Předmětem tohoto článku je nové evropské nařízení o datech a jeho vztah k obecnému nařízení o ochraně osobních údajů. Nařízení o datech je novým datovým předpisem Evropské unie a přináší nová pravidla ve vztahu k B2B, B2C i B2G sdílení dat. Jedná se přitom o značně komplexní předpis, který se často bude aplikovat současně s obecným nařízením o ochraně osobních údajů. Tento článek se zaměřuje na případy, kdy bude docházet k paralelní aplikaci obou předpisů, a snaží se identifikovat nedostatky této právní úpravy.

Data Act[1] (česky „nařízení o datech“) je jedním z nových evropských digitálních předpisů. Jeho cílem je poskytnutí právního rámce pro efektivnější sdílení dat a přístupu k nim v EU. Jedná se přitom o asi nejkomplexnější digitální nařízení. Přestože je předpis nejvíce spojován se sdílením dat v rámci tzv. připojených výrobků (IoT), jeho působnost je mnohem širší. Data Act je horizontálním právním předpisem, který upravuje pravidla pro určité případy sdílení dat v rámci B2B, B2C i B2G bez ohledu na to, zda se jedná o připojené výrobky. Předpis také zavádí nové povinnosti pro poskytovatele cloud computingu. Jedná se tak o značně rozsáhlý předpis. O jeho komplexnosti svědčí také to, že k němu Evropská komise vydala v uplynulém roce již několikrát aktualizované FAQ, ve kterém se snaží poskytnout výkladová vodítka k novým povinnostem i terminologii.[2]

Tento článek se zaměřuje na vztah nařízení o datech a obecného nařízení o ochraně osobních údajů (GDPR). Ustanovení Data Act se totiž aplikují jak v případě sdílení neosobních údajů, tak velmi často i v případě údajů osobních. Celá řada případů sdílení dat podle Data Act se tak nevyhnutelně osobních údajů dotýkat bude. Přestože Data Act přináší celou řadu nových práv a povinností v oblasti sdílení dat, není možné jej považovat na nový právní titul pro sdílení osobních údajů.[3] Cílem tohoto článku je provést analýzu tohoto předpisu v kontextu zpracování osobních údajů a identifikovat mezery a budoucí interpretační problémy. Cílem článku naopak není seznámit čtenáře s veškerými novými právy a povinnostmi, které Data Act přináší.

Data, osobní údaje, neosobní údaje a další 

Data Act přichází s rozsáhlou klasifikací nejrůznějších druhů dat. Kromě pojmu data,[4] osobní a neosobní údaje rozšiřuje terminologii také o pojmy jako data z výrobků,[5] data ze související služby,[6] snadno dostupná data[7] nebo metadata.[8] Poslední čtyři zmíněné „kategorie“ dat pak mohou být jak osobními, tak neosobními údaji.

Jako je pro aplikaci GDPR stěžejním pojmem osobní údaj, pro Data Act se jedná o pojem „data“. Velká část ustanovení je totiž navázaná právě obecně na pojem data, nikoliv např. pouze na osobní či neosobní údaje. V textu samotného předpisu je tak uvedena často pouze povinnost „zpřístupnit data“, „využít data“ či „sdílet data“. Tento pojem je v předpise přitom velmi široce definován. Dle čl. 2 odst. 1 se jedná o „veškeré digitální záznamy jednání, skutečností nebo informací a všechny soubory takových jednání, skutečností nebo informací, včetně záznamů v podobě zvukové, vizuální nebo audiovizuální nahrávky“. Tzn., že daty mohou být jak osobní, tak neosobní údaje, ale třeba také autorskoprávně chráněná díla. V zásadě cokoliv v digitální podobě je tak dle Data Act nejspíše možné považovat za data, a může tak spustit jeho aplikaci. Jedinou hranicí je zde pak pouze působnost jednotlivých kapitol. Např. kapitola III se sice vztahuje na veškerá data, nicméně je zde věcné a časové omezení. Za prvé se musí jednat o data soukromého sektoru. Za druhé se na tato data navíc musí vztahovat povinnost jejich zpřístupnění na základě předpisu, který vstoupil v platnost až po 12. 9. 2025. Prakticky se tedy působnost kapitoly III omezí pouze na data sdílená na základě čl. 5 Data Act a pouze v rámci soukromého sektoru.

Výše uvedená terminologie ovšem aplikaci předpisu ještě dále komplikuje. Jak bylo zmíněno výše, některá ustanovení se vztahují na data obecně. Jiná ovšem pouze na konkrétní „kategorii“ dat. Příkladem mohou být ustanovení, která se týkají pouze dat z připojených výrobků, příp. kapitola VII, která se vztahuje pouze na neosobní údaje. V případě tzv. dat z připojených výrobků se pak nejedná o jakákoliv data, ale naopak o nezpracovaná data, která vznikla používáním připojeného výrobku, tedy např. data o prostředí snímaná senzorem.[9] Pro celou řadu ustanovení si tedy adresáti budou muset pečlivě vyhodnotit, zda data, která zpracovávají, naplňují některou z konkrétních kategorií.

Vztah Data Act a GDPR 

Jak již bylo zmíněno, samotný Data Act nemá představovat nový právní základ pro sdílení osobních údajů. GDPR je tak stále primárním předpisem v případě zpracování osobních údajů, ke kterému bude docházet na základě nařízení o datech.[10] Dle čl. 1 odst. 5 tohoto nařízení mají pak veškeré předpisy o ochraně osobních údajů nebo soukromí přednost. Data Act je tak nutné vnímat pouze jako doplňující předpis. Problémem je, že Data Act se bude aplikovat v celé řadě situací, kdy předmětem sdílení či zpřístupnění budou data, která jsou osobními údaji. Vzniká tady tudíž určitá dua­lita a prostor pro rozpor mezi GDPR a nařízením o datech – na jednu stranu je cílem, aby docházelo k bezproblémovému sdílení dat v rámci EU. Na druhou stranu takové sdílení nesmí ohrozit již existující ochranu osobních údajů.[11] Pokud by tedy došlo k tomu, že sdílení dat na základě nařízení o datech bude mít negativní vliv na právo na ochranu osobních údajů, nemělo by k takovému sdílení dojít. Je otázkou, do jaké míry bude GDPR v praxi takovému sdílení bránit a zda nařízení o datech skutečně přinese efektivnější sdílení dat.

Data Act často zavádí rozdílná pravidla ve vztahu k osobním a neosobním údajům. Příkladem můžou být např. pravidla pro zpřístupnění dat subjektům veřejného sektoru. Dle čl. 18 odst. 4 nařízení o datech má držitel dat povinnost anonymizovat nebo pseudonymizovat data, která od si něj vyžádal subjekt veřejného sektoru, pokud taková data obsahují osobní údaje.

Obdobně čl. 5 zavádí povinnost pro držitele dat zpřístupnit snadno dostupná data třetí straně na základě žádosti uživatele. Představme si např. situaci, kdy uživatel automobilu (který bude připojeným výrobkem) bude požadovat po výrobci tohoto automobilu (v postavení držitele dat), aby taková data zpřístupnil třetí straně (třeba za účelem opravy automobilu). Pokud tento uživatel ovšem není současně subjektem údajů, je zde nutný právní základ pro sdílení takových dat dle GDPR.[12] Adresáti tedy budou muset vždy nejprve začít právě s kategorizací dat na osobní a ne­osobní údaje. To ovšem v praxi nebude zcela jednoduché hned ze dvou důvodů:

• Za prvé, v Data Act není uvedeno, z pohledu které osoby se má jednat o osobní či neosobní údaje. Jak vyplývá z nedávné judikatury SD EU, k určení toho, zda jsou určitá data osobními údaji, je třeba přistupovat na základě relativního přístupu.[13] Vždy bude tedy záležet na tom, zda daný subjekt bude mít k dispozici prostředky, u kterých lze rozumně předpokládat, že umožní identifikaci dotčených osob.[14] Pokud se tedy zaměříme na první výše zmíněnou situaci týkající se B2G předávání dat, bude nutné zodpovědět otázku, z pohledu kterého subjektu se má jednat o osobní údaje. Vzhledem k účelu ustanovení se dá argumentovat, že pouze pokud by se jednalo o osobní údaje z pohledu subjektu veřejného sektoru, tak je nutná jejich anonymizace či pseudonymizace. Držitel dat by zde tedy musel zkoumat, zda má tento veřejný subjekt rozumné prostředky k identifikaci dotčených osob. Dle Soudního dvora nicméně může dojít také k situaci, kdy se z neosobních údajů stanou údaje osobní, pokud jsou takové údaje předány subjektu, který disponuje prostředky k identifikaci.[15] V praxi ale může dojít také k situaci, kdy se z pohledu držitele dat nebude jednat o osobní údaje. Držitel dat by měl tedy vždy zkoumat, zda i zdánlivě neosobní údaje náhodou nemohou v rukou veřejného subjektu nabýt osobní povahy. Z pohledu GDPR by pak v souladu s rozhodnutím ve věci EDPS v. SRB mělo dojít pouze ke splnění povinnosti transparentnosti, která bude existovat paralelně vedle povinnosti data předat.[16]
• Za druhé, z textace Data Act často vůbec nevyplývá, který ze subjektů (uživatel, třetí strana či držitel dat) má v případě předání dat splnit povinnosti vyplývající z GDPR.[17] Např. v souvislosti s výše zmíněným čl. 5 není zcela jasné, zda právní titul dle GDPR má mít uživatel, příjemce či držitel dat.[18] Z kontextu nařízení lze dle mého názoru odvodit, že tento právní titul by měl mít uživatel. Jedná se totiž o opačnou situaci, než když uživatel je subjektem osobních údajů a pouze vykonává své právo dle čl. 15 GDPR. Zároveň, jak je rozebíráno níže, se může stát, že některá ze stran bude vystupovat v postavení zpracovatele, což bude mít vliv na rozsah jejích povinností dle GDPR.

Současně se domnívám, že právní titul by měly mít v zásadě všechny tři subjekty,[19] neboť na straně všech těchto tří subjektů bude docházet ke zpracování osobních údajů. Klíčovou otázkou je, zda se držitel dat může dovolávat plnění právní povinnosti podle čl. 6 odst. 1 písm. c) GDPR jako právního základu, pokud Data Act nemá sám o sobě představovat nový právní titul. Z recitálu 7 vyplývá, že úmyslem zákonodárce nebylo, aby čl. 5 fungoval jako právní základ pro držitele dat. Současně ale recitál přímo uvádí, že nařízení držitelům dat ukládá povinnost v určitých případech data včetně osobních údajů sdílet. Komise ve svém FAQ k Data Act zaujímá stanovisko, že Data Act nemá pro držitele dat představovat právní základ ve smyslu čl. 6 písm. c) GDPR – tedy plnění právní povinnosti.[20] Držiteli dat přitom ale na základě čl. 5 vzniká povinnost data včetně osobních údajů předat třetí straně. Tím vzniká paradoxní situace, kdy na jednu stranu má držitel dat dle Data Act povinnost data poskytnout, ale nemůže jej použít jako právní základ pro zpracování osobních údajů.

Domnívám se, že výklad Komise není správný. Za prvé, textace čl. 5 ukládá povinnost zpřístupnit data třetí straně na žádost uživatele. Za druhé, samotný recitál 7, na který se Komise odkazuje, toto stanovisko výslovně nepodporuje. Recitál sice uvádí, že Data Act nemá být právním základem pro držitele dat, nicméně současně konstatuje, že držitel dat může osobní údaje zpracovávat na základě „kteréhokoli z právních základů uvedených v článku 6“.[21]

V případě, že by držitel dat nemohl spoléhat na plnění právní povinnosti, se dá alternativně uvažovat o aplikaci oprávněného zájmu držitele dat. Naopak v praxi nejspíše nebude docházet k tomu, že by držitel dat plnil smlouvu se subjekty údajů (tu bude mít uzavřenou spíše uživatel), příp. že by mohl získat souhlasy těchto subjektů údajů.

Čl. 5 otevírá i otázku postavení všech subjektů z pohledu GDPR. Nabízí se, že pokud uživatel nebude současně subjektem údajů, bude v postavení správce, neboť je to právě on, kdo na základě svých práv vyplývajících z nařízení o datech rozhoduje o účelu a prostředcích zpracování. Otázkou zůstává, jaká bude role držitele a příjemce. Domnívám se, že bude vždy záležet na konkrétní situaci a bude se moci jednat o zpracovatele, samostatného správce, či v některých případech dokonce i o společné správce. Je tedy potřeba pamatovat na to, že samotné splnění požadavků čl. 5 nařízení o datech nevylučuje, že zde budou existovat i paralelní povinnosti a pravidla dle GDPR. Pokud bude držitel dat nebo příjemce vystupovat v postavení zpracovatele, bude nutné uzavřít dohodu o zpracování osobních údajů. Zároveň pro zpracovatele odpadá otázka, na základě jakého právního titulu zpracovává osobní údaje.

Data Act a spolupráce mezi dozorovými orgány 

S rostoucím množstvím digitálních předpisů se otevírá také problematika jejich vymáhání. Většina těchto předpisů, včetně nařízení o datech, totiž předpokládá vznik nového dozorového orgánu. To s sebou bohužel nutně nese nejasnosti ohledně budoucího rozdělení pravomocí mezi různými orgány a obavy, že prostá zásada loajální spolupráce nebude dostatečná pro správné a efektivní fungování těchto orgánů.[22] Současně se objevují názory, že vznik nových dozorových orgánů může v budoucnu oslabit právě postavení národních úřadů pro ochranu osobních údajů, neboť tyto nové orgány mohou mít v rámci působnosti i případy, které nevyhnutelně souvisí se zpracováním osobních údajů.[23]

Jako většina nových digitálních předpisů, i Data Act předpokládá vytvoření nového dozorového orgánu – tzv. datového koordinátora.[24] Úkolem datových koordinátorů pak bude uplatňování a vymáhání tohoto předpisu. Dle návrhu zákona o digitální ekonomice by měl v České republice tuto roli zastávat Český telekomunikační úřad.[25] Orgány dozoru ale budou také Úřad pro ochranu osobních údajů a Digitální a informační agentura.[26] Vzhledem k tomu, že se nařízení o datech vztahuje jak na osobní, tak neosobní údaje, je otázkou, do jaké míry bude práce datových koordinátorů provázána s národními úřady pro ochranu osobních údajů. Z textace nařízení není totiž zcela jasné, jak mají být pravomoci rozděleny právě mezi datové koordinátory a národní úřady pro ochranu osobních údajů. Již v minulosti právě před nejasně definovanými úkoly a pravomocemi dozorových orgánů v rámci Data Act varoval Evropský sbor společně s Evropským inspektorem ochrany osobních údajů.[27]

Dle čl. 37 odst. 3 nařízení o datech v případě ochrany osobních údajů „odpovídají za monitorování uplatňování tohoto nařízení dozorové úřady odpovědné za monitorování uplatňování nařízení (EU) 2016/679“. Národní úřady pro ochranu osobních údajů by tak měly např. mít možnost posuzovat, zda existoval právní základ dle GDPR pro transfer osobních údajů dle nařízení o datech.[28] Otázkou je, do jaké míry výše uvedená textace znamená, že národní úřady pro ochranu osobních údajů mají kompetence i přímo v oblasti vymáhání nařízení o datech. Samotný text totiž jasně mluví o monitorování uplatnění tohoto nařízení, tedy Data Act. Komise k čl. 37 odst. 3 navíc uvádí, že by se díky němu nemělo stávat, že se subjekt údajů musí obrátit na dva rozdílné orgány.[29] Bohužel už neuvádí, který z těchto dvou či více orgánů má být ten jediný příslušný. Z kontextu se dá nicméně odvodit, že jím bude právě Úřad pro ochranu osobních údajů.

Textace recitálu 107 ovšem nabízí trochu jinou interpretaci. Tento recitál totiž uvádí, že naopak by orgány odpovědné za dodržování ochrany osobních údajů měly odpovídat za dodržování nařízení o datech pouze „v oblastech své působnosti“. Ze samotného nařízení není tedy zcela možné jasně vyčíst, kde končí vymáhání práv z GDPR a kde začíná vymáhání práv dle Data Act. Zároveň pokud by působnost dozorových orgánů odpovědných za ochranu osobních údajů měla být dána tím, zda se jedná o ochranu osobních údajů, vzniknou tím v praxi další komplikace. Každý případ bude totiž začínat posouzením toho, zda v konkrétním případě dochází ke zpracování osobních údajů.

Je na každém členském státě, aby si zvolil, který dozorový orgán bude příslušný k vymáhání Data Act. Je jasné, že v případech těch členských států, které si zvolí svůj národní úřad pro ochranu osobních údajů, příliš komplikací vznikat nebude. Opačné to bude v případě, kdy takových orgánů bude více. Přestože čl. 37 by měl teoreticky vést k tomu, že se jednotlivci nebudou muset domáhat svých práv u dvou dozorových orgánů, vzhledem k nejasnostem k tomu nejspíše bude stejně docházet. Český návrh adaptačního zákona s výkladem taktéž příliš nepomáhá. Úřad pro ochranu osobních údajů má vykonávat dle návrhu dozor nad čl. 6 odst. 2 písm. b) a nad čl. 18 odst. 4 nařízení o datech.[30] Tím jsou na jednu stranu pevně vymezeny hranice jeho pravomocí. Na druhou stranu ovšem zůstává otevřené, zda se k tomu paralelně uplatní také textace čl. 37 odst. 3. Nedá se tak vyloučit, že v případě udělení pokuty jedním či druhým úřadem se nepokusí v budoucnu někdo bránit tím, že pokutu udělil orgán, který k tomu neměl pravomoc.

Evropská komise zde sice předvídá, že bude docházet ke spolupráci mezi takovými orgány,[31] neexistuje ovšem žádný mechanismus, který by tuto spolupráci upravoval nebo který by např. řešil případy, kdy taková spolupráce nebude ze strany jednoho či druhého orgánu poskytnuta.[32] Bude tedy na členských státech, aby zajistily, že kompetence obou orgánů budou jasně vymezeny a že bude zajištěna dostatečná možnost vzájemné spolupráce, včetně konkrétních pravidel takové spolupráce. Bude zajímavé sledovat, jak se s tímto popasují jednotlivé členské státy v rámci implementace nařízení.

Jak už bylo zmíněno, tento problém zároveň nevzniká pouze v případě těchto dvou předpisů, ale objevuje se v souvislosti s většinou nových digitálních předpisů. Obdobně jako Data Act totiž vytvoření nových dozorových orgánů vyžaduje také např. nařízení o digitálních službách nebo akt o umělé inteligenci. Oba tyto předpisy přitom taktéž budou v praxi narážet na případy, kdy bude docházet ke zpracování osobních údajů. Není ani vyloučeno, že budou existovat případy, kdy bude určitá situace spadat jak do působnosti Data Act a GDPR, tak současně i do působnosti aktu o umělé inteligenci. Do budoucna se tedy ukáže, do jaké míry bude realizovatelná povinnost spolupráce, kterou předpokládají nejenom tyto předpisy a Evropská komise, ale která rovněž vyplývá z rozhodnutí SD EU ve věci Meta Platforms.[33] Pozitivní je nicméně to, že kromě Data Act bude mít Český telekomunikační úřad pravomoc také pro vymáhání nařízení o digitálních službách a aktu o umělé inteligenci. Nebude tedy docházet k dalšímu štěpení pravomocí mezi několik úřadů.

Závěr 

Předmětem tohoto článku byl vztah nařízení o datech a GDPR. Článek se pak zaměřil na konkrétní případy, kdy bude docházet k současné aplikaci obou předpisů a u kterých dochází k interpretačním problémům. Jedná se zejména o povinnost sdílet data včetně osobních údajů na základě Data Act, o postavení jednotlivých aktérů (uživatele, držitele dat, příjemce) z pohledu rolí definovaných v GDPR a o mechanismus koordinace mezi dozorovými orgány – datovými koordinátory a národními úřady pro ochranu osobních údajů. Z provedené analýzy vyplývá celá řada nedostatků nařízení o datech.

Vzhledem k tomu, že se jedná o nový předpis s širokou působností a zcela novou terminologií, není v současné době zcela jasné, kdy a jakým způsobem má být nařízení o datech aplikováno. Data Act předpokládá celou řadu situací, kdy bude docházet ke sdílení a předávání dat, včetně osobních údajů, a zavádí v tomto směru nová práva a povinnosti. Pro adresáty ale bude v prvních letech pravděpodobně nejasné, zda se na ně předpis vůbec vztahuje, či nikoliv. Dokud tedy nezačnou vznikat podrobnější vodítka a nevytvoří se praxe nových dozorových orgánů, bude nutné k předpisu přistupovat obezřetně.

Při jakémkoliv sdílení dat na základě Data Act, jehož předmětem budou také osobní údaje, je nutné paralelně splnit i všechny požadavky GDPR – identifikovat právní základy pro všechny zúčastněné strany, určit jejich role (správce, zpracovatel, společní správci), příp. uzavřít smlouvy o zpracování osobních údajů a zajistit transparentnost vůči subjektům údajů. V případě pochybností o kompetenci dozorového orgánu může být vhodné obrátit se na více orgánů současně. Otázkou je, kdy se v ČR dočkáme schváleného adaptačního zákona, který určí datového koordinátora. Pokud se bude opakovat scénář s adaptací nařízení o digitálních službách, je možné, že to potrvá ještě nějakou dobu.

 

JUDr. Jana Vorlíček Soukupová, Ph.D., působí jako advokátní koncipientka a jako lektorka v Centru práva, technologií a digitalizace PF UK v Praze.

 

Ilustrační foto: Pixabay.com

---

[1] Nařízení Evropského parlamentu a Rady (EU) č. 2023/285 ze dne 13. prosince 2023 o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání a o změně nařízení (EU) 2017/2394 a směrnice (EU) 2020/1828 (nařízení o datech), Úř. věst. L 2023/2854, 22. 12. 2023.

[2] Evropská komise: Frequently Asked Questions – Data Act. Verze 1.3., 12. 9. 2025.

[3] Viz recitál 7 Data Act.

[4] Dle čl. 2 odst. 1 Data Act se jedná o „veškeré digitální záznamy jednání, skutečností nebo informací a všechny soubory takových jednání, skutečností nebo informací, včetně záznamů v podobě zvukové, vizuální nebo audiovizuální nahrávky“.

[5] Podle čl. 2 odst. 15 jde o „data vytvořená používáním připojeného výrobku, která výrobce navrhl tak, aby je uživatel, držitel dat nebo třetí strana, případně včetně výrobce, mohli z výrobku získat prostřednictvím služby elektronických komunikací, fyzickým připojením nebo přístupem na zařízení“.

[6] Čl. 2 odst. 16: „data představující digitalizaci činností uživatelů nebo událostí souvisejících s připojeným výrobkem, která jsou zaznamenána úmyslně uživatelem nebo jsou vytvořena jako vedlejší produkt činnosti uživatele během poskytování související služby poskytovatelem“.

[7] Čl. 2 odst. 17: „data z výrobků a data ze související služby, která držitel dat oprávněně získá nebo může oprávněně získat z připojeného výrobku nebo související služby bez nepřiměřeného úsilí přesahujícího rámec jednoduché operace“.

[8] Dle čl. 2 odst. 2 jsou metadaty „strukturovaný popis obsahu nebo používání dat usnadňující vyhledávání nebo používání těchto dat“.

[9] Recitál 15 Data Act.

[10] Evropská komise: Frequently Asked Questions – Data Act. Verze 1.3., 12. 9. 2025, str. 4.

[11] Srov. P. T. J. Wolters: The Influence of the Data Act on the Shifting Balance between Data Protection and the Free Movement of Data, European Journal of Law and Technology č. 2/2024.

[12] Čl. 5 odst. 7 Data Act.

[13] Rozsudek Soudního dvora EU ze dne 4. 9. 2025, C-413/23 P (EDPS v. SRB).

[14] Tamtéž, bod 84, 86.

[15] Tamtéž, bod 84.

[16] Rozsudek Soudního dvora EU ze dne 4. 9. 2025, C-413/23 P (EDPS v. SRB), bod 110-112.

[17] Srov. op. cit. sub 11.

[18] Tamtéž.

[19] Resp. dva, pokud je uživatel subjektem údajů.

[20] Evropská komise: Frequently Asked Questions – Data Act. Verze 1.3., 12. 9. 2025, str. 23.

[21] Recitál 7 Data Act.

[22] S. Demková, G. de Gregorio: The Looming Enforcement Crisis in European Digital Policy A rule-of-law centered path forward, 10. 2. 2025, dostupné z: https://verfassungsblog.de/the-looming-enforcement-crisis-ai-dsa-eu/.

[23] P. Hajduk, P. de Hert: EU cross-regime enforcement, redundancy and interdependence. Addressing overlap of enforcement structures in the digital sphere after Meta, Technology and Regulation č. 2024, str. 301.

[24] Čl. 37 Data Act.

[25] Návrh zákona, kterým se mění zákon č. …/2025 Sb., o digitální ekonomice a o změně některých souvisejících zákonů, zákon č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů, a zákon č. 634/2004 Sb., o správních poplatcích, ve znění pozdějších předpisů, § 23a odst. 2.

[26] Tamtéž, § 27a.

[27] EDPB a EDPS: Společné stanovisko 2/2022 Evropského sboru pro ochranu osobních údajů (EDPB) a Evropského inspektora ochrany údajů (EIOÚ) k návrhu Evropského parlamentu a Rady o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání (akt o datech), 4. 5. 2022, dostupné z: https://www.edpb.europa.eu/system/files/2023-03/edpb-edps_jointopinion_2022-02_data_act_proposal_cs.pdf, str. 24-26.

[28] Evropská komise: Frequently Asked Questions – Data Act. Verze 1.3., 12. 9. 2025, str. 4.

[29] Tamtéž.

[30] Op. cit. sub 25, § 27a odst. 2.

[31] Tamtéž.

[32] Op. cit. sub 23, str. 304.

[33] Rozsudek SD EU ze dne 4. 7. 2023, C-757/22 (Meta Platforms).