EVROPSKÁ KOMISE

V Bruselu dne 19.11.2025

COM(2025) 837 final

2025/0360(COD)

Návrh

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY,

kterým se mění nařízení (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 a směrnice 2002/58/ES, (EU) 2022/2555 a (EU) 2022/2557, pokud jde o zjednodušení digitálního právního rámce, a kterým se zrušují nařízení (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 a směrnice (EU) 2019/1024 (souhrnný balíček pro digitální oblast)

{SWD(2025) 836 final}

DŮVODOVÁ ZPRÁVA

1.SOUVISLOSTI NÁVRHU

•Odůvodnění a cíle návrhu

Ve svém sdělení o provádění a zjednodušování („Evropa jednodušší a rychlejší“) 1 Komise představila svůj přístup k přizpůsobení regulačního rámce Unie nestabilnímu světu: nové úsilí o zjednodušení, objasnění a zlepšení acquis EU jako klíčové opatření na podporu konkurenceschopnosti EU.

Tato vize odráží širší plán, který předsedkyně Komise von der Leyenová představila ve svých politických směrech pro období 2024–2029 2 . Jak rovněž zdůraznila Draghiho zpráva 3 a Lettova zpráva 4 , kumulace pravidel má v některých případech nepříznivý dopad na konkurenceschopnost. Proto je potřeba přinést jednotlivcům i podnikům rychlá a viditelná zlepšení, a to prostřednictvím nákladově efektivnějšího a k inovacím vstřícnějšího provádění našich pravidel – a zároveň přitom udržet vysoké standardy a zachovat dohodnuté cíle.

Kromě toho Evropská rada ve svých závěrech ze dne 20. března 2025 Komisi vyzvala, aby „pokračovala v přezkumu a zátěžovém testování acquis EU s cílem určit způsoby, jak stávající právní předpisy dále zjednodušit a konsolidovat“ 5 . Zdůraznila také, že je třeba předložit nové soubory iniciativ zaměřené na zjednodušování. V závěrech ze dne 26. června Evropská rada upozornila, že je důležité uplatňovat na právní předpisy zásadu „jednoduchost již od návrhu“, „aniž by došlo k ohrožení předvídatelnosti, cílů politik a vysokých standardů“ 6 . Ve svých závěrech ze dne 23. října 2025 Evropská rada zopakovala, že „je naléhavě zapotřebí pokročit v ambiciózním a horizontálně orientovaném programu pro zjednodušení a zlepšování právní úpravy, a to na všech úrovních – na úrovni EU, na vnitrostátních i regionálních úrovních – a ve všech oblastech s cílem zajistit konkurenceschopnost Evropy“. Zároveň Komisi vyzvala, aby „urychleně předložila další ambiciózní balíčky zjednodušujících opatření, mimo jiné v oblasti […] digitální regulace“. 7

Evropský parlament ve svém usnesení o „provádění a zefektivňování pravidel vnitřního trhu EU s cílem posílit jednotný trh“, o němž se hlasovalo na plenárním zasedání 11. září 8 , zdůraznil, že je nutné zjednodušit předpisy, aby se podnikům usnadnilo jejich dodržování, přičemž je nutné dbát na to, aby nebyly ohroženy hlavní cíle politiky EU.

Během konzultací a akcí pro zapojení veřejnosti, které Komise prováděla v souvislosti s programem zjednodušování, se zúčastněné strany zastupující různé zájmy vyslovily pro cílené změny některých digitálních pravidel, které by zefektivnily náklady na dodržování předpisů a vyjasnily vzájemné vazby mezi pravidly v jejich odvětví.

Odvětví informačních a komunikačních technologií, jehož přidaná hodnota v EU v roce 2022 činila 791 miliard EUR 9 , hraje klíčovou úlohu při podpoře konkurenceschopnosti EU ve všech odvětvích hospodářství, a to jak samotným růstem digitálních podniků, tak i tím, že pro všechna odvětví nabízí klíčová digitální řešení. Pravidla, která upravují digitální oblast, mají zásadní význam pro vytváření spravedlivého podnikatelského prostředí v EU. Vytvořila skutečně jednotný trh digitálních služeb. EU je průkopníkem digitální regulace a stanoví zlatý standard pro nejvyšší úroveň ochrany základních práv, bezpečnosti spotřebitelů a evropských hodnot.

Komise se zavázala provést během celého svého legislativního mandátu komplexní „zátěžové testování“ všech digitálních pravidel. Cíl je zcela jasný: zajistit, aby pravidla byla i nadále vhodná pro podporu inovací a růstu, plnila své cíle a byla hnací silou konkurenceschopnosti. Komise se přitom bude snažit poskytovat přesvědčivá řešení, která zjednoduší, objasní a posílí účinnost pravidel a jejich prosazování prostřednictvím všech dostupných nástrojů, ať už se jedná o úpravy právních předpisů, posílenou spolupráci mezi orgány, podporu digitálních řešení, která zjednodušují dodržování právních předpisů již svým návrhem, nebo jiná doprovodná opatření.

Návrh souhrnného balíčku pro digitální oblast je prvním krokem k optimalizaci uplatňování pravidel v digitální oblasti. Jedná se o soubor technických změn velkého počtu právních předpisů v digitální oblasti, které byly vybrány tak, aby přinesly okamžitou úlevu podnikům, veřejné správě i občanům a stimulovaly konkurenceschopnost. Bezprostředním cílem je zajistit, aby dodržování pravidel bylo levnější, splňovalo stejné cíle a samo o sobě přinášelo odpovědným podnikům konkurenční výhodu. O prioritě změn bylo rozhodnuto na základě konzultací se zúčastněnými stranami a prvních dialogů o provádění, které vedli výkonná místopředsedkyně Henna Virkkunenová a komisař Michael McGrath.

Z těchto důvodů se změny zaměřují na uvolnění příležitostí v oblasti využívání dat jako základního zdroje v hospodářství EU, a to i s ohledem na podporu vývoje a využívání důvěryhodných řešení umělé inteligence na trhu EU. Tento cíl podporují cílené změny pravidel ochrany údajů a soukromí, které přinášejí okamžitá zjednodušující opatření pro podniky a jednotlivce a posilují jejich schopnost uplatňovat svá práva.

Kromě toho mají změny nařízení (EU) 2024/1689 (akt o umělé inteligenci 10 ), předložené v samostatném právním návrhu, který je součástí souhrnného balíčku pro digitální oblast, usnadnit hladké a efektivní uplatňování pravidel pro bezpečný a důvěryhodný vývoj a používání umělé inteligence.

Souhrnný balíček navíc obsahuje návrh velmi jasného řešení, které zefektivní hlášení kyberbezpečnostních incidentů tím, že všechny příslušné oznamovací povinnosti sloučí pod zastřešující mechanismus oznamování.

V neposlední řadě návrh ruší zastaralá pravidla v oblasti regulace platforem, která již byla nahrazena novějšími předpisy.

Cílem změn je zefektivnit pravidla, snížit počet právních předpisů a harmonizovat jejich ustanovení. Zjednodušením ustanovení a postupů se sníží administrativní náklady. Na malé podniky a mikropodniky se již vztahuje zvláštní režim, díky navrhovaným změnám budou od některých povinností vyplývajících z právních předpisů o datech a z nařízení (EU) 2024/1689 (akt o umělé inteligenci 11 ) nově osvobozeny i malé podniky se střední tržní kapitalizací. Změny budou také stimulovat živé podnikatelské prostředí, vytvoří větší právní jistotu a příležitosti, zejména při sdílení a opakovaném použití dat, při zpracování osobních údajů nebo při trénování systémů a modelů umělé inteligence.

Navrhované změny přitom mají technickou povahu a jejich cílem je upravit regulační rámec, nikoli změnit jeho základní cíle. Opatření jsou nastavena tak, aby byl zachován stejný standard ochrany základních práv.

Spolu se souhrnným balíčkem pro digitální oblast předkládá Komise také návrh nařízení o evropských podnikatelských peněženkách jako základní prvek iniciativy na zjednodušení dodržování právních předpisů a snížení administrativní zátěže podniků. Podnikatelské peněženky budou navrženy jako bezpečné digitální nástroje podniků a budou fungovat jako jednotná platforma pro zjednodušení interakcí mezi podniky v celé EU. Po zavedení jedinečného a trvalého identifikátoru budou mít podniky možnost digitálně ověřovat totožnost, podepisovat dokumenty, opatřovat je časovými razítky a hladce si vyměňovat ověřené digitální informace i přes hranice pomocí jediného řešení. Díky zavedení evropských podnikatelských peněženek budou podniky, zejména malé a střední, schopny snadno se orientovat v dodržování předpisů, čímž se uvolní důležité zdroje, které budou moci být přesměrovány na růst a inovace.

Jako druhý krok v rámci závazku „zátěžového testování“ souboru digitálních pravidel Komise rovněž provádí kontrolu digitální způsobilosti předpisů. Zatímco návrhy souhrnného balíčku pro digitální oblast jsou okamžité a cílené, analýza, kterou Komise provede v rámci kontroly digitální způsobilosti předpisů, se zaměří na kumulativní dopad digitálních pravidel a bude se snažit ověřit, jak podporují konkurenceschopnost EU a kde bude třeba navrhnout další změny v druhé polovině legislativního mandátu.

Kontrola digitální způsobilosti se zahajuje současně s předložením návrhu souhrnného balíčku a probíhá v rámci široké veřejné konzultace. Komise se snaží spolupracovat se všemi zúčastněnými stranami a vést rozsáhlé konzultace. Cílem je vypracovat přehled a rozsáhlým způsobem zmapovat, jak soubor digitálních pravidel pokrývá strategická průmyslová odvětví EU, a zabývat se tím, jak kumulativní účinek pravidel ovlivňuje jejich konkurenceschopnost. Na tomto základě se pak druhá fáze analýzy bude hlouběji zabývat synergiemi a oblastmi, které by mohly být dále sladěny, od definic a právních pojmů až po účinnost a souhru systémů řízení a dalších podpůrných opatření.

Zátěžové testování acquis v digitální oblasti bude pokračovat také prostřednictvím dialogů o provádění a prostřednictvím hodnocení všech hlavních právních nástrojů. V rámci současného plánování Komise očekává, že v roce 2026 kromě jiných iniciativ zveřejní přezkum aktu o digitálních trzích, politického programu Digitální dekáda, aktu o čipech, směrnice o audiovizuálních mediálních službách a hodnocení směrnice o autorském právu. Dále očekává, že v roce 2027 vyhodnotí mimo jiné akt o kybernetické solidaritě, nařízení o otevřeném internetu, směrnici NIS2 a akt o digitálních službách. V roce 2028 by Komise měla vyhodnotit například evropský akt o svobodě médií a akt o datech, v roce 2029 by mělo následovat hodnocení aktu o umělé inteligenci a doložky o skončení platnosti nařízení, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center.

Zúčastněné strany opakovaně zdůrazňovaly, že v mnoha případech se snaha o zjednodušení netýká ani tak změny pravidel, jako spíše objasnění jejich uplatňování. Komise si jako prioritu stanovila vydat řadu pokynů, které by podpořily jednotné uplatňování pravidel, aniž by byly dotčeny výklady Soudního dvora.

Pokud jde o regulační rámec pro data, Komise ve strategii evropské datové unie oznámila, že se pro ni jedná o prioritu, zejména pokud jde o pokyny k přiměřené odměně, které by měly objasnit, co lze za sdílení dat účtovat, čímž by se zajistila právní jistota pro držitele i příjemce dat, a pokud jde o pokyny objasňující definice.

V případě podpory uplatňování aktu o umělé inteligenci Komise nadále považuje za prioritu vydání pokynů k několika aspektům, jak je podrobněji popsáno v důvodové zprávě k návrhu souhrnného balíčku pro digitální oblast, kterým se mění akt o umělé inteligenci.

Návrhy zařazené do souhrnného balíčku pro digitální oblast

Pokud jde o osobní údaje, dne 25. května 2018 se stalo použitelným nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR), které zavedlo normy, pravidla a ochranná opatření pro zpracování osobních údajů fyzických osob, práva subjektů údajů a obecný právní rámec pro subjekty zpracovávající osobní údaje na úrovni EU. Ačkoli zúčastněné strany obecně považují nařízení (EU) 2016/679 (obecné nařízení o ochraně osobních údajů) za vyvážené a správné a nadále odpovídající svému účelu, některé subjekty, zejména menší společnosti a sdružení s nízkým počtem neintenzivních, často málo rizikových operací zpracování údajů, vyjádřily obavy ohledně uplatňování některých povinností obecného nařízení o ochraně osobních údajů. Některé z těchto problémů lze řešit důslednějším a harmonizovanějším výkladem a prosazováním v členských státech, zatímco jiné vyžadují cílené změny právních předpisů. V této souvislosti se změny obsažené v tomto návrhu zaměřují na řešení těchto obav zejména objasněním některých klíčových definic, například pojmu osobní údaje, dále usnadněním dodržování předpisů, například tím, že správcům poskytnou podporu ohledně kritérií a prostředků pro určování toho, zda údaje vzniklé pseudonymizací nepředstavují osobní údaje v souvislosti s požadavky na informace a ohlašování případů porušení zabezpečení osobních údajů dozorovým úřadům, a také objasněním některých aspektů zpracování údajů pro účely trénování a vývoje umělé inteligence. Navrhované změny se rovněž zabývají nejasností podmínek pro vědecký výzkum tím, že poskytují definici vědeckého výzkumu, dále objasňují, že další zpracování pro vědecké účely je slučitelné s původním účelem zpracování, a objasňují, že vědecký výzkum představuje oprávněný zájem. Navrhuje se rovněž rozšířit výjimky z informační povinnosti pro zpracování. V příslušných případech tento návrh odráží změny obecného nařízení o ochraně osobních údajů (EU) 2018/1725 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie.

Změny předložené v tomto nařízení zavedou jednotné kontaktní místo, které subjektům umožní najednou splnit své povinnosti hlášení incidentů plynoucí z více právních předpisů. Podporou zásady „jednou nahlásit, mnohokrát sdílet“ sníží jednotné kontaktní místo administrativní zátěž subjektů a zároveň zajistí účinný a bezpečný tok informací o bezpečnostních incidentech k příjemcům definovaným v příslušných právních předpisech.

Návrh stanoví povinnost agentury ENISA vytvořit jednotné kontaktní místo s přihlédnutím k jednotné platformě pro podávání oznámení o aktivně zneužívaných zranitelnostech a závažných incidentech podle nařízení (EU) 2024/2847 (akt o kybernetické odolnosti). Stanovuje konkrétní požadavky na tento nástroj, který slouží jako bezpečný kanál pro informace oznamované subjekty a zasílané příslušným orgánům. Ponechává beze změny základní právní požadavky na hlášení incidentů, ale výrazně optimalizuje pracovní postup a zdroje požadované od subjektů.

Návrh rovněž nařizuje používat jednotné kontaktní místo pro řadu úzce propojených povinností hlášení incidentů stanovených ve směrnici (EU) 2022/2555 (směrnice NIS2), nařízení (EU) 2016/679 (nařízení GDPR), nařízení (EU) 2022/2554 (nařízení DORA), nařízení (EU) 910/2014 (nařízení eIDAS) a směrnici (EU) 2022/2557 (směrnice o odolnosti kritických subjektů). Pod jednotné kontaktní místo budou spadat další odvětvové povinnosti týkající se podávání zpráv, jako jsou povinnosti stanovené v rámci kodexu sítě pro aspekty kybernetické bezpečnosti přeshraničních toků elektřiny a příslušných nástrojů pro odvětví letectví, a to prostřednictvím změn příslušných aktů v přenesené pravomoci a prováděcích aktů, které stanoví oznamovací povinnosti v daných rámcích.

Cílem návrhu je rovněž zefektivnit obsahy podávaných informací zavedením zmocnění pro některé právní akty tam, kde dosud neexistují. Návrh objasňuje, že při vytváření společných šablon pro oznamování pro směrnici (EU) 2022/2555, směrnici (EU) 2022/2557 nebo nařízení (EU) 2016/679 by Komise měla v zájmu zajištění konzistentnosti, podpory synergií a snížení administrativní zátěže subjektů minimalizací počtu datových polí, která musí subjekty vyplnit, náležitě zohlednit získané zkušenosti a společné šablony vytvořené podle nařízení (EU) 2022/2554 (nařízení DORA).

Kromě těchto hlavních změn návrh využívá příležitost ke zrušení nařízení Evropského parlamentu a Rady (EU) 2019/1150 ze dne 20. června 2019 o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele online zprostředkovatelských služeb (nařízení o vztazích mezi platformami a podniky, „nařízení P2B“). Nařízení je v platnosti ode dne 12. července 2020 a bylo prvním krokem k vytvoření komplexního právního rámce pro ekonomiku platforem. Po jeho vstupu v platnost byly k regulaci online zprostředkovatelských služeb a online platforem přijaty další právní předpisy EU. Patří mezi ně nařízení (EU) 2022/1925 (zákon o digitálních trzích a nařízení (EU) 2022/2065 (akt o digitálních službách), která do značné míry přebírají ustanovení nařízení P2B. Určitá ustanovení nařízení P2B zůstanou v platnosti, aby byla zajištěna právní jistota pro akty obsahující křížové odkazy na tato ustanovení, například směrnici (EU) 2023/2831 o zlepšení pracovních podmínek při práci prostřednictvím platforem. Zjednodušení regulačního rámce pro online platformy obecně sníží náklady na dodržování předpisů plynoucí z vrstevnatých a překrývajících se pravidel, což odpovídá požadavkům zúčastněných stran. Poskytovatelé online zprostředkovatelských služeb budou mít prospěch z větší jasnosti právních ustanovení. Prosazování bude cílenější.

•Soulad s platnými předpisy v této oblasti politiky

•Soulad s ostatními politikami Unie

2.PRÁVNÍ ZÁKLAD, SUBSIDIARITA A PROPORCIONALITA

•Právní základ

•Subsidiarita (v případě nevýlučné pravomoci)

•Proporcionalita

3.VÝSLEDKY HODNOCENÍ EX POST, KONZULTACÍ SE ZÚČASTNĚNÝMI STRANAMI A POSOUZENÍ DOPADŮ

•Hodnocení ex post / kontroly účelnosti platných právních předpisů

•Konzultace se zúčastněnými stranami

Na jaře 2025 byly zveřejněny tři veřejné konzultace a výzvy k předložení faktických podkladů týkající se klíčových pilířů návrhu. Od 9. dubna do 4. června probíhala konzultace o Strategii pro využívání umělé inteligence 14 , od 11. dubna do 20. června konzultace o revizi nařízení (EU) 2019/881 (akt o kybernetické bezpečnosti) 15 a konečně od 23. května do 20. července konzultace o strategii evropské datové unie 16 . Každý dotazník měl zvláštní oddíl (někdy i několik oddílů) věnovaný otázkám provádění a zjednodušování, které přímo souvisely s úvahami o souhrnném balíčku pro digitální oblast. Celkem bylo v rámci tohoto prvního konzultačního procesu získáno 718 jedinečných odpovědí.

Od 16. září do 14. října 2025 byla kromě toho zveřejněna výzva k předložení faktických podkladů pro souhrnný balíček 17 . Jejím cílem bylo poskytnout zúčastněným stranám příležitost vyjádřit se ke konsolidovanému návrhu oblasti působnosti tohoto souhrnného balíčku. Celkem bylo obdrženo 513 odpovědí, které zaslaly různé skupiny zúčastněných stran, v neposlední řadě podniky a podnikatelská sdružení, občanská společnost, akademická obec, úřady, jakož i jednotliví občané.

Výkonná místopředsedkyně Henna Virkkunenová uspořádala dva dialogy o provádění klíčových témat řešených v souhrnném balíčku pro digitální oblast: první o datové politice 18 (1. července 2025) a druhý o politice kybernetické bezpečnosti 19 (15. září).

Komisař McGrath uspořádal dialog o uplatňování nařízení GDPR (16. července 2025).

Útvary Komise rovněž provedly několik „kontrol skutečného stavu“ – mezi 15. zářím a 6. říjnem 2025 byly uspořádány pracovní schůzky s podniky a zástupci občanské společnosti, které se zaměřily na hloubkovou analýzu, diskutovalo se na nich o každodenních problémech při praktickém provádění a odhadly náklady na dodržování předpisů.

S cílem konzultovat zejména malé a střední podniky a shromáždit jejich zpětnou vazbu proběhla v období od 4. září do 16. října 2025 prostřednictvím sítě Enterprise Europe Network (EEN) 20 panelová diskuse pro malé a střední podniky.

Útvary Komise obdržely četná stanoviska a uspořádaly dvoustranná setkání s různými zúčastněnými stranami. Útvary Komise rovněž spolupracovaly s členskými státy v rámci kulatých stolů nebo různých pracovních skupin Rady.

Zpětná vazba od zúčastněných stran celkově poukazuje na to, že je třeba zjednodušit uplatňování některých pravidel v digitální oblasti. Zúčastněné strany uvítaly zaměření na soudržnost a konsolidaci pravidel a důraz na optimalizaci nákladů na dodržování předpisů.

Zazněl jasný požadavek na zjednodušení aquis v oblasti dat a na konsolidaci pravidel. Tento požadavek je v návrhu řešen spolu s cílenými změnami, pro něž se zúčastněné strany vyslovily, včetně změn týkajících se obecného nařízení o ochraně osobních údajů a únavy v souvislosti s bannery pro souhlas s cookies. Kromě toho podniky upozornily na další posouzení vzájemného působení pravidel pro data, která si zaslouží hlubší analýzu, prostřednictvím nástrojů pro zlepšování právní úpravy, zejména připravované kontroly digitální způsobilosti.

Podniky z různých odvětví si stěžovaly na neodůvodněnou zátěž plynoucí z dvojího hlášení incidentů kvůli několika právním rámcům. Tato stížnost je řešena návrhem jednotného kontaktního místa pro hlášení incidentů.

V případě aktu o umělé inteligenci zúčastněné strany poukázaly na potřebu právní jistoty při uplatňování pravidel a zejména zdůraznily, že je třeba, aby předtím, než se pravidla začnou uplatňovat, byly k dispozici příslušné normy a pokyny. Tento jejich požadavek je řešen samostatným regulačním návrhem zařazených do souhrnného balíčku.

A konečně, zúčastněné strany se příliš nevyjadřovaly k dopadu nařízení o vztazích mezi platformami a podniky, což potvrzuje výsledky průběžné hodnotící zprávy, podle nějž pravidla nejsou ani dobře známá, ani účinná při dosahování svého cíle. Toto nařízení navrhuje pravidla pro vztahy mezi platformami a podniky zrušit, zejména s ohledem na jejich překrývání s novějšími pravidly.

Podrobný přehled těchto konzultací se zúčastněnými stranami a způsob, jakým byly v návrhu zohledněny, lze nalézt v pracovním dokumentu útvarů Komise podporujícím souhrnný balíček v digitální oblasti.

•Sběr a využití výsledků odborných konzultací

•Posouzení dopadů

•Účelnost právních předpisů a zjednodušení

•Základní práva

4.ROZPOČTOVÉ DŮSLEDKY

5.OSTATNÍ PRVKY

•Plány provádění a způsob monitorování, hodnocení a podávání zpráv

•Podrobné vysvětlení konkrétních ustanovení návrhu

·Bod 4 začleňuje definice z vložených ustanovení do nařízení (EU) 2023/2854 (akt o datech) a harmonizuje definici dat a dokumentů poskytnutím přísného vymezení mezi digitálním obsahem (data) a nedigitálním obsahem (dokument).

·Zavádí novou kapitolu VIIc o opakovaném použití dat a dokumentů v držení subjektů veřejného sektoru.

·Zavádí nový oddíl 1, který obsahuje obecné zásady platné pro nově vloženou kapitolu.

·Uvádí předmět a oblast působnosti sloučené kapitoly, přičemž kombinuje společná pravidla kapitoly II nařízení (EU) 2022/868 (akt o správě dat) a směrnice (EU) 2019/1024 (směrnice o otevřených datech).

·Stanoví společnou zásadu nediskriminace, která se vztahuje na sdílení otevřených dat veřejné správy a určitých kategorií chráněných dat.

·Stanoví zákaz výhradních dohod, který je společný pro režim otevřených dat veřejné správy a určité kategorie chráněných dat.

·Stanoví obecné zásady týkající se zpoplatnění opakovaného použití otevřených dat veřejné správy nebo určitých kategorií chráněných dat. Podle nového pravidla budou muset orgány veřejného sektoru zajistit, aby veškeré poplatky bylo možné platit také online prostřednictvím široce dostupných služeb pro přeshraniční platby, a to bez diskriminace při opakovaném použití otevřených dat veřejné správy. Jedná se o rozšíření tohoto pravidla, které bylo dříve známé pouze jako pravidlo pro opakované použití určitých kategorií chráněných dat podle kapitoly II nařízení (EU) 2022/868 (akt o správě dat).

·Stanoví právo dalších uživatelů otevřených dat veřejné správy a určitých kategorií chráněných dat být informováni o dostupných prostředcích pro zjednání nápravy ohledně rozhodnutí nebo postupů, které se jich týkají.

·Vkládá oddíl o pravidlech pro opakované použití otevřených dat veřejné správy, dříve pravidla podle směrnice (EU) 2019/1024 (směrnice o otevřených datech).

·Vymezuje oblast působnosti oddílu, včetně neuplatnění na určité kategorie chráněných dat v oblasti působnosti obecné kapitoly o opakovaném použití dat a dokumentů v držení subjektů veřejného sektoru.

·Stanovuje obecnou zásadu pro opakované použití otevřených dat veřejné správy.

·Stanoví pravidla pro zpracování žádostí o opakované použití otevřených dat veřejné správy vložením ustanovení, která byla dříve obsažena ve směrnici (EU) 2019/1024 (směrnice o otevřených datech).

·Zavádí pravidla o dostupných formátech pro opakované použití otevřených dat veřejné správy, která byla dříve obsažena ve směrnici (EU) 2019/1024 (směrnice o otevřených datech).

·Zavádí pravidla pro zpoplatnění otevřených dat veřejné správy, která byla dříve obsažena ve směrnici (EU) 2019/1024 (směrnice o otevřených datech). Nově mohou orgány veřejného sektoru účtovat vyšší poplatky za opakované použití velmi velkými podniky. Tyto poplatky musí být přiměřené a jejich výše musí vycházet z objektivních kritérií.

·Zavádí pravidla pro standardní licence pro opakované použití otevřených dat veřejné správy, která byla dříve obsažena ve směrnici (EU) 2019/1024 (směrnice o otevřených datech). Nově mohou orgány veřejného sektoru stanovit zvláštní podmínky pro velmi velké podniky. Tyto podmínky musí být přiměřené a musí být založeny na objektivních kritériích.

·Zavádí do nařízení (EU) 2023/2854 (akt o datech) pravidla týkající se praktických opatření, která byla dříve obsažena ve směrnici (EU) 2019/1024 (směrnice o otevřených datech) a jejichž je cílem usnadnit vyhledávání dat nebo dokumentů dostupných pro opakované použití.

·Zavádí do nařízení (EU) 2023/2854 (akt o datech) pravidla týkající se výzkumných dat, která byla dříve obsažena ve směrnici (EU) 2019/1024 (směrnice o otevřených datech).

·Zavádí do nařízení (EU) 20232854 (akt o datech) pravidla týkající se datových souborů s vysokou hodnotou, která byla dříve obsažena ve směrnici (EU) 2019/1024 (směrnice o otevřených datech).

·Vytváří nový oddíl pro opakované použití určitých kategorií chráněných dat, aby byla zahrnuta pravidla, která byla dříve obsažena v kapitole II nařízení (EU) 2022/868 (akt o správě dat). V tomto bodě je vymezena oblast působnosti tohoto třetího oddílu, který z oblasti působnosti vylučuje data a dokumenty v oblasti působnosti druhého oddílu, upravujícího režim opakovaného použití otevřených dat veřejné správy. Jako nové pravidlo jsou do oblasti působnosti tohoto oddílu zahrnuty dokumenty.

·Stanoví obecnou zásadu týkající se opakovaného použití určitých kategorií chráněných dat. Jedná se o zásadu stanovenou v kapitole II nařízení (EU) 2022/868 (akt o správě dat), podle níž tento oddíl nezakládá povinnost subjektů veřejného sektoru umožnit opakované použití chráněných dat, ale spíše stanoví minimální podmínky pro případy, kdy se subjekty veřejného sektoru rozhodnou tato data k opakovanému použití poskytnout.

·Zavádí pravidla týkající se podmínek opakovaného použití určitých kategorií chráněných dat, která byla dříve obsažena v kapitole II nařízení (EU) 2022/868 (akt o správě dat), ve zjednodušené a zefektivněné podobě. Objasňuje, která pravidla se použijí v případech, kdy byly osobní údaje anonymizovány. Požadavky týkající se předávání neosobních údajů do třetích zemí jsou zachovány, ale jsou rozděleny do nového článku uvedeného v bodě 54.

·Zavádí pravidla pro účtování poplatků, která byla dříve součástí kapitoly II nařízení (EU) 2022/868 (akt o správě dat, do nařízení (EU) 2023/2854 (akt o datech). Nově mohou orgány veřejného sektoru stanovit vyšší poplatky za opakované použití velmi velkými podniky. Tyto poplatky musí být přiměřené a založené na objektivních kritériích. Zvláštní ustanovení zaměřené na pobídky k opakovanému použití malými a středními podniky je rozšířeno na malé podniky se střední tržní kapitalizací.

·Zavádí do nařízení (EU) 2023/2854 (akt o datech) pravidla týkající se příslušných subjektů, která byla dříve součástí kapitoly II nařízení (EU) 2022/868 (akt o správě dat). Jsou určeny příslušné subjekty, které mají subjektům veřejného sektoru pomáhat reagovat na žádosti o opakované použití dat a dokumentů, na něž se vztahuje oddíl 3.

·Zavádí do nařízení (EU) 2023/2854 (akt o datech) pravidla o jednotném informačním místě, která byla dříve součástí kapitoly II nařízení (EU) 2022/868 (akt o správě dat). Jednotná informační místa jsou koncipována tak, aby dalším uživatelům pomohla snadno najít informace o opakovaném použití určitých kategorií chráněných dat.

·Zavádí do nařízení (EU) 2023/2854 (akt o datech) pravidla pro postup při vyřizování žádostí o opakované použití určitých kategorií chráněných dat, která byla dříve upravena v kapitole II nařízení (EU) 2022/868 (akt o správě dat).

Změny nařízení (EU) 2016/679, nařízení (EU) 2018/1725 a směrnice 2002/58/ES

Článek 3 návrhu by zavedl cílené změny nařízení (EU) 2016/679 („obecné nařízení o ochraně osobních údajů“).

V článku 3:

Odstavec 1 by objasnil definici osobních údajů podle článku 4 nařízení (EU) 2016/679 (obecné nařízení o ochraně osobních údajů) tím, že by stanovil, že informace se pro daný subjekt nepovažují za osobní údaje, pokud tento subjekt nemá prostředky, o nichž lze rozumně předpokládat, že budou použity k identifikaci fyzické osoby, jíž se informace týkají. V důsledku toho by takový subjekt v zásadě nespadal do oblasti působnosti uvedeného nařízení.

Odstavec 2 by stanovil dvě další výjimky pro zpracování zvláštních kategorií dat: Stanovil by výjimku z obecného zákazu zpracování biometrických údajů, pokud je to nezbytné pro potvrzení totožnosti subjektu údajů a pokud jsou údaje a prostředky pro toto ověření pod výhradní kontrolou tohoto subjektu údajů. Rovněž by stanovil výjimku pro zbytkové zpracování zvláštních kategorií osobních údajů pro vývoj a provoz systému nebo modelu umělé inteligence, a to za určitých podmínek, včetně vhodných organizačních a technických opatření, aby se zabránilo shromažďování zvláštních kategorií osobních údajů a odstraňování těchto údajů.

Odstavec 3 by objasnil situaci podle článku 12 nařízení (EU) 2016/679 (obecné nařízení o ochraně osobních údajů), kdy je právo na přístup zneužíváno subjekty údajů k jiným účelům, než je ochrana jejich osobních údajů. V důsledku toho by správce mohl odmítnout žádosti vyhovět nebo si účtovat přiměřený poplatek. Kromě toho by se objasnily podmínky pro prokázání toho, že žádost o přístup byla neúměrná.

Odstavec 4 by se zaměřil na povinnost správce informovat subjekty údajů o zpracování jejich osobních údajů podle článku 13 nařízení (EU) 2016/679 (obecné nařízení o ochraně osobních údajů) tím, že by tuto povinnost zrušil v situacích, kdy existují rozumné důvody předpokládat, že subjekt údajů již informace má, ledaže správce předává údaje dalším příjemcům nebo kategoriím příjemců, přenáší údaje do třetí země, provádí automatizované rozhodování nebo je pravděpodobné, že zpracování je spojeno s vysokým rizikem pro práva subjektu údajů.

Odstavec 5 by objasnil požadavky na automatizované individuální rozhodnutí podle článku 22 nařízení (EU) 2016/679 (obecné nařízení o ochraně osobních údajů) v souvislosti s uzavřením nebo plněním smlouvy mezi subjektem údajů a správcem údajů, a zejména to, že požadavek na „nezbytnost“ platí bez ohledu na to, zda by rozhodnutí mohlo být přijato jinak než výhradně automatizovanými prostředky.

Odstavec 6 by sladil povinnost správce ohlašovat případy porušení zabezpečení osobních údajů příslušnému dozorovému úřadu podle článku 33 nařízení (EU) 2016/679 (obecné nařízení o ochraně osobních údajů) s jeho povinností oznamovat uvedené případy porušení subjektům údajů tím, že by stanovil, že oznámení se vyžaduje pouze tehdy, pokud je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva subjektu údajů. Rovněž by se prodloužila lhůta pro oznámení na 96 hodin. Navrhuje se rovněž, aby správci pro ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu používali jednotné kontaktní místo. Kromě toho by byl Evropský sbor pro ochranu osobních údajů povinen připravit a předložit Komisi návrh společné šablony pro ohlašování případů porušení zabezpečení osobních údajů, který by Komise měla pravomoc přijmout prostřednictvím prováděcího aktu po jeho případném přezkumu.

Odstavec 7 by harmonizoval seznamy činností zpracování, které vyžadují nebo nevyžadují posouzení dopadu na ochranu osobních údajů, stanovením, že na úrovni EU budou poskytnuty jednotné seznamy operací zpracování, které vyžadují nebo nevyžadují posouzení dopadu na ochranu osobních údajů, což by přispělo k harmonizaci pojmu vysoké riziko. Evropský sbor pro ochranu osobních údajů by byl povinen připravit návrhy takových seznamů. Byl by rovněž povinen připravit návrh společné šablony a společné metodiky pro provádění posouzení dopadu na ochranu osobních údajů, které by Komise měla pravomoc přijmout prostřednictvím prováděcího aktu po jejich případném přezkumu.

Odstavec 8 stanoví, že Komise může spolu s Evropským sborem pro ochranu osobních údajů podporovat správce při posuzování toho, zda údaje vzniklé pseudonymizací nepředstavují osobní údaje, a to stanovením prostředků a kritérií relevantních pro takové posouzení, včetně dostupných nejmodernějších metod a kritérií pro posouzení rizika opětovné identifikace.

Zrušení aktů a závěrečná ustanovení

2025/0360 (COD)

Návrh

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY,

kterým se mění nařízení (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 a směrnice 2002/58/ES, (EU) 2022/2555 a (EU) 2022/2557, pokud jde o zjednodušení digitálního právního rámce, a kterým se zrušují nařízení (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 a směrnice (EU) 2019/1024 (souhrnný balíček pro digitální oblast)

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na články 16 a 114 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru 21 ,

s ohledem na stanovisko Evropské centrální banky 22 ,

s ohledem na stanovisko Výboru regionů 23 ,

v souladu s řádným legislativním postupem,

vzhledem k těmto důvodům:

(1)Ve svém sdělení „Evropa jednodušší a rychlejší“ 24 Komise oznámila své odhodlání provádět ambiciózní program na podporu inovativních a na budoucnost zaměřených politik, které posílí konkurenceschopnost Unie, radikálně sníží regulační zátěž občanů, podniků i regulačních orgánů a přitom zachovají nejvyšší standard prosazování hodnot Unie. Komise si proto jako prioritu stanovila předložení návrhů okamžitých úprav právních předpisů, včetně právních předpisů v digitální oblasti, které by řešily výzvy související s konkurenceschopností Unie.

(2)Právní předpisy Unie v digitální oblasti nastavují v Unii vysoký standard a mohou být pro podniky, které se jimi řídí, silným zdrojem konkurenční výhody, neboť je s nimi spojen punc kvality, bezpečnosti a důvěryhodnosti světové úrovně. Právní předpisy v digitální oblasti v Unii vymezily jasná pravidla hry pro odpovědné podniky, zajišťují spravedlnost a transparentnost ve vztazích mezi podniky, stimulují inovativní obchodní modely, nastavují vysoký standard ochrany a bezpečnosti spotřebitelů a chrání základní práva, v neposlední řadě zajišťují ochranu soukromí a údajů.

(3)Právní předpisy Unie v digitální oblasti se v posledních letech postupně vyvíjely, aby reagovaly na rychle rostoucí vliv digitálních technologií na ekonomiku a společenskou dynamiku Unie, aby řešily nově vznikající výzvy a podporovaly obchodní příležitosti v EU. Aniž by byl dotčen závazek Komise provádět v digitální oblasti systematické „zátěžové testování“ pravidel, stejně jako je provádí u pravidel Unie v jiných oblastech, který by mohl vést k dalším úpravám legislativy, zejména po nadcházející kontrole digitální způsobilosti, a aniž by byla dotčena další cílená hodnocení digitálních pravidel, je nezbytné přijmout okamžité změny právní úpravy. Toto nařízení proto obsahuje návrh prvního souboru změn legislativního rámce v digitální oblasti, jehož cílem je poskytnout okamžitá objasnění právních předpisů, která podnítí inovace na trhu Unie a sníží administrativní náklady na dodržování předpisů, zejména ze strany podniků, a zároveň zefektivní náklady na dozor a správu pro dozorové a poradní orgány. Cílem změn je rovněž zajistit jasnost pro fyzické osoby.

(4)Vzhledem k zásadní úloze dat při podpoře vytváření hodnot v ekonomice založené na datech a v souladu s cíli sdělení o strategii evropské datové unie je cílem změn legislativního rámce týkajícího se dat, které toto nařízení předkládá, vytvořit soudržný a koherentní regulační rámec pro dostupnost a využívání dat, a to zefektivněním a konsolidací regulačního rámce pro data do pouhých dvou právních aktů, konkrétně nařízení Evropského parlamentu a Rady (EU) 2016/679 25 a (EU) 2023/2854 26 , namísto dosavadních pěti platných aktů. Cílem změn je snížit zbytečné administrativní náklady a stimulovat dostupnost dat jako předpoklad podpory konkurenceschopných digitálních podniků v Unii, a to při zachování nejvyššího standardu ochrany soukromí, ochrany osobních údajů a spravedlivých obchodních praktik a zajištění hlavních regulačních cílů, včetně souladu s právem hospodářské soutěže na úrovni EU a členských států.

(5)Vzhledem k neustálému vývoji horizontálních a odvětvově specifických pravidel je nezbytné řešit také překrývání konkrétních ustanovení, které vede ke zbytečnému zdvojování administrativní zátěže. Tak je tomu v případě požadavků vyplývajících z několika pravidel a týkajících se oznamování kyberbezpečnostních a souvisejících incidentů, kde digitální řešení, jak jsou navržena v tomto nařízení, mohou přinést okamžitou úlevu podnikům ve všech dotčených odvětvích.

(6)Podobně je tomu i v případě postupné regulace online platforem probíhající v posledních letech, kdy novější pravidla vytvořila jasnější a ambicióznější rámec než některé starší předpisy, čímž je učinila zastaralými. Je proto nezbytné, aby se právní rámec vyvíjel a aby se odstranily veškeré zbytečné duplicity, které zvyšují právní složitost.

(7)Nařízení Evropského parlamentu a Rady (EU) 2022/868 27 stanovilo pravidla pro funkce zprostředkování ve třech různých prostředích: a) funkce, které podporují opakované použití chráněných dat v držení subjektů veřejného sektoru za kontrolovaných podmínek, b) služby zprostředkování dat, které usnadňují sdílení dat mezi subjekty údajů, držiteli dat a uživateli dat, a c) organizace pro datový altruismus, které podporují využívání dat zpřístupněných subjekty údajů a držiteli dat na altruistickém nebo filantropickém základě. Funkce podporující opakované použití chráněných dat v držení veřejného sektoru mají úzkou vazbu na pravidla směrnice Evropského parlamentu a Rady (EU) 2019/1024 28 . Jejich vzájemná interakce je zejména pro orgány veřejného sektoru matoucí. Proto je nutné oba soubory pravidel sloučit. Hodnocení pravidel pro služby zprostředkování dat ukázalo, že definice poskytovatelů služeb zprostředkování dat má nedostatky a že pravidla jsou příliš přísná na to, aby poskytovatelé služeb mohli najít udržitelný finanční model. Proto je také nutné tento režim zefektivnit. Pokud jde o datový altruismus, některá pravidla nařízení (EU) 2022/868, zejména povinnost členských států zavést vnitrostátní politiky v oblasti datového altruismu, zavedení „souboru pravidel“ a vypracování evropského formuláře souhlasu s datovým altruismem, se jeví jako nadbytečná regulace, a to i s ohledem na probíhající práci Evropského sboru pro ochranu osobních údajů uvedenou v článku 68 nařízení Evropského parlamentu a Rady (EU) 2016/679 29 o pokynech ke zpracování osobních údajů v souvislosti s vědeckým výzkumem.

(8)Význam služeb zprostředkování dat je uznán v kontextu mnoha iniciativ podporujících sdílení dat a spolupráci, avšak je třeba vyjasnit pravidla nařízení (EU) 2022/868 týkající se poskytovatelů služeb zprostředkování dat. Zejména by měla být zpřesněna definice těchto poskytovatelů. Měly by se odstranit prvky, které sloužily pouze jako ilustrativní příklady, nikoli jako výjimky. Kromě toho by se měla řešit mezera vyplývající z nejednoznačných formulací, zejména pokud jde o pojem „uzavřená skupina“. Služby by neměly být způsobilé k registraci jako služby zprostředkování dat, pokud je využívá výhradně uzavřená skupina společností a pokud o případném rozšíření této skupiny společností může rozhodnout pouze tato skupina, a nikoli poskytovatel služby. Ještě důležitější je, že podřízení tohoto rozvíjejícího se trhu povinnému režimu vedlo ke vzniku zbytečných nákladů na dodržování předpisů. V této fázi vývoje trhu se zdá, že postačuje dobrovolný režim, který umožňuje neutrálním subjektům odlišit se od ostatních subjektů. V zájmu umožnění udržitelných obchodních modelů by měl být režim také méně přísný, a to zrušením požadavku na právní oddělení služeb zprostředkování dat od ostatních služeb s přidanou hodnotou, které by služba měla mít možnost nabízet, a jeho nahrazením funkčním oddělením při zachování určitých ochranných opatření. Režim správního monitorování by měl být zjednodušen. Namísto veřejného rejstříku poskytovatelů služeb zprostředkování dat a organizací pro datový altruismus na úrovni členských států a veřejného rejstříku na úrovni Unie by měly existovat pouze veřejné rejstříky na úrovni Unie, a to jeden pro poskytovatele služeb zprostředkování dat a druhý pro organizace pro datový altruismus. Příslušné orgány, které dohlížejí na udělování značky a na to, zda subjekty splňují požadavky pro její získání, by měly být při plnění tohoto úkolu nezávislé. To by mělo znamenat, že jsou právně a funkčně nezávislé na službě zprostředkování dat nebo organizaci pro datový altruismus, a to i na úrovni jejich vrcholového vedení. Veřejné organizace by měly mít možnost finančně podporovat služby zprostředkování dat nebo organizace pro datový altruismus, zejména s ohledem na vznikající charakter těchto subjektů, pokud se jedná o právně samostatné subjekty. Aby byla zajištěna snadná identifikace uznaných subjektů v celé Unii, přijala Komise prováděcí nařízení (EU) 2023/1622 o vzoru společných log identifikujících poskytovatele služeb zprostředkování dat a organizace pro datový altruismus uznané v Unii.

(9)Nařízení (EU) 2023/2854 odstraňuje překážky přístupu k datům a jejich využívání, uvolňuje inovace a konkurenceschopnost založené na datech a zachovává pobídky pro ty, kdo investují do datových technologií.

(10)Kapitola II nařízení (EU) 2023/2854 vyžaduje, aby držitelé dat zpřístupnili data, včetně dat chráněných jako obchodní tajemství, uživatelům a jimi vybraným třetím stranám za předpokladu, že jsou zachována opatření k zachování důvěrnosti stanovená držitelem dat. Tento požadavek na zachování důvěrnosti doplňuje směrnici Evropského parlamentu a Rady (EU) 2016/943  30 , která stanoví standard pro ochranu obchodních tajemství v Unii. Zpřístupnění obchodních tajemství subjektům ze třetích zemí však může zvýšit rizika pro jejich integritu a důvěrnost, pokud jsou vystavena jurisdikcím s nedostatečnou ochranou nebo obtížím při jejím skutečném prosazování, což může vést k neoprávněnému využití, ekonomickým škodám a právní nejistotě.

(11)Je nezbytné posílit nařízení (EU) 2023/2854 zavedením dalšího důvodu, na jehož základě mohou držitelé dat odmítnout zpřístupnění obchodních tajemství, a doplnit tak stávající ustanovení, která umožňují odmítnutí na základě prokázání vysoké pravděpodobnosti vážné hospodářské škody držitelem dat. Podle nového ustanovení mohou držitelé dat odmítnout zpřístupnit obchodní tajemství, pokud prokáží vysoké riziko neoprávněného získání, použití nebo zpřístupnění subjektům, které podléhají režimům s nedostatečnou ochranou, nerovnocenným nebo slabším právním rámcem, než jsou platné předpisy Unie. Nové ustanovení se vztahuje také na případy, kdy je právní rámec třetí země teoreticky pevný nebo přísnější než příslušná pravidla Unie, ale v praxi není dostatečně prosazován. Tato rizika souvisejí s možností, že by obchodní tajemství mohla být získána, využita nebo zpřístupněna v rozporu s právem Unie, což by ohrozilo jejich integritu a důvěrnost.

(12)Uplatnění mechanismu odmítnutí by mělo zůstat dobrovolné a příslušné prokázání by se mělo předkládat pouze v případě, že se mechanismus skutečně uplatní. Od držitelů dat by se nemělo vyžadovat, aby provedli rozsáhlou analýzu úrovně ochrany obchodního tajemství ve třetích zemích nebo ochrany zajišťované subjektem ze třetí země nebo ji prokázali jako podmínku pro možnost odůvodnit své odmítnutí sdílet data nebo zpřístupnit obchodní tajemství. Při prokazování mohou držitelé dat zohlednit různé faktory, jako jsou nedostatečné nebo nevhodné právní normy, špatné nebo svévolné prosazování, porušení předpisů v minulosti, zahraniční povinnosti týkající se zpřístupňování v rozporu s právem Unie, omezené možnosti napadení soudní cestou nebo nápravných prostředků pro subjekty Unie, strategické zneužívání procesních taktik k podkopávání konkurentů nebo nepatřičné politické ovlivňování. Vzhledem k různorodosti subjektů, třetích zemí a scénářů sdílení dat by se držitelé dat měli při svém posuzování a prokazování zaměřit na relevantní rizika a podle toho jednat, včetně stanovení vhodných ochranných opatření nebo uplatnění mechanismu odmítnutí. Odmítnutí by měla být jasná, přiměřená a přizpůsobená konkrétním okolnostem každého případu, nikoli uplatňovaná systematicky nebo paušálně pro celou třetí zemi.

(13)Nedostatečná ochrana obchodních tajemství a problémy s jejich prosazováním ve třetích zemích mohou evropským podnikům způsobit nenapravitelné škody. Cílem je proto posílit ochranu obchodních tajemství tím, že se zabrání jejich úniku k fyzickým nebo právnickým osobám, které jsou usazeny v jurisdikcích, jež představují takové riziko, nebo jim podléhají. To se týká i subjektů se sídlem v Unii, které jsou kontrolovány subjekty ze třetích zemí a které mohou jednat ve zlé víře nebo jako krytí pro subjekty ze třetích zemí. Kromě toho je cílem zabránit přímému vystavení subjektům ze třetích zemí působícím v Unii, které podléhají těmto jurisdikcím. Podléhat jurisdikci třetí země znamená, že se fyzická nebo právnická osoba řídí právními předpisy nebo rozhodnutími regulačních orgánů třetí země, je jimi kontrolována nebo jim podléhá jinou právně závaznou formou. Dceřiné nebo přidružené společnosti mateřských společností ze třetích zemí mohou tyto jurisdikce využívat k obcházení právních předpisů Unie. Přímou nebo nepřímou kontrolou se rozumí schopnost vykonávat rozhodující nebo dominantní vliv na řízení nebo strategická rozhodnutí jiného subjektu, ať již prostřednictvím vlastnictví kapitálu nebo hlasovacích práv, finanční účasti, smluvních ujednání nebo zprostředkovatelských subjektů. Kontrola může být vykonávána přímo nebo jinými prostředky, a to i bez většinového vlastnictví. Držitelé dat by měli vynaložit maximální úsilí k získání příslušných informací, což může zahrnovat vyhledávání ve veřejných rejstřících nebo vyžádání informací přímo od uživatele nebo třetí strany, přičemž musí zajistit, aby takový postup zůstal přiměřeně neobtěžující.

(14)Ochrana obchodních tajemství před těmito zranitelnými místy má zásadní význam pro udržení tržního postavení a konkurenční výhody evropského průmyslu. I když držitelé dat mohou při ochraně svých obchodních tajemství postupovat podle vlastního uvážení, odmítnutí sdílení dat by mělo být omezeno na odůvodněné, výjimečné okolnosti, aby byly zachovány cíle nařízení (EU) 2023/2854, jimiž je podpora inovací založených na datech a prosperující digitální ekonomika v Unii. Měla by zůstat zachována ochranná opatření proti zneužití mechanismu odmítnutí, včetně povinnosti držitele dat řádně odůvodněným způsobem prokázat, že zpřístupnění představuje vysoké riziko, a oznámit to příslušným orgánům. Toto prokázání by mělo být uživateli nebo třetí straně poskytnuto písemně bez zbytečného odkladu a přiměřeně danému případu. Všechny zúčastněné strany by měly považovat rozhodnutí a podpůrné prokázání za důvěrné, aby byla zachována důvěrná povaha dotčených obchodních tajemství. Uživatelé a případně třetí strany mohou rozhodnutí držitele dat napadnout u příslušného orgánu, soudu nebo prostřednictvím orgánů pro řešení sporů.

(15)V zájmu zjednodušení rámce pro sdílení dat mezi podniky a veřejnou správou podle nařízení (EU) 2023/2854 a objasnění nejednoznačných ustanovení, která dříve ukládala podnikům širší povinnosti, je nutné zúžit rozsah oblasti působnosti kapitoly V uvedeného nařízení z „výjimečné potřeby“ na „krizové situace“. Pojem „krizové situace“, který je definován v čl. 2 bodě 29 nařízení (EU) 2023/2854, tak zajišťuje, že povinnosti stanovené v uvedené kapitole jsou uplatňovány pouze v přesně vymezených, naléhavých situacích, čímž se snižují technické, administrativní a právní výzvy, s nimiž se podniky setkávaly v předchozím režimu. Tím by se zajistilo, že žádosti o data budou relevantní a přiměřené potřebě reagovat na krizové situace, zmírňovat jejich dopady nebo podpořit obnovu po nich. Vzhledem k tomu, že aktualizovaný rámec Unie pro evropskou statistiku podle nařízení Evropského parlamentu a Rady (ES) č. 223/2009 31 se nezabývá krizovými situacemi, je nezbytné zachovat úlohu oficiální statistiky podle kapitoly V nařízení (EU) 2023/2854, aby byla v takových situacích zajištěna jednoznačnost a účinnost. Je rovněž nutné objasnit režim kompenzace v situacích, kdy jsou mikropodniky a malé podniky povinny poskytnout data pro řešení krizové situace, přičemž v takovém případě mohou tyto podniky žádat o kompenzaci.

(16)V zájmu zmírnění právní nejistoty, která by mohla odrazovat od inovativních obchodních modelů, je nutné řešit značné nejasnosti a zátěž spojené s dodržováním předpisů v souvislosti s ustanoveními o inteligentních smlouvách pro realizaci dohod o sdílení dat podle článku 36 nařízení (EU) 2023/2854. Absence harmonizovaných norem a jasných definic klíčových pojmů, jako jsou „odolnost“, „řízení přístupu“ a „soulad se smluvními podmínkami“, v kombinaci s požadavkem na „mechanismus bezpečného ukončení nebo přerušení“, který je potenciálně neslučitelný s decentralizovanými nebo veřejnými blockchainovými architekturami postavenými na neměnných registrech, představovala pro inovátory výzvu z hlediska nákladů a příležitostí. Nejednoznačnost týkající se provádění posouzení shody podle čl. 36 odst. 2 uvedeného nařízení navíc představuje riziko nepřiměřené zátěže. Zrušení článku 36 nařízení (EU) 2023/2854 by proto podpořilo vývoj a uvádění nových obchodních modelů na trh, posílilo inovace a snížilo překážky pro nově vznikající technologie.

(17)Některé služby zpracování dat, které nespadají do modelu poskytování infrastruktury jako služby (IaaS), jsou vytvářeny na míru potřebám nebo ekosystému zákazníka. Poskytování takových služeb zpracování dat je založeno na časově náročných předsmluvních a smluvních jednáních s cílem určit konkrétní požadavky zákazníka a následném technickém úsilí o přizpůsobení služby zpracování dat a poskytnutí řešení na míru. Jedná se o služby, které nejsou poskytovány jako hotové a jsou přizpůsobeny potřebám zákazníka s cílem poskytnout řešení na míru, kdy většina vlastností a funkcí služby zpracování dat byla poskytovatelem přizpůsobena specifickým potřebám zákazníka, kdy by většina vlastností a funkcí nebyla pro zákazníka bez předchozího přizpůsobení poskytovatelem použitelná. Tyto služby se liší od služeb zpracování dat vytvořených na zakázku uvedených v čl. 31 odst. 1 nařízení (EU) 2023/2854. Služby zpracování dat vytvořené na zakázku jsou služby, u nichž byla většina hlavních funkcí vytvořena na zakázku tak, aby vyhovovala zvláštním potřebám individuálního zákazníka, a tyto služby zpracování dat nejsou nabízeny v širokém komerčním měřítku prostřednictvím katalogu služeb poskytovatele. Aby se předešlo dodatečným nákladům a administrativní zátěži spojeným s nutností znovu otevírat a sjednávat smlouvy uzavřené do 12. září 2025 včetně, je nezbytné objasnit, že s výjimkou povinnosti snížit a nakonec odstranit poplatky za změnu poskytovatele a přesun dat by služby vytvořené na zakázku poskytované podle smluv uzavřených do 12. září 2025 včetně neměly spadat do oblasti působnosti kapitoly VI nařízení (EU) 2023/2854.

(18)Poskytovatelé služeb zpracování dat, zejména malé a střední podniky a malé podniky se střední tržní kapitalizací, mohou z důvodů finančního plánování a získávání investic upřednostňovat a nabízet smlouvy na dobu určitou. Je třeba objasnit, že poskytovatelé služeb zpracování dat mohou do těchto smluv zahrnout ustanovení o přiměřených sankcích za předčasné ukončení smlouvy, pokud nepředstavují překážku pro změnu poskytovatele. Poskytovatelé služeb zpracování dat, kteří jsou malými a středními podniky nebo malé podniky se střední tržní kapitalizací, jsou navíc obzvláště zatíženi povinností uvést stávající smlouvy o poskytování služeb zpracování dat do souladu s nařízením (EU) 2023/2854. Je proto nutné stanovit pro tyto poskytovatele zvláštní režim, pokud poskytují služby zpracování dat jiné než infrastrukturu jako služba na základě smluv uzavřených do 12. září 2025 včetně. S ohledem na cíl nařízení (EU) 2023/2854 umožnit změnu poskytovatele služeb zpracování dat a vzhledem k tomu, že poplatky za změnu poskytovatele, včetně poplatků za přesun dat, představují vážnou překážku změny poskytovatele, by nové mírnější režimy pro služby zpracování dat, které jsou vytvořeny na zakázku nebo jsou poskytovány malými a středními podniky či malými podniky se střední tržní kapitalizací, neměly narušit postupné zrušení těchto poplatků. Smluvní ustanovení, která jsou v rozporu s tímto cílem, by měla být považována za neplatná, pokud jsou obsažena ve smluvních ujednáních o poskytování služeb spadajících do oblasti působnosti těchto dvou nových zvláštních režimů.

(19)Nařízení Evropského parlamentu a Rady (EU) 2018/1807 32 zavedlo klíčovou zásadu pro podporu ekonomiky založené na datech v Unii, která konkrétním způsobem podporuje svobodu usazování a volný pohyb služeb. „Volný tok údajů“ v Unii, objasněný zákazem vyžadovat lokalizaci údajů, zůstává základní zásadou, která podnikům poskytuje právní jistotu, a měl by být v nařízení (EU) 2023/2854 zachován. Tímto ustanovením není dotčeno zpracování dat, pokud je prováděno v rámci činnosti, která nespadá do oblasti působnosti práva Unie, zejména pokud jde o národní bezpečnost v souladu s článkem 4 Smlouvy o Evropské unii. Zároveň jsou jiná ustanovení nařízení (EU) 2018/1807 nahrazena novějšími pravidly. Kapitola VI nařízení (EU) 2023/2854 zavedla moderní horizontální právní rámec, který se zabývá změnou poskytovatele služeb zpracování dat, přičemž následkem toho článek 6 nařízení (EU) 2018/1807 prakticky zastaral. Koexistence těchto ustanovení zvýšila právní složitost pro podniky. Nařízení (EU) 2018/1807 by mělo být zrušeno.

(20)Pojem „veřejná bezpečnost“ ve smyslu článku 52 Smlouvy o fungování EU, jak jej vykládá Soudní dvůr, zahrnuje jak vnitřní, tak vnější bezpečnost členského státu, jakož i otázky ochrany obyvatelstva, zejména pokud jde o usnadnění vyšetřování, odhalování a stíhání trestné činnosti. Předpokládá existenci skutečné a dostatečně vážné hrozby pro některý ze základních zájmů společnosti, jako je např. ohrožení chodu veřejných institucí a základních veřejných služeb a přežití obyvatelstva, a dále rizik vážného narušení zahraničních vztahů, mírového soužití národů nebo vojenských zájmů. V souladu se zásadou proporcionality by požadavky na lokalizaci údajů, které jsou ospravedlněny důvody veřejné bezpečnosti, měly odpovídat sledovaným cílům a neměly by překračovat rámec toho, co je k dosažení daného cíle nezbytné.

(21)Směrnice (EU) 2019/1024 i kapitola II nařízení (EU) 2022/868 upravují opakované použití informací veřejného sektoru pro účely inovací. Vzájemné působení těchto dvou souborů pravidel způsobilo právní nejistotu, a to především u subjektů veřejného sektoru. Sjednocení pravidel v jednom právním nástroji je proto nezbytné k dosažení další právní soudržnosti a jistoty.

(22) Vzhledem k tomu, že směrnice (EU) 2019/1024 i nařízení (EU) 2022/868 mají společný cíl, kterým je posílit opakované použití informací veřejného sektoru, a že zjednodušení pravidel je v zájmu subjektů veřejného sektoru i dalších uživatelů informací z veřejného sektoru, je racionální zrušit směrnici (EU) 2019/1024 a nařízení (EU) 2022/868, oba režimy sladit a konsolidovat pravidla v jediné kapitole v rámci tohoto nařízení. Toto řešení zvýší harmonizaci těchto pravidel v celé Unii, sníží administrativní zátěž spojenou s výkladem a prováděním vnitrostátních právních předpisů a usnadní podnikům rozvoj přeshraničních služeb a produktů. Při určování příslušných subjektů by členské státy měly zajistit, aby i v případě určování příslušných subjektů pro konkrétní odvětví byla nakonec pokryta všechna příslušná odvětví. Změny v tomto nařízení by měly být chápány tak, že, není-li výslovně uvedeno jinak, nemění výklad jednotlivých definic a pojmů.

(23)Data a dokumenty, které mohou být zveřejněny pro účely opakovaného použití, a data a dokumenty, které jsou chráněny z důvodu obchodní důvěrnosti, včetně obchodního, profesního a firemního tajemství, statistické důvěrnosti, ochrany práv duševního vlastnictví třetích stran nebo ochrany osobních údajů, jsou často v držení stejných orgánů veřejného sektoru. Proto je nutné sladit definice a společné zásady vztahující se na všechny informace veřejného sektoru a řešit otázky týkající se vzájemného působení obou souborů pravidel.

(24)Stávající pravidla by měla být zjednodušena, aby se zvýšila jejich srozumitelnost a konzistentnost. Oba režimy opakovaného použití by však měly zůstat odlišné a jejich příslušná oblast působnosti by měla i nadále záviset na povaze dat nebo dokumentů a kontextu jejich opakovaného použití. Orgány veřejného sektoru by měly uplatňovat režim otevřených dat, kdykoli je to možné. Pouze pokud shledají, že data nebo dokument obsahují informace odpovídající určitým kategoriím chráněných dat, měly by omezit jejich veřejnou dostupnost a zvážit jejich zpřístupnění pro opakované použití jako chráněných dat.

(25)Začínající podniky, malé podniky a podniky, které jsou považovány za střední podniky podle článku 2 přílohy doporučení Komise 2003/361/ES 33 , a podniky z odvětví s méně rozvinutými digitálními kapacitami mají potíže opakovaně používat data a dokumenty. V digitální ekonomice se zároveň objevilo několik velmi velkých subjektů se značnou hospodářskou silou pramenící z hromadění a agregace velkých objemů dat a technologické infrastruktury pro jejich zpeněžení. Mezi tyto velmi velké subjekty patří podniky, které poskytují hlavní služby platforem a které jsou podle nařízení Evropského parlamentu a Rady (EU) 2022/1925 34 označovány jako strážci přístupu a podléhají zvláštním povinnostem týkajícím se řešení nerovnováh. Aby se tyto nerovnováhy odstranily a posílila se hospodářská soutěž a inovace, měly by mít subjekty veřejného sektoru možnost začlenit do licencí zvláštní podmínky týkající se opakovaného použití dat a dokumentů velmi velkými podniky. Veškeré takové podmínky by měly být přiměřené, měly by vycházet z objektivních kritérií a zohledňovat ekonomickou sílu, schopnost subjektu získávat data nebo označení jako strážce přístupu podle nařízení (EU) 2022/1925, případně jiná podobná kritéria. Tyto zvláštní podmínky se mohou mimo jiné týkat poplatků nebo účelu opakovaného použití.

(26)V duchu podpory inovací a zachování spravedlivé hospodářské soutěže na digitálním trhu Unie je nezbytné zajistit, aby z přístupu k datům veřejného sektoru a jejich opakovaného použití měla prospěch široká škála účastníků trhu a aby nedocházelo k neúmyslnému posilování stávajících dominantních postavení. Velmi velké podniky, a zejména podniky označené podle nařízení (EU) 2022/1925 jako strážci přístupu, mají na vnitřním trhu významnou moc a významný vliv. Aby tyto subjekty nemohly využívat svých značných prostředků na úkor spravedlivé hospodářské soutěže a inovací, měly by mít orgány veřejného sektoru možnost stanovit vyšší poplatky za opakované použití otevřených dat veřejné správy a chráněných dat. Tyto vyšší poplatky by měly být přiměřené a měly by být založeny na objektivních kritériích s ohledem na ekonomickou sílu a schopnost subjektu získávat data. Toto opatření slouží k ochraně příležitostí pro menší podniky a nové účastníky trhu, aby mohli inovovat a konkurovat v digitální ekonomice.

(27)Toto nařízení navrhuje řadu cílených změn nařízení (EU) 2016/679 za účelem objasnění a zjednodušení, přičemž zachovává stejnou úroveň ochrany údajů. V článku 4 nařízení (EU) 2016/679 se stanoví, že osobními údaji jsou „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze rozumně předpokládat, že budou použity pro přímou či nepřímou identifikaci dané fyzické osoby. S ohledem na judikaturu Soudního dvora Evropské unie týkající se definice osobních údajů je nezbytné dále objasnit, kdy by měla být fyzická osoba považována za identifikovatelnou. Existence dodatečných informací umožňujících identifikaci subjektu údajů sama o sobě neznamená, že pseudonymizované údaje musí být ve všech případech a pro každou osobu nebo subjekt považovány za osobní údaje pro účely uplatňování nařízení (EU) 2016/679. Zejména by mělo být upřesněno, že informace se pro daný subjekt nepovažují za osobní údaje, pokud tento subjekt nemá prostředky, o nichž lze rozumně předpokládat, že budou použity k identifikaci fyzické osoby, jíž se informace týkají. Případné následné předání těchto informací třetím stranám, které mají prostředky, o nichž lze rozumně předpokládat, že jim umožní identifikovat fyzickou osobu, jíž se informace týkají, například křížovou kontrolou s jinými údaji, které mají k dispozici, činí tyto informace osobními údaji pouze pro tyto třetí strany, které mají takové prostředky k dispozici. Subjekt, pro nějž informace nejsou osobními údaji, v zásadě nespadá do oblasti působnosti nařízení (EU) 2016/679. V tomto ohledu Soudní dvůr Evropské unie rozhodl, že nelze přiměřeně předpokládat, že bude prostředek použit k identifikaci subjektu údajů, pokud se riziko identifikace ve skutečnosti jeví jako nevýznamné, neboť identifikace tohoto subjektu údajů je právními předpisy zakázána nebo prakticky nemožná, například proto, že by vyžadovala nepřiměřené úsilí z hlediska času, nákladů a práce. Příklad zákazu opětovné identifikace je možné najít mezi povinnostmi uživatelů zdravotních údajů v čl. 61 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2025/327 35 . Komise by měla společně s Evropským sborem pro ochranu osobních údajů podpořit správce při uplatňování této aktualizované definice stanovením technických kritérií v prováděcím aktu.

(28)Pro posouzení, zda výzkum splňuje podmínky vědeckého výzkumu pro účely tohoto nařízení, lze zohlednit prvky, jako je metodologický a systematický přístup uplatňovaný při provádění výzkumu v dané oblasti. Výzkum a vývoj technologií by měly být prováděny v akademickém, průmyslovém a jiném prostředí, včetně malých a středních podniků (čl. 179 odst. 2 Smlouvy o fungování EU), a měl by být vždy vysoce kvalitní a měl by dodržovat zásady spolehlivosti, čestnosti, úcty a odpovědnosti (ověřitelnosti).

(29)Je třeba zopakovat, že další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelnou zákonnou operaci zpracování. V takových případech není nutné na základě čl. 6 odst. 4 tohoto nařízení zjišťovat, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny.

(30)Důvěryhodná umělá inteligence je klíčová pro zajištění hospodářského růstu a podporu inovací se společensky prospěšnými výsledky. Vývoj a používání systémů umělé inteligence a základních modelů, jako jsou velké jazykové modely a generativní video modely, se v různých fázích životního cyklu umělé inteligence, jako je fáze trénování, testování a ověřování, opírají o data, včetně osobních údajů, která mohou být v některých případech uchovávány v systému nebo modelu umělé inteligence. Zpracování osobních údajů v této souvislosti proto může být případně prováděno pro účely oprávněného zájmu ve smyslu článku 6 nařízení (EU) 2016/679. Tím není dotčena povinnost správce zajistit, aby vývoj nebo použití (nasazení) umělé inteligence v konkrétním kontextu nebo pro konkrétní účely bylo v souladu s jinými právními předpisy Unie nebo vnitrostátními právními předpisy, nebo zajistit soulad v případech, kdy je její použití zákonem výslovně zakázáno. Není tím rovněž dotčena jeho povinnost zajistit splnění všech ostatních podmínek čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679, jakož i všech ostatních požadavků a zásad uvedeného nařízení.

(31)Při vyvažování oprávněného zájmu, který sleduje správce nebo třetí strana, se zájmy, právy a svobodami subjektu údajů – a to s ohledem na přístup založený na riziku, který určuje škálovatelnost povinností podle tohoto nařízení – by se mělo zohlednit, do jaké míry je zájem sledovaný správcem prospěšný pro subjekt údajů a pro společnost jako celek, což může být například tehdy, je-li zpracování osobních údajů nezbytné k odhalování a odstraňování zaujatosti, a tím k ochraně subjektů údajů před diskriminací, nebo je-li cílem zpracování osobních údajů zajistit přesné a bezpečné výstupy pro přínosné využití, například pro zlepšení dostupnosti určitých služeb. V úvahu by se měla brát mimo jiné také přiměřená očekávání subjektu údajů založená na jeho vztahu se správcem, vhodné záruky pro minimalizaci dopadu na práva subjektů údajů, jako je poskytování větší transparentnosti subjektům údajů, poskytnutí bezpodmínečného práva vznést námitku proti zpracování jejich osobních údajů, respektování technických označení zabudovaných do služby omezujících využití údajů pro vývoj umělé inteligence třetími stranami, používání dalších nejmodernějších metod k zachovávání soukromí při trénování umělé inteligence a vhodných technických opatření k účinné minimalizaci rizik vyplývajících například z neúmyslného zpřístupnění údajů, úniku údajů a z jiných zamýšlených nebo předvídatelných činností.

(32)Zpracování osobních údajů pro účely vědeckého výzkumu a uplatňování ustanovení nařízení GDPR o vědeckém výzkumu je podle čl. 89 odst. 1 nařízení GDPR podmíněno přijetím vhodných záruk práv a svobod subjektů údajů. Za tímto účelem nařízení GDPR vyvažuje právo na ochranu osobních údajů podle článku 8 Listiny základních práv Evropské unie a svobodu vědy podle článku 13 Listiny základních práv Evropské unie. Zpracování osobních údajů pro účely vědeckého výzkumu proto sleduje oprávněný zájem ve smyslu čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679, pokud takový výzkum není v rozporu s právem Unie nebo členského státu. Tím není dotčena povinnost správce zajistit, aby byly splněny všechny ostatní podmínky čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679, jakož i všechny ostatní požadavky a zásady uvedeného nařízení.

(33)Vývoj některých systémů a modelů umělé inteligence může zahrnovat shromažďování velkého množství dat, včetně osobních údajů a jejich zvláštních kategorií. Zvláštní kategorie osobních údajů mohou zůstat v souborech trénovacích, validačních a testovacích dat nebo mohou být uchovány v systému nebo modelu umělé inteligence, ačkoli tyto zvláštní kategorie osobních údajů nejsou pro účely zpracování nezbytné. Aby se nepřiměřeně nebránilo vývoji a provozu umělé inteligence a s ohledem na možnosti správce identifikovat a odstranit zvláštní kategorie osobních údajů, by měla být povolena odchylka od zákazu zpracování zvláštních kategorií osobních údajů podle čl. 9 odst. 2 nařízení (EU) 2016/679. Odchylka by se měla uplatnit pouze v případě, že správce účinným způsobem zavedl vhodná technická a organizační opatření, aby zabránil zpracování těchto údajů, přijal vhodná opatření během celého životního cyklu systému nebo modelu umělé inteligence, a jakmile takové údaje identifikuje, účinně je odstraní. Pokud by odstranění vyžadovalo nepřiměřené úsilí, zejména pokud by odstranění zvláštních kategorií údajů uložených v systému nebo modelu umělé inteligence vyžadovalo přepracování systému nebo modelu umělé inteligence, měl by správce tyto údaje účinně chránit před použitím k odvození výstupů, zpřístupněním nebo jiným poskytnutím třetím stranám. Tato odchylka by se neměla použít, pokud je zpracování zvláštních kategorií osobních údajů nezbytné pro účel zpracování. V tomto případě by se správce měl odvolat na výjimky podle čl. 9 odst. 2 písm. a) až j) nařízení (EU) 2016/679.

(34)Biometrickými údaji ve smyslu definice v čl. 4 bodu 14 nařízení (EU) 2016/679 se rozumí zpracování určitých znaků fyzické osoby prostřednictvím zvláštního technického prostředku, které umožňuje nebo potvrzuje jedinečnou identifikaci této osoby. Pojem biometrické údaje zahrnuje dvě různé funkce, a to identifikaci fyzické osoby nebo ověření (nazývané také autentizace) její deklarované totožnosti, přičemž obě tyto funkce se opírají o různé technické postupy. Proces identifikace je založen na vyhledávání biometrických údajů subjektu údajů v databázi „jedna k mnoha“, zatímco proces ověřování je založen na porovnávání biometrických údajů poskytnutých subjektem údajů, který tímto způsobem deklaruje svou totožnost, „jedna k jedné“. Odchylka od zákazu zpracovávat biometrické údaje podle čl. 9 odst. 1 nařízení by měla být rovněž povolena, pokud je ověření deklarované totožnosti subjektu údajů nezbytné pro účel sledovaný správcem a pokud se použijí vhodné záruky, které subjektu údajů umožní mít nad procesem ověření výhradní kontrolu. Například pokud jsou biometrické údaje bezpečně uchovávány výhradně u subjektu údajů nebo jsou bezpečně uchovávány u správce v nejmodernější zašifrované podobě a šifrovací klíč nebo rovnocenný prostředek má v držení výhradně subjekt údajů, není pravděpodobné, že by toto zpracování představovalo významné riziko pro jeho základní práva a svobody. Správce nezíská přístup k biometrickým údajům nebo ho získá jen na velmi omezenou dobu během procesu ověřování.

(35)V souladu s článkem 15 nařízení (EU) 2016/679 má subjekt údajů právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud zpracovávány jsou, má právo získat přístup k těmto osobním údajům a k určitým doplňkovým informacím. Právo na přístup by mělo subjektu údajů umožnit být informován o zpracování a ověřit si jeho zákonnost a uplatňovat svá další práva podle nařízení (EU) 2016/679. V článku 12 nařízení by naopak mělo být objasněno, že právo na přístup, které je od počátku výhodné pro subjekty údajů, by nemělo být zneužíváno v tom smyslu, že by je subjekty údajů zneužívaly k jiným účelům než k ochraně svých údajů. K takovému zneužití práva na přístup by například došlo, pokud by subjekt údajů zamýšlel přimět správce k zamítnutí žádosti o přístup, aby následně požadoval zaplacení odškodnění, případně pod hrozbou podání žaloby na náhradu škody. Dalšími příklady zneužití jsou situace, kdy subjekty údajů neúměrně využívají práva na přístup s jediným záměrem způsobit správci škodu nebo újmu, nebo když fyzická osoba podá žádost, ale zároveň nabídne její stažení výměnou za nějakou formu výhody ze strany správce. Kromě toho by správci měli nést nižší důkazní břemeno ohledně nepřiměřenosti žádosti než ohledně zjevné neúměrnosti žádosti, aby byla zachována rozumná míra jejich zátěže. Důvodem je skutečnost, že zjevná nedůvodnost žádosti závisí na skutečnostech, které spadají převážně do sféry odpovědnosti správce, zatímco neúměrnost žádosti se týká možného zneužívajícího jednání subjektu údajů, které leží převážně mimo sféru vlivu správce, a proto může být správce schopen takové zneužití prokázat pouze v přiměřené míře. V každém případě by měl být subjekt údajů ve své žádosti o přístup podle článku 15 nařízení (EU) 2016/679 co nejkonkrétnější. Příliš široké a obecné žádosti by měly být rovněž považovány za neúměrné.

(36)Článek 13 nařízení (EU) 2016/679 vyžaduje, aby správce údajů poskytl subjektu údajů určité informace o zpracování jeho osobních údajů, jakož i určité další informace nezbytné k zajištění spravedlivého a transparentního zpracování, jak je definováno v odstavcích 1, 2 a 3 uvedeného ustanovení. V souladu s čl. 13 odst. 4 nařízení (EU) 2016/679 se tato povinnost neuplatní, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má. V zájmu dalšího snížení zátěže správců údajů, aniž by byly omezeny možnosti subjektu údajů uplatňovat svá práva podle kapitoly III nařízení, by tato odchylka měla být rozšířena na situace, kdy zpracování pravděpodobně nepředstavuje vysoké riziko ve smyslu článku 35 nařízení a kdy existují oprávněné důvody předpokládat, že subjekt údajů již má informace uvedené v odst. 1 písm. a) a c) s ohledem na kontext, v němž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem. Mělo by se jednat o situace, kdy je kontext vztahu mezi správcem a subjektem údajů velmi jasný a vymezený a činnost správce není náročná na data, jako je například vztah mezi řemeslníkem a jeho klienty, kdy je rozsah zpracování omezen na minimum údajů nezbytných k provedení služby. Činnost správce není náročná na data, pokud shromažďuje malé množství osobních údajů a jeho operace zpracování nejsou složité, což není případ například oblasti zaměstnanosti. Za těchto okolností, tj. pokud zpracování není náročné na data, není složité a správce shromažďuje malé množství osobních údajů, by mělo být přiměřené očekávat, že subjekt údajů bude mít například informace o totožnosti a kontaktních údajích správce, jakož i o účelu zpracování, pokud je toto zpracování prováděno za účelem plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pokud subjekt údajů udělil k tomuto zpracování souhlas v souladu s požadavky stanovenými v nařízení (EU) 2016/679. Totéž by mělo platit pro sdružení a sportovní kluby, u nichž se zpracování osobních údajů omezuje na správu členství, komunikaci se členy a organizaci činností. Touto odchylkou od povinností podle článku 13 však nejsou dotčeny nezávislé povinnosti správce podle článku 15 uvedeného nařízení, které se uplatní v případě, že subjekt údajů požádá o přístup na základě posledně uvedeného ustanovení. Pokud se neuplatní odchylka od povinností podle článku 13, mohou správci v zájmu vyvážení potřeby úplnosti a snadného pochopení ze strany subjektu údajů přijmout při poskytování požadovaných informací vícevrstvý přístup, zejména tím, že uživatelům umožní navigovat k dalším informacím.

(37)Pokud zpracování probíhá za účelem vědeckého výzkumu a poskytnutí informací subjektu údajů není možné nebo by vyžadovalo neúměrné úsilí, nemělo by být nutné poskytovat informace stanovené v článku 13 tohoto nařízení. Správce by měl vyvinout přiměřené úsilí k získání kontaktních údajů, pokud jsou snadno dostupné a jejich získání by nevyžadovalo neúměrné úsilí. Poskytnutí informací by vyžadovalo neúměrné úsilí zejména v případech, kdy správce v době shromažďování osobních údajů nevěděl nebo nepředpokládal, že bude později zpracovávat osobní údaje pro účely vědeckého výzkumu, a v takovém případě nemusí mít snadno dostupné kontaktní údaje subjektů údajů. V takových situacích by měl správce informovat subjekty údajů nepřímo, například tím, že tuto informaci zveřejní. Poskytnutí těchto informací by mělo zajistit, aby bylo osloveno co nejvíce dotčených subjektů údajů. Prostředky relevantní pro zveřejnění informací by měly být určeny v závislosti na kontextu výzkumného projektu a dotčených subjektů údajů.

(38)Článek 22 nařízení (EU) 2016/679 stanoví pravidla pro zpracování osobních údajů v případech, kdy správce údajů činí rozhodnutí, která mají právní účinky nebo obdobně významné účinky na subjekt údajů, založená výhradně na automatizovaném zpracování. V zájmu větší právní jistoty by mělo být upřesněno, že rozhodnutí založená výhradně na automatizovaném zpracování jsou povolena, pokud jsou splněny zvláštní podmínky stanovené v nařízení (EU) 2016/679. Mělo by být rovněž objasněno, že při posuzování, zda je rozhodnutí nezbytné pro uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů, jak je stanoveno v čl. 22 odst. 2 písm. a) nařízení (EU) 2016/679, by se nemělo vyžadovat, aby rozhodnutí mohlo být přijato výhradně automatizovaným zpracováním. To znamená, že skutečnost, že by rozhodnutí mohl přijmout i člověk, nebrání správci v tom, aby rozhodnutí přijal výhradně automatizovaným zpracováním. Pokud existuje několik stejně účinných řešení automatizovaného zpracování, měl by správce použít to méně rušivé.

(39)S cílem snížit zátěž správců a zároveň zajistit, že dozorové úřady budou mít přístup k příslušným informacím a budou moci v případě porušení nařízení jednat, měla by být prahová hodnota pro ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu podle článku 33 nařízení (EU) 2016/679 sladěna s prahovou hodnotou pro oznamování případů porušení zabezpečení osobních údajů subjektu údajů podle článku 34 uvedeného nařízení. V případě porušení zabezpečení údajů, u kterého není pravděpodobné, že bude mít za následek vysoké riziko pro práva a svobody fyzických osob, by správce neměl být povinen informovat příslušný orgán dozoru. Vyšší prahovou hodnotou pro ohlašování případů porušení zabezpečení údajů orgánu dozoru není dotčena povinnost správce zdokumentovat případ porušení v souladu s čl. 33 odst. 5 nařízení (EU) 2016/679 ani jeho povinnost být schopen prokázat soulad s uvedeným nařízením v souladu s čl. 5 odst. 2 uvedeného nařízení. S cílem usnadnit správcům dodržování předpisů a harmonizovaný přístup v Unii by měl Evropský sbor pro ochranu osobních údajů připravit společnou šablonu pro ohlašování případů porušení zabezpečení osobních údajů příslušnému orgánu dozoru a společný seznam okolností, za nichž je pravděpodobné, že případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzické osoby. Komise by měla návrh vypracovaný Evropským sborem pro ochranu osobních údajů řádně zohlednit a před přijetím jej případně přezkoumat. Aby bylo možné zohlednit nové hrozby pro bezpečnost informací, měly by být společná šablona a seznam alespoň jednou za tři roky přezkoumány a v případě potřeby aktualizovány. Neexistence společného seznamu okolností, za nichž je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, by neměla mít vliv na povinnosti správců ohlašovat tyto případy porušení.

(40)Článek 35 nařízení (EU) 2016/679 požaduje, aby správci provedli posouzení vlivu na ochranu osobních údajů, pokud je pravděpodobné, že zpracování osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Dozorové úřady zřízené podle uvedeného nařízení jsou povinny sestavit a zveřejnit seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů. Nařízení navíc stanoví, že dozorové úřady mohou rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné. Aby se účinně přispělo k cíli sbližování ekonomik a účinně zajistil volný tok osobních údajů mezi členskými státy, zvýšila se právní jistota, usnadnilo se dodržování předpisů ze strany správců a zajistil se harmonizovaný výklad pojmu vysoké riziko pro práva a svobody subjektů údajů, měl by být na úrovni EU vytvořen jednotný seznam operací zpracování, který by nahradil stávající vnitrostátní seznamy. Kromě toho by se mělo zavést povinné zveřejňování seznamu druhů operací zpracování, u nichž se nevyžaduje posouzení vlivu na ochranu osobních údajů, které je v současné době nepovinné. Seznamy operací zpracování by měl vypracovat Evropský sbor pro ochranu osobních údajů a Komise by je měla přijmout jako prováděcí akt. S cílem usnadnit správcům dodržování předpisů by měl Evropský sbor pro ochranu osobních údajů rovněž připravit společnou šablonu a metodiku pro provádění posouzení vlivu na ochranu údajů, které by Komise přijala jako prováděcí akt. Komise by měla řádně zohlednit návrhy vypracované Evropským sborem pro ochranu osobních údajů a před přijetím je podle potřeby přezkoumat. Aby se zohlednil technologický vývoj, měly by se seznamy a společná šablona a metodika revidovat alespoň každé tři roky a v případě potřeby aktualizovat.

(41)Nařízení Evropského parlamentu a Rady (EU) 2018/1725 36 se vztahuje na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie. Směrnice Evropského parlamentu a Rady (EU) 2016/680 37 se vztahuje na zpracování osobních údajů příslušnými orgány pro účely prevence, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů. Nařízení (EU) 2018/1725 a směrnice (EU) 2016/680 by měly být uvedeny do souladu se změnami nařízení (EU) 2016/679 zavedenými tímto nařízením.

(42)Jak je objasněno v 5. bodě odůvodnění nařízení (EU) 2018/1725, kdykoli se ustanovení nařízení (EU) 2018/1725 řídí stejnými zásadami jako ustanovení nařízení (EU) 2016/679, měly by být tyto dva soubory ustanovení podle judikatury Soudního dvora Evropské unie vykládány jednotně. Režim nařízení (EU) 2018/1725 je třeba chápat jako rovnocenný režimu nařízení (EU) 2016/679. Tímto nařízením se proto rovněž mění ustanovení nařízení (EU) 2018/1725, která jsou dotčena změnami nařízení (EU) 2016/679, pokud jsou tyto změny relevantní i v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie.

(43)V zájmu zajištění pevného a soudržného rámce pro ochranu údajů v Unii by po přijetí tohoto nařízení mělo následovat nezbytné přizpůsobení směrnice (EU) 2016/680 a jakéhokoli dalšího právního aktu Unie, který se na takové zpracování osobních údajů vztahuje, aby jejich uplatňování mohlo začít co nejblíže okamžiku vstupu změn nařízení (EU) 2016/679 a nařízení (EU) 2018/1725 v platnost.

(44)Uchovávání osobních údajů nebo získávání přístupu k již uchovávaným osobním údajům v koncovém zařízení a následné zpracování těchto údajů by mělo být upraveno jednotným právním rámcem, konkrétně nařízením (EU) 2016/679, pokud je účastníkem služby elektronických komunikací nebo uživatelem koncového zařízení fyzická osoba. Změny předložené v tomto nařízení nadále poskytují nejvyšší úroveň ochrany osobních údajů a zároveň subjektům údajů usnadňují výkon práv a vyjadřování rozhodnutí online. Změny se týkají zejména uchovávání informací v koncovém zařízení, přístupu k nim nebo jejich jiného shromažďování z takového zařízení, které zahrnuje zpracování osobních údajů prostřednictvím cookies nebo podobných technologií za účelem získávání informací z koncového zařízení. Příslušná pravidla by měla platit také bez ohledu na to, zda je koncové zařízení ve vlastnictví dané fyzické osoby nebo jiné právnické či fyzické osoby.

Uchovávání osobních údajů nebo získávání přístupu k již uchovávaným osobním údajům v koncovém zařízení by mělo být nadále povoleno pouze na základě souhlasu. Podobně jako v případě směrnice 2002/58/ES by tento požadavek neměl bránit uchovávání osobních údajů nebo získávání přístupu k již uchovávaným osobním údajům v koncovém zařízení fyzické osoby, pokud je založeno na právu Unie nebo členského státu ve smyslu článku 6 nařízení (EU) 2016/679 a pokud splňuje všechny podmínky zákonnosti stanovené v uvedeném ustanovení a je prováděno pro účely stanovené v čl. 23 odst. 1 nařízení (EU) 2016/679.

S cílem snížit zátěž spojenou s dodržováním předpisů a zajistit správcům právní jasnost a vzhledem k tomu, že některé účely zpracování představují nízké riziko pro práva a svobody subjektů údajů nebo že takové zpracování může být nezbytné pro poskytnutí služby, o kterou subjekt údajů požádal, je nezbytné stanovit taxativní seznam účelů, pro které by mělo být zpracování povoleno bez souhlasu. Proto by mělo být v tomto nařízení stanoveno, že uchovávání osobních údajů nebo získání přístupu k již uchovávaným osobním údajům v koncovém zařízení a jejich následné zpracování, které je pro takové účely nezbytné, je zákonné. Správce, například poskytovatel mediálních služeb, může pověřit zpracovatele, například společnost pro průzkum trhu, aby zpracování provedl jeho jménem.

Pro následné zpracování osobních údajů pro jiné účely, než jsou vymezeny ve výlučném seznamu, by se měl použít článek 6 a případně článek 9 nařízení (EU) 2016/679. Správce je s ohledem na zásadu odpovědnosti odpovědný za výběr vhodného právního základu pro zamýšlené zpracování. Aby se správce mohl opřít o oprávněný zájem podle čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679 jako důvod pro následné zpracování osobních údajů, musí prokázat, že sleduje oprávněný zájem správce nebo třetích stran, zpracování je nezbytné k dosažení účelu tohoto oprávněného zájmu a zájmy nebo základní práva subjektu údajů nepřevažují nad zájmy správce. V této souvislosti by správci měli brát v úvahu především následující prvky: zda je subjektem údajů dítě; přiměřená očekávání subjektu údajů; dopad na jednotlivce buď z důvodu rozsahu zpracovávaných údajů, nebo z důvodu citlivosti zpracovávaných údajů; rozsah předmětného zpracování v tom smyslu, že zpracování nemůže být zvláště rozsáhlé – ať už z hlediska objemu údajů, nebo šíře kategorií zpracovávaných údajů; zpracování by mělo být založeno na údajích omezených na nezbytnou míru a nesmí být založeno na sledování velké části online aktivit subjektů údajů; a případně další relevantní faktory. Zpracování by nemělo vést k nepřetržitému sledování soukromého života subjektu údajů.

Pokud se správce nemůže opřít o oprávněný zájem jako právní důvod pro následné zpracování, mělo by být zpracování založeno na jiném důvodu podle čl. 6 odst. 1, zejména na souhlasu podle článků 6 a 7 nařízení (EU) 2016/679, pokud jsou splněny všechny zásady nařízení (EU) 2016/679.

(45)Subjekty údajů, které odmítly žádost o souhlas, jsou často konfrontovány s novou žádostí o udělení souhlasu pokaždé, když znovu navštíví online službu téhož správce. To pro ně může být negativní a mohou nakonec souhlasit jen proto, aby se vyhnuly opakovaným žádostem. Správce by proto měl být povinen respektovat volbu subjektu údajů odmítnout žádost o souhlas alespoň po určitou dobu.

(46)Subjekty údajů by měly mít možnost spoléhat se na automatizovaná a strojově čitelná označení své volby přijmout nebo zamítnout žádost o souhlas či vznést námitku proti zpracování údajů. Tyto prostředky by měly odpovídat současnému stavu techniky. Mohou být vloženy do nastavení webového prohlížeče nebo do peněženky digitální identity EU, jak je stanoveno v nařízení (EU) č. 914/2014, nebo do jakéhokoli jiného vhodného prostředku. Pravidla stanovená v tomto nařízení by měla podporovat vznik tržně orientovaných řešení s vhodnými rozhraními. Správce by měl být povinen respektovat automatizovaná a strojově čitelná označení voleb subjektu údajů, jakmile budou k dispozici normy. S ohledem na význam nezávislé žurnalistiky v demokratické společnosti a s cílem nenarušit její ekonomický základ by poskytovatelé mediálních služeb neměli být povinni respektovat strojově čitelná označení voleb subjektů údajů. Povinnost poskytovatelů webových prohlížečů poskytnout subjektům údajů technické prostředky, aby mohly vyjádřit své volby ohledně zpracování údajů, by nemělo vést k tomu, že by poskytovatelé mediálních služeb neměli možnost požadovat souhlas od subjektů údajů.

(47)Směrnice 2002/58/ES o soukromí a elektronických komunikacích, naposledy revidovaná v roce 2009, stanoví rámec pro ochranu práva na soukromí, včetně důvěrnosti komunikací. Upřesňuje také nařízení (EU) 2016/679, pokud jde o zpracování osobních údajů v kontextu služeb elektronických komunikací. Chrání soukromí a integritu koncového zařízení uživatele nebo účastníka, které se pro takovou komunikaci používá. Současné ustanovení čl. 5 odst. 3 směrnice 2002/58/ES by mělo zůstat v platnosti v případech, kdy účastník nebo uživatel není fyzickou osobou a pokud uchovávané informace nebo informace, k nimž je získán přístup, nepředstavují zpracování osobních údajů ani k němu nevedou.

(48)Článek 4 směrnice 2002/58/ES by měl být zrušen. Článek 4 směrnice 2002/58/ES stanoví požadavky pro poskytovatele veřejně dostupných služeb elektronických komunikací, pokud jde o zajištění bezpečnosti jejich služeb a oznamování. Směrnice (EU) 2022/2555 následně stanovila pro tyto poskytovatele nové požadavky ohledně opatření k řízení kybernetických rizik a oznamování incidentů. V zájmu omezení překrývajících se povinností subjektů v odvětví elektronických komunikací by měl být článek 4 směrnice 2002/58/ES zrušen. Pokud jde o bezpečnost zpracování osobních údajů podle čl. 4 odst. 1 a 1a této směrnice a o oznamování případů narušení bezpečnosti osobních údajů podle čl. 4 odst. 3 až 5 směrnice 2002/58/ES, nařízení (EU) 2016/679 již stanoví potřebná a aktuální pravidla. Tato pravidla by se proto měla vztahovat na poskytovatele veřejně dostupných služeb elektronických komunikací a poskytovatele veřejných komunikačních sítí, čímž se zajistí, že se na správce a zpracovatele bude vztahovat jeden režim.

(49)Několik horizontálních nebo odvětvových právních aktů Unie vyžaduje oznámení téže události různým orgánům za použití různých technických prostředků a kanálů. Jednotné kontaktní místo pro hlášení incidentů by mělo subjektům umožnit plnit ohlašovací povinnosti podle směrnice (EU) 2022/2555, nařízení (EU) 2016/679, nařízení (EU) 2022/2554, nařízení (EU) č. 910/2014 a směrnice (EU) 2022/2557 podáváním oznámení v rámci jednotného rozhraní. Kromě toho by jednotné kontaktní místo mělo subjektům umožnit vyhledat informace, které jeho prostřednictvím podaly již dříve, což jim pomůže sledovat, jak plní své ohlašovací povinnosti v souvislosti se specifickými incidenty.

(50)K zajištění bezpečnosti jednotného kontaktního místa by agentura ENISA měla přijmout vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik, která představují hrozbu pro bezpečnost jednotného kontaktního místa a informací předávaných nebo šířených jeho prostřednictvím. Při posuzování rizika a vhodnosti a přiměřenosti těchto opatření by agentura ENISA měla zohlednit citlivost informací předkládaných nebo šířených podle příslušných právních aktů Unie. Agentura ENISA by měla při navrhování technických, provozních a organizačních opatření nezbytných pro zřízení, údržbu a bezpečný provoz jednotného kontaktního místa konzultovat orgány příslušné podle relevantních právních aktů Unie, a to s využitím stávajících skupin pro spolupráci a sítí členských států zřízených podle těchto aktů.

(51)Před spuštěním oznamování incidentů by agentura ENISA měla zavést pilotní provoz fungování jednotného kontaktního místa, který by měl zahrnovat důkladné testování specifik a požadavků na oznámení vyplývajících z relevantních právních aktů Unie. Na základě výsledků pilotního provozu by Komise měla posoudit řádné fungování, spolehlivost, integritu a důvěrnost jednotného kontaktního místa. Komise by při posuzování měla konzultovat síť CSIRT a orgány příslušné podle relevantních právních aktů Unie, a to s využitím stávajících skupin pro spolupráci a sítí členských států zřízených podle těchto aktů. Pokud Komise shledá, že jednotné kontaktní místo zajišťuje řádné fungování spolehlivost, integritu a důvěrnost, měla by to oznámit v Úředním věstníku Evropské unie. Pokud má Komise za to, že řádné fungování, spolehlivost, integrita a důvěrnost nejsou zajištěny, měla by agentura ENISA přijmout veškerá nezbytná nápravná opatření, po nichž bude následovat nové posouzení ze strany Komise.

(52)Aby byla zajištěna kontinuita a interoperabilita se stávajícími vnitrostátními technickými řešeními, která usnadňují hlášení incidentů, měla by agentura ENISA při vypracovávání specifikací technických, provozních a organizačních opatření nezbytných pro zřízení, údržbu a bezpečný provoz jednotného kontaktního místa v proveditelné míře tato vnitrostátní technická řešení zohlednit. Agentura ENISA by dále měla zvážit technické protokoly a nástroje, jako jsou rozhraní pro programování aplikací a strojově čitelné standardy, které subjektům umožní začlenit ohlašovací povinnosti do provozních procesů a orgánům propojit jednotné kontaktní místo s jejich vnitrostátními systémy pro ohlašování.

(53)Aby bylo zajištěno, že jednotné kontaktní místo umožní příslušným subjektům předkládat typ informací a formát požadovaný podle příslušných právních aktů Unie, měla by agentura ENISA konzultovat Komisi a orgány příslušné podle těchto aktů. Pokud právní akt Unie plně neharmonizuje typ informací a formát oznámení, měly by členské státy informovat agenturu ENISA o svých vnitrostátních ustanoveních.

(54)Díky nařízení (EU) 2022/2554 je finanční sektor v čele zavádění harmonizovaného, komplexního a účinného rámce, a to i pokud jde o hlášení incidentů. V zájmu zjednodušení dodržování předpisů je vhodné sladit rámec pro hlášení incidentů zavedený nařízením (EU) 2022/2554 s jednotným kontaktním místem, přičemž je třeba zajistit kontinuitu a stabilitu stávajícího rámce pro ohlašování a vzít v úvahu, že jednotné kontaktní místo bude uvedeno do provozu poté, co jeho posouzení ukáže, že zajišťuje řádné fungování, spolehlivost, integritu a důvěrnost. Nařízení (EU) 2022/2554 navíc zavedlo standardizované vzory pro ohlašování, které zjednodušují obsah hlášení závažných incidentů souvisejících s IKT ve finančním sektoru. Zkušenosti získané při přijímání těchto vzorů poskytují cenné poznatky a osvědčené postupy, které by měly být v příslušných případech zohledněny při určování druhu informací, formátu a postupu podávání oznámení pro účely ohlašování jednotnému kontaktnímu místu podle směrnice (EU) 2022/2555, směrnice (EU) 2022/2557 nebo nařízení (EU) 2016/679. Komise by proto měla náležitě zohlednit regulační technické normy přijaté podle nařízení (EU) 2022/2554, které upřesňují obsah prvotního oznámení i podobu průběžných a závěrečných zpráv o závažných incidentech souvisejících s IKT. Cílem tohoto přístupu je zajistit konzistentnost, podpořit synergie a snížit administrativní zátěž subjektů minimalizací počtu datových polí, která musí subjekty vyplnit, což přispěje k zefektivnění a racionalizaci postupů ohlašování.

(55)Podle příslušných právních aktů Unie mají být určité informace o specifických incidentech v pozdější fázi sdíleny mezi příslušnými orgány s cílem usnadnit účinný dohled a koordinaci. Jednotné kontaktní místo by proto mělo být koncipováno tak, aby umožňovalo a podporovalo výměnu informací na této úrovni pro každý příslušný právní akt Unie a zajistilo bezpečné, včasné a účinné příslušné datové toky mezi orgány, pokud se členské státy rozhodnou tuto dodatečnou funkci využívat.

(56)Aby se zajistilo, že hlášení incidentů se provádí prostřednictvím jednotného kontaktního místa, měly by být odpovídajícím způsobem změněny směrnice (EU) 2022/2555, nařízení (EU) 2016/679, nařízení (EU) 2022/2554, nařízení (EU) 910/2014 a směrnice (EU) 2022/2557. Jednotné kontaktní místo by se mělo začít používat pro účely ohlašování podle těchto aktů do 18 měsíců od vstupu tohoto nařízení v platnost. Pokud Komise zahájí mechanismy oznámení o odložení data použitelnosti na 24 měsíců od vstupu nařízení v platnost, měla by se pro účely plnění ohlašovacích povinností stanovených v těchto ustanoveních nadále používat odpovídající ustanovení směrnice (EU) 2022/2555, nařízení (EU) 910/2014, nařízení (EU) 2022/2554 a směrnice (EU) 2022/2557.

(57)Ve výjimečném případě, kdy je kvůli technickému problému nemožné podat hlášení o incidentu prostřednictvím jednotného kontaktního místa, by subjekty měly plnit své ohlašovací povinnosti alternativními prostředky. Za tímto účelem by subjekty, které jsou podle příslušných právních aktů Unie adresáty oznámení o incidentech, měly oznámení o incidentech přijímat alternativními prostředky a měly by informace o těchto alternativních prostředcích zveřejnit.

(58)V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 38 byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne [DATUM]. V souladu s čl. 42 odst. 2 nařízení (EU) 2018/1725 byl konzultován Evropský sbor pro ochranu osobních údajů, který vydal své stanovisko dne [DATUM].

(59)Podle nařízení (EU) 2019/1150 by měl být na úrovni Unie stanoven cílený soubor závazných pravidel, aby bylo na vnitřním trhu zajištěno spravedlivé, předvídatelné, udržitelné a důvěryhodné online podnikatelské prostředí. Nařízení (EU) 2022/2065 a nařízení (EU) 2022/1925 poskytují komplexní regulační rámec pro bezpečné, předvídatelné a důvěryhodné online prostředí pro všechny koncové uživatele online služeb a vytvářejí pro podniky rovné podmínky na digitálních trzích. V zájmu zjednodušení právních předpisů Unie v oblasti online zprostředkovatelských služeb a online platforem a vzhledem k tomu, že cíle a věcná ustanovení nařízení o platformách pro podniky jsou z velké části pokryty aktem o digitálních službách a nařízením o digitálních trzích, mělo by být nařízení (EU) 2019/1050 zrušeno. Nařízení (EU) 2022/2065 a nařízení (EU) 2022/1925 přispívají k plně harmonizovanému regulačnímu rámci pro digitální služby a digitální trhy tím, že sbližují vnitrostátní opatření týkající se požadavků na poskytovatele zprostředkovatelských služeb a otevřenosti hospodářské soutěži a spravedlnosti hlavních služeb platforem poskytovaných strážci přístupu. V zájmu právní jistoty zůstanou vybrané definice v článku 2, ustanovení o omezeních a pozastaveních v článku 4, jakož i ustanovení o interním systému pro vyřizování stížností v článku 11 nařízení (EU) 2019/1150, na které odkazují jiné právní akty, zejména směrnice (EU) 2023/2831 o zlepšení pracovních podmínek při práci prostřednictvím platforem, a článek 15 zajišťující prosazování, dočasně v platnosti až do změny původních aktů.

(60)S ohledem na technickou povahu změn navržených v tomto nařízení a naléhavou potřebu zajistit zjednodušený právní rámec by toto nařízení mělo vstoupit v platnost ihned po svém vyhlášení v Úředním věstníku. Ve vhodných případech by měla být členským státům a regulovaným subjektům poskytnuta přechodná období na přizpůsobení se pravidlům,

PŘIJALY TOTO NAŘÍZENÍ:

Článek 1

Změny nařízení (EU) 2023/2854

Nařízení (EU) 2023/2854 se mění takto:

1.Článek 1 se mění takto:

a)v odstavci 1 se vkládají nová písmena, která znějí:

„ea) dobrovolnou registraci služeb zprostředkování dat;

eb) dobrovolnou registraci subjektů, které shromažďují a zpracovávají data zpřístupněná pro altruistické účely;

ec) zřízení Evropského sboru pro datové inovace;

ed) požadavky na lokalizaci dat a zpřístupnění dat příslušným orgánům;

ee) opakované použití určitých dat a dokumentů v držení subjektů veřejného sektoru nebo určitých veřejných podniků a výzkumných dat a“;

b)v odstavci 2 se doplňují nová písmena, která znějí:

„g) kapitola VIIa se vztahuje na osobní a neosobní údaje;

h) kapitola VIIb se vztahuje na veškeré neosobní údaje;

i) kapitola VIIc se vztahuje na osobní a neosobní údaje, konkrétně na tyto údaje:

i) dokumenty v držení orgánů veřejného sektoru členských států, uvedených

1)v čl. 32i odst. 1 písm. a), nebo veřejných podniků uvedených

2)v čl. 32i odst. 1 písm. b);

ii) výzkumná data uvedená v čl. 32i odst. 1 písm. c);

iii) určité kategorie chráněných dat uvedené v čl. 32i odst. 1 písm. a).“;

c)v odstavci 3 se písmeno g) nahrazuje tímto:

„g) účastníky v datových prostorech.“;

d)odstavec 7 se zrušuje;

e)doplňují se odstavce 11, 12 a 13, které znějí:

„11. Kapitolou VIIb tohoto nařízení nejsou dotčeny právní a správní předpisy týkající se vnitřní organizace členských států, kterými se veřejným orgánům a veřejnoprávním subjektům přidělují pravomoci a povinnosti související se zpracováním údajů bez smluvního odměňování soukromých stran, ani právní a správní předpisy členských států, kterými se upravuje výkon takových pravomocí a povinností.

12. Pokud odvětvové unijní nebo vnitrostátní právní předpisy vyžadují, aby subjekty veřejného sektoru, poskytovatelé služeb zprostředkování dat nebo uznané organizace pro datový altruismus splňovaly zvláštní dodatečné technické, administrativní či organizační požadavky související s kapitolami VIIa a VIIb, a to i prostřednictvím režimu udělování oprávnění či certifikace, použijí se i tato ustanovení zmíněných odvětvových unijních nebo vnitrostátních právních předpisů. Jakékoli další požadavky musí být nediskriminační, přiměřené a objektivně odůvodněné.

13. Pokud jde o data a dokumenty v oblasti působnosti oddílu II kapitoly VIIc, kapitola VIIc tohoto nařízení neovlivňuje možnost členských států přijmout podrobnější nebo přísnější pravidla za předpokladu, že tato pravidla umožňují rozsáhlejší opakované použití dat a dokumentů.“

2.Článek 2 se mění takto:

a)vkládají se nové body 4a), 4b) a 4c), které znějí:

„4a) „souhlasem“ souhlas ve smyslu čl. 4 bodu 11 nařízení (EU) 2016/679;

4b) „svolením“ oprávnění uživatelů dat ke zpracování neosobních údajů;

4c) „přístupem“ užívání dat v souladu se zvláštními technickými, právními nebo organizačními požadavky, aniž by to nutně znamenalo předání nebo stažení dat;“

b)bod 13 se nahrazuje tímto:

„13) „držitelem dat“ fyzická nebo právnická osoba, která má v souladu s tímto nařízením, použitelným právem Unie nebo vnitrostátními právními předpisy přijatými v souladu s právem Unie právo nebo povinnost používat či zpřístupňovat data, včetně dat z výrobků nebo dat ze související služby, která získala nebo vytvořila během poskytování související služby, je-li to smluvně dohodnuto;“ 

c)vkládají se nové body 28a a 28b, které znějí:

„28a) „veřejnoprávními subjekty“ subjekty se všemi těmito vlastnostmi:

a)jsou založeny za zvláštním účelem spočívajícím v uspokojování potřeb obecného zájmu, které nemají průmyslovou ani obchodní povahu;

b)mají právní subjektivitu;

c)jsou financovány převážně státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty nebo podléhají řídicímu dohledu těchto orgánů nebo subjektů nebo je více než polovina členů jejich správního, řídícího nebo dozorčího orgánu jmenována státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty;

28b) „veřejným podnikem“ jakýkoli podnik, nad nímž může subjekt veřejného sektoru přímo nebo nepřímo vykonávat rozhodující vliv na základě vlastnictví takového podniku, své finanční účasti v něm nebo pravidel, jimiž je řízen. Dominantní vliv na část subjektů veřejného sektoru se předpokládá, pokud v kterémkoli z níže uvedených případů tyto subjekty přímo či nepřímo: 

a)drží většinu upsaného základního kapitálu podniku;

b)disponují většinou hlasovacích práv vyplývajících z podílu na podniku;

c)mohou jmenovat více než polovinu členů správních, řídicích nebo dozorčích orgánů podniku;“

d)vkládají se nové body 38a a 38b, které znějí:

„38a) „službou zprostředkování dat“ služba, jejímž cílem je prostřednictvím technických, právních a jiných prostředků zakládat vztahy ekonomické povahy za účelem sdílení dat mezi neurčeným počtem subjektů údajů nebo držitelů dat a uživatelů dat, a to i pro účely výkonu práv subjektů údajů ve vztahu k osobním údajům, a která:

1) nemá za hlavní účel zprostředkování obsahu chráněného autorským právem;

2)není společně pořizována několika právnickými osobami pro používání výhradně mezi nimi;

38b) „datovým altruismem“ dobrovolné sdílení dat na základě souhlasu uděleného subjekty údajů ke zpracovávání osobních údajů, které se jich týkají, nebo svolení jiných držitelů dat, jež umožňuje použití jejich neosobních údajů, aniž by byla vyžadována nebo obdržena odměna, která přesahuje náhradu nákladů spojených se zpřístupněním těchto dat, pro cíle obecného zájmu stanovené v příslušných případech v souladu s vnitrostátními právními předpisy, jako jsou zdravotní péče, boj proti změně klimatu, zlepšení mobility, usnadnění vývoje, tvorby a šíření oficiálních statistik, zlepšení poskytování veřejných služeb, tvorba veřejné politiky nebo účely vědeckého výzkumu ve veřejném zájmu;“

e)doplňují se nové body 44 až 63, které znějí:

„44) „středním podnikem“ střední podnik ve smyslu článku 2 přílohy I doporučení 2003/361/ES;

45) „malým podnikem se střední tržní kapitalizací“ malý podnik se střední tržní kapitalizací ve smyslu článku 2 přílohy doporučení Komise (EU) 2025/1099;

46) „univerzitou“ subjekt veřejného sektoru poskytující vyšší postsekundární vzdělávání vedoucí k získání akademické hodnosti;

47) „standardní licencí“ soubor předem vymezených podmínek pro opakované použití v digitálním formátu, pokud možno slučitelném se standardizovanými veřejnými licencemi dostupnými online;

48) „dokumentem“:

a) jakýkoli obsah, který není digitální, bez ohledu na jeho nosič (papír nebo zvuk, obrazový či audiovizuální záznam); nebo

b) jakákoli část takového obsahu;

50) „dynamickými daty“ data a dokumenty v digitální formě, které podléhají průběžné aktualizaci či aktualizaci v reálném čase, zejména z důvodu jejich proměnlivosti či rychlého zastarávání; za dynamická data se typicky považují data získaná senzory;

51) „výzkumnými daty“ data, kromě vědeckých publikací, která jsou shromažďována nebo vytvářena v průběhu činností vědeckého výzkumu a jsou používána jako důkazy v procesu výzkumu, nebo která jsou obecně akceptována výzkumnou obcí jako nezbytná k validaci zjištění a výsledků výzkumu;

52) „opakovaným použitím“:

a)použití dokumentů, které mají v držení subjekty veřejného sektoru, fyzickými nebo právnickými osobami pro komerční nebo nekomerční účely jiné, než je původní účel v rámci veřejného úkolu, pro který byly vytvořeny, kromě výměny dokumentů mezi subjekty veřejného sektoru výhradně při plnění jejich veřejných úkolů; nebo

b)použití dokumentů, které mají v držení veřejné podniky podle oddílu 2 kapitoly VIIc, fyzickými nebo právnickými osobami pro komerční nebo nekomerční účely jiné, než je původní účel poskytování služeb obecného zájmu, pro který byly vytvořeny, kromě výměny dokumentů mezi veřejnými podniky a subjekty veřejného sektoru výhradně při plnění veřejných úkolů subjektů veřejného sektoru;

53) „datovými soubory s vysokou hodnotou“ data a dokumenty, jejichž opakované použití je spojeno s významnými přínosy pro společnost, životní prostředí a hospodářství, zejména kvůli jejich vhodnosti pro tvorbu služeb s přidanou hodnotou, aplikací a nových, kvalitních a důstojných pracovních míst, jakož i počtu potenciálních příjemců služeb a aplikací s přidanou hodnotou založených na těchto datech a dokumentech;

54) „určitými kategoriemi chráněných dat“ data a dokumenty v držení subjektů veřejného sektoru, které jsou chráněny z důvodu

a)obchodní důvěrnosti, včetně obchodního, profesního nebo firemního tajemství;

b)statistické důvěrnosti;

c)ochrany práv duševního vlastnictví třetích stran nebo

d)ochrany osobních údajů, pokud tyto údaje nespadají do oblasti působnosti oddílu 2 kapitoly VIIc;

56) „bezpečným zpracovatelským prostředím“ fyzické nebo virtuální prostředí a organizační prostředky k zajištění souladu s právem Unie, zejména s právy subjektů údajů, právy duševního vlastnictví a obchodním tajemstvím a statistickou důvěrností, integritou a přístupností údajů, jakož i k zajištění souladu s příslušnými vnitrostátními právními předpisy, které subjektu poskytujícímu bezpečné zpracovatelské prostředí umožňuje určit a kontrolovat veškeré činnosti zpracování dat, včetně zobrazování, uchovávání, stahování, exportu dat a výpočtu odvozených dat pomocí výpočetních algoritmů;

57) „dalším uživatelem“ fyzická nebo právnická osoba, které bylo uděleno právo na opakované použití dat nebo dokumentů v držení subjektu veřejného sektoru nebo veřejného podniku podle kapitoly VIIc nebo výzkumných dat či určitých kategorií chráněných dat;

58) „strojově čitelným formátem“ formát souboru s takovou strukturou, která umožňuje softwarovým aplikacím snadno v něm nalézt, rozpoznat a získat konkrétní údaje, včetně jednotlivých uvedených fakt a jejich vnitřní struktury;

59) „otevřeným formátem“ formát souboru, který není závislý na žádné platformě a je zpřístupněn veřejnosti bez jakéhokoli omezení, které by znemožňovalo opakované použití dokumentů;

60) „otevřenou formální normou“ norma, která byla písemně stanovena a obsahuje specifikace požadavků na zajištění interoperability softwaru;

61) „přiměřenou návratností investic“ procentní podíl celkového poplatku nad rámec částky, která je zapotřebí k zpětnému získání způsobilých nákladů, jenž nepřesahuje pět procentních bodů nad pevnou úrokovou sazbou ECB;

62) „požadavkem na lokalizaci údajů“ jakákoli povinnost, zákaz, podmínka, omezení nebo jiný požadavek stanovený právními nebo správními předpisy členských států nebo vyplývající z obecných a stálých správních postupů členských států a veřejnoprávních subjektů, mimo jiné v oblasti zadávání veřejných zakázek, aniž by byla dotčena směrnice 2014/24/EU, který vyžaduje, aby zpracování údajů probíhalo na území určitého členského státu, nebo znesnadňuje zpracování údajů v kterémkoli jiném členském státě;

63) „pseudonymizací“ pseudonymizace uvedená v čl. 4 bodu 5 nařízení (EU) 2016/679.“

3.V článku 4 se odstavec 8 nahrazuje tímto:

„8. Za výjimečných okolností, pokud držitel dat, který je vlastníkem obchodního tajemství, může prokázat, že navzdory technickým a organizačním opatřením přijatým uživatelem podle odstavce 6 tohoto článku je vysoce pravděpodobné, že v případě zpřístupnění obchodního tajemství utrpí vážnou hospodářskou újmu nebo že zpřístupnění obchodního tajemství uživateli s sebou nese vysoké riziko neoprávněného získání, použití nebo zpřístupnění subjektům ze třetích zemí nebo subjektům usazeným v Unii pod přímou nebo nepřímou kontrolou takových subjektů, které podléhají jurisdikcím poskytujícím slabší nebo nerovnocennou ochranu ve srovnání s ochranou podle práva Unie, může tento držitel dat v jednotlivých případech žádost o přístup k dotčeným konkrétním datům odmítnout. Toto odmítnutí musí být řádně odůvodněno na základě objektivních faktů, jako jsou vymahatelnost ochrany obchodního tajemství ve třetích zemích, povaha a míra důvěrnosti vyžádaných dat a jedinečnost a novost souvisejícího výrobku. Uživateli se poskytne písemně bez zbytečného odkladu. Pokud držitel dat odmítne sdílet data podle tohoto odstavce, oznámí to příslušnému orgánu určenému podle článku 37.“

4.V článku 5 se odstavec 11 nahrazuje tímto:

„11. Za výjimečných okolností, pokud držitel dat, který je vlastníkem obchodního tajemství, může prokázat, že navzdory technickým a organizačním opatřením přijatým třetí stranou podle odstavce 9 tohoto článku je vysoce pravděpodobné, že v případě zpřístupnění obchodního tajemství utrpí vážnou hospodářskou újmu nebo že zpřístupnění obchodního tajemství třetí straně s sebou nese vysoké riziko neoprávněného získání, použití nebo zpřístupnění subjektům ze třetích zemí nebo subjektům usazeným v Unii pod přímou nebo nepřímou kontrolou takových subjektů, které podléhají jurisdikcím poskytujícím slabší nebo nerovnocennou ochranu ve srovnání s ochranou podle práva Unie, může tento držitel dat v jednotlivých případech žádost o přístup k dotčeným konkrétním datům odmítnout. Toto odmítnutí musí být řádně odůvodněno na základě objektivních faktů, jako jsou vymahatelnost ochrany obchodního tajemství ve třetích zemích, povaha a míra důvěrnosti vyžádaných dat a jedinečnost a novost souvisejícího výrobku. Třetí straně se poskytne písemně bez zbytečného odkladu. Pokud držitel dat odmítne sdílet data podle tohoto odstavce, oznámí to příslušnému orgánu určenému podle článku 37.“

5.Název kapitoly V se nahrazuje tímto:

„ZPŘÍSTUPŇOVÁNÍ DAT SUBJEKTŮM VEŘEJNÉHO SEKTORU, KOMISI, EVROPSKÉ CENTRÁLNÍ BANCE A SUBJEKTŮM UNIE NA ZÁKLADĚ KRIZOVÉ SITUACE“.

6.Články 14 a 15 se zrušují.

7.Vkládá se nový článek 15a, který zní:

„Článek 15a

Povinnost držitelů dat zpřístupnit data na základě krizové situace

1.Pokud subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie prokáží výjimečnou potřebu použít určitá data k plnění svých zákonných povinností ve veřejném zájmu při reakci na krizovou situaci, jejím zmírňování nebo při podpoře obnovy po ní, mohou požádat držitele dat, kteří jsou právnickými osobami jinými než subjekty veřejného sektoru, o zpřístupnění těchto dat, včetně příslušných metadat nezbytných pro interpretaci a využívání těchto dat. Na základě takové řádně odůvodněné žádosti držitelé dat zpřístupní data a metadata žádajícímu subjektu veřejného sektoru, Komisi, Evropské centrální bance nebo subjektu Unie. Takové žádosti mohou být podány také v případě, že je třeba v souvislosti s krizovou situací vypracovat úřední statistiku.

2.Pokud jsou požadovaná data nezbytná pro reakci na krizovou situaci a žádající subjekt podle odstavce 1 není schopen tato data včas a efektivně získat jinými prostředky za rovnocenných podmínek, týká se žádost dat, které nejsou osobními údaji. Pokud poskytnutí neosobních údajů není k řešení krizové situace dostatečné, mohou být rovněž vyžádány osobní údaje a, je-li to možné, zpřístupněny v pseudonymizované podobě, za předpokladu použití vhodných technických a organizačních opatření k zajištění jejich ochrany.

3.Pokud jsou požadovaná data nezbytná pro zmírnění krizové situace nebo pro podporu obnovy po ní, může žádající subjekt uvedený v odstavci 1, jednající na základě práva Unie nebo vnitrostátního práva, požádat o konkrétní neosobní údaje, bez nichž není schopen zmírnit krizovou situaci nebo podpořit obnovu po ní. Takové žádosti nesmí být adresovány mikropodnikům a malým podnikům.“

8.V článku 16 se odstavec 2 nahrazuje tímto:

„2. Tato kapitola se nevztahuje na činnosti prováděné subjekty veřejného sektoru, Komisí, Evropskou centrální bankou ani subjekty Unie a související s prevencí, vyšetřováním, odhalováním či stíháním trestných činů nebo správních deliktů nebo výkonem trestních sankcí, ani na celní či daňovou správu. Touto kapitolou není dotčeno právo Unie ani vnitrostátní právo, kterým se takové činnosti řídí.“

9.Článek 17 se mění takto:

a)    odstavec 1 se nahrazuje tímto:

i) návětí se nahrazuje tímto:

„V případě žádosti o data podle článku 15a subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie:“

ii) písmena b) a c) se nahrazují tímto:

„b) prokáže, že jsou splněny podmínky pro podání žádosti podle článku 15a;

c) vysvětlí účel žádosti, zamýšlené použití požadovaných dat, případně i třetí stranou v souladu s odstavcem 4 tohoto článku, dobu trvání tohoto použití a případně, jak má zpracování osobních údajů řešit danou krizovou situaci;“

b)    odstavec 2 se nahrazuje tímto:

i) písmeno c) se nahrazuje tímto:

„c) musí být přiměřená krizové situaci a řádně odůvodněna, pokud jde o granularitu a objem požadovaných dat a četnost přístupu k požadovaným datům“;

ii) písmeno e) se zrušuje;

c)    odstavce 5 a 6 se zrušují.

10.Článek 18 se mění takto:

a)    v odstavci 2 se návětí nahrazuje tímto:

„2. Aniž jsou dotčeny zvláštní potřeby týkající se dostupnosti dat vymezené v unijním nebo vnitrostátním právu, může držitel dat žádost o zpřístupnění dat podle této kapitoly bez zbytečného odkladu a v každém případě nejpozději do pěti pracovních dnů od obdržení žádosti podle čl. 15a odst. 2 a bez zbytečného odkladu a v každém případě nejpozději do 30 pracovních dnů od obdržení žádosti podle čl. 15a odst. 3 odmítnout nebo požádat o její změnu, a to z některého z těchto důvodů:“;

b)    odstavec 5 se zrušuje.

11.Článek 19 se mění takto:

a) v odstavci 1 se návětí nahrazuje tímto:

„Subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie, které obdržely data na základě žádosti podané podle článku 15a:“;

b) odstavec 3 se nahrazuje tímto:

„3. „Zpřístupnění obchodních tajemství subjektu veřejného sektoru, Komisi, Evropské centrální bance nebo subjektu Unie se vyžaduje pouze v rozsahu nezbytně nutném pro dosažení účelu žádosti podle článku 15a. V takovém případě držitel dat nebo, pokud jsou rozdílnými osobami, vlastník obchodního tajemství, identifikuje data, která jsou chráněna jako obchodní tajemství, a to i v příslušných metadatech. Daný subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie přijmou před zpřístupněním obchodního tajemství veškerá nezbytná a vhodná technická a organizační opatření k zachování důvěrnosti obchodního tajemství, včetně případného použití vzorových smluvních ujednání, technických norem a uplatňování kodexů chování.“

12.Článek 20 se nahrazuje tímto:

„Článek 20

Kompenzace za zpřístupnění dat podle kapitoly V

1. Držitelé dat zpřístupní data nezbytná pro reakci na krizovou situaci podle čl. 15a odst. 2 bezplatně. Subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie, které data obdržely, poskytnou držiteli dat veřejné uznání, pokud o to držitel požádá.

2. Držitel dat má za zpřístupnění dat v souladu s žádostí podanou podle čl. 15a odst. 3 nárok na spravedlivou kompenzaci. Tato kompenzace musí pokrýt technické a organizační náklady vynaložené na vyhovění žádosti, případně včetně nákladů na anonymizaci, pseudonymizaci, agregaci a technickou úpravu, navýšené o přiměřenou marži. Na žádost subjektu veřejného sektoru, Komise, Evropské centrální banky nebo subjektu Unie poskytne držitel dat informace o základu pro výpočet nákladů a přiměřené marže.

3. Odchylně od odstavce 1 tohoto článku může držitel dat, který je mikropodnikem nebo malým podnikem, požadovat kompenzaci za zpřístupnění dat v reakci na žádost podle čl. 15a odst. 2 v souladu s podmínkami stanovenými v odstavci 2 tohoto článku.

4. Držitelé dat nejsou oprávněni požadovat kompenzaci za zpřístupnění dat v souladu s žádostí podanou podle čl. 15a odst. 3, pokud je konkrétním úkolem prováděném ve veřejném zájmu vypracování oficiálních statistik a pokud vnitrostátní právní předpisy neumožňují nákup dat. Členské státy oznámí Komisi případy, kdy vnitrostátní právní předpisy nákup dat pro vypracování oficiálních statistik neumožňují.“

13.Článek 21 se mění takto:

a) nadpis se nahrazuje tímto:

„Sdílení dat získaných v souvislosti s krizovou situací s výzkumnými organizacemi nebo statistickými orgány“;

b) odstavec 5 se nahrazuje tímto:

„5. Pokud subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie hodlají předat nebo zpřístupnit data podle odstavce 1, oznámí to bez zbytečného odkladu držiteli dat, od něhož data obdržely, přičemž uvedou:

a)totožnost a kontaktní údaje organizace nebo fyzické osoby, která data obdržela;

b)účel předání nebo zpřístupnění dat;

c)dobu, po kterou mají být data používána;

d)přijatá technická ochranná a organizační opatření, včetně případů, kdy se jedná o osobní údaje nebo obchodní tajemství.“

14.Před kapitolu VI se vkládá nový článek 22a, který zní:

„Článek 22a

Právo podat stížnost

Pokud vznikne spor týkající se žádosti o data podle článku 15a, včetně jejího odmítnutí, změny, výše kompenzace nebo předání či zpřístupnění dat, může držitel dat, subjekt veřejného sektoru, Komise, Evropská centrální banka nebo subjekt Unie podat stížnost u příslušného orgánu, určeného podle článku 37, členského státu, v němž je držitel dat usazen.“

15.V článku 31 se vkládají nové odstavce 1a a 1b, které znějí:

„1a. Povinnosti stanovené v kapitole VI, s výjimkou článku 29, a v článku 34 se nevztahují na jiné služby zpracování dat než ty, které jsou uvedeny v čl. 30 odst. 1, kdy většina vlastností a funkcí služby zpracování dat byla poskytovatelem přizpůsobena specifickým potřebám zákazníka, pokud je poskytování takových služeb založeno na smlouvě uzavřené do 12. září 2025 včetně.

Poskytovatel takových služeb zpracování dat není povinen znovu dojednat nebo změnit smlouvu o poskytování takových služeb před uplynutím její platnosti, pokud byla tato smlouva uzavřena do 12. září 2025 včetně. Jakékoli smluvní ustanovení obsažené v této smlouvě, které je v rozporu s čl. 29 odst. 1, 2 nebo 3, se považuje za neplatné.

1b. Poskytovatel služby zpracování dat může do smlouvy na dobu určitou o poskytování služeb zpracování dat jiných, než jsou služby uvedené v čl. 30 odst. 1, zahrnout ustanovení o přiměřených sankcích za předčasné ukončení smlouvy.

Pokud je poskytovatelem služby zpracování dat malý a střední podnik nebo malý podnik se střední tržní kapitalizací, povinnosti stanovené v kapitole VI, s výjimkou článku 29, a v článku 34 se nevztahují na služby zpracování dat jiné než služby uvedené v čl. 30 odst. 1, pokud je poskytování takových služeb založeno na smlouvě uzavřené do 12. září 2025 včetně.

Pokud je poskytovatelem služby zpracování dat malý a střední podnik nebo malý podnik se střední tržní kapitalizací, není poskytovatel povinen znovu dojednat nebo změnit smlouvu o poskytování služby zpracování dat jiné než uvedené v čl. 30 odst. 1 před uplynutím její platnosti, pokud byla tato smlouva uzavřena do 12. září 2025 včetně. Jakékoli smluvní ustanovení obsažené v této smlouvě, které je v rozporu s čl. 29 odst. 1, 2 nebo 3, se považuje za neplatné.“

16.Článek 32 se mění takto:

a) odstavce 1 a 2 se nahrazují tímto:

„1. Aniž jsou dotčeny odstavce 2 nebo 3, přijmou poskytovatelé služeb zpracování dat, subjekt veřejného sektoru, který zpřístupňuje data nebo dokumenty podle oddílu 3 kapitoly VIIc, fyzická nebo právnická osoba, které bylo uděleno právo na opakované použití dat nebo dokumentů v souladu s oddílem 3 kapitoly VIIc, poskytovatel služeb zprostředkování dat nebo uznaná organizace pro datový altruismus veškerá adekvátní technická, organizační a právní opatření, včetně smluv, aby zabránili přístupu orgánů veřejné správy k neosobním údajům uchovávaným v Unii a jejich předávání na mezinárodní úrovni a úrovni třetích zemí, pokud by takové předávání nebo přístup mohly být v rozporu s unijními nebo vnitrostátními právními předpisy příslušného členského státu. 

2. Jakékoli rozhodnutí či rozsudek soudu třetí země a jakékoli rozhodnutí správního orgánu třetí země, jež po poskytovateli služeb zpracování dat, subjektu veřejného sektoru, který zpřístupňuje data nebo dokumenty podle oddílu 3 kapitoly VIIc, fyzické nebo právnické osobě, které bylo uděleno právo na opakované použití dat nebo dokumentů v souladu s oddílem 3 kapitoly VIIc, poskytovateli služeb zprostředkování dat nebo uznané organizaci pro datový altruismus požadují předání nebo zpřístupnění neosobních údajů spadajících do oblasti působnosti tohoto nařízení uchovávaných v Unii, jsou jakýmkoli způsobem uznatelné nebo vymahatelné, pouze pokud vycházejí z mezinárodní dohody, například smlouvy o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií, nebo dohody mezi žádající třetí zemí a členským státem.“;

b) v odst. 3 prvním pododstavci se úvodní text nahrazuje tímto:

„3. V případě neexistence mezinárodní dohody uvedené v odstavci 2, pokud je poskytovatel služeb zpracování dat, subjekt veřejného sektoru, který zpřístupňuje data nebo dokumenty podle oddílu 3 kapitoly VIIc, fyzická nebo právnická osoba, které bylo uděleno právo na opakované použití dat nebo dokumentů v souladu s oddílem 3 kapitoly VIIc, poskytovatel služeb zprostředkování dat nebo uznaná organizace pro datový altruismus adresátem rozhodnutí či rozsudku soudu třetí země nebo rozhodnutí správního orgánu třetí země, které jim ukládá předat neosobní údaje z Unie či umožnit přístup k neosobním údajům uchovávaným v Unii spadajícím do oblasti působnosti tohoto nařízení, a v případě vyhovění takovému rozhodnutí nebo rozsudku by hrozilo, že by adresát jednal v rozporu s unijními právními předpisy nebo s vnitrostátními právními předpisy příslušného členského státu, pak může dojít k předání takových údajů dotyčnému orgánu třetí země nebo k umožnění přístupu tohoto orgánu k nim pouze pokud:“;

c) odstavce 4 a 5 se nahrazují tímto:

„4. Jsou-li podmínky stanovené v odstavci 2 nebo 3 splněny, poskytovatel služeb zpracování údajů, subjekt veřejného sektoru, který zpřístupňuje data nebo dokumenty podle oddílu 3 kapitoly VIIc, fyzická nebo právnická osoba, které bylo uděleno právo na opakované použití dat nebo dokumentů v souladu s oddílem 3 kapitoly VIIc, poskytovatel služeb zprostředkování dat nebo uznaná organizace pro datový altruismus poskytnou v reakci na žádost minimální přípustné množství dat na základě přiměřeného výkladu dané žádosti poskytovatelem nebo příslušným subjektem nebo orgánem uvedeným v odstavci 3 druhém pododstavci.

5. Poskytovatel služeb zpracování údajů, subjekt veřejného sektoru, který zpřístupňuje data nebo dokumenty podle oddílu 3 kapitoly VIIc, fyzická nebo právnická osoba, které bylo uděleno právo na opakované použití dat nebo dokumentů v souladu s oddílem 3 kapitoly VIIc, poskytovatel služeb zprostředkování dat nebo uznaná organizace pro datový altruismus informují fyzickou nebo právnickou osobu, jejíž práva a zájmy by mohly být dotčeny existencí žádosti orgánu třetí země o přístup k jejím údajům před tím, než této žádosti vyhoví, s výjimkou případů, kdy je účelem žádosti prosazování práva, a pokud je to nezbytné k zajištění účinnosti prosazování práva.“

17.Článek 36 se zrušuje.

18.Vkládají se nové kapitoly VIIa, VIIb a VIIc, které zní:

„KAPITOLA VIIa

Služby zprostředkování dat

a organizace pro datový altruismus

Článek 32a

Veřejné rejstříky Unie

1)Komise vede a pravidelně aktualizuje veřejné rejstříky Unie, v nichž registruje:

a)uznané poskytovatele služeb zprostředkování dat a

b)uznané organizace pro datový altruismus.

2)Poskytovatelé služeb zprostředkování dat registrovaní ve veřejném rejstříku Unie uvedeném v odst. 1 písm. a) mohou ve své písemné a ústní komunikaci používat označení „poskytovatel služeb zprostředkování dat uznaný v Unii“, jakož i společné logo uvedené v odstavci 4.

3)Organizace pro datový altruismus zapsané ve veřejném rejstříku Unie uvedeném v odst. 1 písm. b) mohou ve své písemné a ústní komunikaci používat označení „organizace pro datový altruismus uznaná v Unii“, jakož i společné logo uvedené v odstavci 4.

4)Komise je zmocněna přijmout prováděcí akty, kterými stanoví vzor společného loga s cílem zajistit, aby byli poskytovatelé služeb zprostředkování dat uznaní v Unii snadno identifikovatelní v celé Unii. Tyto prováděcí akty se přijímají poradním postupem podle čl. 46 odst. 1a.

Článek 32b

Příslušné orgány pro registraci poskytovatelů služeb zprostředkování dat a organizací pro datový altruismus

1)Každý členský stát určí jeden či několik příslušných orgánů odpovědných za uplatňování a prosazování této kapitoly v souladu s čl. 37 odst. 1.

2)Příslušné orgány jsou zřízeny tak, aby byla zaručena jejich nezávislost na jakémkoli uznaném poskytovateli služeb zprostředkování dat nebo uznané organizaci pro datový altruismus.

Článek 32c

Obecné požadavky na registraci uznaných poskytovatelů služeb zprostředkování dat

Pro zápis do veřejného rejstříku Unie uvedeného v čl. 32a odst. 1 písm. a) musí poskytovatel služeb zprostředkování dat splňovat všechny tyto požadavky:

a)nepoužívá data, pro která poskytuje služby zprostředkování dat, k jiným účelům než k jejich poskytnutí uživatelům dat;

b)data, která shromažďuje o jakékoli činnosti fyzické nebo právnické osoby za účelem poskytování služby zprostředkování dat, včetně údajů o datu a čase a geolokačních údajů, doby trvání činnosti a kontaktů s jinými fyzickými či právnickými osobami, které navázala osoba využívající službu zprostředkování dat, jsou používána výhradně pro rozvoj této služby zprostředkování dat; 

c)pokud držitelům dat nebo subjektům údajů nabízí dodatečné nástroje a služby za zvláštním účelem usnadnění výměny dat, jako je dočasné uchování, kurátorství, konverze, šifrování, anonymizace a pseudonymizace, jsou takové nástroje a služby používány pouze na výslovnou žádost nebo se souhlasem držitele dat nebo subjektu údajů; 

d)pokud poskytovatelé služeb zprostředkování dat, kteří nejsou mikropodniky a malými podniky, nabízejí svým klientům jiné služby s přidanou hodnotou než služby uvedené v písmenu c), splňují tyto podmínky:

i)služby s přidanou hodnotou si uživatel výslovně vyžádá;

ii)data nejsou používána k jiným účelům než k poskytování služby s přidanou hodnotou;

iii)služby s přidanou hodnotou jsou nabízeny prostřednictvím funkčně odděleného subjektu;

iv)podnik, který chce nabízet služby s přidanou hodnotou, není označen jako strážce přístupu podle článku 3 nařízení (EU) 2022/1925;

v)obchodní podmínky, včetně cen, poskytování služeb zprostředkování dat držiteli dat nebo uživateli dat nezávisí na tom, zda držitel dat nebo uživatel dat využívá služby s přidanou hodnotou poskytované poskytovatelem služeb zprostředkování dat nebo spřízněným subjektem;

e)poskytovatel služeb zprostředkování dat nabízející služby subjektům údajů jedná při usnadňování výkonu jejich práv v nejlepším zájmu subjektů údajů, zejména tím, že ve stručné, transparentní, srozumitelné a snadno přístupné formě informuje subjekty údajů a poskytuje jim případně poradenství o zamýšleném použití dat uživateli dat a o standardních podmínkách spojených s takovým použitím předtím, než subjekty údajů udělí souhlas.

Článek 32d

Obecné požadavky na registraci uznaných organizací pro datový altruismus

Pro zápis do veřejného rejstříku Unie uvedeného v čl. 32a odst. 1 písm. b) musí organizace pro datový altruismus splňovat všechny tyto požadavky:

a)vykonává činnosti v oblasti datového altruismu;

b)je právnickou osobou zřízenou podle vnitrostátního práva za účelem plnění cílů obecného zájmu stanovených v příslušných případech v souladu s vnitrostátním právem;

c)působí na neziskovém základě a je právně nezávislá na jakémkoli subjektu, který usiluje o zisk;

d)vykonává své činnosti v oblasti datového altruismu prostřednictvím struktury, jež je funkčně oddělena od jejích ostatních činností.

Článek 32e

Registrace

1)Poskytovatel služeb zprostředkování dat, který splňuje požadavky stanovené v článku 32c, může podat žádost o zápis do veřejného rejstříku Unie, v němž se registrují poskytovatelé služeb zprostředkování dat, u příslušného orgánu uvedeného v článku 32b v členském státě, v němž má hlavní provozovnu.

Organizace pro datový altruismus, která splňuje požadavky stanovené v článku 32d, může podat žádost o zápis do veřejného rejstříku Unie, v němž se registrují organizace pro datový altruismus, u příslušného orgánu uvedeného v článku 32b v členském státě, v němž má hlavní provozovnu.

2)Poskytovatelé služeb zprostředkování dat a organizace pro datový altruismus, kteří nemají hlavní provozovnu v Unii, určí právního zástupce v jednom z členských států. Právní zástupce je pověřen k tomu, aby se na něj vedle poskytovatele služeb zprostředkování dat nebo organizace pro datový altruismus nebo namísto něj nebo ní, obraceli příslušné orgány či subjekty dat a držitelé dat. Právní zástupce spolupracuje s příslušným orgánem a na požádání mu komplexně prokáže opatření a ustanovení přijatá poskytovatelem služeb zprostředkování dat nebo organizací pro datový altruismus k zajištění souladu s tímto nařízením.

Má se za to, že poskytovatel služeb zprostředkování dat nebo organizace pro datový altruismus podléhá pravomoci členského státu, v němž se nachází právní zástupce. Určením právního zástupce nejsou dotčeny případné právní kroky, které by mohly být podniknuty proti poskytovateli služeb zprostředkování dat nebo organizaci pro datový altruismus.

3)Příslušné orgány vytvoří nezbytné vzory žádostí.

4)Pokud poskytovatel služeb zprostředkování dat předložil všechny nezbytné informace podle odstavce 3 tohoto článku a splňuje požadavky stanovené v článku 32c, příslušný orgán do 12 týdnů od obdržení žádosti o registraci rozhodne, zda poskytovatel splňuje kritéria stanovená v článku 32c. Pokud poskytovatel splňuje kritéria, předloží příslušný orgán příslušné informace Komisi, která poskytovatele zapíše do veřejného registru Unie jako uznaného poskytovatele služeb zprostředkování dat.

První pododstavec se použije rovněž v případě organizace pro datový altruismus, která předloží všechny nezbytné informace podle odstavce 2 a splňuje požadavky na registraci stanovené v článku 32d.

Registrace do veřejného rejstříku Unie je platná ve všech členských státech.

5)Příslušný orgán může za registraci vybírat poplatky v souladu s vnitrostátními právními předpisy. Tyto poplatky musí být přiměřené a objektivní a musí vycházet ze správních nákladů spojených se sledováním dodržování předpisů. V případě malých podniků se střední kapitalizací, malých a středních podniků a začínajících podniků může příslušný orgán účtovat snížený poplatek nebo od poplatku upustit.

6)Registrované subjekty oznámí příslušnému orgánu veškeré následné změny informací poskytnutých během procesu podávání žádosti nebo v případě, že ukončí své činnosti v oblasti zprostředkování dat nebo datového altruismu v Unii.

7)Příslušný orgán neprodleně a elektronicky oznámí Komisi každé oznámení podle odstavce 6. Komise bez zbytečného odkladu aktualizuje veřejný rejstřík Unie.

Článek 32f

Povinnosti uznaných organizací pro datový altruismus

1)Uznané organizace pro datový altruismus informují subjekty údajů nebo držitele dat před jakýmkoli zpracováním jejich údajů jasným a snadno srozumitelným způsobem o:

a) cílech obecného zájmu a případně konkrétním, výslovném a legitimním účelu, pro který mají být osobní údaje zpracovávány a pro nějž uživateli dat povoluje zpracování jejich údajů;

b) místě zpracování a cílech obecného zájmu, pro které povoluje jakékoli zpracování prováděné mimo Unii, pokud zpracování provádí uznaná organizace pro datový altruismus.

2)Uznané organizace pro datový altruismus nepoužijí data k jiným cílům, než jsou cíle obecného zájmu, pro něž subjekt údajů nebo držitel dat povolil zpracování. Uznaná organizace pro datový altruismus při žádosti o poskytnutí údajů nepoužije klamavé marketingové praktiky.

3)Uznané organizace pro datový altruismus poskytují elektronické prostředky pro získání souhlasu od subjektů údajů nebo povolení ke zpracování dat poskytnutých držiteli dat, jakož i pro jejich odvolání.

4)Uznané organizace pro datový altruismus bez zbytečného odkladu informují držitele dat v případě jakéhokoli neoprávněného předání, přístupu nebo použití neosobních údajů, které sdílely.

5)Pokud uznané organizace pro datový altruismus usnadňují zpracování dat třetími stranami včetně poskytování nástrojů k získání souhlasu od subjektů údajů nebo svolení ke zpracování údajů zpřístupněných držiteli dat, upřesní v příslušných případech třetí stát, v němž mají být data použita.

Článek 32g

Sledování souladu

1)Příslušné orgány uvedené v článku 32b z vlastního podnětu nebo na žádost fyzické nebo právnické osoby sledují a dohlížejí na to, zda uznaní poskytovatelé služeb zprostředkování dat a uznané organizace pro datový altruismus splňují požadavky stanovené v této kapitole, včetně toho, zda nadále splňují požadavky na registraci stanovené v této kapitole.

2)Příslušné orgány jsou oprávněny vyžádat si od uznaných poskytovatelů služeb zprostředkování dat nebo uznaných organizací pro datový altruismus či jejich právních zástupců veškeré informace, které jsou nezbytné k ověření souladu s požadavky stanovenými v této kapitole. Každá žádost o informace musí být přiměřená plnění příslušného úkolu a musí být odůvodněná.

3)Pokud příslušný orgán zjistí, že uznaný poskytovatel služeb zprostředkování dat nebo uznaná organizace pro datový altruismus nedodržuje jeden či více požadavků stanovených v této kapitole, oznámí tato zjištění dotyčnému subjektu nebo jeho právnímu zástupci a umožní mu, aby se do 30 dnů od obdržení oznámení vyjádřil.

4)Příslušný orgán je oprávněn vyžadovat, aby dotyčný subjekt porušování podmínek uvedené v odstavci 3 buď okamžitě, nebo v rámci přiměřené časové lhůty ukončil, a přijme vhodná a přiměřená opatření k zajištění souladu.

5)Pokud uznaný poskytovatel služeb zprostředkování dat nebo uznaná organizace pro datový altruismus nesplňují jeden nebo více požadavků stanovených v této kapitole ani poté, co byly vyrozuměny v souladu s odstavcem 3, tento subjekt:

a) ztratí právo používat označení uvedené v článku 32a v písemné a ústní komunikaci;

b) bude vymazán z veřejného rejstříku Unie uvedeného v článku 32a.

Příslušný orgán zveřejní každé rozhodnutí o zrušení práva používat označení podle prvního pododstavce písm. a).

KAPITOLA VIIb

Volný tok neosobních údajů v Unii

Článek 32h

Zákaz požadavků na lokalizaci neosobních údajů v rámci Unie

1)Požadavky na lokalizaci neosobních údajů jsou zakázány, ledaže jsou odůvodněny veřejnou bezpečností v souladu se zásadou proporcionality nebo stanoveny na základě práva Unie.

2)Členské státy okamžitě sdělí Komisi každý návrh aktu, kterým se zavádí nový požadavek na lokalizaci údajů nebo mění stávající požadavek na lokalizaci údajů, v souladu s postupy stanovenými v článcích 5, 6 a 7 směrnice Evropského parlamentu a Rady (EU) 2015/1535.

KAPITOLA VIIc

Opakované použití dat a dokumentů v držení subjektů veřejného sektoru

Oddíl 1

Obecná ustanovení

Článek 32i

Předmět a oblast působnosti

1)Tato kapitola stanoví soubor pravidel pro opakované použití a praktická opatření pro usnadnění opakovaného použití: 

a)stávajících dat a dokumentů v držení orgánů veřejného sektoru členských států, včetně určitých kategorií chráněných dat; 

b)stávajících dat a dokumentů v držení veřejných podniků, které: 

i)působí v oblastech uvedených v kapitole II směrnice Evropského parlamentu a Rady 2014/25/EU; 

ii)jednají jako poskytovatelé veřejných služeb podle článku 2 nařízení Evropského parlamentu a Rady (ES) č. 1370/2007; 

iii)jednají jako letečtí dopravci, kteří plní závazky veřejné služby podle článku 16 nařízení Evropského parlamentu a Rady (ES) č. 1008/2008 nebo 

iv)jednají jako majitelé lodí ze Společenství, kteří plní závazky veřejných služeb podle článku 4 nařízení Rady (EHS) č. 3577/92; 

c)    výzkumných dat za podmínek stanovených v článku 32t.

2) Tato kapitola se nevztahuje na: 

a)data a dokumenty, jejichž poskytování nepatří mezi veřejné úkoly dotčených subjektů veřejného sektoru vymezené zákonem nebo jinými závaznými předpisy v daném členském státě, nebo nejsou-li takové předpisy, vymezené v souladu s obecnou správní praxí v dotčeném členském státě, za předpokladu, že rozsah těchto veřejných úkolů je transparentní a podléhá přezkumu; 

b)data a dokumenty, které mají v držení veřejné podniky a: 

i)byly vytvořeny mimo rámec poskytování služeb v obecném zájmu vymezených zákonem nebo jinými závaznými předpisy v daném členském státě; 

ii)jsou spojeny s činnostmi přímo vystavenými hospodářské soutěži, a tudíž se na ně podle článku 34 směrnice 2014/25/EU nevztahují pravidla pro zadávání zakázek; 

c)data a dokumenty, jako jsou citlivé údaje, k nimž je vyloučen přístup na základě režimů přístupu v členském státě z důvodu ochrany národní bezpečnosti (tj. bezpečnosti státu), obrany nebo veřejné bezpečnosti;

d)data a dokumenty, které mají v držení organizace pro veřejnoprávní vysílání a jejich dceřiné společnosti a ostatní subjekty nebo jejich dceřiné společnosti k plnění služby veřejnoprávního vysílání.

3)Oddíl 2 této kapitoly se nevztahuje na:

a)data nebo dokumenty, jako jsou citlivé údaje, k nimž je vyloučen přístup na základě režimů přístupu v členském státě, včetně z důvodů:

i)statistické důvěrnosti;  

ii)obchodní důvěrnosti (včetně obchodního, profesního nebo firemního tajemství);  

b)data nebo dokumenty, k nimž je přístup omezen na základě režimů přístupu v členských státech,

i)včetně případů, kdy občané nebo právnické osoby musí pro získání přístupu prokázat zvláštní zájem;

ii)z důvodu ochrany osobních údajů, a podle těchto režimů přístupné části dokumentů, které obsahují osobní údaje, jejichž opakované použití bylo právně vymezeno jako jednání v rozporu s právními předpisy na ochranu osob v souvislosti se zpracováním osobních údajů nebo jako jednání oslabující ochranu soukromí a osobnosti jednotlivce, zejména v souladu s unijním nebo vnitrostátním právem týkajícím se ochrany osobních údajů; loga, heraldické znaky a insignie;

c)data nebo dokumenty, ke kterým mají třetí strany práva duševního vlastnictví; 

d)data nebo dokumenty, které mají v držení kulturní instituce jiné než knihovny, včetně univerzitních knihoven, muzea a archivy;

e)data nebo dokumenty, které mají v držení vzdělávací instituce sekundární a nižší úrovně, a u všech ostatních vzdělávacích zařízení data jiná než uvedená v odst. 1 písm. c);

f)data nebo dokumenty jiné než uvedené v odst. 1 písm. c), které mají v držení organizace provádějící výzkum a organizace financující výzkum, včetně organizací pro předávání výsledků výzkumu;

g)data nebo dokumenty, k nimž je vyloučen nebo omezen přístup z důvodu informací týkajících se ochrany kritického subjektu nebo kritické infrastruktury ve smyslu čl. 2 bodů 1 a 4 směrnice (EU) 2022/2557.

4)Oddíl 3 této kapitoly se nevztahuje na:

a)data a dokumenty, které nejsou určitými kategoriemi chráněných dat;

b)data nebo dokumenty, které mají v držení veřejné podniky;

c)data nebo dokumenty, které mají v držení kulturní a vzdělávací zařízení;

d)data a dokumenty, na které se vztahuje oddíl 2 této kapitoly.

5)Tato kapitola se opírá o unijní a vnitrostátní režimy přístupu, které jí však nejsou dotčeny, zejména pokud jde o poskytování přístupu k úředním dokumentům a jejich zveřejňování.

6)Závazky uložené v souladu s touto kapitolou platí pouze tehdy, pokud jsou slučitelné s ustanoveními mezinárodních dohod o ochraně práv duševního vlastnictví, zejména Bernské úmluvy o ochraně literárních a uměleckých děl (Bernská úmluva), Dohody o obchodních aspektech práv k duševnímu vlastnictví (Dohoda TRIPS) a Smlouvy Světové organizace duševního vlastnictví o právu autorském.

7)Subjekty veřejného sektoru nevykonávají právo pořizovatele databáze podle čl. 7 odst. 1 směrnice 96/9/ES s cílem bránit opakovanému použití dat a dokumentů nebo je omezit nad rámec stanovený touto kapitolou.

8)Tato kapitola upravuje opakované použití stávajících dat a dokumentů, které mají v držení subjekty veřejného sektoru a veřejné podniky členských států, včetně dat a dokumentů, na něž se vztahuje směrnice Evropského parlamentu a Rady 2007/2/ES.

9)Touto kapitolou nejsou dotčeny unijní a vnitrostátní právní předpisy a mezinárodní dohody, jejichž stranou je Unie nebo členské státy a které se týkají ochrany kategorií dat nebo dokumentů uvedených v čl. 2 odst. 54.

Článek 32j

Nediskriminace

1)Veškeré podmínky pro opakované použití dat nebo dokumentů musí být nediskriminační, transparentní, přiměřené a objektivně odůvodněné s ohledem na kategorie dat nebo dokumentů a účely opakovaného použití a povahu dat nebo dokumentů, u nichž je opakované použití přípustné. Tyto podmínky nesmí být využity k omezení hospodářské soutěže. Tato zásada platí i pro srovnatelné kategorie opakovaného použití, včetně přeshraničního opakovaného použití. 

2)Pokud subjekt veřejného sektoru opakovaně používá data nebo dokumenty jako výchozí materiál pro své komerční činnosti, které přesahují rámec jeho veřejných úkolů, použijí se pro poskytování dat nebo dokumentů k těmto činnostem tytéž poplatky a ostatní podmínky jako pro jiné další uživatele.

Článek 32k

Výhradní dohody

1)Opakované použití dat nebo dokumentů je přístupné všem potenciálním účastníkům trhu, i když jeden nebo více účastníků trhu již využívají výrobků s přidanou hodnotou založených na těchto datech nebo dokumentech. Dohody nebo jiná ujednání či praktiky, které se týkají opakovaného použití dat nebo dokumentů a jejichž cílem či účinkem je udělení výhradních práv či omezení dostupnosti dat nebo dokumentů pro opakované použití jinými subjekty, než jsou subjekty, které jsou stranou těchto dohod, ujednání či praktik, jsou zakázány.

2)Odchylně od odstavce 1, pokud je výhradní právo nezbytné pro poskytování služby obecného zájmu, může být takové právo uděleno v rozsahu nezbytném pro poskytování služby nebo dodávání výrobku za těchto podmínek:

a)výhradní právo je uděleno správním aktem nebo smluvním ujednáním v souladu s platným právem Unie a vnitrostátními právními předpisy a v souladu se zásadami transparentnosti, rovného zacházení a nediskriminace;

b)dohody o udělení výhradního práva, včetně důvodů, proč je nutné takové právo udělit, jsou transparentní a veřejně dostupné online, a to ve formě, která je v souladu s příslušnými právními předpisy Unie o zadávání veřejných zakázek a vnitrostátními právními předpisy;

c)s výjimkou výhradních práv souvisejících s digitalizací kulturních zdrojů podléhá platnost důvodů pro udělení výhradních práv týkajících se dat a dokumentů v oblasti působnosti oddílu 2 pravidelnému přezkumu a v každém případě se přezkoumává každé tři roky;

d)výhradní dohody uzavřené dne 16. července 2019 nebo později se zveřejní online nejméně dva měsíce předtím, než nabudou účinnosti. Konečné podmínky těchto dohod musí být transparentní a musí být zveřejněny online.

3)Odchylně od odstavce 1, týká-li se výhradní právo digitalizace kulturních zdrojů, nesmí doba jeho trvání obecně překročit deset let. Překročí-li tato doba deset let, přezkoumá se trvání tohoto výhradního práva v souladu s platným unijním a vnitrostátním právem v jedenáctém roce a případně poté každých sedm let.

4)Pokud existuje výhradní právo uvedené v odstavci 3, dotčenému subjektu veřejného sektoru je jako součást takové dohody bezplatně poskytnuta kopie digitalizovaných kulturních zdrojů. Tato kopie je po skončení trvání výhradního práva k dispozici k opakovanému použití.

5)U určitých kategorií chráněných dat nesmí doba trvání výhradního práva na opakované použití dat překročit 12 měsíců. V případě uzavření smlouvy musí být doba, na kterou je smlouva uzavřena, stejná jako doba trvání výhradního práva.

6)Dohody nebo jiná ujednání či praktiky, jež mají, aniž by výslovně udělily výhradní právo, vést k omezení dostupnosti dat a dokumentů v oblasti působnosti oddílu 2 pro opakované použití pro jiné subjekty než třetí stranu takových dohod nebo od nichž lze toto omezení důvodně očekávat, se zveřejní online nejméně dva měsíce před tím, než nabudou účinnosti. Účinek takových právních nebo praktických opatření na dostupnost údajů pro opakované použití je pravidelně přezkoumáván, a to alespoň každé tři roky. Konečné podmínky těchto opatření musí být transparentní a musí být zveřejněny online.

7)Na stávající výhradní dohody se vztahují tato ustanovení:

a)výhradní dohody týkající se dat a dokumentů v oblasti působnosti oddílu 2 a platné k 17. červenci 2013, na které se nevztahují výjimky stanovené v odstavcích 2 a 3 a které uzavřely subjekty veřejného sektoru, se ukončí dnem konce platnosti dohody, nejpozději však 18. července 2043;

b)výhradní dohody týkající se dat a dokumentů v oblasti působnosti oddílu 2 a platné k 16. červenci 2019, na které se nevztahují výjimky stanovené v odstavcích 2 a 3 a které uzavřely subjekty veřejného sektoru, se ukončí dnem konce platnosti dohody, avšak nejpozději 17. července 2049.

Článek 32l

Obecné zásady týkající se zpoplatnění

1)Veškeré poplatky stanovené podle oddílu 2 nebo 3 musí být transparentní, nediskriminační, přiměřené a objektivně odůvodněné a nesmí omezovat hospodářskou soutěž.

2)Skutečná výše standardních poplatků za opakované použití dat nebo dokumentů, včetně základu pro jejich výpočet, a veškeré na ně se vztahující podmínky musí být stanoveny předem a zveřejněny, pokud možno elektronicky.

3)U jiných poplatků za opakované použití než těch, které jsou uvedeny v odstavci 1, se předem uvedou faktory, k nimž se při výpočtu přihlíží. Držitel těchto dat nebo dokumentů také na požádání uvede způsob výpočtu těchto poplatků ve vztahu ke konkrétní žádosti o opakované použití.

4)Subjekty veřejného sektoru zajistí, aby bylo možno veškeré poplatky uhradit rovněž online prostřednictvím široce dostupných přeshraničních platebních služeb, aniž by došlo k diskriminaci na základě místa usazení poskytovatele platební služby, místa vydání platebního prostředku či umístění platebního účtu v rámci Unie. 

Článek 32m

Informace o opravných prostředcích

Subjekty veřejného sektoru zajistí, aby byli žadatelé o opakované použití dat nebo dokumentů informováni o dostupných prostředcích pro zjednání nápravy ohledně rozhodnutí nebo postupů, které se jich týkají.

Oddíl 2

Opakované použití otevřených dat veřejné správy

Pododdíl 1 Oblast působnosti a obecné zásady

Článek 32n

Obecná zásada pro opakované použití otevřených dat veřejné správy

1)Data nebo dokumenty, které spadají do oblasti působnosti tohoto oddílu, jsou opakovaně použitelné pro komerční nebo nekomerční účely v souladu s oddílem 1 a oddílem 2 pododdílem 3.

2)Je-li povoleno opakované použití dat nebo dokumentů, k nimž mají práva duševního vlastnictví knihovny, včetně univerzitních knihoven, muzea a archivy, a dat nebo dokumentů, jež mají v držení veřejné podniky, jsou taková data nebo dokumenty opakovaně použitelné pro komerční nebo nekomerční účely v souladu s oddílem 1 a oddílem 2 pododdílem 3.

Pododdíl 2

Žádosti o opakované použití

Článek 32o

Zpracování žádostí o opakované použití

1)Subjekty veřejného sektoru, pokud možno elektronicky, zpracují žádosti o opakované použití a zpřístupní dokument žadateli pro opakované použití, nebo je-li zapotřebí licence, předloží žadateli konečnou licenční nabídku v přiměřené lhůtě, která odpovídá lhůtám pro zpracování žádostí o přístup k datům nebo dokumentům.  

2)Nebyly-li stanoveny žádné lhůty nebo jiná pravidla pro včasné poskytování dat nebo dokumentů, subjekty veřejného sektoru zpracují žádost a poskytnou žadateli data nebo dokumenty k opakovanému použití nebo, je-li zapotřebí licence, předloží žadateli konečnou licenční nabídku co nejdříve a v každém případě do 20 pracovních dnů od přijetí žádosti. U rozsáhlých nebo složitých žádostí může být tato lhůta prodloužena o dalších 20 pracovních dnů. V těchto případech je žadatel co nejdříve a v každém případě do tří týdnů od podání původní žádosti informován, že je k jejímu zpracování zapotřebí více času, a o důvodech této potřeby. 

3)Při zamítavém rozhodnutí sdělí subjekty veřejného sektoru žadateli důvody zamítnutí založené na příslušných ustanoveních režimu přístupu v dotyčném členském státě nebo na ustanoveních tohoto nařízení, zejména na čl. 32i odst. 2 písm. a) až c) nebo čl. 32i odst. 3 písm. a) až d) a článku 32n (obecná zásada oddílu o otevřených datech). Je-li zamítavé rozhodnutí založeno na čl. 32i odst. 3 písm. d), odkáže subjekt veřejného sektoru na fyzickou nebo právnickou osobu, která je nositelem práv, je-li známa, nebo na poskytovatele licence, od něhož subjekt veřejného sektoru získal dotčený materiál. Knihovny, včetně univerzitních knihoven, muzea a archivy takový odkaz učinit nemusí.

4)Prostředky pro zjednání nápravy zahrnují možnost přezkumu nestranným přezkumným orgánem s patřičnou odborností, jako je vnitrostátní orgán pro hospodářskou soutěž, příslušný orgán pro přístup k datům nebo dokumentům, dozorový úřad zřízený v souladu s nařízením (EU) 2016/679 nebo vnitrostátní soudní orgán, jehož rozhodnutí jsou pro dotčený subjekt veřejného sektoru závazná. 

5)Členské státy stanoví pro účely tohoto článku praktická opatření pro usnadnění účinného opakovaného použití dat nebo dokumentů. Tato opatření mohou zahrnovat zejména způsoby poskytování přiměřených informací o právech stanovených v tomto nařízení a nabízení příslušné pomoci a vedení.

6)Tento článek se nevztahuje na následující subjekty:

a)veřejné podniky; 

b)vzdělávací zařízení, organizace provádějící výzkum a organizace financující výzkum. 

Pododdíl 3

Podmínky opakovaného použití

Článek 32p

Dostupné formáty

1)Aniž je dotčen pododdíl 5, poskytují subjekty veřejného sektoru a veřejné podniky svá data a dokumenty v jakémkoli již existujícím formátu nebo jazyce a, pokud možno elektronicky, ve formátech, jež jsou otevřené, strojově čitelné, dostupné, vyhledatelné a opětovně použitelné, spolu s jejich metadaty. Formát i metadata pokud možno splňují otevřené formální normy. 

2)Členské státy vybízejí subjekty veřejného sektoru a veřejné podniky, aby vytvářely a zpřístupňovaly data nebo dokumenty spadající do oblasti působnosti tohoto oddílu v souladu se zásadou „otevřených dat již od návrhu“ a „standardního zpřístupnění ve formě otevřených dat“. 

3)Odstavec 1 nezakládá povinnost subjektů veřejného sektoru vytvářet nebo upravovat data nebo dokumenty nebo poskytovat výtahy z nich, aby splnily požadavky v něm stanovené, pokud by to představovalo nepřiměřené úsilí překračující rámec jednoduché operace. 

4)Subjekty veřejného sektoru nejsou na základě tohoto nařízení povinny pokračovat ve vytváření a uchovávání určitého druhu dat nebo dokumentů za účelem jejich opakovaného použití organizací soukromého nebo veřejného sektoru.

5)Subjekty veřejného sektoru zpřístupní dynamická data pro opakované použití bezprostředně po jejich shromáždění prostřednictvím vhodných rozhraní pro programování aplikací a tam, kde je to relevantní, též s možností stažení kompletní datové sady. 

6)Pokud by zpřístupnění dynamických dat pro opakované použití bezprostředně po jejich shromáždění podle odstavce 5 přesáhlo finanční a technickou kapacitu subjektu veřejného sektoru, v důsledku čehož by bylo třeba neúměrného úsilí, zpřístupní se tato dynamická data pro opakované použití v takovém časovém horizontu nebo s takovými dočasnými technickými omezeními, které nepřiměřeně nenaruší využití jejich hospodářského a společenského potenciálu. 

7)Odstavce 1 až 6 se vztahují na stávající data nebo dokumenty v držení veřejných podniků, které jsou k dispozici pro opakované použití. 

8)Datové soubory s vysokou hodnotou, jejichž seznam se stanoví podle čl. 32v odst. 1, se zpřístupní pro opakované použití ve strojově čitelném formátu prostřednictvím vhodných rozhraní pro programování aplikací a tam, kde je to relevantní, též s možností stažení kompletní datové sady. 

Článek 32q

Zásady pro zpoplatnění otevřených dat veřejné správy

1)Opakované použití dat nebo dokumentů spadajících do oblasti působnosti tohoto oddílu je bezplatné. Subjektu veřejného sektoru, který má data v držení, však může být povoleno účtovat mezní náklady vynaložené na reprodukci, zpřístupňování a šíření těchto dat nebo dokumentů, jakož i na anonymizaci osobních údajů a na opatření přijatá na ochranu důvěrných obchodních informací.

2)Odstavec 1 se nevztahuje na následující subjekty:

a)subjekty veřejného sektoru, které jsou povinny vytvářet příjmy k úhradě podstatné části svých nákladů souvisejících s plněním jejich veřejných úkolů;

b)knihovny, včetně univerzitních knihoven, muzea a archivy;

c)veřejné podniky.

3)Členské státy zveřejní online seznam subjektů veřejného sektoru uvedených v odst. 2 písm. a).

4)V případech uvedených v odst. 2 písm. a) a c) se celková výše poplatků vypočítá podle objektivních, transparentních a ověřitelných kritérií. Uvedená kritéria stanoví členské státy. Celkový příjem z poskytování a povolování opakovaného použití dat nebo dokumentů za příslušné účetní období nesmí přesáhnout náklady na jejich shromažďování, vytváření, reprodukci, šíření a uchovávání údajů se započítáním přiměřené návratnosti investic, jakož i na případnou anonymizaci osobních údajů a na případná opatření přijatá za účelem ochrany důvěrných obchodních informací. Poplatky se vypočítávají v souladu s použitelnými účetními zásadami.

5)Pokud poplatky vybírají subjekty veřejného sektoru uvedené v odst. 2 písm. b), nesmí celkový příjem z poskytování a povolování opakovaného použití dat nebo dokumentů za příslušné účetní období přesahovat náklady na jejich shromažďování, vytváření, reprodukci, šíření, uchovávání údajů, uchovávání a zúčtování práv, jakož i na případnou anonymizaci osobních údajů a na případná opatření přijatá na ochranu důvěrných obchodních informací, se započítáním přiměřené návratnosti investic. Poplatky se vypočítávají v souladu s účetními zásadami použitelnými na dotčené subjekty veřejného sektoru.

6)Subjekty veřejného sektoru mohou za opakované použití dat a dokumentů velmi velkými podniky stanovit vyšší poplatky, než jsou poplatky uvedené v odstavcích 1, 4 a 5. Veškeré tyto poplatky musí být přiměřené a založené na objektivních kritériích, přičemž se zohlední ekonomická síla nebo schopnost subjektu získávat data, zejména včetně označení subjektu za strážce přístupu podle nařízení (EU) 2022/1925. Kromě prvků uvedených v odstavci 1 tohoto článku mohou tyto poplatky zahrnovat náklady na shromažďování, vytváření, reprodukci, šíření a uchovávání dat i na případnou anonymizaci nebo na opatření přijatá na ochranu důvěrnosti data nebo dokumentů, se započítáním přiměřené návratnosti investic.

7)Opakované použití těchto dokumentů je pro uživatele bezplatné:

a)s výhradou čl. 32v odst. 3, 4 a 5, datových souborů s vysokou hodnotou, jejichž seznam se stanoví v souladu s odstavcem 1 uvedeného článku;

b)výzkumných dat uvedených v čl. 32i odst. 1 písm. c).

Článek 32r

Standardní licence

1)Opakované použití dat nebo dokumentů smí podléhat pouze podmínkám, které jsou objektivní, přiměřené, nediskriminační a odůvodněné cílem veřejného zájmu. 

2)Podléhá-li opakované použití podmínkám, nesmějí tyto podmínky zbytečně omezovat možnosti opakovaného použití a nesmějí být použity k omezení hospodářské soutěže. 

3)V členských státech, ve kterých se používají licence, subjekty veřejného sektoru zajistí, aby standardní licence pro opakované použití dat nebo dokumentů veřejného sektoru, které mohou být přizpůsobeny zvláštním licenčním žádostem, byly dostupné v elektronické formě a mohly být zpracovávány elektronicky.

4)Subjekty veřejného sektoru mohou stanovit zvláštní podmínky pro opakované použití dat a dokumentů velmi velkými podniky. Tyto podmínky musí být přiměřené a měly by být založeny na objektivních kritériích. Stanoví se s ohledem na ekonomickou sílu nebo schopnost subjektu získávat dat, včetně zejména označení subjektu za strážce přístupu podle nařízení (EU) 2022/1925.

Článek 32s

Praktická opatření

1)Členské státy učiní praktická opatření, která usnadňují vyhledávání dat nebo dokumentů dostupných pro opakované použití, jako jsou seznamy fondů hlavních dokumentů s příslušnými metadaty, které jsou přístupné pokud možno online a ve strojově čitelném formátu, a internetové portály, které jsou s těmito seznamy fondů propojeny. Kdykoli je to možné, vytvoří členské státy podmínky pro vícejazyčné vyhledávání dat nebo dokumentů, zejména tím, že umožní agregaci metadat na úrovni Unie.

Členské státy rovněž vybízejí subjekty veřejného sektoru, aby přijaly praktická opatření usnadňující uchovávání dat nebo dokumentů dostupných pro opakované použití. 

2)Členské státy ve spolupráci s Komisí pokračují v úsilí o zjednodušení přístupu k datovým souborům, zejména poskytnutím jednotného přístupového bodu a postupným zpřístupňováním vhodných datových souborů v držení subjektů veřejného sektoru s ohledem na všechna data nebo dokumenty, na které se tento oddíl vztahuje, jakož i k datům v držení orgánů Unie, a to ve formátech, které jsou přístupné, snadno vyhledatelné a opětovně použitelné elektronickými prostředky. 

Pododdíl 4

Výzkumná data

Článek 32t

Výzkumná data

1)Členské státy podporují dostupnost výzkumných dat tím, že přijmou vnitrostátní politiky a příslušná opatření s cílem otevřeně zpřístupnit všechna data z výzkumu financovaného z veřejných prostředků („politiky otevřeného přístupu“) podle zásady „standardního zpřístupnění ve formě otevřených dat“ a slučitelných se zásadami FAIR. V této souvislosti by měly být zohledněny obavy týkající se práv duševního vlastnictví, ochrany osobních údajů a důvěrnosti, bezpečnosti a oprávněných obchodních zájmů, v souladu se zásadou „co nejotevřenější, uzavřené podle potřeby“. Tyto politiky otevřeného přístupu se zaměřují na organizace provádějící výzkum a organizace financující výzkum. 

2)Aniž je dotčen čl. 32n odst. 3 písm. d), jsou výzkumná data opakovaně použitelná pro komerční nebo nekomerční účely v souladu s oddílem 1 a oddílem 2 pododdílem 3, jsou-li financovaná z veřejných zdrojů a výzkumní pracovníci, organizace provádějící výzkum nebo organizace financující výzkum je již zpřístupnili veřejnosti prostřednictvím institucionálního nebo tematického archivu. V této souvislosti se zohlední oprávněné obchodní zájmy, činnosti v oblasti předávání znalostí a již existující práva duševního vlastnictví.

Pododdíl 5

Datové soubory s vysokou hodnotou

Článek 32u

Tematické kategorie datových souborů s vysokou hodnotou

1)Tematické kategorie datových souborů s vysokou hodnotou jsou uvedeny v příloze I. 

2)Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s čl. 45 odst. 2a, jimiž změní přílohu I doplněním nových tematických kategorií datových souborů s vysokou hodnotou, které odrážejí vývoj v oblasti technologií a trhu. 

Článek 32v

Konkrétní datové soubory s vysokou hodnotou a opatření pro zveřejnění a opakovaného použití

1)Komise přijme prováděcí akty, kterými stanoví seznam konkrétních datových souborů s vysokou hodnotou, které náleží do kategorií uvedených v příloze I a které mají v držení subjekty veřejného sektoru a veřejné podniky v rámci dat nebo dokumentů, na které se vztahuje tento oddíl.

Tyto konkrétní datové soubory s vysokou hodnotou musí být:

a)dostupné bezplatně, s výhradou odstavců 3, 4 a 5;

b)strojově čitelné;

c)přístupné prostřednictvím rozhraní pro programování aplikací a

d)tam, kde je to relevantní, poskytnuty s možností stažení kompletní datové sady.

Tyto prováděcí akty mohou upřesnit opatření ke zveřejnění a opakovanému použití datových souborů s vysokou hodnotou. Uvedená opatření musí být slučitelná s otevřenými standardními licencemi.

Opatření mohou zahrnovat podmínky platné pro opakované použití, formáty údajů a metadat a technické postupy jejich šíření. Investice členských států do postupů otevřených dat, jako jsou investice do vývoje a zavádění určitých norem, se zváží proti případným přínosům ze zařazení na seznam.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 46 odst. 2.

2)Určení konkrétních datových souborů s vysokou hodnotou podle odstavce 1 se zakládá na hodnocení jejich potenciálu:

a)vytvářet významné socioekonomické přínosy nebo přínosy v oblasti životního prostředí a inovativní služby;

b)být prospěšné vysokému počtu uživatelů, zejména malých a středních podniků a malých podniků se střední tržní kapitalizací;

c)pomáhat při vytváření příjmů a

d)být kombinovány s jinými datovými soubory.

Za účelem určení konkrétních datových souborů s vysokou hodnotou Komise provede odpovídající konzultace, a to i na odborné úrovni, vypracuje posouzení dopadu a zajistí doplňkovost se stávajícími právními akty, jako je směrnice Evropského parlamentu a Rady 2010/40/EU, pokud jde o opakované použití dat nebo dokumentů. Součástí tohoto posouzení dopadu bude analýza nákladů a přínosů a analýza toho, zda by bezplatné poskytování datových souborů s vysokou hodnotou subjekty veřejného sektoru, které jsou povinny vytvářet příjmy k úhradě podstatné části svých nákladů souvisejících s plněním jejich veřejných úkolů, mělo výrazný dopad na rozpočet těchto subjektů. Pokud jde o datové soubory s vysokou hodnotou v držení veřejných podniků, v posouzení dopadů se zvlášť zohlední úloha veřejných podniků v konkurenčním hospodářském prostředí.

3)Odchylně od odst. 1 druhého pododstavce písm. a) stanoví prováděcí akty, na něž se odkazuje v uvedeném odstavci, že se bezplatná dostupnost datových souborů s vysokou hodnotou nevztahuje na konkrétní datové soubory s vysokou hodnotou v držení veřejných podniků, pokud by jejich bezplatné zpřístupnění mělo za následek značné narušení hospodářské soutěže na relevantních trzích.

4)Požadavek bezplatně zpřístupnit datové soubory s vysokou hodnotou podle odst. 1 druhého pododstavce písm. a) se nevztahuje na knihovny, včetně univerzitních knihoven, muzea a archivy.

5)Pokud by bezplatné zpřístupnění datových souborů s vysokou hodnotou subjekty veřejného sektoru, které jsou povinny vytvářet příjmy k úhradě podstatné části svých nákladů souvisejících s plněním jejich veřejných úkolů, měla výrazný dopad na rozpočet dotčených subjektů, mohou členské státy vyjmout tyto subjekty z požadavku bezplatně zpřístupnit tyto datové soubory s vysokou hodnotou po dobu, jež nepřesáhne dva roky po vstupu příslušného prováděcího aktu přijatého v souladu s odstavcem 1 v platnost.

Oddíl 3

Opakované použití určitých kategorií chráněných dat v držení subjektů veřejného sektoru

Článek 32w

Podmínky opakovaného použití

1)Subjekty veřejného sektoru, které jsou podle vnitrostátních právních předpisů příslušné k udělení či zamítnutí přístupu pro opakované použití dat nebo dokumentů patřících jedné či více kategorií dat, zveřejní podmínky pro umožnění takovéhoto opakovaného použití a postup pro podání žádosti o opakované použití prostřednictvím jednotného informačního místa uvedeného v článku 32aa. Pokud udělují nebo zamítají přístup k opakovanému použití, mohou jim být nápomocny příslušné subjekty uvedené v čl. 32z odst. 1.

Členské státy zajistí, aby subjekty veřejného sektoru byly vybaveny nezbytnými zdroji pro účely dodržování tohoto článku a článku 32x.

2)Opakované použití dat nebo dokumentů nemá vliv na jejich chráněnou povahu a je přípustné pouze:

a)v souladu s právy duševního vlastnictví;

b)pokud se data, která jsou považována za důvěrná v souladu v souladu s unijním nebo vnitrostátním právem o obchodní nebo statistické důvěrnosti, nezveřejní v důsledku povolení opakovaného použití, ledaže je takové opakované použití povoleno na základě souhlasu subjektu údajů nebo povolení držitele dat v souladu s odstavcem 5;

c) v souladu s nařízením (EU) 2016/679.

3)K zajištění zachování chráněné povahy podle odstavce 2 mohou subjekty veřejného sektoru stanovit tyto požadavky:

a)udělit přístup k opakovanému použití dat nebo dokumentů pouze tehdy, pokud subjekt veřejného sektoru nebo příslušný subjekt na základě žádosti o opakované použití zajistily, že data nebo dokumenty byly:

i)anonymizovány v případě osobních údajů;

ii)zpracovány jinou formou přípravy osobních údajů;

iii)změněny, agregovány nebo zpracovány jakoukoli jinou metodou kontroly zpřístupnění v případě důvěrných obchodních informací, včetně obchodních tajemství nebo obsahu chráněného právy duševního vlastnictví;

b)mít přístup k datům nebo dokumentům a jejich opakovanému použití na dálku v bezpečném zpracovatelském prostředí poskytovaném nebo kontrolovaném subjektem veřejného sektoru;

c)mít přístup k datům nebo dokumentům a jejich opakovanému použití ve fyzických prostorách, v nichž se nachází bezpečné zpracovatelské prostředí v souladu s přísnými bezpečnostními normami, pokud nelze povolit vzdálený přístup, aniž by byla ohrožena práva a zájmy třetích stran.

V případě opakovaného použití přípustného podle prvního pododstavce písm. a) bodu i) se na opakované použití dat nebo dokumentů vztahují pravidla pro otevřená data veřejné správy stanovená v oddíle 2. Tím není dotčen článek 32y, který má v případě rozporu přednost.

V případě opakovaného použití přípustného podle prvního pododstavce písm. b) a c) stanoví subjekty veřejného sektoru podmínky pro zachování integrity fungování technických systémů použitého bezpečného zpracovatelského prostředí.

4)Subjekt veřejného sektoru si vyhrazuje právo ověřit postup, prostředky a veškeré výsledky zpracování dat nebo dokumentů, jež provedl další uživatel, za účelem zachování integrity ochrany dat nebo dokumentů. Vyhrazuje si rovněž právo zakázat použití výsledků, které obsahují informace ohrožující práva a zájmy třetích stran. Rozhodnutí o zákazu použití výsledků musí být pro dalšího uživatele srozumitelné a transparentní.

Pokud vnitrostátní právní předpisy nestanoví zvláštní záruky týkající se příslušných povinností zachovávat důvěrnost, jde-li o opakované použití dat určitých kategorií chráněný dat, podmíní subjekt veřejného sektoru opakované použití dat nebo dokumentů poskytnutých v souladu s odstavcem 3 tím, že další uživatel dodrží povinnost zachovávat důvěrnost, která zakazuje zveřejnění jakýchkoli informací, jež ohrožují práva a zájmy třetích stran a jež další uživatel mohl získat navzdory zavedeným zárukám. V případě neoprávněného opakovaného použití neosobních údajů je další uživatel povinen bezodkladně, případně s pomocí subjektu veřejného sektoru, informovat fyzické nebo právnické osoby, jejichž práva a zájmy mohou být dotčeny.

5)Pokud opakované použití dat nebo dokumentů nelze umožnit v souladu s odstavci 3 a 4, je opakované použití možné pouze v těchto případech:

a)pokud neexistuje jiný právní základ než souhlas s předáním dat podle nařízení (EU) 2016/679, se souhlasem subjektů údajů;   

b)se souhlasem držitelů dat, jejichž práva a zájmy mohou být takovým opakovaným použitím dotčeny.

Subjekt veřejného sektoru vynaloží veškeré úsilí v souladu s unijními a vnitrostátními právními předpisy, aby dalším potenciálním uživatelům žádajícím o souhlas subjektů údajů nebo svolení držitelů dat, jejichž práva a zájmy mohou být tímto opakovaným použitím dotčeny, je-li to proveditelné bez nepřiměřené zátěže pro subjekt veřejného sektoru, poskytl pomoc.   

Pokud subjekt veřejného sektoru takovou pomoc poskytne, mohou mu být nápomocny příslušné subjekty uvedené v článku 32z. 

Článek 32x

Požadavky na předávání neosobních údajů dalšími uživateli do třetích zemí

1)Pokud má další uživatel v úmyslu předat určité kategorie chráněných dat, které jsou neosobními údaji, do třetí země, informuje subjekt veřejného sektoru o svém záměru i o účelu předání těchto dat v době podání žádosti o jejich opakované použití. V případě opakovaného použití založeného na souhlasu držitele dat informuje další uživatel, případně s pomocí subjektu veřejného sektoru, o tomto záměru, účelu a vhodných zárukách fyzickou nebo právnickou osobu, jejíž práva a zájmy mohou být dotčeny. Subjekt veřejného sektoru opakované použití nepovolí, pokud k takovému předání fyzická nebo právnická osoba nedá svolení.

2)Subjekty veřejného sektoru předají neosobní důvěrné údaje nebo data chráněná právy duševního vlastnictví dalšímu uživateli, který má v úmyslu předat tyto údaje nebo data do jiné třetí země, než je země určená v souladu s odstavcem 7, pouze tehdy, pokud se další uživatel smluvně zaváže:

a)dodržovat povinnosti uložené v souladu s právy duševního vlastnictví a unijními a vnitrostátními právními předpisy o obchodní nebo statistické důvěrnosti i po předání údajů a dat do třetí země;

b)uznat příslušnost soudů členského státu předávajícího subjektu veřejného sektoru, pokud jde o spory týkající se dodržování práv duševního vlastnictví a unijních a vnitrostátních právních předpisů o obchodní nebo statistické důvěrnosti.

3)Komise může přijmout prováděcí akty, kterými vytvoří vzorová smluvní ustanovení pro splnění povinností uvedených v odstavci 2 tohoto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 46 odst. 2.

4)Subjekty veřejného sektoru poskytují ve vhodných případech a v míře, která to odpovídá jejich možnostem, dalším uživatelům pokyny a pomoc při plnění povinností uvedených v odstavci 2.

5)Je-li to odůvodněno značným počtem žádostí v celé Unii týkajících se opakovaného použití neosobních údajů v konkrétních třetích zemích, může Komise přijmout prováděcí akty, v nichž prohlásí, že právní, dozorové a vynucovací předpisy třetí země:

a)zajišťují ochranu duševního vlastnictví a obchodních tajemství způsobem, který v zásadě odpovídá ochraně zajištěné podle práva Unie;

b)jsou účinně uplatňovány a prosazovány; a

c)poskytují účinné prostředky nápravy.

6)Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 46 odst. 2.

7)Zvláštní legislativní akty Unie mohou považovat určité kategorie neosobních údajů v držení subjektů veřejného sektoru za vysoce citlivé pro účely tohoto článku, pokud jejich předání do třetích zemí může ohrozit cíle veřejné politiky Unie, jako je bezpečnost a veřejné zdraví, nebo může vést k riziku opětovné identifikace neosobních anonymizovaných údajů. Je-li takový legislativní akt přijat, přijme Komise v souladu s článkem 45 akty v přenesené pravomoci, kterými toto nařízení doplní stanovením zvláštních podmínek vztahujících se na předávání těchto údajů do třetích zemí.

Vyžaduje-li to konkrétní legislativní akt Unie uvedený v prvním pododstavci, mohou tyto podmínky zahrnovat požadavky vztahující se na předání nebo technická ujednání v tomto ohledu, omezení týkající se opakovaného použití dat ve třetích zemích nebo kategorií osob, které jsou oprávněny předávat tato data do třetích zemí, nebo výjimečně omezení týkající se předání do třetích zemí.

Další uživatel, jemuž bylo uděleno právo na opakované použití neosobních údajů, může tyto údaje předat pouze do těch třetích zemí, u nichž jsou splněny požadavky stanovené v odstavcích 2, 4 a 5. 

Článek 32y

Poplatky

1)Subjekty veřejného sektoru, které povolují opakované použití určitých kategorií chráněných dat, mohou za povolení opakovaného použití těchto dat účtovat poplatky.

2)Pokud subjekty veřejného sektoru účtují poplatky, přijmou opatření vybízející k opakovanému použití určitých kategorií chráněných dat pro nekomerční účely, jako jsou účely vědeckého výzkumu, a ze strany začínajících podniků, malých a středních podniků a malých podniků se střední tržní kapitalizací v souladu s unijními pravidly státní podpory. V tomto ohledu mohou subjekty veřejného sektoru rovněž zpřístupnit data za snížený poplatek nebo bezplatně, zejména začínajícím podnikům, malým a středním podnikům, malým podnikům se střední tržní kapitalizací, subjektům občanské společnosti a výzkumným a vzdělávacím zařízením. Za tímto účelem mohou subjekty veřejného sektoru sestavit seznam kategorií dalších uživatelů, kterým jsou data nebo dokumenty pro opakované použití zpřístupňovány za snížený poplatek nebo bezplatně. Tento seznam se zveřejní spolu s kritérii použitými k jeho sestavení.

3)Veškeré poplatky musí být odvozeny od nákladů souvisejících s řízením týkajícím se žádostí o opakované použití určitých kategorií chráněných dat a omezeny na nezbytné náklady související s:

a)rozmnožováním, poskytováním a šířením dat;

b)vypořádáním práv;

c)anonymizací nebo jinými formami přípravy osobních údajů a důvěrných obchodních informací podle čl. 32w odst. 3 [podmínky pro opakované použití];

d)údržbou bezpečného zpracovatelského prostředí;

e)získáním práva povolit opakované použití v souladu s tímto oddílem od třetích stran mimo veřejný sektor; a pomocí dalších uživatelů při získávání souhlasu od subjektů údajů a svolení od držitelů dat, jejichž práva a zájmy mohou být tímto opakovaným použitím dotčeny.

4)Členské státy stanoví a zveřejní kritéria a metodiku pro výpočet poplatků. Subjekt veřejného sektoru zveřejní popis hlavních kategorií nákladů a pravidel použitých k rozvržení nákladů.

5)Subjekty veřejného sektoru mohou účtovat vyšší poplatky, než jaké jsou přípustné v souladu s odstavci 2 a 3 tohoto článku, velmi velkým podnikům, a to na základě objektivních kritérií zohledňujících ekonomickou sílu nebo schopnost subjektu získávat dat, včetně zejména označení za strážce přístupu podle nařízení (EU) 2022/1925. Všechny takto vypočtené poplatky jsou přiměřené. Kromě prvků uvedených v odstavci 3 tohoto článku mohou pokrýt náklady na shromažďování a vytváření dat se započítáním přiměřené návratnosti investic.

Článek 32z

Příslušné subjekty

1)Pro účely plnění úkolů uvedených v tomto článku určí každý členský stát jeden nebo více příslušných subjektů v souladu s čl. 37 odst. 1, jež mohou být příslušné pro konkrétní odvětví, ale které musí společně pokrývat všechna odvětví, pro poskytování pomoci subjektům veřejného sektoru, které povolují nebo zamítají přístup za účelem opakovaného použití určitých kategorií chráněných dat. Členské státy mohou zřídit jeden nebo více nových příslušných subjektů, nebo mohou využívat stávající subjekty veřejného sektoru či interní útvary subjektů veřejného sektoru, které splňují podmínky stanovené tímto oddílem.

2)Příslušné subjekty mohou být rovněž pověřeny udělováním přístupu za účelem opakovaného použití určitých kategorií chráněných dat na základě unijních či vnitrostátních právních předpisů, které udělování takového přístupu upravují. Pokud příslušné subjekty udělí nebo zamítnou přístup za účelem opakovaného použití, použijí se články 32k, 32w, 32x, 32y a 32ab.

3)Příslušné subjekty musí mít odpovídající právní, finanční, technické a lidské zdroje, které jsou nezbytné pro plnění úkolů, jimiž byly pověřeny, včetně potřebných technických znalostí, aby mohly dodržovat příslušné unijní nebo vnitrostátní právní předpisy týkající se režimů přístupu u kategorií chráněných dat uvedených v čl. 2 odst. 54.

4)Pomoc uvedená v odstavci 1 zahrnuje podle potřeby:

a)poskytování technické podpory zajišťováním bezpečného zpracovatelského prostředí pro poskytování přístupu za účelem opakovaného použití dat nebo dokumentů;

b)poskytování pokynů a technické podpory ohledně toho, jak nejlépe strukturovat a ukládat data nebo dokumenty, aby byly snadno přístupné;

c)poskytování technické podpory pro anonymizaci, pseudonymizaci a nejnovějších metod ochrany soukromí, a to nejen v případě osobních údajů, ale také u důvěrných obchodních informací, včetně obchodních tajemství nebo obsahu chráněného právy duševního vlastnictví;

d)případně i podporu subjektů veřejného sektoru při poskytování pomoci dalším uživatelům v souvislosti s žádostmi o souhlas s opakovaným použitím od subjektu údajů nebo o svolení k opakovanému použití od držitelů dat v souladu s jejich zvláštními rozhodnutími, včetně ohledně jurisdikce, v nichž se má zpracovávání dat uskutečňovat, a podpory subjektů veřejného sektoru při zavádění technických mechanismů, které umožňují předávání žádostí o souhlas či svolení od dalších uživatelů, je-li to prakticky proveditelné;

e)poskytování pomoci subjektům veřejného sektoru při posuzování adekvátnosti smluvních závazků učiněných dalším uživatelem dat v souladu s čl. 32x odst. 2.

Článek 32aa

Jednotné informační místo

1)Každý členský stát určí jednotné informační místo. Toto místo zpřístupní snadno dostupné informace týkající se uplatňování článků 32w, 32x a 32y. 

2)Jednotné informační místo je příslušné k přijímání dotazů nebo žádostí o opakované použití určitých kategorií chráněných dat a předává je pokud možno automatizovanými prostředky příslušným subjektům veřejného sektoru, nebo případně příslušným subjektům uvedeným v čl. 32z odst. 1.

3)Jednotné informační místo může zahrnovat samostatný, zjednodušený a řádně zdokumentovaný informační kanál pro malé a střední podniky, malé podniky se střední tržní kapitalizací, začínající podniky a výzkumná zařízení, který by řešil jejich potřeby a kapacity v souvislosti s žádostmi o opakované použití kategorií dat uvedených v čl. 2 odst. 54.

4)Jednotné informační místo elektronickými prostředky zpřístupní inventární seznam, který umožňuje vyhledávání, obsahující všechny dostupné zdroje dokumentů, případně včetně zdrojů dokumentů, jež jsou dostupné na odvětvových, regionálních nebo místních informačních místech s příslušnými informacemi, které popisují dostupná data nebo dokumenty, včetně alespoň formátu a velikosti dat a podmínek jejich opakovaného použití.

5)Komise zřídí jednotné evropské přístupové místo, které nabídne elektronický rejstřík dat nebo dokumentů dostupných na vnitrostátních jednotných informačních místech, který umožňuje vyhledávání, a další informace o tom, jak požádat o data nebo dokumenty prostřednictvím těchto vnitrostátních jednotných informačních míst.

Článek 32ab

Řízení týkající se žádostí o opakované použití

1)Pokud nebyly v souladu s vnitrostátními právními předpisy stanoveny kratší lhůty, přijmou příslušné subjekty veřejného sektoru nebo příslušné subjekty uvedené v čl. 32z odst. 1 rozhodnutí o žádosti o opakované použití určitých kategorií chráněných dat ve lhůtě dvou měsíců ode dne obdržení žádosti.

2)V případě výjimečně rozsáhlých a složitých žádostí o opakované použití může být tato dvouměsíční lhůta prodloužena nejvýše o 30 dnů. V takových případech informují příslušné subjekty veřejného sektoru nebo příslušné subjekty uvedené v čl. 32z odst. 1 žadatele co nejdříve o tom, že řízení spojené se žádostí vyžaduje více času, a o důvodech tohoto prodloužení.

3)Každá fyzická nebo právnická osoba, jíž se přímo týká rozhodnutí uvedené v odstavci 1, má právo na nápravu v členském státě, v němž se dotyčný subjekt nachází. Toto právo na nápravu se stanoví ve vnitrostátním právu a zahrnuje možnost přezkumu nestranným orgánem s patřičnou odborností, jako je vnitrostátní orgán pro hospodářskou soutěž, příslušný orgán pro přístup k dokumentům, dozorový úřad zřízený v souladu s nařízením (EU) 2016/679 nebo vnitrostátní soudní orgán, jehož rozhodnutí jsou pro dotčený subjekt veřejného sektoru nebo příslušný subjekt závazná.“

19.Článek 38 se nahrazuje tímto:

1)„Aniž jsou dotčeny jakékoli jiné prostředky správní nebo soudní ochrany, mají fyzické a právnické osoby právo podat stížnost, a to individuálně nebo v příslušných případech společně:

a)u příslušného orgánu v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo usazení, pokud se domnívají, že byla porušena jejich práva podle tohoto nařízení;

b)v případě jakékoliv záležitosti spadající do oblasti působnosti tohoto nařízení, jež se konkrétně týká uznaného poskytovatele služeb zprostředkování dat nebo uznané organizace pro datový altruismus, u příslušného orgánu pro registraci služeb zprostředkování dat nebo příslušného orgánu pro registraci organizací pro datový altruismus.

2)Datový koordinátor na požádání poskytne fyzickým a právnickým osobám veškeré informace nezbytné pro podání jejich stížností u relevantního příslušného orgánu.

3)Příslušný orgán, u něhož byla stížnost podána, informuje stěžovatele v souladu s vnitrostátními právními předpisy o:

a)pokroku při řešení stížnosti a o přijatém rozhodnutí a

b)účinné soudní ochraně podle článku 39.“

20.V článku 40 se doplňuje nový odstavec 6, který zní:

„6. Tento článek se nepoužije na kapitolu VIIc.“

21.Za článek 41 se vkládá nový nadpis, který zní:

„KAPITOLA IXa

Evropský sbor pro datové inovace“;

22.Vkládá se nový článek 41a, který zní:

„Článek 41a

Evropský sbor pro datové inovace

1)Evropský sbor pro datové inovace je zřízen s cílem poskytovat poradenství a napomáhat Komisi při koordinaci prosazování tohoto nařízení a jako diskusní fórum pro rozvoj evropské ekonomiky založené na datech a datových politik.

2)Je složen alespoň ze zástupců členských států příslušných pro záležitosti týkající se dat, orgánů příslušných pro prosazování kapitol II, III, V, VIIa a VIIc tohoto nařízení, Evropského sboru pro ochranu osobních údajů, evropského inspektora ochrany údajů, agentury ENISA, zmocněnce EU pro malé a střední podniky nebo zástupce jmenovaného sítí zmocněnců pro malé a střední podniky. Komise může rozhodnout o přidání dalších kategorií členů. Při jmenování jednotlivých odborníků usiluje Komise o dosažení genderové a zeměpisné vyváženosti ve složení skupiny.

3)Komise rozhodne o složení různých konfigurací, v nichž bude Evropský sbor pro datové inovace plnit své úkoly.

4)Zasedáním Evropského sboru pro datové inovace předsedá Komise.“

23.Článek 42 se nahrazuje tímto:

„Článek 42

Úloha Evropského sboru pro datové inovace

1)Evropský sbor pro datové inovace podporuje jednotné uplatňování tohoto nařízení tím, že:

a)slouží jako fórum pro strategické diskuse o datových politikách, správě dat, mezinárodních datových tocích a meziodvětvovém vývoji relevantním pro evropskou ekonomiku založenou na datech;

b)poskytuje Komisi poradenství a pomoc, pokud jde o rozvoj jednotné praxe příslušných orgánů při prosazování kapitol II, III, V, VII, VIIa a VIIc;

c)usnadňuje spolupráci mezi příslušnými orgány prostřednictvím budování kapacit a výměny informací;

d)podporuje výměnu zkušeností a osvědčených postupů mezi členskými státy v oblasti opakovaného použití informací veřejného sektoru ve spolupráci s dalšími příslušnými správními orgány.“ 

24.Článek 45 se mění takto:

a)odstavec 2 se nahrazuje tímto:

„2. Pravomoc přijímat akty v přenesené pravomoci uvedené v čl. 29 odst. 7, čl. 32u odst. 2 a čl. 33 odst. 2 je Komisi svěřena na dobu neurčitou.“;

b)odstavec 3 se nahrazuje tímto:

„3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 29 odst. 7, čl. 32u odst. 2 a čl. 33 odst. 2 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.“;

c)odstavec 6 se nahrazuje tímto:

„6. Akt v přenesené pravomoci přijatý podle čl. 29 odst. 7, čl. 32u odst. 2 nebo čl. 33 odst. 2 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament ani Rada nevysloví námitky ve lhůtě tří měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o tři měsíce.“ 

25.Článek 46 se mění takto:

a)v odstavci 1 se první věta nahrazuje tímto:

„Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.“;

b)vkládá se nový odstavec 1a, který zní:

„1a. Odkazuje-li se na tento odstavec, použije se článek 4 nařízení (EU) č. 182/2011.“

26.Článek 49 se mění takto:

a)odstavec 1 se nahrazuje tímto: 

i)návětí se nahrazuje tímto:

„1. Do dne 12. září 2028 provede Komise hodnocení kapitol II, III, IV, V, VI, VII, a VIII a předloží Evropskému parlamentu, Radě a Evropskému hospodářskému a sociálnímu výboru zprávu o hlavních zjištěních plynoucích z tohoto hodnocení. Hodnocení posoudí zejména:“;

ii) písmeno m) se nahrazuje tímto:

„m) dopady tohoto nařízení na malé a střední podniky a malé podniky se střední tržní kapitalizací s ohledem na jejich inovační schopnost a dostupnost služeb zpracování dat pro uživatele v Unii, jakož i zátěž spojenou s plněním nových povinností.“;

b)vkládá se nový odstavec 2a, který zní: 

„2a. Do [datum = datum vstupu v platnost plus 5 let] provede Komise hodnocení kapitol VIIa, VIIb a VIIc tohoto nařízení a předloží zprávu o hlavních zjištěních plynoucích z tohoto hodnocení Evropskému parlamentu a Radě, jakož i Evropskému hospodářskému a sociálnímu výboru.

Toto hodnocení posoudí zejména:

a)stav registrací služeb zprostředkování dat a typ služeb, které nabízejí;

b)typ registrovaných organizací pro datový altruismus a přehled účelů obecného zájmu, pro něž jsou data sdílena, s cílem stanovit v tomto ohledu jasná kritéria;

c)oblast působnosti a sociální a hospodářský dopad kapitoly VIIc oddílu 2, včetně

d)míru zvýšení opakovaného použití dokumentů veřejného sektoru, na které se kapitola VIIc oddíl 2 vztahuje, zejména malými a středními podniky a malými podniky se střední tržní kapitalizací;

e)dopad datových souborů s vysokou hodnotou;

f)interakci mezi pravidly pro ochranu údajů a možnostmi opakovaného použití;

g)informace nezbytné pro vypracování této zprávy poskytnou Komisi členské státy.“;

c)odstavec 5 se nahrazuje tímto: 

„5. Komise může na základě zpráv uvedených v odstavcích 1, 2 a 2a případně předložit Evropskému parlamentu a Radě legislativní návrh na změnu tohoto nařízení.“ 

27.Doplňuje se příloha I ve znění uvedeném v příloze II tohoto nařízení.

Článek 2

Změny nařízení (EU) 2018/1724

V tabulce v příloze II nařízení (EU) 2018/1724 se položka „Založení podniku, jeho provozování a ukončení jeho činnosti“ nahrazuje tímto:

Článek 3

Změna nařízení (EU) 2016/679 (nařízení GDPR)

Nařízení (EU) 2016/679 se mění takto:

1. Článek 4 se mění takto:

a)v bodě 1 se doplňují nové věty, které zní:

„Informace o fyzické osobě nutně nepředstavují osobní údaje pro každou jinou osobu nebo subjekt jen proto, že některý jiný subjekt může tuto fyzickou osobu identifikovat. Informace nejsou pro daný subjekt osobní, pokud tento subjekt nemůže identifikovat fyzickou osobu, které se informace týkají, prostředky, o nichž lze rozumně předpokládat, že je použije. Takové informace se pro tento subjekt nestávají osobními ani pouze kvůli tomu, že potenciální následný příjemce má prostředky, o nichž lze rozumně předpokládat, že budou použity k identifikaci fyzické osoby, jíž se informace týkají.“;

b)doplňují se nové body, které znějí:

„32) „koncovým zařízením“ koncové zařízení ve smyslu čl. 1 bodu 1 směrnice 2008/63/ES;

33) „sítěmi elektronických komunikací“ sítě ve smyslu čl. 2 bodu 1 směrnice (EU) 2018/1972;

34) „webovým prohlížečem“ webový prohlížeč ve smyslu čl. 2 bodu 11 nařízení (EU) 2022/1925;

35) „mediální službou“ mediální služba ve smyslu čl. 2 bodu 1 nařízení (EU) 2024/1083;

36) „poskytovatelem mediálních služeb“ poskytovatel mediálních služeb ve smyslu čl. 2 bodu 2 nařízení (EU) 2024/1083;

37) „online rozhraním“ online rozhraní ve smyslu čl. 3 písm. m) nařízení (EU) 2022/2065;

38) „vědeckým výzkumem“ jakýkoli výzkum, který může rovněž podpořit inovace, například technologický rozvoj a demonstrace. Tyto činnosti přispívají ke stávajícím vědeckým poznatkům nebo je uplatňují novými způsoby, jsou prováděny s cílem přispět k růstu obecných poznatků a blahobytu společnosti a dodržují etické normy v příslušné oblasti výzkumu. To nevylučuje, že cílem výzkumu může být i komerční zájem“.

2.V čl. 5 odst. 1 se písmeno b) nahrazuje tímto:

„shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 považuje za slučitelné s původními účely, a to nezávisle na podmínkách čl. 6 odst. 4 tohoto nařízení (‚účelové omezení’);“.

3.Článek 9 se mění takto:

a)v odstavci 2 se doplňují nová písmena, která znějí:

„k) zpracování v souvislosti s vývojem a provozem systému umělé inteligence ve smyslu čl. 3 bodu 1 nařízení (EU) 2024/1689 nebo modelu umělé inteligence za podmínek uvedených v odstavci 5;

l) zpracování biometrických údajů je nezbytné pro účely potvrzení totožnosti subjektu údajů (ověření), pokud jsou biometrické údaje nebo prostředky potřebné k ověření pod výhradní kontrolou subjektu údajů.“;

b)doplňuje se nový odstavec, který zní:

„5. Pro zpracování uvedené v odst. 2 písm. k) se zavedou vhodná organizační a technická opatření, aby se zabránilo shromažďování a jinému zpracování zvláštních kategorií osobních údajů. Pokud správce i přes zavedení těchto opatření zjistí zvláštní kategorie osobních údajů v souborech údajů používaných pro trénování, testování nebo validaci nebo v systému nebo modelu umělé inteligence, tyto údaje odstraní. Pokud odstranění těchto údajů vyžaduje nepřiměřené úsilí, musí správce v každém případě bez zbytečného odkladu účinně chránit tyto údaje před použitím k výrobě výstupů, zpřístupněním nebo jiným poskytnutím třetím stranám.“

4.V článku 12 se odstavec 5 nahrazuje tímto:

„5. Informace podle článků 13 a 14 se poskytují a veškerá sdělení a veškeré úkony podle článků 15 až 22 a 34 se činí bezplatně. Pokud jsou žádosti subjektu údajů zjevně nedůvodné nebo neúměrné, zejména z důvodu jejich opakující se povahy, nebo také v případě žádostí podle článku 15 z důvodu, že subjekt údajů zneužívá práva přiznaná tímto nařízením k jiným účelům, než je ochrana jeho údajů, může správce buď:

a)uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů; nebo

b)odmítnout žádosti vyhovět.

Zjevnou nedůvodnost žádosti nebo to, že existují rozumné důvody se domnívat, že je žádost neúměrná, dokládá správce.“;

5.V článku 13 se odstavec 4 nahrazuje tímto:

„4. Odstavce 1, 2 a 3 se nepoužijí, pokud byly osobní údaje shromážděny v rámci jasného a vymezeného vztahu mezi subjekty údajů a správcem vykonávajícím činnost, která není náročná na data, a pokud existují oprávněné důvody předpokládat, že subjekt údajů již má informace uvedené v odst. 1 písm. a) a c), ledaže správce předává údaje dalším příjemcům nebo kategoriím příjemců, předává data do třetí země, provádí automatizované rozhodování, včetně profilování, uvedené v čl. 22 odst. 1, nebo je pravděpodobně, že zpracování je spojeno s vysokým rizikem pro práva subjektu údajů ve smyslu článku 35.“

6.V článku 13 se doplňuje nový odstavec 5, který zní:

„5. Pokud zpracování probíhá pro účely vědeckého výzkumu a poskytnutí informací uvedených v odstavcích 1, 2 a 3 není možné nebo by vyžadovalo neúměrné úsilí pro splnění podmínek a záruk uvedených v čl. 89 odst. 1 nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo vážně ohrozilo splnění cílů daného zpracování, nemusí správce informace uvedené v odstavcích 1, 2 a 3 poskytnout. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti.“

7.V článku 22 se odstavce 1 a 2 nahrazují tímto:

„1. Rozhodnutí, které má pro subjekt údajů právní účinky nebo se ho podobně významně dotýká, může být založeno výhradně na automatizovaném zpracování, včetně profilování, pouze v případě, že je toto rozhodnutí:

a) nezbytné pro uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů bez ohledu na to, zda by rozhodnutí mohlo být přijato jinak než výhradně automatizovanými prostředky;

b) povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo

c)založeno na výslovném souhlasu subjektu údajů.“

8.Článek 33 se mění takto:

a)odstavec 1 se nahrazuje tímto:

„1. V případě porušení zabezpečení osobních údajů, které může mít za následek vysoké riziko pro práva a svobody fyzických osob, správce bez zbytečného odkladu a pokud možno do 96 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí případ porušení zabezpečení osobních údajů prostřednictvím jednotného kontaktního místa zřízeného podle článku 23a směrnice (EU) 2022/2555 dozorovému úřadu příslušnému podle článků 55 a 56. Pokud není ohlášení dozorovému úřadu učiněno do 96 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.“;

b)doplňuje se nový odstavec, který zní:

„1a. Dokud nebude zřízeno jednotné kontaktní místo podle článku 23a směrnice (EU) 2022/2555, správci nadále ohlašují případy porušení zabezpečení osobních údajů přímo příslušnému dozorovému úřadu v souladu s články 55 a 56.“;

c)doplňují se nové odstavce, které znějí:

„6. Evropský sbor pro ochranu osobních údajů připraví a předá Komisi návrh společné šablony pro ohlašování případů porušení zabezpečení osobních údajů příslušnému dozorovému úřadu uvedenému v odstavci 1, jakož i seznam okolností, za nichž je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzické osoby. Návrhy se předloží Komisi do [Úřad pro publikace: vložte datum = devět měsíců od vstupu tohoto nařízení v platnost]. Komise jej po náležitém zvážení podle potřeby přezkoumá a je jí svěřena pravomoc přijmout jej prostřednictvím prováděcího aktu přezkumným postupem podle čl. 93 odst. 2.

7. Šablona a seznam uvedený v odstavci 6 se přezkoumávají nejméně jednou za tři roky a v případě potřeby se aktualizují. Evropský sbor pro ochranu osobních údajů včas předloží Komisi své posouzení a případné návrhy na aktualizace. Komise po řádném zvážení návrhů tyto návrhy přezkoumá a je jí svěřena pravomoc přijmout případné aktualizace postupem podle odstavce 6.“

9.Článek 35 se mění takto:

a)odstavce 4, 5 a 6 se nahrazují tímto:

„4. Evropský sbor pro ochranu osobních údajů sestaví a předá Komisi návrh seznamu druhů operací zpracování, na něž se vztahuje požadavek na posouzení vlivu na ochranu osobních údajů podle odstavce 1.

5. Sbor sestaví a předá Komisi návrh seznamu druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné.

6. Sbor vypracuje a předá Komisi návrh společné šablony a společné metodiky pro provádění posouzení vlivu na ochranu údajů.“;

b)vkládají se nové odstavce, které znějí:

„6a. Návrhy seznamů uvedených v odstavcích 4 a 5 a šablony a metodiky uvedené v odstavci 6 se předloží Komisi do [Úřad pro publikace: vložte datum = 9 měsíců od vstupu tohoto nařízení v platnost]. Komise je po náležitém zvážení podle potřeby přezkoumá a je jí svěřena pravomoc přijmout je prostřednictvím prováděcího aktu přezkumným postupem podle čl. 93 odst. 2.

6b. Seznamy, šablona a metodika uvedené v odstavci 6a se přezkoumávají nejméně jednou za tři roky a v případě potřeby se aktualizují. Evropský sbor pro ochranu osobních údajů včas předloží Komisi své posouzení a případné návrhy na aktualizace. Komise po řádném zvážení návrhů tyto návrhy přezkoumá a je jí svěřena pravomoc přijmout případné aktualizace postupem podle odstavce 6a.

6c. Seznamy druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, a druhů operací zpracování, u nichž se posouzení vlivu na ochranu osobních údajů nevyžaduje, vypracované a zveřejněné dozorovými úřady, zůstávají v platnosti, dokud Komise nepřijme prováděcí akt uvedený v odstavci 6a.“

10.Doplňuje se nový článek, který zní:

„Článek 41a

1)Komise může přijmout prováděcí akty, kterými upřesní prostředky a kritéria pro určení, zda údaje vzniklé pseudonymizací již nepředstavují osobní údaje pro určité subjekty.

2)Pro účely odstavce 1 Komise:

a)posoudí současný stav dostupných metod; 

b)vypracuje kritéria nebo kategorie pro správce a příjemce, aby bylo možné posoudit riziko opětovné identifikace ve vztahu k typickým příjemcům údajů.

3)Uplatnění prostředků a kritérií uvedených v prováděcím aktu lze použít jako prvek k prokázání toho, že data nemohou vést k opětovné identifikaci subjektů údajů.

4)Do přípravy prováděcích aktů Komise úzce zapojí Evropský sbor pro ochranu osobních údajů. Evropský sbor pro ochranu osobních údajů vydá stanovisko k návrhům prováděcích aktů ve lhůtě 8 týdnů od obdržení návrhu od Komise.

5)Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 3.“

11.Ustanovení čl. 57 odst. 1 se mění takto:

(a)písmeno k) se zrušuje.

12.V čl. 64 odst. 1 se zrušuje písmeno a).

13.V čl. 70 odst. 1 se zrušuje písmeno h).

14.V čl. 70 odst. 1 se vkládají tato písmena:

„ha) sestaví a předá Komisi návrh seznamu druhů operací zpracování, na které se vztahuje požadavek na posouzení vlivu na ochranu osobních údajů a u nichž se posouzení vlivu na ochranu osobních údajů podle článku 35 nevyžaduje;

hb) vypracuje a předá Komisi návrh společné šablony a metodiky pro provádění posouzení vlivu na ochranu osobních údajů podle článku 35;

hc) připraví a předá Komisi návrh společné šablony pro ohlašování pro ohlašování případů porušení zabezpečení osobních údajů příslušnému dozorovému úřadu, jakož i seznam okolností, za nichž je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, jak je uvedeno v článku 33;“.

15.Za článek 88 se vkládají nové články, které znějí:

„Článek 88a

Zpracování osobních údajů v koncovém zařízení fyzických osob

1)Uchovávání osobních údajů nebo získávání přístupu k již uchovávaným osobním údajům v koncovém zařízení fyzické osoby je přípustné pouze tehdy, pokud k tomu tato osoba dala souhlas v souladu s tímto nařízením.

2)Odstavec 1 nebrání uchovávání osobních údajů nebo získání přístupu k již uchovávaným osobním údajům v koncovém zařízení fyzické osoby, pokud je založeno na právu Unie nebo členského státu ve smyslu článku 6, splňuje podmínky stanovené v tomto článku a je prováděno k zajištění cílů uvedených v čl. 23 odst. 1.

3)Uchovávání osobních údajů nebo získávání přístupu k již uchovávaným osobním údajům v koncovém zařízení fyzické osoby bez souhlasu a jejich následné zpracování je zákonné pouze tehdy, pokud je nezbytné pro některý z následujících účelů:

a)provedení přenosu elektronické komunikace prostřednictvím sítě elektronických komunikací; 

b)poskytování služby, o kterou subjekt údajů výslovně požádal;

c)vytváření agregovaných informací o využívání online služby za účelem měření její návštěvnosti, pokud je provádí správce této online služby výhradně pro svou vlastní potřebu;

d)zachování nebo obnovení bezpečnosti služby poskytované správcem a požadované subjektem údajů nebo koncovým zařízením používaným pro poskytování služby. 

4)Pokud je uchovávání osobních údajů nebo získávání přístupu k již uchovávaným osobním údajům v koncovém zařízení fyzické osoby založeno na souhlasu, použijí se následující ustanovení:

a)subjekt údajů musí mít možnost odmítnout žádost o souhlas jednoduchým a srozumitelným způsobem pomocí tlačítka na jedno kliknutí nebo rovnocenného prostředku; 

b)pokud subjekt údajů souhlas udělí, správce nesmí podat novou žádost o souhlas pro stejný účel po dobu, po kterou se může oprávněně spoléhat na souhlas subjektu údajů;

c)pokud subjekt údajů žádost o souhlas odmítne, nesmí správce podat novou žádost o souhlas pro stejný účel po dobu nejméně šesti měsíců.

Tento odstavec se vztahuje i na následné zpracování osobních údajů na základě souhlasu.

5)Tento článek se použije ode dne [Úřad pro publikace: vložte datum = 6 měsíců ode dne vstupu tohoto nařízení v platnost].

Článek 88b

Automatizovaná a strojově čitelná označení voleb subjektu údajů v souvislosti se zpracováním osobních údajů v koncovém zařízení fyzických osob

1)Správci zajistí, aby jejich online rozhraní umožňovala subjektům údajů:

a)udělit souhlas automatizovanými a strojově čitelnými prostředky, pokud jsou splněny podmínky pro udělení souhlasu stanovené v tomto nařízení; 

b)odmítnout žádost o souhlas a uplatnit právo vznést námitku podle čl. 21 odst. 2 prostřednictvím automatizovaných a strojově čitelných prostředků.

2)Správci respektují volby provedené subjekty údajů v souladu s odstavcem 1.

3)Odstavce 1 a 2 se nevztahují na správce, kteří jsou poskytovateli mediálních služeb při poskytování mediální služby.

4)Komise v souladu s čl. 10 odst. 1 nařízení (EU) č. 1025/2012 požádá jednu nebo více evropských normalizačních organizací o vypracování norem pro výklad automatizovaných a strojově čitelných označení voleb subjektu údajů.

Má se za to, že online rozhraní správců, která jsou ve shodě s harmonizovanými normami nebo jejich částmi, na něž byly odkazy zveřejněny v Úředním věstníku Evropské unie, jsou ve shodě s požadavky stanovenými v odstavci 1, na něž se tyto normy nebo jejich části vztahují.

5)Odstavce 1 až 2 se použijí od [Úřad pro publikace: vložte datum = 24 měsíců ode dne vstupu tohoto nařízení v platnost].

6)Poskytovatelé webových prohlížečů, kteří nejsou malými a středními podniky, poskytnou technické prostředky, které subjektům údajů umožní udělit souhlas a odmítnout žádost o souhlas a uplatnit právo vznést námitku podle čl. 21 odst. 2 prostřednictvím automatizovaných a strojově čitelných prostředků uvedených v odstavci 1 tohoto článku, používaných podle odstavců 2 až 5 tohoto článku.

7)Odstavec 6 se použije ode dne [Úřad pro publikace: vložte datum = 48 měsíců ode dne vstupu tohoto nařízení v platnost].

Článek 88c

Zpracování v souvislosti s vývojem a provozem umělé inteligence

Pokud je zpracování osobních údajů nezbytné pro zájmy správce v souvislosti s vývojem a provozem systému umělé inteligence ve smyslu čl. 3 bodu 1 nařízení (EU) 2024/1689 nebo modelu umělé inteligence, může být takové zpracování prováděno z důvodu oprávněných zájmů ve smyslu čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679, případně s výjimkou případů, kdy jiné právní předpisy Unie nebo vnitrostátní právní předpisy výslovně vyžadují souhlas a kdy nad takovými zájmy převažují zájmy nebo základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

Jakékoli takové zpracování podléhá vhodným organizačním a technickým opatřením a zárukám na ochranu práv a svobod subjektu údajů, jako je zajištění dodržování minimalizace údajů ve fázi výběru zdrojů a trénování a testování systému nebo modelu umělé inteligence, ochrana před zpřístupněním údajů reziduálně uchovaných v systému nebo modelu umělé inteligence, zajištění zvýšené transparentnosti pro subjekty údajů a poskytnutí bezpodmínečného práva subjektům údajů vznést námitku proti zpracování jejich osobních údajů.“

Článek 4

Změny nařízení (EU) 2018/1725 (nařízení o zpracování osobních údajů orgány, institucemi a jinými subjekty Unie)

Nařízení (EU) 2018/1725 se mění takto:

1.Článek 3 se mění takto:

a)v bodě 1 se doplňují nové věty, které zní:

„Informace o fyzické osobě nutně nepředstavují osobní údaje pro každou jinou osobu nebo subjekt jen proto, že některý jiný subjekt může tuto fyzickou osobu identifikovat. Informace nejsou pro daný subjekt osobní, pokud tento subjekt nemůže identifikovat fyzickou osobu, které se informace týkají, prostředky, o nichž lze rozumně předpokládat, že je použije. Takové informace se pro tento subjekt nestávají osobními ani pouze kvůli tomu, že potenciální následný příjemce má prostředky, o nichž lze rozumně předpokládat, že budou použity k identifikaci fyzické osoby, jíž se informace týkají.“;

b)bod 25 se nahrazuje tímto:

„25) „sítěmi elektronických komunikací“‘ sítě podle definice v čl. 2 bodu 1 směrnice (EU) 2018/1972;“

c)doplňují se nové body, které znějí:

„27) „mobilní aplikací“ mobilní aplikace ve smyslu čl. 3 bodu 2 směrnice (EU) 2016/2102;

28) „online rozhraním“ online rozhraní ve smyslu čl. 3 písm. m) nařízení (EU) 2022/2065;

29) „vědeckým výzkumem“ jakýkoli výzkum, který může rovněž podpořit inovace, například technologický rozvoj a demonstrace. Tyto činnosti přispívají ke stávajícím vědeckým poznatkům nebo je uplatňují novými způsoby, jsou prováděny s cílem přispět k růstu obecných poznatků a blahobytu společnosti a dodržují etické normy v příslušné oblasti výzkumu. To nevylučuje, že cílem výzkumu může být i komerční zájem“.

2.V čl. 4 odst. 1 se písmeno b) nahrazuje tímto:

„b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle článku 13 považuje za slučitelné s původními účely, a to nezávisle na podmínkách článku 6 tohoto nařízení (‚účelové omezení’);“.

3.Článek 10 se mění takto:

a)v odstavci 2 se doplňují nová písmena, která znějí:

„k) zpracování v souvislosti s vývojem a provozem systému umělé inteligence ve smyslu čl. 3 bodu 1 nařízení (EU) 2024/1689 nebo modelu umělé inteligence za podmínek uvedených v odstavci 4;

l) zpracování biometrických údajů je nezbytné pro účely potvrzení totožnosti subjektu údajů (ověření), pokud jsou biometrické údaje nebo prostředky potřebné k ověření pod výhradní kontrolou subjektu údajů.“;

b)doplňuje se odstavec 4, který zní:

„4. Pro zpracování uvedené v odst. 2 písm. k) se zavedou vhodná organizační a technická opatření, aby se zabránilo shromažďování a jinému zpracování zvláštních kategorií osobních údajů. Pokud správce i přes zavedení těchto opatření zjistí zvláštní kategorie osobních údajů v datových souborech používaných pro trénování, testování nebo validaci nebo v systému nebo modelu umělé inteligence, tyto údaje odstraní. Pokud odstranění těchto údajů vyžaduje nepřiměřené úsilí, musí správce v každém případě bez zbytečného odkladu účinně chránit tyto údaje před použitím k výrobě výstupů, zpřístupněním nebo jiným poskytnutím třetím stranám.“

4.V článku 14 se odstavec 5 nahrazuje tímto:

„5. Informace podle článků 15 a 16 se poskytují a veškerá sdělení a veškeré úkony podle článků 17 až 24 a 35 se činí bezplatně. Pokud jsou žádosti subjektu údajů zjevně nedůvodné nebo neúměrné, zejména z důvodu jejich opakující se povahy, nebo také v případě žádostí podle článku 17 z důvodu, že subjekt údajů zneužívá práva přiznaná tímto nařízením k jiným účelům, než je ochrana jeho údajů, může správce odmítnout žádosti vyhovět. Zjevnou nedůvodnost žádosti nebo to, že existují rozumné důvody se domnívat, že je žádost neúměrná, dokládá správce.“;

5.V článku 15 se doplňuje nový odstavec 5, který zní:

„5. Pokud zpracování probíhá pro účely vědeckého výzkumu a poskytnutí informací uvedených v odstavcích 1, 2 a 3 není možné nebo by vyžadovalo neúměrné úsilí pro splnění podmínek a záruk uvedených v článku 13 nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo vážně ohrozilo splnění cílů tohoto zpracování, nemusí správce informace uvedené v odstavcích 1, 2 a 3 poskytnout. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti.“

6.V článku 24 se odstavce 1 a 2 nahrazují tímto:

„1. Rozhodnutí, které má pro subjekt údajů právní účinky nebo se ho podobně významně dotýká, může být založeno výhradně na automatizovaném zpracování, včetně profilování, pouze v případě, že je toto rozhodnutí:

a)nezbytné pro uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů bez ohledu na to, zda by rozhodnutí mohlo být přijato jinak než výhradně automatizovanými prostředky;

b)povoleno právem Unie, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo

c)založeno na výslovném souhlasu subjektu údajů.“

7.V článku 34 se odstavec 1 nahrazuje tímto:

„1. V případě porušení zabezpečení osobních údajů, které může mít za následek vysoké riziko pro práva a svobody fyzických osob, správce bez zbytečného odkladu a pokud možno do 96 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí případ porušení zabezpečení osobních údajů evropskému inspektorovi ochrany údajů. Pokud není ohlášení evropskému inspektorovi ochrany údajů učiněno do 96 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.“

8.V článku 37 se doplňují nové odstavce, které znějí:

„2) Uchovávání osobních údajů nebo získávání přístupu k již uchovávaným osobním údajům v koncovém zařízení fyzické osoby je přípustné pouze tehdy, pokud k tomu tato osoba dala souhlas v souladu s tímto nařízením.

3) Odstavec 1 nebrání uchovávání osobních údajů nebo získání přístupu k již uchovávaným osobním údajům v koncovém zařízení fyzické osoby, pokud je založeno na právu Unie ve smyslu článku 5, splňuje podmínky stanovené v tomto článku a je prováděno k zajištění cílů uvedených v čl. 25 odst. 1.

4) Uchovávání osobních údajů nebo získávání přístupu k již uchovávaným osobním údajům v koncovém zařízení fyzické osoby bez souhlasu a jejich následné zpracování je zákonné pouze tehdy, pokud je nezbytné pro některý z následujících účelů:

a) provedení přenosu elektronické komunikace prostřednictvím sítě elektronických komunikací; 

b) poskytování služby, o kterou subjekt údajů výslovně požádal;

c) vytváření agregovaných informací o využívání online služby za účelem měření její návštěvnosti, pokud je provádí správce této online služby výhradně pro svou vlastní potřebu;

d) zachování nebo obnovení bezpečnosti služby poskytované správcem a požadované subjektem údajů nebo koncovým zařízením používaným pro poskytování služby. 

5) Pokud je uchovávání osobních údajů nebo získávání přístupu k již uchovávaným osobním údajům v koncovém zařízení fyzické osoby založeno na souhlasu, použijí se následující ustanovení:

a) subjekt údajů musí mít možnost odmítnout žádost o souhlas jednoduchým a srozumitelným způsobem pomocí tlačítka na jedno kliknutí nebo rovnocenného prostředku; 

b) pokud subjekt údajů souhlas udělí, správce nesmí podat novou žádost o souhlas pro stejný účel po dobu, po kterou se může oprávněně spoléhat na souhlas subjektu údajů;

c) pokud subjekt údajů žádost o souhlas odmítne, nesmí správce podat novou žádost o souhlas pro stejný účel po dobu nejméně šesti měsíců.

Tento odstavec se vztahuje i na následné zpracování osobních údajů na základě souhlasu.

6) Tento článek se použije ode dne [Úřad pro publikace: vložte datum = 6 měsíců ode dne vstupu tohoto nařízení v platnost].

7) Správci zajistí, aby jejich online rozhraní umožňovala subjektům údajů:

a) udělit souhlas automatizovanými a strojově čitelnými prostředky, pokud jsou splněny podmínky pro udělení souhlasu stanovené v tomto nařízení;

b) odmítnout žádost o souhlas prostřednictvím automatizovaných a strojově čitelných prostředků.

8) Správci respektují volby provedené subjekty údajů v souladu s odstavcem 7.

9) Má se za to, že online rozhraní správců, která jsou ve shodě s harmonizovanými normami nebo jejich částmi uvedenými v čl. 88b odst. 4 nařízení (ES) 2016/679, jsou ve shodě s požadavky stanovenými v odstavci 7, na které se tyto normy nebo jejich části vztahují.

10) Odstavce 7 až 9 se použijí ode dne [Úřad pro publikace: vložte datum = 24 měsíců ode dne vstupu tohoto nařízení v platnost].“

8)Článek 39 se mění takto:

a)odstavec 4 se nahrazuje tímto:

„4. Na zpracování osobních údajů podle tohoto nařízení by se měly vztahovat seznamy, šablona a metodika přijaté Komisí a uvedené v čl. 35 odst. 6a nařízení (EU) 2016/679.“;

b)odstavce 5 a 6 se zrušují.

9)Doplňuje se nový článek, který zní:

„Článek 45a

Na zpracování osobních údajů podle tohoto nařízení by se měla vztahovat společná kritéria přijatá Komisí a uvedená v článku 41a nařízení (EU) 2016/679“.

Článek 5

Změny a směrnice 2002/58/ES (směrnice o soukromí a elektronických komunikacích)

Směrnice 2002/58/ES se mění takto:

1.Článek 4 se zrušuje.

2.V čl. 5 odst. 3 se doplňuje nový pododstavec, který zní:

„Tento odstavec se nepoužije, pokud je účastníkem nebo uživatelem fyzická osoba a uchovávané informace nebo informace, k nimž je získán přístup, představují zpracování osobních údajů nebo k němu vedou“.

Článek 6

Změny směrnice (EU) 2022/2555

Směrnice (EU) 2022/2555 se mění takto:

1.Vkládá se nový článek 23a, který zní:

„Článek 23a

Jednotné kontaktní místo pro hlášení incidentů

1)Agentura ENISA zřídí a udržuje jednotné kontaktní místo na podporu povinnosti ohlašovat incidenty a související události podle právních aktů Unie, pokud tak tyto právní akty Unie stanoví (dále jen „jednotné kontaktní místo“). Aniž je dotčen článek 16 nařízení Evropského parlamentu a Rady (EU) 2024/2847, může agentura ENISA zajistit, aby jednotné kontaktní místo vycházelo z jednotné platformy pro ohlašování zřízené podle uvedeného nařízení.

2)Agentura ENISA přijme vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik, která představují hrozbu pro bezpečnost jednotného kontaktního místa a informací předávaných nebo šířených jeho prostřednictvím. Agentura ENISA zohlední citlivost informací předkládaných nebo šířených podle právních aktů Unie uvedených v odstavci 1 a zajistí, aby příslušné orgány podle těchto právních aktů Unie měly přístup k informacím a zpracovávaly je v souladu s požadavky těchto právních aktů Unie.

3)Agentura ENISA poskytne a provede specifikace technických, provozních a organizačních opatření týkajících se zřízení, údržby a bezpečného provozu jednotného kontaktního místa. Agentura ENISA vypracuje specifikace ve spolupráci s Komisí, sítí CSIRT a příslušnými orgány podle právních aktů Unie uvedených v odstavci 1. Specifikace musí zajistit, aby:

a)byla zajištěna nezbytná schopnost interoperability s ohledem na další příslušné ohlašovací povinnosti uvedené v odstavci 1;

b)byly zavedeny technické postupy, které příslušným subjektům a orgánům podle právních aktů Unie uvedených v odstavci 1 umožňují přístup k informacím z jednotného kontaktního místa, jejich předkládání, vyhledávání, předávání nebo jiné zpracování, a poskytují technické protokoly a nástroje, jež subjektům a orgánům umožňují další zpracování přijatých informací v rámci jejich systémů;

c)byla řádně zohledněna specifika požadavků na hlášení incidentů stanovených v právních aktech Unie uvedených v odstavci 1;

d)v příslušných případech bylo jednotné kontaktní místo interoperabilní a kompatibilní s evropskými podnikatelskými peněženkami uvedenými v [návrhu nařízení]: vložte název návrhu] a aby evropské podnikatelské peněženky bylo možné použít alespoň k identifikaci a autentizaci subjektů využívajících jednotné kontaktní místo;

e)subjekty, které používají jednotné kontaktní místo, mohly vyhledat a doplnit informace, které prostřednictvím jednotného kontaktního místa podaly již dříve;

f)ke splnění ohlašovacích povinností stanovených v některém z dalších právních aktů Unie, které stanoví ohlašování incidentů jednotnému kontaktnímu místu, bylo možné použít jediné oznámení informací podané subjektem prostřednictvím jednotného kontaktního místa.

4)Není-li v právních aktech Unie uvedených v odstavci 1 stanoveno jinak, nemá agentura ENISA přístup k oznámením podaným prostřednictvím jednotného kontaktního místa.

5)Do [18] měsíců od vstupu tohoto nařízení v platnost provede agentura ENISA pilotní zkoušku fungování jednotného kontaktního místa pro každý doplněný právní akt Unie, včetně testování, které zohlední specifika a požadavky na oznámení stanovené v každém příslušném právním aktu Unie, a po konzultaci s Komisí a příslušnými orgány podle příslušných právních aktů Unie. Agentura ENISA umožní oznamování incidentů podle každého právního aktu Unie uvedeného v odstavci 1 až po pilotním provozu a poté, co Komise zveřejní oznámení podle odstavce 6.

6)Komise ve spolupráci s agenturou ENISA posoudí řádné fungování, spolehlivost, integritu a důvěrnost jednotného kontaktního místa. Pokud Komise po konzultaci se sítí CSIRT a příslušnými orgány podle právních aktů Unie uvedených v odstavci 1 zjistí, že jednotné kontaktní místo zajišťuje řádné fungování, spolehlivost, integritu a důvěrnost, oznámí to v Úředním věstníku Evropské unie.

7)Pokud Komise ve svém posouzení shledá, že jednotné kontaktní místo nezajišťuje řádné fungování, spolehlivost, integritu nebo důvěrnost, přijme agentura ENISA ve spolupráci s Komisí a bez zbytečného odkladu veškerá nezbytná nápravná opatření k zajištění řádného fungování, spolehlivosti, integrity nebo důvěrnosti a o výsledcích neprodleně informuje Komisi. Poté Komise znovu posoudí řádné fungování, spolehlivost, integritu nebo důvěrnost jednotného kontaktního místa a zveřejní oznámení v souladu s odstavcem 6.“

2.Článek 23 se mění takto:

a)v odstavci 1 se první věta nahrazuje tímto:

„Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 tohoto článku každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 tohoto článku (významný incident) prostřednictvím jednotného kontaktního místa zřízeného podle článku 23a.“;

a)doplňuje se odstavec 12, který zní:

„Pokud výrobce oznámí významný incident podle čl. 14 odst. 3 nařízení (EU) 2024/2847 a oznámení incidentu podle uvedeného článku obsahuje příslušné informace požadované podle odstavce 4 tohoto článku, oznámení výrobce podle čl.14 odst. 3 nařízení (EU) 2024/2847 představuje nahlášení informací podle odstavce 4 tohoto článku.“

3.V článku 30 se odstavec 1 nahrazuje tímto: 

„1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo v případně příslušným orgánům prostřednictvím jednotného kontaktního místa zřízeného podle článku 23a ze strany:

a)základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;

b)subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda spadají do oblasti působnosti této směrnice, pokud jde o významné incidenty, kybernetické hrozby a významné události.“

Článek 7

Změna nařízení (EU) č. 910/2014

Nařízení (EU) 910/2014 se mění takto:

1.v článku 19a se vkládá nový odstavec 1a, který zní:

„1a. Oznámení podle odst. 1 písm. b) tohoto článku orgánu dohledu a případně dalším relevantním příslušným orgánům se podávají prostřednictvím jednotného kontaktního místa podle článku 23a směrnice (EU) 2022/2555.“;

2.v článku 24 se vkládá se nový odstavec 2a, který zní:

„2a. Oznámení podle odst. 2 písm. fb) tohoto článku orgánu dohledu a případně dalším příslušným orgánům se podávají prostřednictvím jednotného kontaktního místa podle článku 23a směrnice (EU) 2022/2555.“;

3.v článku 45a se vkládá nový odstavec 3a, který zní:

„3a. Oznámení podle odstavce 3 Komisi a příslušnému orgánu dohledu se podávají prostřednictvím jednotného kontaktního místa podle článku 23a směrnice (EU) 2022/2555.“

Článek 8

Změny nařízení (EU) 2022/2554

Článek 19 nařízení (EU) 2022/2554 se mění takto:

1.v odstavci 1 se první pododstavec nahrazuje tímto:

„Finanční subjekty hlásí závažné incidenty související s IKT relevantním příslušným orgánům uvedeným v článku 46 prostřednictvím jednotného kontaktního místa zřízeného podle článku 23a směrnice (EU) 2022/2555 v souladu s odstavcem 4 tohoto článku.“;

2.v odstavci 2 se první pododstavec nahrazuje tímto:

„Finanční subjekty mohou relevantnímu příslušnému orgánu prostřednictvím jednotného kontaktního místa zřízeného podle článku 23a směrnice (EU) 2022/2555 dobrovolně oznamovat významné kybernetické hrozby, pokud se domnívají, že hrozba je relevantní pro finanční systém, uživatele služeb nebo klienty. Relevantní příslušný orgán může tyto informace poskytnout jiným relevantním orgánům uvedeným v odstavci 6.“

Článek 9

Změny směrnice (EU) 2022/2557

Článek 15 směrnice (EU) 2022/2557 se mění takto:

1.v odstavci 1 se první věta nahrazuje tímto:

„Členské státy zajistí, aby kritické subjekty prostřednictvím jednotného kontaktního místa zřízeného podle článku 23a směrnice (EU) 2022/2555 vyrozuměly bez zbytečného odkladu příslušný orgán o incidentech, které významně narušují nebo mohou významně narušit poskytování základních služeb.“;

2.v odstavci 2 se doplňuje nový pododstavec, který zní:

„Komise může přijmout prováděcí akty dále upřesňující druh a formát informací oznamovaných podle čl. 15 odst. 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 24 odst. 2.“

Článek 10

Zrušení a přechodná ustanovení

1.Nařízení 2019/1150/EU se zrušuje s účinkem ode dne [datum = den použitelnosti tohoto nařízení].

2.Odchylně od odstavce 1 zůstávají v platnosti až do 31. prosince 2032 tato ustanovení:

(a)čl. 2 bod 1;

(b)čl. 2 bod 2;

(c)čl. 2 bod 5;

(d)článek 4;

(e)článek 11;

(f)článek 15.

3.Následující akty se zrušují s účinkem ode dne [datum, které je shodné s dnem použitelnosti změn]:

a)nařízení (EU) 2022/868;

b)nařízení (EU) 2018/1807;

c)směrnice (EU) 2019/1024.

4.Odkazy na nařízení (EU) 2022/868, nařízení (EU) 2018/1807 a směrnici 2019/1024 se vykládají v souladu se srovnávací tabulkou uvedenou v příloze I tohoto nařízení.

Článek 11

Závěrečná ustanovení

Toto nařízení vstupuje v platnost třetím dnem po vyhlášení v Úředním věstníku Evropské unie.

Odchylně od odstavce 3 vstupuje čl. 5 odst. 2 v platnost šest měsíců po vyhlášení v Úředním věstníku Evropské unie.

Ustanovení čl. 3 odst. 8 písm. a) až c), čl. 6 odst. 2 a 3 a článků 7 až 9 vstupují v platnost 18 měsíců od vstupu tohoto nařízení v platnost. Odchylně od první věty, pokud Komise ve svém posouzení podle čl. 23a odst. 7 směrnice (EU) 2022/2555 zjistí, že jednotné kontaktní místo nezajišťuje řádné fungování, spolehlivost, integritu nebo důvěrnost, povinnosti podávat hlášení prostřednictvím jednotného kontaktního místa stanovené v čl. 23 odst. 4 směrnice (EU) 2022/2555, čl. 19a odst. 1a, čl. 24 odst. 2a a čl. 45a odst. 3a nařízení (EU) č. 910/2014, čl. 33 odst. 1 nařízení (EU) 2016/679, čl. 19 odst. 1 a 2 nařízení (EU) 2022/2554 a čl. 15 odst. 1 směrnice (EU) 2022/2557 se použijí 24 měsíců od vstupu tohoto nařízení v platnost.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne

LEGISLATIVNÍ FINANČNÍ A DIGITÁLNÍ VÝKAZ

1.RÁMEC NÁVRHU/PODNĚTU    3

1.1.Název návrhu/podnětu    3

1.2.Příslušné oblasti politik    3

1.3.Cíle    3

1.3.1.Obecné cíle    3

1.3.2.Specifické cíle    3

1.3.3.Očekávané výsledky a dopady    3

1.3.4.Ukazatele výkonnosti    3

1.4.Návrh/podnět se týká:    4

1.5.Odůvodnění návrhu/podnětu    4

1.5.1.    Potřeby, které mají být uspokojeny v krátkodobém nebo dlouhodobém horizontu, včetně podrobného harmonogramu pro zahajovací fázi provádění podnětu    4

1.5.2.    Přidaná hodnota ze zapojení EU (může být důsledkem různých faktorů, např. přínosů z koordinace, právní jistoty, vyšší účinnosti nebo doplňkovosti). Pro účely tohoto oddílu se „přidanou hodnotou ze zapojení EU“ rozumí hodnota plynoucí z akce Unie, jež doplňuje hodnotu, která by jinak vznikla činností samotných členských států.    4

1.5.3.Závěry vyvozené z podobných zkušeností v minulosti    4

1.5.4.    Slučitelnost s víceletým finančním rámcem a možné synergie s dalšími vhodnými nástroji    5

1.5.5.    Posouzení různých dostupných možností financování, včetně prostoru pro přerozdělení prostředků    5

1.6.Doba trvání návrhu/podnětu a jeho finančního dopadu    6

1.7.Předpokládaný způsob plnění rozpočtu    6

2.SPRÁVNÍ OPATŘENÍ    8

2.1.Pravidla pro sledování a podávání zpráv    8

2.2.Systémy řízení a kontroly    8

2.2.1.    Odůvodnění navrhovaných způsobů plnění rozpočtu, mechanismů provádění financování, způsobů plateb a kontrolní strategie    8

2.2.2.    Informace o zjištěných rizicích a systémech vnitřní kontroly zřízených k jejich zmírnění    8

2.2.3.    Odhad a odůvodnění nákladové efektivnosti kontrol (poměr mezi náklady na kontroly a hodnotou souvisejících spravovaných finančních prostředků) a posouzení očekávané míry rizika výskytu chyb (při platbě a při uzávěrce)    8

2.3.Opatření k zamezení podvodů a nesrovnalostí    9

3.ODHADOVANÝ FINANČNÍ DOPAD NÁVRHU/PODNĚTU    10

3.1.    Okruhy víceletého finančního rámce a dotčené výdajové rozpočtové položky    10

3.2Odhadovaný finanční dopad návrhu na prostředky    12

3.2.1.Odhadovaný souhrnný dopad na operační prostředky    12

3.2.1.1.Prostředky ze schváleného rozpočtu    12

3.2.1.2.Prostředky z vnějších účelově vázaných příjmů    17

3.2.2.Odhadovaný výstup financovaný z operačních prostředků    22

3.2.3. Odhadovaný souhrnný dopad na správní prostředky    24

3.2.3.1. Prostředky ze schváleného rozpočtu    24

3.2.3.2.Prostředky z vnějších účelově vázaných příjmů    24

3.2.3.3.Prostředky celkem    24

3.2.4.Odhadované potřeby v oblasti lidských zdrojů    25

3.2.4.1. Financované ze schváleného rozpočtu    25

3.2.4.2.Financované z vnějších účelově vázaných příjmů    26

3.2.4.3.Potřeby v oblasti lidských zdrojů celkem    26

3.2.5.Odhadovaný dopad na investice související s digitálními technologiemi    28

3.2.6.Soulad se stávajícím víceletým finančním rámcem    28

3.2.7.Příspěvky třetích stran    28

3.3.Odhadovaný dopad na příjmy    29

4.Digitální rozměr    29

4.1.Požadavky digitálního významu    30

4.2.Data    30

4.3.Digitální řešení    31

4.4.Posouzení interoperability    31

4.5.Opatření na podporu digitálního provádění    32

1.RÁMEC NÁVRHU/PODNĚTU

1.1.Název návrhu/podnětu

1.2.Příslušné oblasti politik

1.3.Cíle

1.3.1.    Obecné cíle

1.3.2.    Specifické cíle

1.3.3.    Očekávané výsledky a dopady

Upřesněte účinky, které by návrh/podnět měl mít na příjemce / cílové skupiny.

1.3.4.    Ukazatele výkonnosti

Upřesněte ukazatele pro sledování pokroku a dosažených výsledků.

1.4.Návrh/podnět se týká:

 nové akce 

 nové akce následující po pilotním projektu / přípravné akci 39  

 prodloužení stávající akce 

 sloučení jedné či více akcí v jinou/novou akci nebo přesměrování jedné či více akcí na jinou/novou akci

1.5.Odůvodnění návrhu/podnětu

1.5.1.    Potřeby, které mají být uspokojeny v krátkodobém nebo dlouhodobém horizontu, včetně podrobného harmonogramu pro zahajovací fázi provádění podnětu

1.5.2.    Přidaná hodnota ze zapojení EU (může být důsledkem různých faktorů, např. přínosů z koordinace, právní jistoty, vyšší účinnosti nebo doplňkovosti). Pro účely tohoto oddílu se „přidanou hodnotou ze zapojení EU“ rozumí hodnota plynoucí z akce Unie, jež doplňuje hodnotu, která by jinak vznikla činností samotných členských států.

1.5.3.    Závěry vyvozené z podobných zkušeností v minulosti

1.5.4.    Slučitelnost s víceletým finančním rámcem a možné synergie s dalšími vhodnými nástroji

1.5.5.    Posouzení různých dostupných možností financování, včetně prostoru pro přerozdělení prostředků

1.6.Doba trvání návrhu/podnětu a jeho finančního dopadu

5. Časově omezená doba trvání

    s platností od [DD.MM.]RRRR do [DD.MM.]RRRR,

    finanční dopad od RRRR do RRRR u prostředků na závazky a od RRRR do RRRR u prostředků na platby.

6. Časově neomezená doba trvání

Provádění s obdobím rozběhu od RRRR do RRRR,

poté plné fungování.

1.7.Předpokládaný způsob plnění rozpočtu 40  

7. Přímé řízení Komisí

 prostřednictvím jejích útvarů, včetně jejích zaměstnanců v delegacích Unie,

    prostřednictvím výkonných agentur.

8. Sdílené řízení s členskými státy

9. Nepřímé řízení, při kterém jsou úkoly souvisejícími s plněním rozpočtu pověřeny:

 třetí země nebo subjekty určené těmito zeměmi,

 mezinárodní organizace a jejich agentury (upřesněte),

 Evropská investiční banka a Evropský investiční fond,

 subjekty uvedené v článcích 70 a 71 finančního nařízení,

 veřejnoprávní subjekty,

 soukromoprávní subjekty pověřené výkonem veřejné služby v rozsahu, v jakém jim byly poskytnuty dostatečné finanční záruky,

 soukromoprávní subjekty členského státu pověřené uskutečňováním partnerství veřejného a soukromého sektoru, kterým byly poskytnuty dostatečné finanční záruky,

 subjekty nebo osoby pověřené prováděním specifických akcí v rámci společné zahraniční a bezpečnostní politiky podle hlavy V Smlouvy o Evropské unii a určené v příslušném základním právním aktu,

subjekty usazené v členském státě, které se řídí soukromým právem členského státu nebo právem Unie a které mohou být v souladu s odvětvovými pravidly pověřeny vynakládáním finančních prostředků Unie nebo využíváním rozpočtových záruk Unie, pokud jsou tyto subjekty ovládány veřejnoprávními subjekty nebo soukromoprávními subjekty pověřenými výkonem veřejné služby a byly jim poskytnuty dostatečné finanční záruky ve formě společné a nerozdílné odpovědnosti kontrolních subjektů nebo rovnocenné finanční záruky, jež mohou být pro každou akci omezeny na maximální výši podpory Unie.

I

2.SPRÁVNÍ OPATŘENÍ

2.1.Pravidla pro sledování a podávání zpráv

10.Změny budou sledovány v rámci změněných právních předpisů,

2.2.Systémy řízení a kontroly

2.2.1.Odůvodnění navrhovaných způsobů plnění rozpočtu, mechanismů provádění financování, způsobů plateb a kontrolní strategie

11.Systémy řízení a kontroly, které se vztahují na stávající právní předpisy, zajišťují účinnou kontrolu také u změn.

2.2.2.Informace o zjištěných rizicích a systémech vnitřní kontroly zřízených k jejich zmírnění

12.Nebyla zjištěna žádná další rizika.

2.2.3.Odhad a odůvodnění nákladové efektivnosti kontrol (poměr mezi náklady na kontroly a hodnotou souvisejících spravovaných finančních prostředků) a posouzení očekávané míry rizika výskytu chyb (při platbě a při uzávěrce)

13.Náklady na kontrolu se nebudou lišit od předchozích nákladů.

2.3.Opatření k zamezení podvodů a nesrovnalostí

14.Stejná preventivní opatření platí i nadále pro změny.

3.ODHADOVANÝ FINANČNÍ DOPAD NÁVRHU/PODNĚTU

3.1.Okruhy víceletého finančního rámce a dotčené výdajové rozpočtové položky

Stávající rozpočtové položky

15.V pořadí okruhů víceletého finančního rámce a rozpočtových položek.

Nové rozpočtové položky, jejichž vytvoření se požaduje

16.V pořadí okruhů víceletého finančního rámce a rozpočtových položek.

3.2.Odhadovaný finanční dopad návrhu na prostředky

3.2.1.Odhadovaný souhrnný dopad na operační prostředky

    Návrh/podnět nevyžaduje využití operačních prostředků.

    Návrh/podnět vyžaduje využití operačních prostředků, jak je vysvětleno dále:

3.2.1.1.Prostředky ze schváleného rozpočtu

v milionech EUR (zaokrouhleno na tři desetinná místa)

================================================================================================

Tento oddíl se vyplní pomocí „rozpočtových údajů správní povahy“, jež se nejprve uvedou v příloze legislativního finančního a digitálního výkazu (příloha 5 45 rozhodnutí Komise o interních pravidlech pro plnění oddílu Komise v souhrnném rozpočtu Evropské unie), která se pro účely konzultace mezi útvary vloží do aplikace DECIDE.

v milionech EUR (zaokrouhleno na tři desetinná místa)

3.2.1.2.Prostředky z vnějších účelově vázaných příjmů

v milionech EUR (zaokrouhleno na tři desetinná místa)

v milionech EUR (zaokrouhleno na tři desetinná místa)

v milionech EUR (zaokrouhleno na tři desetinná místa)

3.2.2.Odhadovaný výstup financovaný z operačních prostředků (nevyplňovat v případě decentralizovaných agentur)

Prostředky na závazky v milionech EUR (zaokrouhleno na tři desetinná místa)

3.2.3.Odhadovaný souhrnný dopad na správní prostředky

 Návrh/podnět nevyžaduje využití prostředků správní povahy.

    Návrh/podnět vyžaduje využití prostředků správní povahy, jak je vysvětleno dále:

3.2.3.1.Prostředky ze schváleného rozpočtu

Potřebné prostředky na oblast lidských zdrojů a na ostatní výdaje správní povahy budou pokryty z prostředků GŘ, které jsou již vyčleněny na řízení akce a/nebo byly vnitřně přerozděleny v rámci GŘ a případně doplněny z dodatečného přídělu, který lze řídícímu GŘ poskytnout v rámci ročního přidělování a s ohledem na rozpočtová omezení.

3.2.4.Odhadované potřeby v oblasti lidských zdrojů

 Návrh/podnět nevyžaduje využití lidských zdrojů.

    Návrh/podnět vyžaduje využití lidských zdrojů, jak je vysvětleno dále:

3.2.4.1.Financované ze schváleného rozpočtu

Odhad vyjádřete v přepočtu na plné pracovní úvazky (FTE) 50

17.

3.2.5.Odhadovaný dopad na investice související s digitálními technologiemi

18.Povinné: do níže uvedené tabulky by měl být zahrnut nejlepší odhad investic souvisejících s digitálními technologiemi, které návrh/podnět vyžaduje.

19.Pokud je to pro realizaci návrhu/podnětu nutné, měly by být prostředky z okruhu 7 výjimečně uvedeny v určeném řádku.

20.Prostředky z okruhů 1–6 by měly být vykázány jako „výdaje politiky v oblasti informačních technologií na operační programy“. Tyto výdaje se týkají provozního rozpočtu, který bude použit na opětovné použití / nákup / vývoj IT platforem/nástrojů přímo souvisejících s prováděním iniciativy a s nimi spojených investic (např. licence, studie, ukládání dat atd.). Informace uvedené v této tabulce by měly být v souladu s údaji uvedenými v oddíle 4 „Digitální rozměr“.

3.2.6.Slučitelnost se stávajícím víceletým finančním rámcem

21.Návrh/podnět:

může být v plném rozsahu financován přerozdělením prostředků v rámci příslušného okruhu víceletého finančního rámce (VFR).

    vyžaduje použití nepřiděleného rozpětí v rámci příslušného okruhu VFR a/nebo použití zvláštních nástrojů definovaných v nařízení o VFR.

    vyžaduje revizi VFR.

3.2.7.Příspěvky třetích stran

22.Návrh/podnět:

    nepočítá se spolufinancováním od třetích stran.

    počítá se spolufinancováním od třetích stran podle následujícího odhadu:

prostředky v milionech EUR (zaokrouhleno na tři desetinná místa)

 
3.3.    Odhadovaný dopad na příjmy

    Návrh/podnět nemá žádný finanční dopad na příjmy.

–    Návrh/podnět má tento finanční dopad:

–    na vlastní zdroje

–    na jiné příjmy

–     uveďte, zda je příjem účelově vázán na výdajové položky

v milionech EUR (zaokrouhleno na tři desetinná místa)

23.U účelově vázaných příjmů upřesněte dotčené výdajové rozpočtové položky.

24.[…]

25.Jiné poznámky (např. způsob/vzorec výpočtu dopadu na příjmy nebo jiné údaje).

26.[…]

27.4. DIGITÁLNÍ ROZMĚR

4.1. Požadavky digitálního významu

Vysokoúrovňový popis požadavků digitálního významu a souvisejících kategorií (data, digitalizace a automatizace procesů, digitální řešení a/nebo digitální veřejné služby)