Data Act — Nariadenie Európskeho parlamentu a Rady (EÚ) 2023/2854 o harmonizovaných pravidlách spravodlivého prístupu k údajom a ich používania — je horizontálny právny predpis EÚ, ktorý harmonizuje pravidlá zdieľania a používania údajov v Európskej únii. Je súčasťou európskej dátovej stratégie spolu s Data Governance Act (2022/868) a vytvára právny rámec pre dátovú ekonomiku — prístup používateľov k údajom generovaným ich IoT zariadeniami, B2B zdieľanie údajov, prepínanie medzi poskytovateľmi cloudových služieb (cloud switching), zákaz nespravodlivých zmluvných doložiek pri data sharing a prístup verejných orgánov k údajom v mimoriadnej situácii. Data Act bol prijatý 13. decembra 2023 a väčšina jeho ustanovení nadobudla účinnosť 12. septembra 2025. Pre slovenských výrobcov pripojených produktov (IoT), poskytovateľov súvisiacich služieb, používateľov dát a poskytovateľov cloudových služieb predstavuje Data Act novú vrstvu povinností a práv. Tento sub-hub zhŕňa, koho sa Data Act týka a aké zmluvné a procesné nástroje sú potrebné. Pre kontext odporúčame pillar pre AI právo.
Čo je Data Act a koho sa týka
Data Act je priamo účinné Nariadenie EÚ, ktoré sa vzťahuje na:
- Výrobcov pripojených produktov (connected products) uvedených na trh v EÚ — typicky IoT zariadenia (smart home, priemyselné senzory, autá, lekárske zariadenia s konektivitou).
- Poskytovateľov súvisiacich služieb (related services) — aplikácie, cloud platformy a iné služby, ktoré spracúvajú údaje z pripojených produktov.
- Používateľov pripojených produktov a súvisiacich služieb — fyzické aj právnické osoby, ktoré produkt vlastnia, prenajímajú alebo používajú.
- Poskytovateľov cloudových a edge služieb (data processing services) — IaaS, PaaS, SaaS poskytovatelia.
- Verejné orgány pri prístupe k údajom v mimoriadnej situácii.
Pôsobnosť je extrateritoriálna — aj poskytovateľ mimo EÚ, ktorý ponúka pripojené produkty alebo služby spracúvania údajov na trhu EÚ, podlieha Data Act-u.
Časová os účinnosti
Data Act bol uverejnený v Úradnom vestníku EÚ 22. decembra 2023 a nadobudol účinnosť postupne:
- 11. januára 2024 — formálne nadobudnutie účinnosti nariadenia.
- 12. septembra 2025 — väčšina ustanovení sa stala plne aplikovateľnou (kapitoly o IoT, B2B data sharing, cloud switching, nespravodlivé zmluvné doložky, prístup verejných orgánov).
- 12. septembra 2026 — povinnosť „accessibility by design" pre pripojené produkty (čl. 3 ods. 1) sa aplikuje na produkty uvedené na trh po tomto dátume.
- 12. januára 2027 — kapitola o cloud switching dosiahne plnú aplikovateľnosť vrátane zrušenia poplatkov za switching.
IoT a prístup používateľa k údajom (kapitola II)
Kapitola II Data Act zakladá právo používateľa pripojeného produktu na prístup k údajom generovaným jeho zariadením. Pravidlá:
- Accessibility by design (čl. 3) — výrobca pripojeného produktu musí navrhnúť produkt tak, aby boli údaje pre používateľa ľahko, bezpečne, zadarmo a v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte priamo dostupné. Pre produkty uvedené na trh po 12. 9. 2026 je to povinnosť, kde nie je technicky možná, výrobca poskytuje údaje na žiadosť používateľa.
- Právo používateľa zdieľať údaje s tretími stranami — používateľ môže poveriť tretiu stranu (napríklad nezávislý servis, konkurenčného poskytovateľa služby), aby získala údaje generované jeho produktom. Výrobca je povinný takémuto sprístupneniu vyhovieť.
- Predzmluvné informácie — pred uzavretím zmluvy o kúpe alebo prenájme pripojeného produktu musí výrobca poskytnúť informácie o údajoch, ktoré produkt generuje, o spôsobe prístupu k nim a o rozsahu spracúvania.
- Ochrana obchodného tajomstva — výrobca môže pri zdieľaní údajov uplatniť opatrenia na ochranu obchodného tajomstva (technické a zmluvné). Sprístupnenie údajov ale nesmie byť neprimerane obmedzené.
Pre používateľa to znamená napríklad, že majiteľ pripojeného automobilu môže získať údaje o motore, jazde a opotrebovaní a poskytnúť ich nezávislému servisu — bez toho, aby ho výrobca k tomu pripojeným produktom „uzamkol".
B2B zdieľanie údajov (kapitola III)
Kapitola III Data Act stanovuje všeobecné podmienky pre B2B zdieľanie údajov, ak je toto zdieľanie zákonnou alebo zmluvnou povinnosťou. Zdieľateľ údajov musí poskytnúť údaje za spravodlivých, primeraných a nediskriminačných (FRAND) podmienok:
- Údaje musia byť poskytnuté v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte.
- Kompenzácia musí byť primeraná — odôvodnená nákladmi a investíciami. Pri zdieľaní s MSP a neziskovými organizáciami pre výskumné účely je kompenzácia obmedzená na náklady zdieľania.
- Zmluvné doložky musia byť jasné a zrozumiteľné, žiadne unfair terms.
Zákaz nespravodlivých zmluvných doložiek (kapitola IV)
Data Act zakazuje vo vzťahu medzi silnejšou a slabšou stranou (typicky veľký poskytovateľ vs MSP) určité nespravodlivé zmluvné doložky pri zdieľaní údajov. Doložka je nespravodlivá, ak hrubo odporuje dobrej obchodnej praxi a spôsobuje výrazný nerovnomerný vzťah strán. Doložky sú rozdelené na:
- Doložky vždy nespravodlivé (čl. 13 ods. 4) — napríklad doložka vylučujúca alebo obmedzujúca zodpovednosť za úmysel alebo hrubú nedbanlivosť, doložka umožňujúca jednostranný neobmedzený výklad zmluvy.
- Doložky predpokladane nespravodlivé (čl. 13 ods. 5) — napríklad doložka neprimerane obmedzujúca práva slabšej strany pri porušení zmluvy.
Pre slovenské MSP to znamená, že pri uzatváraní zmlúv o data sharing s veľkým partnerom môžu napadnúť nespravodlivé doložky a žiadať ich vyhlásenie za neúčinné.
Cloud switching — zákaz lock-in (kapitola VI)
Kapitola VI Data Act uľahčuje prepínanie medzi poskytovateľmi cloudových a edge služieb a vytvára právny rámec pre slobodné pohyby údajov a aplikácií medzi cloudmi. Kľúčové ustanovenia:
| Téma | Pred Data Act | Po Data Act |
|---|---|---|
| Switching fees (poplatky za prepínanie) | Bežné, často vysoké pri exit data transfer. | Postupné znižovanie; od 12. januára 2027 sa data egress fees ruší pri switching scenároch. |
| Maximálna lehota na switching | Žiadna harmonizácia. | 30 dní od žiadosti zákazníka na ukončenie switching procesu (s primeranými výnimkami pri zložitých prípadoch). |
| Interoperabilita | Závisí od dobrovoľných štandardov. | Povinnosť poskytovať funkčnú ekvivalenciu a postupne otvorené štandardy alebo špecifikácie. |
| Zmluvné doložky o switching | Často viažuce klienta na dlhodobé obdobie. | Zákaz dlhých výpovedných lehôt, zákaz unfair clauses, povinnosť zmluvných informácií o switching. |
Pre slovenské firmy používajúce cloud služby to znamená silnejšiu vyjednávaciu pozíciu pri uzatváraní zmlúv a pri rozhodovaní o zmene poskytovateľa. Pre slovenských poskytovateľov cloudových služieb to znamená povinnosť prispôsobiť zmluvy, technické rozhrania a procesy.
Prístup verejných orgánov k údajom v mimoriadnej situácii (kapitola V)
Kapitola V Data Act stanovuje, kedy môžu verejné orgány požadovať údaje od podnikateľov v mimoriadnej situácii — typicky pri katastrofe, pandémii alebo závažnom kybernetickom incidente. Pravidlá:
- Žiadosť verejného orgánu musí byť nevyhnutná a primeraná.
- Žiadosť musí byť písomná a odôvodnená.
- Údaje sa poskytujú zadarmo v stave mimoriadnej situácie; v ostatných prípadoch s primeranou kompenzáciou.
- Údaje môžu byť použité iba na účel, na ktorý boli žiadané.
- Po vyriešení mimoriadnej situácie sa údaje vrátia alebo zničia.
Pre podnikateľa to znamená povinnosť vyhovieť žiadosti, ale aj právo na preverenie nevyhnutnosti a primeranosti. Pri sporných žiadostiach je možné napadnúť ich pred dohliadacím orgánom.
Interoperabilita a štandardy (kapitola VIII)
Kapitola VIII Data Act vytvára rámec pre interoperabilitu — používanie spoločných štandardov a špecifikácií pre data sharing, smart contracts pri data sharing a cloud služby. Komisia EÚ je oprávnená vydávať vykonávacie akty, ktorými stanoví povinné štandardy. Pre slovenské firmy to znamená sledovanie publikovaných štandardov a postupné prispôsobenie technickej infraštruktúry.
Smart contracts pre data sharing
Data Act ustanovuje povinné esenciálne požiadavky na smart contracts používané pre realizáciu zmlúv o data sharing (čl. 36):
- Robustnosť a kybernetická bezpečnosť,
- Bezpečné ukončenie a prerušenie — možnosť autorizovaného zastavenia,
- Archivácia údajov a smart contract logiky,
- Riadenie prístupu — autorizácia, autentifikácia,
- Konzistencia s podmienkami zmluvy, ktorú smart contract realizuje.
Tieto požiadavky sú relevantné aj pre slovenské krypto projekty využívajúce smart contracts pri data licensing.
Vzťah Data Act k GDPR
Data Act nemení GDPR a aplikuje sa paralelne. Pri údajoch generovaných IoT zariadením, ktoré sú osobnými údajmi, sa aplikujú obe nariadenia:
- Práva používateľa podľa Data Act-u (čl. 4 a 5) sa dopĺňajú s právami dotknutej osoby podľa GDPR (právo na prístup, prenosnosť, vymazanie).
- Pri zdieľaní údajov tretej strane musí byť identifikovaný právny základ podľa čl. 6 GDPR.
- Pri konflikte medzi Data Act a GDPR má GDPR prednosť v rozsahu ochrany osobných údajov (recitál 7 Data Act).
Detail je v sub-hube AI a GDPR.
Vzťah Data Act k AI Act a ostatným predpisom
- AI Act — pri AI systémoch trénovaných na údajoch z IoT zariadení sa aplikujú obe nariadenia.
- Data Governance Act (2022/868) — komplementárny právny rámec pre data sharing services, altruistické zdieľanie údajov a public sector data.
- DSA — pri online platformách spracúvajúcich údaje sa aplikujú obe nariadenia.
- Open Data Directive (2019/1024) — pre verejné údaje.
- NIS2 — kybernetická bezpečnosť cloudových služieb.
- Slovenský zákon č. 215/2002 Z. z. — utajované skutočnosti, ktoré nie sú predmetom Data Act-u.
Praktický postup pre slovenskú firmu
- Mapovanie dát — identifikácia, aké údaje firma generuje (pripojené produkty), získava od partnerov alebo poskytuje partnerom.
- Klasifikácia pozície — kde stojí firma (výrobca IoT, používateľ, dátový sprostredkovateľ, cloud poskytovateľ).
- Audit existujúcich zmlúv — či obsahujú nespravodlivé doložky, ktoré budú po 12. 9. 2025 napadnuteľné, alebo doložky o cloud switching, ktoré sú v rozpore s Data Act.
- Aktualizácia produktov a služieb — accessibility by design pri nových IoT produktoch (po 12. 9. 2026).
- Pripravenie procesov — žiadosti používateľov o prístup k údajom, žiadosti o sprístupnenie tretím stranám, žiadosti verejných orgánov v mimoriadnej situácii.
- Vendor management — pri použití cloud služieb tretích strán zabezpečenie compliance s Data Act-om (switching, interoperabilita).
- Koordinácia s GDPR — DPIA pri spracúvaní osobných údajov z IoT zariadení (viď AI a GDPR).
Náš prístup k Data Act
- Data Act audit — mapovanie dátového ekosystému klienta, identifikácia povinností a rizík.
- Zmluvné nástroje — vzorové zmluvy o data sharing podľa FRAND princípov, klauzuly o cloud switching, B2B data sharing agreements.
- Pripojené produkty — preverenie compliance s accessibility by design, informačnou povinnosťou a sprístupnením údajov.
- Cloud kontrakty — audit a renegotiácia zmlúv s cloudovými poskytovateľmi, prípadne uplatnenie nárokov pri unfair clauses.
- Mimoriadne situácie — postup pri žiadosti verejného orgánu o údaje.
- Koordinácia s ostatnými AI a dátovými predpismi — AI Act, GDPR, DSA, AI governance vo firme.
Cenovú ponuku pripravujeme individuálne podľa veľkosti firmy a rozsahu dátového ekosystému. Pre úvodné posúdenie zámeru je k dispozícii platená vstupná konzultácia s advokátom.
Často kladené otázky
Čo upravuje Data Act?
Nariadenie (EÚ) 2023/2854 (Data Act) upravuje prístup k dátam generovaným pripojeným zariadeniami (IoT — Internet of Things), B2B a B2C zdielanie dát, prechod medzi cloudovými poskytovateľmi (cloud switching), interoperabilitu dátových priestorov a zákazy nespravodlivých zmluvných podmienok pri zdielaní dát. Cieľom je zvýšiť dostupnosť dát pre inováciu a férovú konkurenciu na európskom trhu dát.
Od kedy je Data Act účinný?
Data Act bol prijatý 13. decembra 2023 a väčšina ustanovení sa uplatňuje od 12. septembra 2025. Pre niektoré špecifické povinnosti (najmä týkajúce sa nových IoT produktov uvedených na trh) platia dlhšie prechodné obdobia podľa čl. 50. Členské štáty mali harmonizovať národnú legislatívu vrátane určenia príslušných orgánov dohľadu.
Aké povinnosti má výrobca IoT zariadenia?
Výrobca pripojeného produktu (IoT zariadenia) musí podľa Data Act: (1) navrhnúť produkt tak, aby používateľ mal default prístup k dátam, ktoré produkt generuje (data access by design); (2) informovať používateľa pred kúpou o type, formáte a objeme dát; (3) zabezpečiť prístup k dátam vo formáte a kvalite primeranej účelu; (4) poskytnúť dáta používateľovi alebo tretej strane na pokyn používateľa; (5) chrániť obchodné tajomstvo pri zdielaní.
Mám právo na výmenu cloudového poskytovateľa?
Áno. Data Act stanovuje právo zákazníka cloudových služieb prejsť k inému poskytovateľovi alebo on-premise riešeniu — cloud switching. Poskytovateľ cloudu musí: (1) odstrániť obchodné, ekonomické a zmluvné bariéry; (2) umožniť výmenu v rozumnej lehote (typicky 30 dní); (3) zabezpečiť funkčnú ekvivalenciu a interoperabilitu; (4) postupne znižovať switching poplatky a od 2027 ich úplne odstrániť. Cieľom je eliminovať vendor lock-in.
Aké zmluvné podmienky sú podľa Data Act nespravodlivé?
Data Act v čl. 13 stanovuje neplatnosť nespravodlivých zmluvných podmienok medzi podnikateľmi pri zdielaní dát, ak sú stanovené unilaterálne silnejšou stranou. Príklady: vylúčenie zodpovednosti za úmyselné konanie alebo hrubú nedbanlivosť, právo silnejšej strany jednostranne meniť podmienky bez objektívneho dôvodu, nemožnosť ukončiť zmluvu v primeranej lehote, neoprávnené sankcie za výkon zákonných práv. Test sa robí podľa štandardov dobrej viery a férovosti.
Vzťahuje sa Data Act aj na malé firmy?
Áno, ale s úľavami. Data Act sa vo všeobecnosti aplikuje na všetky podnikateľské subjekty, ale obsahuje primerané výnimky pre mikropodniky a malé podniky (podľa odporúčania Komisie 2003/361/ES). Napríklad povinnosti výrobcu IoT zariadenia týkajúce sa data access by design sa neuplatňujú v plnom rozsahu na produkty mikropodnikov a malých podnikov. Konkrétne výnimky závisia od typu povinnosti a charakteru činnosti.
Vyžiadajte si cenovú ponuku
Stačia 3 údaje — IČO, e-mail, telefón. Cenovú kalkuláciu, zoznam podkladov a návrh dohody pošleme do 1 pracovného dňa. Bezplatne a nezáväzne.
Vyžiadať ponuku →Obsah má informatívny charakter, nezakladá záväzné právne stanovisko a nenahrádza individuálnu konzultáciu. Konkrétny rozsah povinností podľa Data Act závisí od typu IoT zariadenia, charakteru cloudovej služby a vzťahov medzi účastníkmi data sharing reťazca.