Správa dat Vzdělávání Aktuality Datová kvalita Národní katalog dat Další

Zákon o správě dat v otázkách a odpovědích

Rychlé odpovědi na klíčové otázky kolem zákona o správě dat a řízeném přístupu. Zjistěte na jednom místě, jaké povinnosti a příležitosti legislativa přináší.


Působnost zákona a definice

Na které informační systémy a subjekty se zákon o správě dat a o řízeném přístupu k datům vztahuje a kdo je definován jako správce dat?

Zákon se věcně vztahuje na data a provozní údaje vedené v ISVS. Správcem dat je pro účely tohoto zákona definován správce ISVS podle zákona o informačních systémech veřejné správy. Povinnými subjekty jsou tedy všichni tito správci ISVS, pokud jejich systém nespadá pod zákonné výluky.

Jakým způsobem zákon reflektuje rozdíl mezi věcným správcem a technickým správcem (provozovatelem) ISVS?

ZoSD v § 4 stanoví že „správcem dat“ je výhradně „správce ISVS“ podle zákona č. 365/2000 Sb., o informačních systémech veřejné správy.

Zákon č. 365/2000 Sb., o ISVS nezná a nepoužívá pojem „technický správce“. Namísto toho definuje pojem „provozovatel“ informačního systému, kterým je subjekt zajišťující funkčnost ISVS po technické, programové a organizační stránce.

Z hlediska odpovědnosti dopadají veškeré povinnosti podle tohoto zákona (včetně popisu dat metadaty, vedení lokálního katalogu dat a rozhodování o povolení řízeného přístupu) ex lege primárně na správce dat – tedy na tzv. věcného správce (resort či orgán veřejné moci, který poskytuje služby ISVS a za systém právně odpovídá). Technický správce (provozovatel) či externí technologický dodavatel zajišťuje pouze technologickou realizaci. Pokud správce dat k provozu ISVS využívá služeb provozovatele, je povinen si k datům a provozním údajům smluvně a technicky zajistit nepřetržitý a úplný přístup.

Na které ISVS se zákon nevztahuje?

Zákon se vůbec nevztahuje na data a provozní údaje, které obsahují utajované informace. Dále jsou z působnosti zákona kompletně vyjmuty:

  • Systémy samospráv: Všechny systémy spravované obcemi, kraji a dobrovolnými svazky obcí.
  • Bezpečnost a obrana: Systémy spravované bezpečnostními sbory a systémy pro zajištění obrany, vnitřní bezpečnosti, krizového řízení a ochrany obyvatelstva.
  • Soudy a kriminalita: Systémy pro trestní řízení (pozor: statistická a evidenční data pod zákon stále spadají) a systémy zpracovávající osobní údaje vojáků a policistů.
  • Finanční sektor: Systémy pro dohled nad finančním trhem a agendu proti praní špinavých peněz (AML).
  • Ostatní specifické agendy: Archivnictví a sankční seznamy.

Pozor u vícedílných ISVS:

  • Pokud se váš systém skládá z několika propojených částí, výjimka se vztahuje pouze na ty konkrétní části, které plní výše uvedené úkoly. Zbytek systému může zákonu normálně podléhat.
Jak se postupuje v případě, že je ISVS tvořen více funkčními celky, z nichž pouze některé slouží účelům vyloučeným z působnosti zákona?

Pokud je ISVS tvořen více funkčně oddělenými částmi, zákon konstruuje pravidlo parciální výluky. Výluka z působnosti zákona (ať už z důvodu obsahu utajovaných informací, nebo z důvodu specifického účelu systému, jako je obrana či bezpečnost) se uplatňuje výhradně a pouze pro ty konkrétní části systému, které reálně slouží těmto zákonem vymezeným účelům. Ostatní funkčně oddělené části téhož ISVS podléhají plnému režimu zákona.

Jak zákon definuje pojmy "metadata, "datové rozhraní" a "datový slovník"?

Pro účely zákona jsou tyto pojmy definovány striktně legálními definicemi:

  • Metadata: Popis struktury a významu dat a datových rozhraní, jejich vlastností a vzájemných souvislostí.
  • Datové rozhraní: Souhrn technických opatření sloužících ke zpřístupnění a sdílení dat vedených v ISVS.
  • Datový slovník: Popis struktury a významu dat vedených v ISVS v podobě pojmů, které reprezentují typy osob, věcí a dalších předmětů právních vztahů, jejich vlastnosti a vztahy mezi nimi.
Vztahuje se zákon na elektronické systémy spisové služby a jaký vliv má stav jejich atestace na tuto působnost?

Zákon se nevztahuje na data a provozní údaje vedené v elektronických systémech spisové služby, které jsou atestovány podle zákona upravujícího archivnictví a spisovou službu. Tato výluka trvá i v případě, že se v průběhu platnosti atestu systém změní, nebo pokud byl atest po revizi zneplatněn. Výluka se rovněž vztahuje na systémy spisové služby, na které se požadavek atestace vůbec nevztahuje.

Které orgány jsou definovány jako „příslušné subjekty“ podle nařízení o evropské správě dat (DGA) a pro jaké oblasti?

Zákon v souladu s čl. 7 nařízení o evropské správě dat (DGA) taxativně určuje čtyři příslušné subjekty pro specifické oblasti dat:

  • Ministerstvo práce a sociálních věcí: Pro oblast dat o sociálním zabezpečení, zaměstnanosti a sociální politice.
  • Český statistický úřad: Pro oblast statistických dat.
  • Generální finanční ředitelství: Pro oblast dat o daních.
  • Ústav zdravotnických informací a statistiky ČR (ÚZIS): Pro oblast zdravotnických dat a statistik.


Technické a organizační povinnosti úřadů

Jaké základní vnitřní organizační a normativní povinnosti ukládá zákon správci dat při správě dat a provozních údajů?

Správce dat je povinen při jakékoliv operaci s daty a provozními údaji chránit jejich důvěryhodnost, užitečnost a význam. Pokud k provozu ISVS využívá externího provozovatele, musí mít smluvně a technicky zajištěn nepřetržitý a úplný přístup k těmto datům. Klíčovou povinností je povinnost stanovit, uplatňovat v praxi a zajišťovat dodržování "vnitřních pravidel pro správu dat, provozních údajů a datových rozhraní", která definují principy a opatření pro řádnou správu.

Právní základ: [§ 5 ZoSD]

Jakým způsobem a v jakých technických standardech je správce dat povinen popsat svá data a datová rozhraní?

Správce dat má povinnost popsat data vedená v ISVS do datového slovníku a jím vytvářená datová rozhraní metadaty. Tento popis musí splňovat dvě hlavní podmínky:

  • Striktní standard: Musí přesně odpovídat konkrétní otevřené formální normě (OFN) určené pro tento účel.
  • Dálkový přístup: Popis musí být dostupný online (způsobem umožňujícím dálkový přístup).

Tuto konkrétní OFN momentálně DIA připravuje. Zveřejněna bude v srpnu 2026 na webu data.gov.cz/ofn. Jakmile vyjde, bude pro vás závazná.

Právní základ: [§ 6 odst. 1 a 2 ZoSD]

Co je to lokální katalog dat (LKD), jaké jsou povinnosti při jeho správě a jaká je lhůta pro aktualizaci dat?

Lokální katalog dat je technický nástroj, který správce dat povinně vytváří a spravuje. Do LKD zapisuje vygenerovaná metadata podle § 6, ledaže by tomu bránily zákonné překážky (utajované skutečnosti, oprávněný zájem státu/třetích osob). Správce dat je povinen LKD průběžně aktualizovat; změnu rozsahu nebo podoby spravovaných dat či poskytovaných rozhraní musí zapsat nejpozději do 7 pracovních dnů od jejího zjištění. Obsah LKD se povinně zveřejňuje prostřednictvím národního katalogu dat.

Právní základ: [§ 7 ZoSD]

Jak se liší povinnosti tvorby datového slovníku u ohlašovatelů agend, ústředních správních úřadů a ostatních správců dat?

Zákon rozlišuje tři úrovně povinností:

  • Ohlašovatel agendy (podle zákona o základních registrech): Vytváří jako součást svého LKD "datový slovník agendy" s popisem dat vedených v rámci dané agendy.
  • Ústřední správní úřad: Vytváří "datový slovník správce dat", do něhož přebírá datové slovníky agend v nezbytném rozsahu a doplňuje je o popis dat v jím spravovaných ISVS, pokud v agendových slovnících chybí.
  • Ostatní správci dat (ne-ústřední): Nepopisují nový slovník autonomně, ale přebírají do svého LKD datové slovníky agend v rozsahu potřebném pro popis dat vedených v jejich ISVS.

Právní základ: [§ 8 odst. 1, 2 a 3 ZoSD]

Jaká je role Národního katalogu dat a Geoportálu České republiky jako centrálních informačních systémů?
  • Národní katalog dat (správce DIA): Slouží k centrálnímu zveřejňování obsahu lokálních katalogů dat, integraci datových slovníků do "datového slovníku veřejné správy" a zprostředkování podávání žádostí o přístup. Je veřejně přístupný dálkovým přístupem.
  • Geoportál České republiky (správce Ministerstvo životního prostředí): Zajišťuje přístup k národní infrastruktuře pro prostorové informace. Slouží ke zpřístupňování, sdílení a zobrazování prostorových dat. Správci dat jsou povinni zpřístupňovat metadata o prostorových datech jeho prostřednictvím.

Právní základ: [§ 9] a [§ 10 ZoSD]



Procesní postup při řízeném přístupu k datům

Co je řízený přístup k datům a k čemu slouží?

Řízený přístup k datům je zákonný režim umožňující zabezpečené opakované užití chráněných dat vedených v ISVS. Neslouží k běžnému zveřejnění dat ani k nahrazení otevřených dat, ale k tomu, aby bylo možné bezpečně využít data, která nelze volně zveřejnit například kvůli ochraně osobních údajů, obchodního tajemství, statistické důvěrnosti nebo práv třetích osob.

Právní základ: [§ 11 odst 1 ZoSD]

Které správní orgány jsou věcně příslušné k rozhodování o žádosti o povolení řízeného přístupu k datům?

Věcná příslušnost se odvíjí od rozsahu požadovaných dat:

  • Správce dat (konkrétní úřad): Pokud žadatel žádá o povolení řízeného přístupu pouze k datům vedeným v jednom ISVS, který tento úřad spravuje.
  • DIA: Pokud žádost směřuje k datům vedeným v ISVS různých správců dat (křížové propojení).
  • Příslušný subjekt (§ 29 odst. 1): Pokud se žádá o data ze specifických oblastí (sociální zabezpečení, statistika, daně, zdravotnictví).

Právní základ: [§ 12 písm. a), b) a c) ZoSD]

Pro jaké konkrétní účely lze řízený přístup k datům povolit a jakým způsobem se podává žádost?

Řízený přístup k datům lze povolit výhradně pro tři zákonem uznané účely: a) vědecký výzkum, b) kontrola veřejné správy, c) výuka a vzdělávání. Žádost se podává obligatorně DIA prostřednictvím národního katalogu dat, a to formou elektronického formuláře. Pokud DIA není povolujícím orgánem, postoupí žádost věcně příslušnému správci či subjektu. Zvláštní režim platí pro organizační složky státu, kde se řízený přístup zajišťuje na vyžádání pro tvorbu a vyhodnocování veřejných politik, RIA nebo analýzu výkonu veřejné správy.

Právní základ: [§ 13 odst. 1] [§ 27] a [§ 16 odst. 1 ZoSD]

Jaké obligatorní náležitosti must obsahovat „projekt využití dat“, který tvoří součást žádosti?

Projekt využití dat musí obsahovat: vymezení požadovaných dat, podrobný popis účelu, formu a způsob zajištění přístupu (včetně míry anonymizace či agregace), dobu trvání přístupu, popis plánovaného životního cyklu získaných dat, popis their technického zabezpečení a jmenný seznam fyzických osob, které budou mít k datům reálný přístup.

U žádosti za účelem vědeckého výzkumu musí žadatel navíc uvést informace dokládající odbornou způsobilost, zejména znalosti a zkušenosti s prováděním výzkumu, označení výzkumné instituce, popis zamýšleného výzkumu a případně další dokumenty nebo vyjádření etické komise.

Právní základ: [§ 16 odst. 2] [§ 16 odst. 3 ZoSD]

Co je to institut předběžné informace, jaká je lhůta pro její vydání a co musí obsahovat?

Žadatel může před podáním samotné žádosti požádat o předběžnou informaci prostřednictvím národního katalogu dat. Příslušný správní orgán (DIA, správce dat či příslušný subjekt) má povinnost ji poskytnout do 30 dnů od obdržení. Obsahem předběžné informace jsou údaje o možnostech a podmínkách povolení přístupu, hlediscích posuzování, předpokladech vyhovění a určení správců dat, jejichž závazným stanoviskem bude rozhodnutí podmíněno.

Právní základ: [§ 15 ZoSD]

Jaký je procesní postup DIA, pokud žádost vyžaduje propojení dat od více různých správců dat?

Pokud je povolujícím orgánem DIA a dochází k propojování dat různých správců, DIA si musí vyžádat závazné stanovisko dotčených správců (nebo vyjádření, pokud správce není správním orgánem). Pokud byť jediný dotčený správce dat nebo příslušný subjekt nevydá souhlasné závazné stanovisko či vyjádření, DIA musí žádost zamítnout. Platí zde princip absolutního konsensu všech dotčených poskytovatelů.

Právní základ: [§ 17 odst. 3 ZoSD], [§ 19], [§ 20] a [§ 21 ZoSD] v návaznosti na [čl. 9 odst. 1 Nařízení Evropského parlamentu a Rady (EU) 2022/868]

V jaké technické a identifikační podobě je možné řízený přístup k datům povolit a jaká výjimka platí pro vědecký výzkum?

Obecným a striktním pravidlem je, že řízený přístup k datům lze povolit pouze k datům v plně anonymizované podobě. Výjimka je přípustná exkluzivně pro účel vědeckého výzkumu: pokud vzhledem k vědeckému účelu žádosti není objektivně možné poskytnout data plně anonymizovaná, lze přístup povolit k datům, která umožňují pouze nepřímou identifikaci osob (pseudonymizovaná data).

Právní základ: [§ 13 odst. 3 a 4 ZoSD]

Které konkrétní kategorie chráněných údajů tvoří absolutní překážku a řízený přístup k nim nelze ze zákona povolit?

Přístup nelze povolit, pokud by došlo k nepřiměřenému zásahu do zájmů obrany a bezpečnosti státu, krizového řízení, ochrany zájmů ČR v zahraničí, bankovního tajemství, mlčenlivosti dle daňového řádu, probíhající kontroly/řízení nebo plnění úkolů zpravodajských služeb. Zcela absolutně je pak zakázáno povolit přístup k: biometrickým údajům, lokalizačním datům pohybu osob či vozidel, datům o mezinárodní ochraně a pobytovém řízení cizinců, datům z probíhajícího trestního řízení a datům o činnosti orgánů činných v trestním řízení či bezpečnostních sborů, pokud by to ohrozilo práva třetích osob nebo výkon veřejné moci.

Právní základ: [§ 14 odst. 1 a 2 ZoSD]

Co se stane, pokud uživatel poruší podmínky řízeného přístupu?

Povolující orgán může uložit opatření k nápravě, změnit nebo zrušit rozhodnutí a v případě přestupku může být uložena pokuta. Zvlášť závažné je opětovné ztotožnění osob, neoprávněné propojení dat, použití dat k jinému účelu nebo porušení technického zabezpečení.

Právní základ: [§ 26 odst. 1, 2 a 3] [§ 31 odst. 2] [§ 33 odst. 1,2 a 3 ZoSD]

Kdy se má použít žádost o řízený přístup a kdy otevřená data nebo zákon č. 106/1999 Sb.?

Pokud lze data zveřejnit jako otevřená data nebo poskytnout běžným informačním režimem, nemá být řízený přístup prvním nástrojem. Řízený přístup je vhodný tam, kde existuje legitimní účel opakovaného užití, ale zároveň je nutné chránit práva a zájmy třetích osob nebo veřejné zájmy a data proto nelze volně zveřejnit.



Vztah k jiným právním předpisům

Je pro zajištění řízeného přístupu k datům ze strany povinného subjektu vyžadován souhlas subjektu údajů (občana/klienta) a jak je tento proces legitimován z hlediska GDPR?

Pro zajištění řízeného přístupu k datům podle tohoto zákona není vyžadován souhlas subjektu údajů. Zpracování dat (která v režimu nepřímé identifikace pro vědecké účely naplňují definici pseudonymizovaných osobních údajů) je plně legitimováno zákonným rámcem. Relevantním právním titulem pro toto zpracování je splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce dat (povinný úřad) pověřen.

Rizikovost tohoto zpracování pro práva a svobody fyzických osob je minimalizována ex lege, a to povinným uplatněním silné anonymizace, případně pseudonymizace (zajišťující pouze nepřímou identifikaci). Vzhledem k tomu, že data jsou poskytována v bezpečně modifikované podobě a pro specifické zákonné účely (vědecký výzkum, kontrola veřejné správy, výuka), spadá tento proces pod obecné výjimky z informační povinnosti správce vůči subjektům údajů podle GDPR, neboť plnění této povinnosti by v daném kontextu bylo pro úřad nemožné nebo by vyžadovalo nepřiměřené úsilí.

Právní základ: [§ 13 odst. 1, 3 a 4 zákona o správě dat a o řízeném přístupu k datům] v návaznosti na [čl. 6 odst. 1 písm. e)] a [čl. 14 odst. 5 písm. b) Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR)]

Jak musí správce dat zohlednit GDPR při posuzování žádostí o řízený přístup?

GDPR se plně aplikuje. Pokud v průběhu zajištění řízeného přístupu dochází ke zpracování osobních údajů, je nezbytné postupovat tak, aby byla zajištěna jejich ochrana. K tomu náleží zejména povinnost, aby během přípravy finálního výstupu došlo k precizní anonymizaci. Pokud požadovaná data mají zůstat osobními údaji (což je přípustné pouze v případě velmi silně pseudonymizovaných dat pro vědecké účely nebo pro analýzy organizačních složek státu, pokud nejsou anonymizovaná data pro dané účely dostatečná), má povolující správní orgán (správce dat nebo příslušný subjekt) po předání žádosti DIA obligatorní povinnost provést posouzení vlivu řízeného přístupu k datům na ochranu osobních údajů (odpovídající mechanismu DPIA). Správce si za tímto účelem vyžaduje součinnost podle čl. 7 nařízení o evropské správě dat (DGA) nebo vyjádření DIA.

Právní základ: [§ 18 odst. 1] a [§ 27 odst. 4 ZoSD] v návaznosti na [Nařízení (EU) 2016/679 (GDPR)]

Jaký je vztah mezi řízeným přístupem k datům podle tohoto zákona a poskytováním informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím?

Řízený přístup k datům představuje specifický právní režim směřující k bezpečnému, opakovanému užití chráněných dat (data spadající pod DGA), nikoliv k prostému poskytování informací podle zákona č. 106/1999 Sb. Tento zákon se aplikuje na data vedená v ISVS, u kterých standardní režim volného poskytnutí informací naráží na limity ochrany práv třetích osob (např. obchodní tajemství, ochrana osobních údajů). Procesní postupy, lhůty, zpoplatnění i formy zpřístupnění (bezpečné zpracovatelské prostředí) jsou plně autonomní a odlišné od režimu zákona č. 106/1999 Sb.

Právní základ: [§ 11 odst. 1] v návaznosti na [Nařízení Evropského parlamentu a Rady (EU) 2022/868]

Jak jsou řešeny finanční aspekty řízeného přístupu z hlediska úhrady nákladů a správních poplatků?

Zákon zavádí dvousložkový finanční model:

  • 1) Správní poplatek: Za samotné přijetí žádosti o povolení řízeného přístupu k datům se novelou zákona o správních poplatcích zavádí poplatek ve výši 3 000 Kč.
  • 2) Úhrada nákladů: Žadatel je povinen uhradit skutečné náklady spojené se zajištěním přístupu (rozmnožování, anonymizace, pseudonymizace, údržba bezpečného prostředí). Vyčíslení nákladů musí úřad žadateli písemně oznámit před vydáním rozhodnutí. Pokud žadatel náklady do 30 dnů od výzvy neuhradí, úřad žádost obligatorně zamítne. Podmínky pro stanovení úhrady nákladů budou upřesněny prováděcí vyhláškou, kterou vydává DIA.

Právní základ: [§ 23] a [§ 39 ZoSD] (Změna zákona o správních poplatcích)



Odpovědnost, dohled a sankce

Který orgán vykonává dohled nad správci dat a jaké má pravomoci při zjištění nedostatků?

Kontrolním a dohledovým orgánem nad správci dat (úřady) je z moci zákona DIA. Pokud DIA při kontrole zjistí nedostatky v plnění povinností stanovených tímto zákonem nebo nařízením o evropské správě dat, je oprávněna uložit správci dat opatření k nápravě. Pro splnění tohoto opatření stanoví lhůtu, která nesmí přesáhnout 6 měsíců.

Právní základ: [§ 31 odst. 1 ZoSD]

Kdo kontroluje uživatele dat, za jakých podmínek lze rozhodnutí o přístupu zrušit a jaká povinnost vzniká při úniku osobních údajů?

Kontrolu nad osobou, které byl přístup povolen, vykonává povolující správní orgán. Ten rozhodnutí o povolení přístupu zruší z moci úřední, pokud uživatel opakovaně či závažně porušil povinnosti, pokud byla ohrožena bezpečnost dat, data byla použita k jinému účelu, nebo pokud uživatel nesplnil uložené opatření k nápravě. Pokud v průběhu kontroly vyjde najevo, že uživatel neoprávněně využívá poskytnuté osobní údaje, má úřad zákonnou povinnost neprodleně informovat Úřad pro ochranu osobních údajů (ÚOOÚ).

Právní základ: [§ 25 odst. 2] a [§ 31 odst. 2 ZoSD]

Jakých přestupků se může dopustit správce dat (úřad) a jaké finanční sankce mu hrozí?

Správce dat se dopustí přestupku, pokud:

  • Neudržuje lokální katalog dat v aktuálním stavu (sankce do 200 000 Kč).
  • Nevytvoří datový slovník agendy nebo datový slovník správce dat (sankce do 500 000 Kč).
  • Nesplní opatření k nápravě uložené DIA ve stanovené lhůtě (sankce do 100 000 Kč).

Právní základ: [§ 32 odst. 1 a 2 ZoSD]

Jaké povinnosti a zákazy jsou uloženy uživatelům dat a jaké sankce jim hrozí za jejich porušení?

Uživatelům (osobám s povoleným přístupem) je přísně zakázáno provést opětovnou identifikaci subjektů údajů, provést neoprávněné propojení dat, použít data k jinému účelu nebo porušit technické zabezpečení. Jsou povinni přijmout technicko-provozní opatření proti reidentifikaci, zajistit písemná prohlášení o důvěrnosti od všech osob s přístupem a hlásit porušení ochrany dat. Za porušení podmínek rozhodnutí či neoznámení incidentu hrozí pokuta do 5 000 000 Kč. Za provedení reidentifikace, neoprávněné propojení dat, zneužití účelu či porušení technického zabezpečení hrozí pokuta až do výše 10 000 000 Kč.

Právní základ: [§ 26 odst. 1 a 3] a [§ 33 odst. 1 a 3 ZoSD]

Stíhá odpovědnost za přestupky spojené s porušením důvěrnosti dat i samotné fyzické osoby (zaměstnance žadatele)?

Ano, zákon konstruuje samostatnou odpovědnost za přestupky pro fyzické osoby, které mají k datům přístup na základě prohlášení o důvěrnosti podle § 26 odst. 3 písm. b). Pokud tato fyzická osoba provede opětovnou identifikaci, neoprávněně propojí data, použije je k jinému účelu, poruší technické zabezpečení nebo poruší pravidla pro předávání neosobních údajů do třetích zemí podle DGA, dopouští se samostatného přestupku, za který jí lze uložit pokutu do výše 10 000 000 Kč.

Právní základ: [§ 33 odst. 2 a 3 písm. b) ZoSD]

Jak je upravena dělená účinnost tohoto zákona a odkdy musí správci dat reálně plnit jednotlivé povinnosti?

Zákon vykazuje komplexní dělenou účinnost:

  • Obecná účinnost: Nastává 15. dnem po vyhlášení zákona (základní ustanovení, správa dat obecně) konkrétně nastal 27.5.2026.
  • Účinnost od 1. ledna 2028: Nabývají účinnosti ustanovení upravující samotné řízení o povolení řízeného přístupu k datům, podávání žádostí přes NKD, činnost příslušných subjektů, kontrola uživatelů, sankce vůči uživatelům a novely souvisejících zákonů (poplatky, zdravotní služby, statistika).
  • Účinnost od 1. ledna 2029: Teprve k tomuto datu nabývají účinnosti povinnosti popsat data metadaty (§ 6), vést lokální katalogy dat (§ 7), vytvářet datové slovníky (§ 8) a s tím spojené sankce vůči správcům dat (§ 32). Správci dat tak mají rozsáhlé přechodné období na technickou přípravu.

Právní základ: [§ 41 ZoSD]