Nový Data Act: Co čeká poskytovatele cloudových služeb od září 2025?

Evropská komise opět přichází s novou regulací. Po loňském Digital Services Act, který řešil nezákonný obsah na internetu, přichází na řadu Data Act. A tentokrát míří přímo na poskytovatele cloudových služeb.

Pojďme si vysvětlit, co to pro vás znamená

V září 2025 se stane závazným přímo účinné Nařízení o datech = Data Act, jehož velká část se věnuje výrobkům a službám využívajícím IoT a souvisejícím povinnostem zpřístupnit data z IoT výrobků jejich uživatelům a třetím osobám. Vedle toho ovšem Nařízení o datech stanoví řadu nových povinností také poskytovatelům tzv. služeb zpracování dat.

Pod tímto pojmem se neskrývá nic jiného než cloudové služby, což vyplývá z použité definice, která zahrnuje některé typické znaky cloud computingu známe např. z normy ISO/IEC 22123:2023, jako je „síťový přístup“, „přizpůsobitelné výpočetní zdroje“ a jejich „distribuovaná povaha“.

Samotné Nařízení o datech potom v preambuli jako příklady služeb, na které se má vztahovat, uvádí běžně užívané modely IaaS, PaaS a SaaS, a některé další jako Storage-as-a-Service, Database-as-a-Service a edge computing.

Koho se nová regulace týká?

Zbystřit by tedy měli všichni poskytovatelé cloudových služeb včetně těch, kteří zákazníkům zpřístupňují svůj software jako službu (model SaaS). Na rozdíl od právě se rodícího zákona o kybernetické bezpečnosti, jehož přímých dopadů budou ušetřeny alespoň malé podniky, nařízení o datech zasáhne všechny poskytovatele služeb zpracování dat bez ohledu na jejich velikost.

Nezáleží na tom, jestli:

• Jste malá firma s méně než 50 zaměstnanci

• Poskytujete služby zdarma

• Nabízíte IaaS, PaaS nebo SaaS

• Sídlíte mimo EU (pokud máte zákazníky v EU)

Z hlediska časového je potřeba všechny povinnosti týkající se služeb zpracování dat splnit hned od 12. září 2025, žádné přechodné období nebylo stanoveno.

Jaké povinnosti tedy budou poskytovatelé cloudových služeb muset splnit?

Celým nařízením se jako ústřední téma prolíná přístupnost a přenositelnost dat. V případě služeb zpracování dat je cílem nařízení umožnit zákazníkům „změnit poskytovatele služby zpracování dat a přitom zachovat minimální funkčnost služby a zabránit přerušení služeb nebo využívat služeb několika poskytovatelů současně bez zbytečných překážek a nákladů na přenos dat“.

Evropská komise tím chce dosáhnout více konkurenčního prostředí na trhu zpracování dat a zabránit uzamčení zákazníků v aktuálně využívané službě – vendor lock-in.

Sada povinností,které nařízení poskytovatelům cloudových služeb ukládá

Poskytovatelé nesmí svým zákazníkům žádnými obchodními, technickými, smluvními ani organizačními překážkami bránit v tom, aby přenesli svoje data k jinému poskytovateli služeb stejného druhu (tj. z cloudu do cloudu) nebo na svoji místní infrastrukturu (tj. z cloudu do on-prem). A naopak jsou povinni přijmout nařízením vypočítaná opatření, která takový přechod budou podporovat.

Nařízení o datech se na rozdíl od GDPR nevztahuje pouze na osobní údaje (povinnosti dle GDPR platí paralelně), ale skutečně na všechna data, která si zákazník u poskytovatele služby uloží, bez ohledu na jejich osobní či „neosobní“ povahu.

Jaká konkrétní opatření budete muset přijmout?

Poskytovatelé cloudových služeb budou muset celkem výrazně upravit svoje smlouvy či obchodní podmínky. Nevystačí tedy už z obvyklým přístupem „když nás o to zákazník požádá, data mu přece dáme“, ale práva zákazníka na přechod k jinému poskytovateli budou muset výslovně uvést ve smlouvě.

Smlouva se zákazníkem tak bude muset obsahovat tato práva a povinnosti:

1. Zákazník musí mít podle smlouvy právo na požádání a bez zbytečného prodlení přejít k jinému poskytovateli cloudových služeb nebo do on-prem. Stávající poskytovatel mu k tomu poskytne přiměřenou pomoc (především mu tedy umožní přenést data, ale musí i celkově podporovat zákazníkovu exit strategii), v přechodném období mu ale bude dále poskytovat svoji službu.
   

2. Maximální výpovědní lhůta zákaznických smluv bude jen 2 měsíce – poté začne běžet max. 30denní přechodné období pro samotnou realizaci přechodu.
   

3. Smlouva se zákazníkem musí obsahovat podrobnou specifikaci všech kategorií dat a tzv. digitálních aktiv, která lze během procesu změny poskytovatele přenést, a také těch, které (např. z důvodu ochrany obchodního tajemství stávajícího poskytovatele) přenést nelze.
   

4. Stávající poskytovatel podle smlouvy dále bude muset po určité minimální období uchovat zálohu dat a po jeho uplynutí data úplně vymazat. Smlouva musí stanovit i poplatky za změnu poskytovatele. Ty musí být od ledna 2027 nulové, do té doby nesmí přesahovat přímé náklady stávajícího poskytovatele na přenesení dat.

Poskytovatelé budou také muset informovat zákazníky o dostupných postupech pro změnu poskytovatele služeb včetně podrobností o všech využívaných datových strukturách a datových formátech a případných technických či jiných omezeních. To se vztahuje jak na export dat do jiných cloudových služeb, tak na jejich import do služby poskytovatele. Určité další informační povinnosti budou poskytovatelé muset plnit přímo na svých webových stránkách.

Nařízení předpokládá, že na evropské úrovni postupně dojde k harmonizaci norem pro interoperabilitu služeb. Do té doby jsou poskytovatelé povinni data exportovat ve strukturovaném, běžně používaném a strojově čitelném formátu.

Ano,
je to v krátké době už několikátá regulace zatěžující poskytovatele cloudových služeb…

A ano, ti budou muset vynaložit úsilí a náklady na nastavení svých vnitřních procesů a úpravu smluvní dokumentace tak, aby odpovídaly požadavkům tohoto nařízení. Na druhou stranu věříme, že každý, kdo provozuje cloudovou službu, už samotnou přenositelnost dat (ať už jako jejich příjemce nebo poskytovatel) nějakým způsobem řešil a jde „jen“ o to, aby svoje postupy dal do souladu s nařízením a formalizoval.

Více znepokojující je skutečnost, že Nařízení o datech zasahuje i do obchodních modelů poskytovatelů cloudových služeb, především stanovením maximálně dvouměsíční výpovědní lhůty, kterou musí mít zákazníci k dispozici.

Pro někoho to nebude problém, někteří poskytovatelé se ale svoje ARR snaží udržet například pomocí ročních předplatitelských period. Optimista to bude vnímat jako příležitost k získání nových zákazníků, pesimista uvidí především riziko jejich ztráty.

Praxe ukáže, jak budou poskytovatelé s výpovědní lhůtou pracovat. Těm pesimističtějším může určitou naději dávat mnohoslibné vyjádření v preambuli nařízení podle kterého „žádné ustanovení tohoto nařízení nebrání tomu …, aby se strany … dohodly na smlouvách o službách zpracování dat na dobu určitou, včetně na přiměřených sankcích za předčasné ukončení těchto smluv s cílem pokrýt náklady s tím spojené“.