SaaS platforma v EU: Právní ošetření VOP, GDPR a licenčních ujednání pro AI výstupy

Mgr. Petr Hanzel, LL.M.
Mgr. Petr Hanzel, LL.M.
17.3.2026 | ARROWS advokátní kancelář

Provozujete SaaS platformu v Evropské unii nebo chystáte její uvedení na trh? Pak musíte řešit komplexní soubor právních povinností – od GDPR a autorských práv přes nařízení AI Act až po správné formulování Všeobecných obchodních podmínek a licenčních ujednání. Tento článek vám poskytne konkrétní odpovědi na to, co nesmíte opomenout, jakým rizikům se vystavujete a jak se efektivně vyhnout nejčastějším chybám při právní přípravě vaší platformy.

Na obrázku vidíme advokáta / specialistu na právní povinnosti SaaS platformy.

Rychlé shrnutí

  • SaaS platformy v EU musí splňovat minimálně tři hlavní právní rámce: GDPR (ochrana osobních údajů), AI Act (nařízení o umělé inteligenci) a autorské právo – každý s vlastními sankčními hrozbami, které mohou dosáhnout desítek milionů eur.
  • Všeobecné obchodní podmínky a zpracovatelské smlouvy nejsou volitelný luxus, ale povinné dokumenty, které určují právní postavení poskytovatele a zákazníka a bez nichž se vystavujete odpovědnosti za škody.
  • Licenční ujednání pro AI výstupy zůstávají právním oříškem, protože obsah generovaný umělou inteligencí bez prokazatelného lidského tvůrčího přínosu není podle českého práva autorským dílem.

Právní architektura SaaS platformy

Pokud byste se zeptali právníků na jednu základní otázku, bez níž nelze správně nastavit žádné další právní aspekty SaaS platformy, byla by to tato: Kdo určuje účel a prostředky zpracování osobních údajů? Na odpověď na tuto otázku se váží všechny ostatní povinnosti – od obsahu smluv až po způsob uložení dat.

Právníci z ARROWS advokátní kanceláře denně řeší právě tuto základní problematiku. V EU totiž existují dva klíčové subjekty: správce osobních údajů (ten, kdo rozhoduje, jak a proč se s daty nakládá) a zpracovatel (ten, kdo data zpracovává pro správce podle jeho pokynů). 

U SaaS řešení se situace komplikuje tím, že správců může být více, přičemž provozovatel SaaS platformy je v pozici správce například v situacích, kdy spravuje uživatelské účty svých zákazníků pro účely fakturace.

Na druhé straně, pokud vaši zákazníci používají vaši platformu k tomu, aby do ní vkládali a zpracovávali osobní údaje svých zaměstnanců, klientů nebo obchodních partnerů, je v takovém případě váš zákazník správcem a vy jste zpracovatelem. Právě proto je zásadní vymezit si toto postavení jasně v každé smlouvě – ne jen proto, že to vyžaduje čl. 28 GDPR, ale také proto, aby bylo jasné, kdo nese odpovědnost, pokud dojde k incidentu.

Ještě více se komplikuje situace, když do hry vstoupí třetí strany. Pokud například vaše SaaS platforma běží v cloudu globálního poskytovatele, tento poskytovatel se stává vaším dalším zpracovatelem (subzpracovatelem). Musíte s ním uzavřít vlastní zpracovatelskou smlouvu, která musí poskytovat dostatečné záruky ochrany dat. V praxi se stává, že mnoho SaaS provozovatelů tento řetězec zcela opomene a při kontrole či incidentu se zjistí, že nemají přehled o tom, kdo všechno má k zákaznickým datům přístup.

Související otázky k právní architektuře

1. Jaký je rozdíl mezi správcem a zpracovatelem v GDPR a proč na tom záleží?
Správce určuje účel a prostředky zpracování, zatímco zpracovatel provádí činnosti na základě pokynů správce. V SaaS prostředí jste obvykle zpracovatelem dat svých zákazníků (data, která oni vloží do systému), ale správcem údajů o zákaznících samotných (fakturační údaje, loginy). Toto rozdělení je kritické, protože z něj vyplývají odlišné povinnosti a odpovědnost.

2. Musím mít smlouvu i s cloud providerem, který mi hostuje data?
Ano, bezpodmínečně. Pokud cloud provider má přístup k osobním údajům (což při hostingu má), je v pozici dalšího zpracovatele. Musíte mít uzavřenou smlouvu o zpracování osobních údajů (DPA) nebo akceptovat jejich Data Processing Addendum, které musí splňovat požadavky čl. 28 GDPR.

3. Co když mám více cloud providerů nebo subdodavatelů?
Každý z nich, kdo přichází do styku s osobními údaji, je vaším dalším zpracovatelem. O jejich zapojení musíte informovat své zákazníky (správce) a ti musí mít možnost vznést námitku proti zapojení nového zpracovatele. Všechny tyto subjekty tvoří váš zpracovatelský řetězec.

GDPR a SaaS: Kdy je zpracování údajů legální

Zpracování osobních údajů v SaaS prostředí není právně neutrální aktivita. GDPR stanovuje jasné pravidlo: bez právního titulu (tzv. právního základu) je zpracování zakázané. To znamená, že pokud chcete uchovávat údaje zaměstnanců, sbírat e-mailové adresy klientů nebo logovat IP adresy, musíte mít pro každý tento účel právní důvod.

V GDPR existuje šest právních základů. V praxi se v SaaS prostředí používají nejčastěji čtyři právní základy: plnění smlouvy, plnění právní povinnosti, oprávněný zájem a souhlas subjektu údajů. Právě v oblasti právních základů se skrývá jedno z největších rizik, neboť mnozí poskytovatelé SaaS se mylně domnívají, že mohou data využívat libovolně.

Například "vylepšování služby" pomocí dat klientů vyžaduje pečlivé posouzení, zda jde ještě o oprávněný zájem, nebo zda je nutné data anonymizovat. Právníci z ARROWS advokátní kanceláře tuto problematiku běžně řeší a znají praktické limity tzv. balančních testů (posouzení oprávněného zájmu), které musíte provést a zdokumentovat, pokud se o tento titul opíráte.

Hlavní povinnosti při zpracování osobních údajů

Když již máte právní základ, čeká vás řada dalších povinností. Musíte vést Záznamy o činnostech zpracování (dle čl. 30 GDPR), ve kterých pro každou agendu zaznamenáte účel, kategorii údajů, dobu uchovávání, příjemce a bezpečnostní opatření. Pokud vaše SaaS aplikace využívá AI prvky, které se učí z interakcí uživatelů, měli byste v záznamech výslovně definovat tento účel a jeho rizika.

Dále musíte plnit informační povinnost pomocí tzv. Zásad ochrany osobních údajů (Privacy Policy), kde musíte uživatelům srozumitelně sdělit, jak s jejich daty nakládáte. V praxi to znamená, že pokud uživatel uplatní právo na výmaz, musíte být technicky schopni jej z databáze skutečně odstranit.

Jednou z důležitých povinností je posouzení vlivu na ochranu osobních údajů (DPIA). Pokud provozujete SaaS platformu s pravděpodobně vysokým rizikem pro práva a svobody fyzických osob (např. rozsáhlé zpracování citlivých údajů nebo profilování), GDPR vyžaduje provedení DPIA před zahájením zpracování. Absence DPIA u rizikových systémů je častým terčem kontrol dozorových úřadů.

Bezpečnost dat v SaaS prostředí

V EU jsou požadavky na bezpečnost osobních údajů v SaaS přísné. Podle čl. 32 GDPR musíte přijmout vhodná technická a organizační opatření. To zahrnuje šifrování dat v klidu (at rest) i při přenosu (in transit), což v praxi znamená, že databáze by neměla být uložena v prostém textu a veškerá komunikace musí probíhat přes zabezpečené protokoly.

Dále se vyžaduje řízení přístupů a autentizace. SaaS aplikace by měla mít auditní logy, které zaznamenávají, kdo se přihlásil a jaká data zobrazil či změnil, což je zásadní pro zpětné dohledání příčin bezpečnostních incidentů.

Také musíte mít plán pro řešení bezpečnostních incidentů. GDPR vyžaduje, abyste porušení zabezpečení osobních údajů, které představuje riziko pro práva a svobody osob, oznámili Úřadu pro ochranu osobních údajů (ÚOOÚ) do 72 hodin. Pokud jste v pozici zpracovatele, musíte incident ohlásit svému zákazníkovi (správci) bez zbytečného odkladu, aby on mohl splnit své zákonné povinnosti.

Co vám hrozí, pokud se GDPR nedržíte

Rizika a sankce

Jak pomáhá ARROWS (office@arws.cz)

Pokuta za absenci právního základu: Zpracování bez právního titulu může vést k pokutě až 20 mil. EUR nebo 4 % celosvětového obratu.

Audit a revize právních základů: Právníci z ARROWS provedou audit, identifikují správné právní tituly a pomohou nastavit procesy tak, aby zpracování bylo legální.

Pokuta za nesplnění informační povinnosti: Netransparentní nebo chybějící Privacy Policy je častým důvodem stížností a sankcí.

Příprava Zásad ochrany osobních údajů: ARROWS vypracuje srozumitelné a právně korektní dokumenty, které splní informační povinnost vůči uživatelům.

Sankce za nedostatečné zabezpečení: Únik dat způsobený absencí šifrování nebo slabými hesly je porušením čl. 32 GDPR.

Právní podpora při nastavení bezpečnosti: Pomůžeme definovat přiměřená bezpečnostní opatření a zakotvit je ve smluvní dokumentaci.

Pokuta za nezvládnutý řetězec zpracovatelů: Využívání subdodavatelů bez smluv (DPA) je porušením GDPR.

Revize smluv s dodavateli: Zkontrolujeme a nastavíme zpracovatelské smlouvy s vašimi cloudovými a technologickými partnery.

Chybějící DPIA u rizikových systémů: Spuštění rizikové technologie (např. AI profilování) bez posouzení vlivu je správním deliktem.

Zpracování DPIA: Provedeme vás celým procesem posouzení vlivu, identifikujeme rizika a navrhneme opatření k jejich mitigaci.

AI Act: Povinnosti pro umělou inteligenci v roce 2026

V roce 2026 je nařízení o umělé inteligenci (AI Act) již plně účinné a vymahatelné. Pokud vaše SaaS platforma využívá AI (chatboty, doporučovací algoritmy, generativní modely, analýzu obrazu), musíte být v souladu s touto legislativou. Porušení pravidel pro zakázané praktiky může znamenat pokutu až 35 milionů EUR nebo 7 % celosvětového obratu, u ostatních povinností až 15 milionů EUR nebo 3 % obratu.

AI Act dělí systémy podle míry rizika. Vaše SaaS aplikace pravděpodobně spadá do jedné z následujících kategorií, které AI Act rozlišuje podle míry rizika.

  • Zakázané systémy: Např. sociální skórování, biometrická kategorizace citlivých údajů nebo manipulativní techniky. Tyto funkce nesmíte v EU nabízet.
  • Vysokorizikové systémy (High-Risk AI): Např. systémy používané v náboru zaměstnanců, úvěrovém skóringu, vzdělávání nebo kritické infrastruktuře. Zde jsou povinnosti nejpřísnější.
  • Systémy s omezeným rizikem: Např. chatboty či deep fakes. Zde platí primárně povinnosti transparentnosti.
  • Modely pro obecné účely (GPAI): Pokud integrujete silné modely (LLM), vztahují se na jejich poskytovatele specifická pravidla.

Pokud provozujete vysokorizikový systém, musíte mít zaveden systém řízení rizik, vést technickou dokumentaci, zajistit přesnost a kybernetickou bezpečnost a především umožnit lidský dohled nad rozhodováním systému.

Klasifikace a role v řetězci AI

Zásadní je určit, zda jste poskytovatelem (provider) AI systému, nebo jeho nasazujícím subjektem (deployer). Pokud vyvíjíte vlastní AI model nebo zásadně upravujete model třetí strany pod svou značkou, jste poskytovatelem se všemi povinnostmi (certifikace, registrace v databázi EU).

Pokud pouze využíváte API (např. od poskytovatele globálního modelu) a integrujete ho do své SaaS bez zásadních úprav účelu, jste v pozici nasazujícího subjektu (deployer), který má povinnost zajistit, aby systém používal v souladu s návodem, a zajistit lidský dohled a informovanost uživatelů. Právníci z ARROWS advokátní kanceláře pomáhají klientům správně určit jejich roli a kategorii rizika, což může ušetřit obrovské náklady na compliance.

Transparentnost a označování obsahu

AI Act v čl. 50 vyžaduje transparentnost. Uživatel musí vědět, že komunikuje se strojem (chatbot). Dále platí povinnost označovat výstupy generované umělou inteligencí tak, aby byly strojově detekovatelné (vodoznaky, metadata), což se týká zejména generátorů obrázků, videa a zvuku (deep fakes). Pokud vaše SaaS generuje obsah, musíte zajistit, aby byl jako umělý identifikovatelný.

Autorská práva a obsah generovaný umělou inteligencí

Jedním z nejpalčivějších témat pro SaaS operátory je otázka, komu patří obsah generovaný AI. Odpověď českého práva je v roce 2026 stále poměrně striktní. Podle autorského zákona (§ 5) může být autorem pouze fyzická osoba.

Soudní praxe (např. rozhodnutí Městského soudu v Praze ve věci obrázku generovaného AI) potvrzuje, že výstup vytvořený umělou inteligencí bez podstatného tvůrčího vkladu člověka není autorským dílem. Samotné zadání textového promptu zpravidla nestačí k tomu, aby vzniklo autorské právo k výsledku.

To má pro vaši SaaS platformu zásadní důsledky. Pokud chcete poskytnout svým uživatelům AI funkci, která generuje obsah (texty, grafiku), a chcete jim smluvně "převést autorská práva", právně narážíte na fakt, že žádná autorská práva nevznikla. Nemůžete převést to, co neexistuje.

Jak to řešit v licenčních podmínkách

Řešením je transparentnost a správná formulace VOP.

  • Nevyvolávejte dojem exkluzivity: Upozorněte uživatele, že AI výstupy nemusí být chráněny autorským právem a že stejný prompt může vygenerovat podobný výstup i jinému uživateli.
  • Lidský tvůrčí vklad: Pokud vaše platforma umožňuje uživateli výstup dále editovat a upravovat, může autorské právo vzniknout k tomuto finálnímu, člověkem upravenému dílu.
  • Trénovací data: AI Act ukládá povinnost poskytovatelům GPAI modelů zveřejnit shrnutí obsahu použitého pro trénování modelu.

Všeobecné obchodní podmínky a zpracovatelské smlouvy

VOP pro SaaS nejsou jen formalitou. Jsou to dokumenty, které definují váš obchodní vztah. V EU se VOP pro B2B SaaS běžně strukturují následovně:

  • Předmět služby: SaaS je služba (pronájem přístupu), nikoliv prodej zboží. Zákazník nezískává software do vlastnictví.
  • Licenční podmínky: Rozsah užití, počet uživatelů, zákaz zpětné analýzy (reverse engineering).
  • Dostupnost (SLA): Garance dostupnosti a sankce za výpadky.
  • Odpovědnost za škodu: Klíčová část. V B2B vztazích lze odpovědnost limitovat, což vás chrání před likvidačními nároky.
  • Ochrana dat (DPA): Často formou přílohy řešící GDPR.
Datový zákon (Data Act) a přenositelnost

Od září 2025 se plně uplatňuje nařízení o datech (Data Act). Pro poskytovatele cloudových služeb (včetně SaaS) zavádí povinnost odstranit překážky pro změnu poskytovatele. Musíte zajistit, aby zákazník mohl snadno přejít ke konkurenci – tedy umožnit export jeho dat ve strukturovaném, běžně používaném a strojově čitelném formátu. Praktiky uzamykání zákazníka (vendor lock-in) jsou tímto nařízením postihovány.

Rizika a sankce

Jak pomáhá ARROWS (office@arws.cz)

Absence limitace odpovědnosti: Odpovídáte za veškerou škodu a ušlý zisk způsobený výpadkem nebo chybou aplikace.

Nastavení limitů odpovědnosti: Připravíme platná ujednání o omezení náhrady škody (cap), která obstojí před soudem.

Chybějící zpracovatelská smlouva (DPA): Pokuta od ÚOOÚ a nedůvěra enterprise klientů.

Příprava GDPR dokumentace: Dodáme DPA, která splňuje čl. 28 GDPR a chrání vás i při zapojení subdodavatelů.

Nevyjasněná autorská práva: Uživatelé si myslí, že vlastní software, nebo naopak vy neoprávněně nárokujete jejich data.

Autorskoprávní doložky: Jasně vymezíme, co patří vám (platforma), co uživateli (data) a jaký režim mají AI výstupy.

Porušení Data Actu: Znemožnění exportu dat nebo neúměrné poplatky za odchod klienta.

Compliance s Data Actem: Poradíme, jak nastavit procesy ukončení smlouvy a exportu dat v souladu s novou legislativou.

Praktické kroky: Jak správně nastavit SaaS

Chcete-li mít svou SaaS platformu právně bezpečnou, postupujte takto:

  • Určete role: Kdy jste správce a kdy zpracovatel? Máte zmapované toky dat?
  • Klasifikujte AI: Spadá vaše řešení pod AI Act? Je vysokorizikové?
  • Vytvořte dokumentaci na míru: Zkopírované VOP od konkurence vás neochrání. Potřebujete VOP, DPA a Privacy Policy odpovídající vašemu technickému řešení.
  • Zmapujte subdodavatele: Mějte uzavřené smlouvy s cloud providery a dalšími zpracovateli.
  • Nastavte procesy: Incident response plán, vyřizování práv subjektů údajů, export dat dle Data Actu.
  • Zabezpečte aplikaci: Šifrování, logování, zálohování.

Pokud se vám zdá, že je toho moc, máte pravdu. Právo technologií je složité. Právníci z ARROWS advokátní kanceláře se danou problematikou zabývají denně. Pokud si nejste jisti, kde začít, napište nám na office@arws.cz – rádi vám pomůžeme s právní analýzou a přípravou dokumentace.

FAQ – Nejčastější právní dotazy k SaaS platformě v EU

1. Musím s každým zákazníkem podepisovat papírovou smlouvu?
Ne. V B2B i B2C sektoru lze smlouvu uzavřít elektronicky (tzv. click-through), kdy zákazník odškrtne souhlas s VOP. Důležité je zajistit, aby VOP byly dostupné před uzavřením smlouvy a aby zákazník mohl si je uložit. Pro velké enterprise klienty se však často uzavírají individuální rámcové smlouvy.

2. Co je to DPA a proč nestačí jen VOP?
DPA (Data Processing Agreement) je specifická dohoda vyžadovaná článkem 28 GDPR, pokud zpracováváte osobní údaje pro někoho jiného. Může být součástí VOP (jako příloha), ale musí obsahovat zákonné náležitosti (předmět zpracování, povinnosti, mlčenlivost, subzpracovatelé). Bez ní je zpracování nezákonné.

3. Jaké sankce hrozí dle AI Actu?
Sankce jsou odstupňované. Za zakázané praktiky hrozí až 35 mil. EUR nebo 7 % obratu. Za porušení povinností u vysokorizikových systémů až 15 mil. EUR nebo 3 % obratu. Za poskytnutí nesprávných informací úřadům až 7,5 mil. EUR nebo 1,5 % obratu.

4. Mohu použít data zákazníků pro trénování své AI?
Jen velmi opatrně. Pokud jde o osobní údaje, musíte mít právní titul (často jen se souhlasem nebo po důkladné anonymizaci). Pokud jde o autorská díla či obchodní tajemství, musíte to mít smluvně ošetřeno ve VOP. Automatické vytěžování dat bez vědomí klienta je právně rizikové.

5. Jak funguje SLA a odpovědnost za výpadky?
SLA (Service Level Agreement) definuje garantovanou úroveň služby (např. dostupnost 99,9 %). Pokud ji nedodržíte, zákazník má obvykle nárok na smluvní pokutu nebo slevu (kredit). Dobře nastavené SLA zároveň slouží jako limit vaší odpovědnosti – pokud dodržíte SLA (nebo vyplatíte kredit), zákazník by neměl mít nárok na další náhradu škody, je-li to tak ve smlouvě sjednáno.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.

Čtěte také