Právní aspekty cloud computingu a SLA smluv

Právní aspekty cloud computingu a SLA smluv
IT Strategie a Řízení – odborný článek redakce Informatika.cz.

9. dubna 2026

Redakce Informatika.cz

IT Strategie a Řízení

Abstrakt: Cloud computing přestal být experimentem a stal se kritickou součástí podnikové infrastruktury. S tím roste i právní složitost smluvních vztahů s poskytovateli. Standardní podmínky velkých hyperscalerů obsahují klauzule, které mohou v případě výpadku, úniku dat nebo ukončení spolupráce znamenat významný finanční i regulatorní dopad. Článek shrnuje klíčové oblasti, které by měl CIO a právní oddělení sledovat při uzavírání cloudové smlouvy: úroveň dostupnosti, lokalizaci dat, ochranu osobních údajů, vendor lock-in, omezení odpovědnosti a vyjednávací prostor v enterprise kontraktech.

1. Vývoj cloudového práva

V počátcích veřejného cloudu (přibližně 2008 až 2012) se vztah s poskytovatelem řídil prakticky výhradně standardními podmínkami typu „akceptuji" se základními nebo žádnými garancemi. S přesunem kritických systémů do cloudu však regulátoři, auditoři a podnikoví právníci začali vyžadovat rozsáhlejší kontraktační rámec. Dnes má enterprise smlouva s velkým hyperscalerem desítky stran a obsahuje detailní ustanovení o bezpečnosti, lokalizaci dat, sub-procesorech, auditních právech a likvidaci dat po ukončení.

Pro CIO to znamená, že cloud je nejen technologickým rozhodnutím, ale i právní a compliance záležitostí. Včasné zapojení právního oddělení do výběru poskytovatele se vyplatí výrazně víc než pozdější řešení sporu.

2. Service Level Agreement: čtěte detaily

Výpočet dostupnosti

Údaj „99,9 % dostupnost" v sobě skrývá několik důležitých detailů. Plánovaná údržba se obvykle do downtime nezapočítává. Stejně tak vyšší moc, problémy způsobené konfigurací zákazníka nebo třetími stranami. Výsledná efektivní dostupnost je v praxi často nižší, než tabulka naznačuje.

Pro 99,9 % v měsíci s 43 800 minutami zbývá maximálně 43,3 minuty neplánovaného výpadku. Pokud poskytovatel vyloučí osmihodinovou plánovanou údržbu, pracujeme s reálným základem nižším.

Service credits versus skutečná škoda

Service credits, kterými poskytovatel kompenzuje porušení SLA, představují procento měsíčního poplatku. Pro typický scénář vypadá poměr takto:

  • Měsíční účet u poskytovatele: 10 000 USD
  • Šestihodinový výpadek odpovídá dostupnosti přibližně 99,2 %
  • Service credit: 10 % poplatku, tedy 1 000 USD
  • Skutečná ztráta tržeb e-shopu: stovky tisíc USD

Service credits proto nelze chápat jako pojistku proti obchodní škodě. Slouží spíše k symbolické kompenzaci a tlaku na poskytovatele. Reálnou ochranu musí poskytnout pojištění a interní redundance.

Co se dá vyjednat

V enterprise kontraktech (roční výdaj nad jeden milion USD) lze zpravidla dohodnout:

  • Vyšší garantovanou dostupnost (99,95 % nebo 99,99 %)
  • Stupňovité service credits podle hloubky výpadku
  • Garantovaný čas reakce u kritických incidentů (typicky 15 minut až 4 hodiny)
  • Dedikovaný technický kontakt (TAM) a kvartální revize
  • Specifická ujednání pro výkonnost, nikoli pouze dostupnost

Cena za rozšířené SLA bývá v rozmezí 10 až 20 procent navíc oproti standardní sazbě.

3. Lokalizace dat a jurisdikce

GDPR a smlouva o zpracování osobních údajů

Vztah mezi zákazníkem (správcem) a poskytovatelem (zpracovatelem) musí být upraven smlouvou o zpracování podle článku 28 GDPR. Standardní DPA velkých poskytovatelů (AWS, Microsoft, Google) jsou pro běžné případy dostatečné. Pro citlivější odvětví, zejména finanční služby a zdravotnictví, je vhodné vyjednat doplňující ujednání: explicitní omezení sub-procesorů, přísnější lhůty pro oznámení incidentu nebo právo na audit.

Předávání dat mimo EU

Po rozhodnutí Schrems II evropského soudu zůstávají standardní smluvní doložky (SCC) doplněné o Transfer Impact Assessment hlavním právním nástrojem pro předávání dat mimo EU. U amerických poskytovatelů přitom přetrvává napětí mezi GDPR a americkým CLOUD Act, který umožňuje americkým úřadům vyžádat data uložená u amerických společností bez ohledu na fyzickou lokalitu.

Zmírňující strategie zahrnují:

  • Šifrování s klíči spravovanými mimo dosah amerického poskytovatele
  • Volbu evropských regionů s explicitní garancí lokality
  • U nejvíce citlivých dat využití evropských poskytovatelů (OVHcloud, IONOS, Scaleway)

Praktická kontrola lokalizace

Lokalizace dat se nezajišťuje pouze smluvně, ale i konfigurací. Audit by měl ověřit nejen primární region služby, ale i lokality záloh, replik a disaster recovery. Velmi častou chybou je primární služba v EU regionu, ale zálohy v severoamerickém regionu výchozí konfigurace.

4. Vendor lock-in a exit strategie

Vendor lock-in má tři hlavní vrstvy:

  • Technická – proprietární služby (AWS Lambda, Azure Cognitive Services), datové formáty
  • Ekonomická – objemové slevy vázané na závazek, rezervované instance, poplatky za odchozí data
  • Smluvní – dlouhodobé závazky se sankcemi, nekonkurenční doložky

Právo na přenositelnost dat podle článku 20 GDPR pokrývá osobní údaje ve strukturovaném formátu, ale nezahrnuje aplikační logiku, konfiguraci ani historii. Skutečná exit strategie musí být řešena ve smlouvě:

  • Garance dostupnosti dat v otevřeném formátu po ukončení
  • Délka přechodového období (doporučeno 90 až 180 dní)
  • Maximální cena za vyvedení dat
  • Asistence poskytovatele při migraci a předání dokumentace

Praktickým doporučením je definovat exit plán už při výběru poskytovatele a alespoň jednou ročně testovat schopnost obnovit kritickou službu jinde.

5. Compliance pro regulovaná odvětví

Finanční služby

DORA, MiFID II a PCI DSS kladou na cloudové smlouvy specifické požadavky: šifrování dat v klidu i při přenosu, auditní logy s retencí minimálně sedm let, právo na audit poskytovatele, řízení rizika výpadku poskytovatele a plán pro výstup z cloudu („exit plan"). Pro evropské banky je závazný i pokyn EBA k outsourcingu, který vyžaduje informování dohledového orgánu.

Zdravotnictví

HIPAA v USA a obecná pravidla pro zpracování zdravotních dat v EU vyžadují uzavření Business Associate Agreement (resp. odpovídající dodatek pro EU), šifrování validovanými moduly a striktní kontrolu přístupu. Standardní podmínky cloudu samy o sobě nestačí.

Audit readiness

Pro hladké zvládnutí auditu je třeba mít připravenou aktuální evidenci cloudových služeb, smluvní dokumentaci včetně DPA, dokumentaci bezpečnostních opatření, logy přístupů, záznamy incidentů a hodnocení rizik dodavatelů. Automatizace sběru těchto dat (cloud security posture management, GRC platformy) výrazně zkracuje dobu přípravy auditu.

6. Omezení odpovědnosti a pojištění

Standardní smlouvy hyperscalerů omezují odpovědnost na výši zaplacenou za posledních 12 měsíců a vylučují náhradu nepřímých škod, ušlého zisku a ztráty dat. V praxi to znamená, že pro firmu s ročním cloudovým výdajem 1 milion USD je maximální vymahatelná částka rovněž 1 milion USD, zatímco skutečná škoda z výpadku nebo úniku dat může být řádově vyšší.

Mezeru mezi smluvním limitem a reálným rizikem pokrývá pojištění:

  • Cyber liability (typicky 5 až 50 milionů USD pro střední a velký podnik)
  • Technology Errors & Omissions
  • Business interruption s pokrytím cloudových výpadků

Při výběru pojištění je třeba pozorně sledovat výluky, zejména pro státem sponzorované útoky, smluvní odpovědnost a infrastrukturní výpadky poskytovatele.

7. Vyjednávací strategie

Vyjednávací prostor roste s objemem zakázky a regulační citlivostí. Pro klienty s ročním výdajem nad 500 tisíc USD má smysl investovat do externího právního zastoupení specializovaného na technologické smlouvy. Náklady na revizi se pohybují v rozmezí 5 až 50 tisíc USD podle složitosti, což je řádově méně než potenciální dopad nesprávně podepsané smlouvy.

Klíčové oblasti, kterým se v jednání věnovat:

  1. Definice a měření dostupnosti, struktura service credits
  2. Rozsah a limity odpovědnosti, výjimky pro hrubou nedbalost a ochranu osobních údajů
  3. Lokalizace dat a omezení sub-procesorů
  4. Auditní práva a kooperace při regulatorním šetření
  5. Exit klauzule, cena a doba migrace dat
  6. Zákaz jednostranných změn klíčových smluvních ustanovení

8. Nové trendy

EU AI Act zavádí nové povinnosti pro provozovatele AI systémů, které se promítají i do cloudových smluv (transparentnost, řízení dat, dokumentace). Sustainability reporting podle CSRD vyžaduje od firem reportování i Scope 3 emisí, kam patří i provoz cloudové infrastruktury. Postupný přechod na post-kvantovou kryptografii (NIST standardy 2024) bude tématem smluvních dodatků v horizontu pěti až deseti let.

Závěr

Cloudové právo není formalita, ale strategický nástroj. Organizace, které jej zvládají, získávají lepší smluvní podmínky, nižší riziko a větší flexibilitu při změně dodavatele. Klíčem je včasné zapojení právního týmu, jasné definování exit strategie a realistické pojištění mezery mezi smluvním limitem a reálnou škodou.

Doporučení pro CIO: zrevidujte stávající smlouvy z pohledu odpovědnosti a lokalizace dat, otestujte exit scénáře, sjednoťte správu DPA a sub-procesorů a pojistěte zbytkové riziko. Tyto kroky se vrátí v podobě nižšího rizika regulatorních pokut, lepších cenových podmínek a rychlejší reakce na změnu strategie.

Zdroje

  • Nařízení (EU) 2016/679 (GDPR)
  • DORA – Nařízení (EU) 2022/2554 o digitální provozní odolnosti
  • EBA Guidelines on outsourcing arrangements
  • US CLOUD Act, 18 U.S.C. § 2713
  • ENISA Cloud Computing Security Guidelines
  • NIST Cloud Computing Standards
  • AWS Customer Agreement, Microsoft Cloud Agreement, Google Cloud Platform Terms

Další z tématu IT Strategie a Řízení

Zobrazit vše
Business Intelligence: Vizualizace dat pro management — Od tabulek ke strategickým dashboardům

Business Intelligence: Vizualizace dat pro management — Od tabulek ke strategickým dashboardům

Abstrakt Business Intelligence (BI) představuje schopnost organizace transformovat surová data na akceschopné informace pro strategické rozhodování. Správně implementovaný BI systém zvyšuje rychlost a kvalitu rozhodování o desítky procent a poskytuje konkurenční výhodu. Článek…

Redakce Informatika.cz • 18. ledna 2026

Etika v IT: odpovědnost za algoritmy a data v digitální společnosti

Etika v IT: odpovědnost za algoritmy a data v digitální společnosti

Redakce Informatika.cz • 9. prosince 2025

Penetration Testing a Red Teaming: Jak testovat obranu organizace

Penetration Testing a Red Teaming: Jak testovat obranu organizace

Redakce Informatika.cz • 1. dubna 2026

Řízení rizik v IT projektech: Praktický průvodce pro úspěšnou realizaci

Řízení rizik v IT projektech: Praktický průvodce pro úspěšnou realizaci

IT projekty představují významnou výzvu pro moderní organizace. Podle dlouhodobých statistik končí úspěšně méně než třetina těchto projektů, přičemž hlavní příčinou selhání není technologická nedostatečnost, ale absence systematického řízení rizik. Článek shrnuje standardizované…

Redakce Informatika.cz • 14. listopadu 2025

Jak sestavit IT rozpočet pro moderní firmu

Jak sestavit IT rozpočet pro moderní firmu

Redakce Informatika.cz • 2. dubna 2026

Strategie pro odstranění závislosti na dodavateli (Vendor Lock-in): Komplexní průvodce pro IT architekty

Strategie pro odstranění závislosti na dodavateli (Vendor Lock-in): Komplexní průvodce pro IT architekty

Redakce Informatika.cz • 16. února 2026