zřízeným podle nařízení (EU) 2022/868. Kromě toho by v souladu s unijním nebo vnitrostátním právem a na základě zvláštních potřeb odvětví mohly být přijaty společné specifikace v různých odvětvích. Komise by dále měla mít možnost vydat pověření k vypracování harmonizovaných norem pro interoperabilitu služeb zpracování dat.

(104)

K podpoře interoperability nástrojů pro automatizované plnění dohod o sdílení dat je nezbytné stanovit základní požadavky na inteligentní smlouvy, které odborníci vytvářejí pro jiné osoby nebo je integrují do aplikací, které podporují provádění dohod o sdílení dat. Za účelem usnadnění shody takových inteligentních smluv s těmito základními požadavky je nezbytné stanovit předpoklad shody inteligentních smluv, které splňují harmonizované normy nebo jejich části v souladu s nařízením (EU) č. 1025/2012. Pojem „inteligentní smlouva“ v tomto nařízení je technologicky neutrální. Inteligentní smlouvy mohou být například připojeny k elektronické účetní knize. Základní požadavky by se měly vztahovat pouze na dodavatele inteligentních smluv, nikoli však v případě, že inteligentní smlouvy vytvářejí interně a výhradně pro interní použití. Základním požadavkem na zajištění možnosti přerušení a ukončení inteligentních smluv je vzájemná dohoda stran dohody o sdílení dat. Použitelnost příslušných pravidel občanského a smluvního práva a pravidel podle právních předpisů na ochranu spotřebitele na dohody o sdílení dat zůstává nebo by měla zůstat využíváním inteligentních smluv pro automatizované plnění těchto dohod nedotčena.

(105)

Dodavatel inteligentní smlouvy, nebo neexistuje-li, osoba, jejíž obchodní, podnikatelská nebo profesní činnost zahrnuje využívání inteligentních smluv pro jiné strany v rámci plnění dohody, nebo její části, jejímž cílem je zpřístupnění dat ve smyslu tohoto nařízení, by měla za účelem prokázání splnění základních požadavků tohoto nařízení provést posouzení shody a vydat EU prohlášení o shodě. Takové posouzení shody by mělo podléhat obecným zásadám stanoveným v nařízení Evropského parlamentu a Rady (ES) č. 765/2008 (34) a v rozhodnutí Evropského parlamentu a Rady č. 768/2008/ES (35).

(106)

Kromě toho, že profesionální vývojáři inteligentních smluv mají povinnost dodržovat základní požadavky, je rovněž důležité povzbuzovat účastníky v rámci datových prostorů, kteří nabízejí data nebo služby založené na datech ostatním účastníkům v rámci společných evropských datových prostorů i napříč jimi, aby podporovali interoperabilitu nástrojů pro sdílení dat, včetně inteligentních smluv.

(107)

Aby bylo zajištěno účinné uplatňování a vymáhání tohoto nařízení, měly by členské státy určit jeden nebo několik příslušných orgánů. Pokud členský stát určí několik příslušných orgánů, měl by z jejich řad určit i datového koordinátora. Příslušné orgány by měly vzájemně spolupracovat. Dále by při výkonu svých vyšetřovacích pravomocí v souladu s platnými vnitrostátními postupy měly mít možnost vyhledávat a získávat informace, zejména ve vztahu k činnostem subjektu spadajícím do jejich pravomoci, a to i v souvislosti se společnými vyšetřováními, přičemž je náležitě přihlédnuto ke skutečnosti, že by opatření v oblasti dohledu a vymáhání týkající se subjektu spadajícího do pravomoci jiného členského státu měla být případně přijata příslušným orgánem tohoto jiného členského státu v souladu s postupy přeshraniční spolupráce. Příslušné orgány by si měly vzájemně a včas pomáhat, zejména pokud má daný příslušný orgán v členském státě k dispozici relevantní informace pro vyšetřování prováděné příslušnými orgány v jiných členských státech nebo je schopen takové informace shromažďovat, přičemž příslušné orgány v členském státě, v němž je subjekt usazen, k nim nemají přístup. Příslušné orgány a datoví koordinátoři by měli být uvedeni ve veřejném rejstříku vedeném Komisí. Datový koordinátor by mohl být dalším prostředkem pro usnadnění spolupráce v přeshraničních situacích, například pokud příslušný orgán z daného členského státu neví, na který orgán v členském státě datového koordinátora se má obrátit, například pokud se případ týká více než jednoho příslušného orgánu nebo odvětví. Datový koordinátor by měl mimo jiné působit jako jednotné kontaktní místo pro veškeré záležitosti související s uplatňováním tohoto nařízení. Pokud datový koordinátor určen nebyl, měl by úkoly svěřené datovému koordinátorovi podle tohoto nařízení vykonávat příslušný orgán. Orgány odpovědné za dohled nad dodržováním práva ochrany údajů a příslušné orgány určené podle unijního nebo vnitrostátního práva by měly odpovídat za uplatňování tohoto nařízení v oblastech své působnosti. Příslušné orgány odpovědné za uplatňování a vymáhání tohoto nařízení v oblasti zpřístupňování dat na základě žádosti založené na výjimečné potřebě by neměly využívat tohoto práva na podání takové žádosti, aby se předešlo střetu zájmů.

(108)

Fyzické a právnické osoby by měly být v zájmu prosazování svých práv podle tohoto nařízení oprávněny domáhat se nápravy za porušení svých práv podle tohoto nařízení podáním stížností. Datový koordinátor by měl na požádání poskytnout fyzickým a právnickým osobám veškeré informace nezbytné pro podání jejich stížností u příslušného orgánu. Dotyčné orgány by měly mít povinnost spolupracovat, aby bylo zajištěno, že stížnost bude řádně, účinně a včas vyřízena a vyřešena. S cílem využít mechanismus sítě pro spolupráci v oblasti ochrany spotřebitele a umožnit zástupné žaloby se tímto nařízením mění přílohy nařízení Evropského parlamentu a Rady (EU) 2017/2394 (36) a směrnice Evropského parlamentu a Rady (EU) 2020/1828 (37).

(109)

Příslušné orgány členských států by měly zajistit, aby porušení povinností stanovených v tomto nařízení podléhalo sankcím. Takové sankce by mohly zahrnovat mimo jiné finanční sankce, varování, napomenutí nebo příkazy pro zajištění souladu obchodních postupů s povinnostmi uloženými tímto nařízením. Sankce stanovené členskými státy by měly být účinné, přiměřené a odrazující a měly by zohledňovat doporučení Evropského sboru pro datové inovace, což přispěje k dosažení co nejvyšší míry jednotnosti při stanovování a uplatňování sankcí. Příslušné orgány by měly v případě potřeby využít předběžných opatření k omezení účinků údajného porušení, dokud probíhá vyšetřování tohoto porušení. Přitom by měly zohlednit mimo jiné povahu, závažnost, opakování a dobu trvání protiprávního jednání s ohledem na dotčený veřejný zájem, rozsah a druh vykonávaných činností a ekonomické možnosti porušitele. Měly by také zohlednit to, zda porušitel systematicky nebo opakovaně neplní své povinnosti podle tohoto nařízení. Aby se zajistilo dodržování zásady ne bis in idem, a zejména aby se předešlo situaci, kdy je sankce za stejné porušení tohoto nařízení uložena vícekrát, měl by členský stát, jenž má v úmyslu vykonávat svou pravomoc ve vztahu k porušiteli, který není usazen v Unii, ani v Unii nemá svého určeného právního zástupce, neprodleně informovat všechny datové koordinátory, včetně Komise.

(110)

Evropský sbor pro datové inovace by měl Komisi poskytovat poradenství a pomoc při koordinaci vnitrostátních postupů a politik v oblastech, na něž se toto nařízení vztahuje, jakož i při plnění jeho cílů v souvislosti s technickou normalizací v zájmu posílení interoperability. Měl by rovněž zastávat klíčovou úlohu při zprostředkovávání komplexních diskusí mezi příslušnými orgány týkajících se uplatňování a vymáhání tohoto nařízení. Cílem této výměny informací je zlepšit účinný přístup ke spravedlnosti, jakož i spolupráci v oblasti prosazování práva a justiční spolupráci v celé Unii. Příslušné orgány by měly využívat Evropský sbor pro datové inovace mimo jiné jako platformu pro hodnocení, koordinaci a přijímání doporučení pro stanovení sankcí za porušení tohoto nařízení. Evropský sbor pro datové inovace by měl příslušným orgánům umožnit, aby s pomocí Komise koordinovaly optimální přístup ke stanovení a ukládání těchto sankcí. Tento přístup zabraňuje roztříštěnosti a zároveň umožňuje flexibilitu dotčeného členského státu, přičemž by měl vést k účinným doporučením podporujícím jednotné uplatňování tohoto nařízení. Evropský sbor pro datové inovace by měl mít také poradní úlohu v normalizačních procesech a při přijímání společných specifikací prostřednictvím prováděcích aktů, jakož i při přijímání aktů v přenesené pravomoci s cílem zavést monitorovací mechanismus pro poplatky za přesun účtované poskytovateli služeb zpracování dat a dále upřesnit základní požadavky na interoperabilitu dat, mechanismy a služby sdílení dat, jakož i na společné evropské datové prostory. Měl by rovněž poskytovat Komisi poradenství a pomoc při přijímání pokynů stanovujících specifikace pro interoperabilitu pro fungování společných evropských datových prostorů.

(111)

Za účelem pomoci podnikům při vypracovávání a sjednávání smluv by Komise měla vypracovat a doporučit nezávazná vzorová smluvní ujednání smluv o sdílení dat mezi podniky, v případě potřeby s přihlédnutím k podmínkám v konkrétních odvětvích a ke stávajícím postupům týkajícím se mechanismů dobrovolného sdílení dat. Tato vzorová smluvní ujednání by měla být především praktickým nástrojem, který pomůže zejména malým a středním podnikům uzavřít smlouvu. Budou-li tato vzorová smluvní ujednání využívána široce a uceleně, měly by mít rovněž příznivý vliv na koncipování smluv týkajících se přístupu k datům a jejich využívání, a tím obecně vést ke spravedlivějším smluvním vztahům v oblasti přístupu k datům a jejich sdílení.

(112)

Aby se vyloučilo riziko, že si držitelé dat v databázích získaných nebo vytvořených prostřednictvím fyzických součástí připojeného výrobku, jako jsou senzory, a související služby, nebo jiných strojově generovaných dat budou nárokovat zvláštní právo podle článku 7 směrnice 96/9/ES, a tím bránit zejména účinnému výkonu práva uživatelů na přístup k datům a jejich využívání a práva sdílet data se třetími stranami podle tohoto nařízení, mělo by být vyjasněno, že zvláštní právo se na takové databáze nevztahuje. Tím není dotčeno možné uplatnění zvláštního práva podle článku 7 směrnice 96/9/ES na databáze obsahující data, která nespadají do oblasti působnosti tohoto nařízení, pokud jsou splněny požadavky na ochranu podle odstavce 1 uvedeného článku.

(113)

Za účelem zohlednění technických aspektů služeb zpracování dat by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 SFEU, pokud jde o doplnění tohoto nařízení zavedením mechanismu monitorování poplatků za změnu poskytovatele účtovaných poskytovateli služeb zpracování dat na trhu a s cílem dále upřesnit základní požadavky na interoperabilitu pro účastníky v datových prostorech, kteří nabízejí data nebo datové služby ostatním účastníkům. Je obzvláště důležité, aby Komise vedla v rámci přípravné činnosti odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (38). Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států, přičemž jejich odborníci mají systematicky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(114)

Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o přijetí společných specifikací pro zajištění interoperability dat, mechanismů a služeb sdílení dat, jakož i společných evropských datových prostorů, společných specifikací pro interoperabilitu služeb zpracování dat, a společných specifikací pro interoperabilitu inteligentních smluv. Prováděcí pravomoci by měly být rovněž svěřeny Komisi za účelem zveřejňování odkazů na harmonizované normy a společné specifikace pro interoperabilitu služeb zpracování dat v centrálním registru norem Unie pro interoperabilitu služeb zpracování dat. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (39).

(115)

Tímto nařízením by neměla být dotčena pravidla, která řeší potřeby specifické pro jednotlivá odvětví nebo oblasti veřejného zájmu. Tato pravidla mohou zahrnovat dodatečné požadavky na technické aspekty přístupu k datům, jako jsou rozhraní pro přístup k datům, nebo jak by mohl být přístup k datům poskytnut, například přímo z výrobku nebo prostřednictvím služeb zprostředkování dat. Mohou rovněž zahrnovat omezení práv držitelů dat na přístup k uživatelským datům nebo jejich využívání nebo jiné aspekty nad rámec přístupu k datům a jejich využívání, jako jsou správní aspekty nebo bezpečnostní požadavky, včetně požadavků na kybernetickou bezpečnost. Tímto nařízením by rovněž neměla být dotčena konkrétnější pravidla v oblasti rozvoje společných evropských datových prostorů nebo, s výhradou výjimek stanovených tímto nařízením, unijní a vnitrostátní právní předpisy, které stanoví přístup k datům a udělují povolení k jejich využívání pro účely vědeckého výzkumu.

(116)

Tímto nařízením by nemělo být dotčeno uplatňování pravidel hospodářské soutěže, zejména článků 101 a 102 Smlouvy o fungování EU. Opatření stanovená tímto nařízením nesmějí být využívána k omezování hospodářské soutěže v rozporu se Smlouvou o fungování EU.

(117)

Aby se subjekty, na které se vztahuje toto nařízení, mohly přizpůsobit novým pravidlům stanoveným v tomto nařízení a přijmout nezbytná technická opatření, měla by se tato pravidla použít od dne 12. září 2025.

(118)

Evropský inspektor ochrany údajů a Evropský sbor pro ochranu údajů byli konzultováni v souladu s čl. 42 odst. 1 a 2 nařízení (EU) 2018/1725 a dne 4. května 2022 vydali své stanovisko.

(119)

Jelikož cílů tohoto nařízení, totiž zajištění spravedlivého rozložení hodnoty dat mezi účastníky ekonomiky založené na datech a podpory spravedlivého přístupu k datům a používání dat přispívajícím k vytvoření jedinečného vnitřního trhu s daty nemůže být dosaženo uspokojivě členskými státy, ale spíše jich z důvodu rozsahu či účinků tohoto opatření a přeshraničního využívání dat, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro dosažení těchto cílů,