Právní aspekty implementace IoT (Internet věcí) řešení v průmyslu:

Implementace IoT ve vašem podniku slibuje revoluci v efektivitě, ale zároveň otevírá dveře novým, komplexním právním rizikům. Od kybernetických útoků po milionové pokuty – hrozby jsou reálné. V tomto článku získáte jasný přehled o klíčových právních povinnostech v oblasti bezpečnosti dat a odpovědnosti při implementaci IoT řešení a zjistíte, jak je s pomocí expertů z ARROWS bezpečně zvládnout.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Petr Hanzel, LL.M.", expert na dané téma.

Průmyslová revoluce 4.0 ve vašem podniku: Potenciál a skrytá rizika IoT

Průmyslový internet věcí (IIoT) není jen dalším technologickým trendem. Je to strategická transformace, která přináší hmatatelné obchodní výhody. Umožňuje optimalizaci nákladů, flexibilní plánování výroby, efektivní řízení procesů v reálném čase a především přechod na prediktivní údržbu, která dokáže zabránit drahým výpadkům. Firmy, které IIoT zavedou, mohou také výrazně zvýšit bezpečnost svých zaměstnanců.

Navzdory těmto obrovským přínosům panuje v České republice jistá zdrženlivost. Principy Průmyslu 4.0 má plně implementováno pouze 15 % českých podniků a alarmující je, že 20 % se těmito tématy dosud vůbec nezabývalo. Důvodem často není nedostatek technologie, ale nedostatek jistoty a obavy z neznámých rizik. Management a právní oddělení vidí namísto efektivity spíše nekontrolovatelná nebezpečí. Tato mezera mezi inovačním potenciálem a obavami z rizik je hlavní brzdou pokroku.

Tato rizika lze rozdělit do tří hlavních oblastí, které spolu úzce souvisí:

1. Bezpečnost dat a kybernetická bezpečnost: S každým připojeným zařízením roste plocha pro útok a riziko zneužití dat.
2. Provozní kontinuita: Selhání IoT systému, ať už kvůli technické chybě, nebo kybernetickému útoku, může znamenat okamžité zastavení výroby s katastrofálními finančními dopady.
3. Právní odpovědnost: V komplexní síti výrobců hardwaru, vývojářů softwaru, poskytovatelů cloudových služeb a integrátorů je extrémně obtížné určit, kdo nese odpovědnost za vzniklou škodu.

Představte si výrobní linku vybavenou vibračními senzory, které dokázaly identifikovat hrozící poruchu ložiska tři týdny předem a ušetřily tak firmě 2,5 milionu Kč na ztrátě produkce. 

Nyní si představte opačný scénář. Co kdyby útočník data z tohoto senzoru zfalšoval nebo senzor zcela vyřadil? Nejenže by k úspoře nedošlo, ale selhání stroje v plném provozu by mohlo způsobit škody v řádech desítek milionů a ohrozit bezpečnost zaměstnanců. Kdo by za to nesl odpovědnost? Právě tuto otázku musíte mít vyřešenou.

Nová evropská pravidla hry: Jste připraveni na legislativní vlnu, která mění vše?

Doba, kdy bylo IoT právním "divokým západem", definitivně končí. Evropská unie zavedla soubor vzájemně propojených nařízení, která vytvářejí nový, komplexní právní rámec. Nejde o jeden zákon, ale o hustou síť pravidel, která se již brzy plně projeví v českém právu. Firmy, které se nezačnou připravovat ihned, vystavují svůj byznys obrovskému riziku, protože klíčové regulace vstupují v platnost již v roce 2025.

Cyber Resilience Act (CRA)

Toto nařízení se zaměřuje na bezpečnost hardwarových a softwarových produktů. Zavádí princip tzv. security-by-design (bezpečnost od návrhu). Pro vás jako výrobce, dovozce nebo distributora IoT zařízení to znamená novou, zásadní povinnost:musíte zajistit kybernetickou bezpečnost produktu po celou dobu jeho životnosti, včetně poskytování bezpečnostních aktualizací. 

Produkty nesmí mít při uvedení na trh žádné známé zneužitelné zranitelnosti a musí mít ve výchozím stavu bezpečnou konfiguraci.

Směrnice NIS2 a nový zákon o kybernetické bezpečnosti (ZoKB)

Nová směrnice NIS2 radikálně zvyšuje požadavky na kybernetickou bezpečnost a rozšiřuje okruh povinných subjektů. V České republice bude implementována novým zákonem o kybernetické bezpečnosti (ZoKB), jehož účinnost se očekává na podzim 2025. Tato regulace dopadne na více než 10 000 českých firem, a to i v odvětvích, která dosud regulována nebyla, jako je výroba nebo e-commerce.

Klíčovou novinkou je zavedení přímé odpovědnosti vedení společnosti za zavedená bezpečnostní opatření a povinnost řídit rizika v celém dodavatelském řetězci.

Data Act

Toto nařízení představuje revoluci v nakládání s daty. Dává uživatelům (tedy vašim klientům) právo na přístup k datům, která jejich připojené zařízení generuje. Uživatelé navíc mohou požadovat, aby tato data byla sdílena s třetí stranou dle jejich výběru – například s nezávislým servisem.

Tím končí dosavadní exkluzivita výrobců nad provozními daty a vzniká povinnost připravit technická i smluvní řešení pro jejich bezpečné sdílení.

Nevíte si s daným tématem rady?

AI Act

Pokud vaše IoT řešení využívá prvky umělé inteligence (například pro prediktivní analýzu dat nebo autonomní řízení procesů), spadáte pod působnost AI Actu – první komplexní regulace AI na světě. Tento akt kategorizuje systémy podle míry rizika.

Pokud bude váš systém vyhodnocen jako "vysoce rizikový", budete muset splnit přísné povinnosti v oblasti řízení rizik, kvality dat, transparentnosti, lidského dohledu a robustnosti.

Tato nařízení vytvářejí paradoxní situaci. GDPR a CRA tlačí na minimalizaci sběru dat, zatímco Data Act vyžaduje jejich sdílení. NIS2 požaduje zabezpečení dodavatelského řetězce, ale Data Act vás nutí sdílet data se subjekty, které si vybere váš zákazník a které nemusí splňovat vaše bezpečnostní standardy.

Právníci v ARROWS vám pomohou navrhnout interní procesy a smluvní rámce, které tyto protichůdné požadavky vybalancují a ochrání váš podnik.

Zabezpečení dat: Vaše první a nejdůležitější obranná linie

V kontextu průmyslového IoT se technická rizika přímo promítají do právních problémů a obrovských finančních ztrát. Nejčastějšími zranitelnostmi jsou zastaralý software bez aktualizací, slabá výchozí hesla a nezabezpečený vzdálený přístup. Kompromitované IoT zařízení se pak stává snadnou vstupní branou do celé vaší firemní sítě.

Následky mohou být katastrofální: zastavení výroby, poškození strojů, krádež obchodního tajemství nebo útok vyděračským softwarem (ransomware), kde se škody mohou pohybovat v řádech milionů dolarů.

Nesmíte zapomínat, že i průmyslová data mohou být osobními údaji ve smyslu GDPR – například data o výkonu konkrétních zaměstnanců nebo lokalizační data servisních techniků. To s sebou nese další povinnosti. Klíčovou je povinnost provést tzv. posouzení vlivu na ochranu osobních údajů (DPIA), které je pro vysoce riziková zpracování, jako jsou IoT projekty, prakticky vždy vyžadováno. Ignorování těchto povinností může vést k pokutám, které v ČR dosáhly až 351 milionů Kč , a k nenapravitelnému poškození reputace.

Naši právníci se specializací na GDPR a technologie vám pomohou s vypracováním DPIA, které nejen splní formální požadavky, ale reálně zmapuje a ošetří rizika vašeho konkrétního IoT projektu. Dále připravíme interní směrnice pro ochranu dat a provedeme certifikovaná školení pro vaše zaměstnance a vedení, abyste byli chráněni před sankcemi a kontrolami.

Klíčová rizika v oblasti bezpečnosti dat a jejich řešení

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Ransomware útok přes nezabezpečený IoT senzor: Zastavení celé výrobní linky, ztráta produkce (miliony Kč denně), náklady na obnovu systémů	Příprava interních směrnic pro reakci na incidenty a business continuity plánů; právní konzultace k nastavení bezpečnosti v souladu s NIS2.
Únik citlivých výrobních dat (obchodní tajemství): Ztráta konkurenční výhody, zneužití dat konkurencí, soudní spory s obchodními partnery, finanční ztráty.	Revize a příprava smluv s dodavateli technologií a zaměstnanci (NDA, doložky o mlčenlivosti); právní stanoviska k ochraně obchodního tajemství.
Zpracování osobních údajů zaměstnanců (např. monitoring) v rozporu s GDPR: Pokuta od ÚOOÚ (až 4 % z celosvětového obratu), žaloby od zaměstnanců	Vyhotovení posouzení vlivu na ochranu osobních údajů (DPIA); příprava dokumentace (směrnice, souhlasy) a odborná školení pro HR a management.
Nezabezpečené zařízení od dodavatele (nesoulad s Cyber Resilience Act): Uvedení nebezpečného výrobku na trh, stažení z trhu, pokuty od dozorových orgánů	Právní prověrka (due diligence) dodavatelů; příprava smluv, které přenášejí odpovědnost a povinnosti dle CRA na dodavatele.
Neoprávněný přístup k datům třetí stranou skrze API: Únik dat, finanční podvody, narušení soukromí zákazníků	Právní konzultace k zabezpečení datových toků; příprava smluvních podmínek pro využívání API a datových služeb.
Selhání při hlášení kybernetického incidentu úřadům (dle NIS2): Vysoké pokuty od NÚKIB, nařízení nápravných opatření,	Vyhotovení interních směrnic a postupů pro detekci a hlášení incidentů; zastupování při jednání se správními orgány (NÚKIB).
Použití dat z IoT pro AI bez právního základu (AI Act, GDPR): porušení práv subjektů údajů, vysoké pokuty, diskriminační rozhodování.	Právní stanovisko k posouzení rizikovosti AI systému dle AI Act; příprava dokumentace prokazující soulad a transparentnost.

Na koho se můžete obrátit?

Odpovědnost za škodu: Kdo zaplatí, když se IoT systém pokazí nebo selže?

Zatímco bezpečnost dat je klíčová, neméně důležitá je otázka odpovědnosti za hmotné škody. Průmyslové IoT řešení není jeden produkt, ale komplexní služba složená z hardwaru od výrobce, softwaru od vývojáře, cloudové platformy od poskytovatele a konektivity od operátora, to vše spojené dohromady integrátorem. Když automatizovaná linka řízená tímto systémem způsobí úraz zaměstnanci nebo vyrobí vadnou sérii produktů za miliony, nastává zásadní otázka: kdo za to zaplatí?.

Český občanský zákoník obsahuje několik klíčových ustanovení. Jedná se zejména o odpovědnost za škodu způsobenou "přístrojem", odpovědnost za vadu výrobku podle zvláštního zákona a odpovědnost za škodu způsobenou pomocníkem (např. subdodavatelem), jejíž výklad se s novým občanským zákoníkem výrazně změnil. Bez precizně nastavených smluv se řešení těchto sporů stává noční můrou plnou znaleckých posudků a dlouhých soudních řízení.

Klíčem k řízení těchto rizik jsou proto smlouvy. Nejen smlouvy o dílo a licenční ujednání, ale především detailní Service Level Agreements (SLA), které přesně definují parametry služby, garantovanou dostupnost, reakční doby a smluvní pokuty za nedodržení.

V ARROWS máme rozsáhlé zkušenosti s přípravou a revizí komplexních IT smluv, které chrání naše klienty před nejasně definovanou odpovědností a zajišťují, že vaši dodavatelé ponesou odpovědnost za své plnění.

Provozní a odpovědnostní rizika a jejich řešení

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Výpadek výroby kvůli selhání cloudové platformy dodavatele: Ztráta tržeb, penále za nedodání zboží zákazníkům, poškození strojů v důsledku nekontrolovaného zastavení.	Příprava nebo revize smluv (SLA) s dodavatelem, které definují garantovanou dostupnost, rychlost reakce a vysoké smluvní pokuty za porušení.
Škoda na majetku nebo zdraví způsobená chybnou funkcí autonomního stroje: Povinnost uhradit škodu poškozeným, soudní spory, negativní publicita, vyšetřování ze strany pojišťovny a správních orgánů.	Zastupování u soudů a správních orgánů; právní stanoviska k posouzení míry zavinění a odpovědnosti jednotlivých stran (výrobce, dodavatel, provozovatel).
Spor s dodavatelem o to, zda je chyba v hardwaru, nebo v softwaru: Dlouhé a nákladné spory, prodlevy v opravě systému, pokračující provozní ztráty.	Příprava smluv s jasným vymezením odpovědnosti za vady a procedur pro řešení sporů (např. určení nezávislého experta).
Dodavatel odmítá poskytnout data potřebná pro diagnostiku (v rozporu s Data Act): Nemožnost využít služeb nezávislého servisu, závislost na drahých službách původního dodavatele (vendor lock-in), prodlužování výpadku.	Právní stanovisko k vašim právům dle Data Act; příprava předžalobní výzvy a případné zastupování u soudu za účelem vynucení přístupu k datům.
Implementace IoT řešení se ukáže jako nevhodná pro daný účel: Zmařená investice, nutnost pořídit nové řešení, spory o vrácení peněz a náhradu škody.	Revize smluv před podpisem s cílem zajistit, aby smlouva obsahovala přesnou specifikaci díla a garance funkčnosti pro zamýšlený účel.
Subdodavatel (integrátor) způsobí škodu při implementaci systému: Přímá odpovědnost vaší firmy vůči třetím stranám, komplikovaný regresní nárok vůči subdodavateli.	Příprava smluv se subdodavateli, které zajišťují dostatečné pojištění odpovědnosti a snadnou vymahatelnost nároků.

 

Mezinárodní přesah: Jak řídit IoT projekty za hranicemi České republiky

Pokud váš podnik působí na mezinárodních trzích, složitost právních rizik dále narůstá. Přenos osobních údajů mimo Evropskou unii je přísně regulován GDPR a vyžaduje zavedení platných právních mechanismů, jako jsou standardní smluvní doložky (SCCs). Navíc evropské regulace jako Data Act obsahují ustanovení bránící nezákonnému přístupu k datům ze strany vlád třetích zemí, což může vést ke konfliktu s legislativou jiných států.

Schopnost bezpečně a legálně provozovat IoT platformu napříč různými jurisdikcemi se tak stává klíčovým konkurenčním faktorem. Firma, která to zvládne, může nabízet své produkty a služby na globálním trhu rychleji a s menším rizikem než konkurence. Nejde jen o plnění povinností, ale o budování důvěry u globálních zákazníků.

Díky naší deset let budované síti ARROWS International nejsme jen lokální kancelář. Prakticky denně řešíme případy s mezinárodním prvkem. Pomůžeme vám nastavit legální rámec pro mezinárodní datové toky a propojíme vás s ověřenými experty v cílových zemích, aby vaše globální IoT projekty byly v bezpečí.

Proaktivní strategie s ARROWS: Vaše cesta od povinné shody k tržní výhodě

Reaktivní přístup k právním rizikům v oblasti IoT je cestou k problémům. Úspěšné firmy volí proaktivní strategii, která zahrnuje právní a technický audit, zmapování datových toků, přípravu kompletní smluvní dokumentace a důkladné proškolení zaměstnanců i vedení.

ARROWS vám nabízí komplexní partnerství pokrývající celý životní cyklus vašeho IoT projektu:

• Úvodní právní konzultace a analýza rizik.
• Vyhotovení kompletní dokumentace (smlouvy, interní směrnice, obchodní podmínky).
• Zastupování u soudů a správních orgánů (NÚKIB, ÚOOÚ).
• Získání potřebných licencí a povolení.
• Certifikovaná odborná školení pro zaměstnance i vedení.

Naše zkušenosti z dlouhodobého poskytování služeb pro více než 150 akciových společností, 250 společností s ručením omezeným a 51 obcí a krajů jsou zárukou kvality a hluboké znalosti praxe. Zakládáme si na rychlosti, vysoké odbornosti a přidané hodnotě. Nejsme jen vaši právníci – jsme součástí vašeho byznysového ekosystému. Rádi propojujeme naše klienty se zajímavými obchodními příležitostmi a rádi si poslechneme i vaše podnikatelské nápady.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.