Povinnosti IoT podle Nařízení o datech: Na co si dát pozor u chytrých zařízení

Týká se vás Nařízení o datech? O tom, na koho se budou od září 2025 vztahovat nové povinnosti, jsme již částečně psali tady. I když třeba neposkytujete služby zpracování dat, může se vás Nařízení o datech stále týkat.

Proč?

Nařízení o datech totiž upravuje zejména dvě velké oblasti:

• povinnosti spojené se službami zpracování dat

• povinnosti osob v oblasti připojených výrobků, zjednodušeně IoT (neboli Internet of Things)

Co je připojený výrobek? Jsou to například všechna zařízení chytré domácnosti, chytré hodinky, Oura Ring a podobné produkty. Tato zařízení automaticky generují data o svém používání a Nařízení o datech řeší, jak se s těmito daty nakládá.

Koho se nové povinnosti IoT týkají?

Povinnosti podle Nařízení o datech dopadají na všechny, jejichž podnikání se točí kolem chytrých zařízení, zejména:

• Výrobce – například výrobce chytrých termostatů

• Prodejce – například e-shopy s chytrými spotřebiči

• Pronajímatele – například firmy půjčující chytré elektrokoloběžky

• Poskytovatele leasingu – například společnosti nabízející leasing osobních vozidel s vestavěnými telematickými jednotkami (které sbírají data o spotřebě paliva, trase vozidla, stylu jízdy řidiče atd.)

• Poskytovatele souvisejících služeb – například vývojáře aplikací pro ovládání chytrého osvětlení

Související službou je taková služba (s výjimkou služeb elektronických komunikací), bez které by připojený výrobek nemohl plnit jednu nebo více jeho funkcí, např. aplikace pro vzdálené ovládání.

Výjimky z povinností

Na rozdíl od poskytovatelů služeb zpracování dat, u IoT na velikosti záleží! Nařízení o datech ohledně IoT neukládá povinnosti mikropodnikům nebo malým podnikům. Ani středně velké podniky nemusí úplně věšet hlavu – první rok od uvedení výrobku na trh se na ně Nařízení o datech nevztahuje. Povinnosti se nevztahují ani na prototypy připojených výrobků podniků všech velikostí.

Kdo je mikropodnik, malý a střední podnik?

Mikropodnik = méně než 10 zaměstnanců a roční obrat/bilanční suma menší než 2 miliony EUR
Malý podnik = méně než 50 zaměstnanců a roční obrat/bilanční suma menší než 10 milionů EUR
Střední podnik = méně než 250 zaměstnanců, roční obrat menší než 50 milionů EUR a bilanční suma menší než 43 milionů EUR

Jaké povinnosti musí tyto osoby plnit?

Výše uvedené osoby budou muset umožnit zpřístupnění dat z připojených výrobků a souvisejících služeb uživatelům a v odůvodněných případech i jiným osobám.

Konkrétní povinnosti v oblasti IoT zahrnují:

1. Transparentnost a informace

• Výrobek a související služby musí být navrženy tak, aby uživatelé měli jednoduchý a přehledný přístup ke svým datům

• Jasné informování zákazníků o přístupu k datům před podpisem smlouvy

• Zákaz nepřiměřených podmínek ve smlouvách

2. Zajištění práv uživatelů

• Snadný přístup k vlastním datům

• Spravedlivé, přiměřené, nediskriminační a transparentní podmínky sdílení dat

• Zákaz ztěžování volby (např. volby toho, zda si uživatel nechá data zpřístupnit, jak s nimi bude dále nakládat atd.) nebo výkonu práv uživatelů

• Stanovení kompenzace za zpřístupnění dat nediskriminačním, přiměřeným a transparentním způsobem, která může zahrnovat marži

Pokud výrobce chytrého prstenu (např. Oura Ring) na žádost uživatele zpřístupní data o spánkových cyklech nebo srdečním tepu poskytovateli zdravotních služeb nebo fitness aplikaci, může za toto zpřístupnění požadovat přiměřenou finanční kompenzaci. Výrobce v takovém případě musí uživateli jasně vysvětlit, jak byla výše kompenzace vypočítána, a zajistit, že nebude obsahovat nepřiměřenou marži, která by mohla uživatele a třetí strany odrazovat od zpřístupnění dat.

3. Ochrana dat

• Zákaz vyžadování a uchovávání informací uživatele nad rámec nezbytnosti

• Zpřístupnění dat uživatelů jiným osobám jen na základě platného právního základu pro zpracování osobních údajů či na žádost uživatele

• Žádosti veřejných orgánů o zpřístupnění dat založené na platném právním základu mohou být osobami disponujícími požadovanými daty odmítnuty jen ze zákonného důvodu

• Prevence neoprávněného přístupu

• Přijetí nezbytných opatření k ochraně dat uživatele vč. jeho obchodních tajemství

• Zákaz zpřístupnění či používání neosobních dat pro jiný účel, než je plnění smlouvy s uživatelem

4. Technické a administrativní požadavky

• Plnit základní požadavky pro usnadnění interoperability dat, mechanismů a služeb sdílení dat a společných evropských datových prostorů

• Určit svého právního zástupce, na něhož se budou obracet příslušné orgány

Praktický příklad s chytrou lednicí

Představte si chytrou lednici, která sleduje spotřebu potravin. Její výrobce nově od účinnosti Nařízení o datech musí:

• srozumitelně vysvětlit zákazníkům, jaká data lednice sbírá

• umožnit uživateli přístup k těmto datům (např. přes aplikaci)

• neužívat data bez souhlasu uživatele či jiného právního důvodu (např. k analýze nákupních zvyků)

Co to znamená pro firmy?

Doporučujeme začít s přípravou už nyní. Zkontrolujte své procesy a dokumentaci, abyste od září 2025 byli připraveni.