Komplexní revize IT smluv: Zajištění právní ochrany v oblasti implementace a podpory softwaru

JUDr. Jakub Dohnal, Ph.D., LL.M.
JUDr. Jakub Dohnal, Ph.D., LL.M.
15.4.2026 | ARROWS advokátní kancelář

Revize IT smluv patří k nejkritičtějším, přesto často opomíjeným oblastem obchodního práva. Mnoho firem se obává technických chyb v softwaru, ale přehlíží právní rizika vedoucí k nečekaným pokutám, zablokování projektu nebo soudním sporům. Článek vás seznamuje s právními mechanismy ochrany, běžnými úskalími a praktickými kroky, jak se vyhnout komplikacím v implementačních a servisních smlouvách.

Fotka zobrazuje odborníka konzultujícího revizi IT smluv.

Shrnutí v bodech

  • Nerevizovaná IT smlouva často skrývá nedefinované povinnosti, nejasné odpovědnosti za vady a riziko „vendor lock-in“ bez možnosti ukončit projekt bez sankcí.
  • Právníci ARROWS advokátní kanceláře zdůrazňují, že zejména klauzule o akceptačních procedurách, odpovědnosti za data a eskalaci sporů mohou mít pro váš podnik existenční dopad.
  • Chybějící nebo vágní SLA (Service Level Agreements) znamenají, že máte velmi slabou pozici v průběhu provozu a nemůžete efektivně vymáhat dostupnost systému.
  • Správné nastavení licenčních práv k duševnímu vlastnictví, přístupu ke zdrojovému kódu a možnosti migrace dat je rozhodující pro dlouhodobou nezávislost vaší firmy.

Proč je revize IT smluv obzvlášť riziková

Smlouvy o dílo v IT a servisní smlouvy patří k oblastem, kde se právní a technická realita často střetávají. Vývojář či dodavatel softwaru slibuje funkční systém, ale co se stane, když se projekt zpozdí o měsíce? Jaká máte práva, když software neodpovídá dohodnuté specifikaci?

Právníci z ARROWS advokátní kanceláře se setkávají s případy, kdy statutární orgány firem podepsaly smlouvu bez důkladného právního přezkumu a později zjistily závažné nedostatky. Často jde o situace, kdy si dodavatel vyhradil právo jednostranně měnit funkcionality či ceník bez souhlasu klienta.

Dalším častým problémem je smluvní pokuta za předčasné ukončení smlouvy, která je nepřiměřeně vysoká a v praxi znemožňuje změnu dodavatele. Jakmile je smlouva podepsána, vaše vyjednávací pozice dramaticky slábne a změny jsou těžko prosaditelné. U IT kontraktů proto dává smysl řešit nastavení změnových řízení, exit klauzulí i sankcí v rámci smluv a vyjednávání.

Hlavní právní rizika v IT smlouvách

Neurčitost rozsahu prací

Scope (předmět plnění) je nejdůležitější součástí smlouvy, ale zároveň nejčastějším zdrojem sporů. Pokud není v technické příloze přesně definováno, co je součástí implementace a co již spadá do placeného rozvoje, dochází ke konfliktům.

Typický případ často zahrnuje situaci, kdy smlouva uvádí „implementace informačního systému“, ale již neřeší migraci historických dat či integraci s API třetích stran, což následně vede k účtování víceprací.

Právníci ARROWS advokátní kanceláře doporučují strukturovat smlouvu dle fází analýzy, designu, vývoje, testování, nasazení a stabilizace, přičemž v každé fázi musí být definovány konkrétní výstupy.

Absence nebo nevymahatelné SLA

SLA je právně závazný parametr kvality služby, který definuje reakční doby, dobu vyřešení incidentu a garantovanou dostupnost. Bez kvalitního SLA nemáte praktickou možnost, jak vymáhat plnění. Pokud se dodavatel opakovaně dostává do prodlení nebo neplní SLA, bývá na místě vyhodnotit i procesní strategii včetně důkazů a nároků, což spadá do agendy obchodních a soudních sporů.

Efektivní SLA obsahuje:

  • Reakční doba : Čas, do kterého musí dodavatel potvrdit přijetí incidentu.
  • Doba vyřešení : Maximální doba pro odstranění vady nebo poskytnutí náhradního řešení.
  • RTO a RPO : Maximální přípustná doba výpadku a maximální přípustná ztráta dat.
  • Dostupnost : Garantované procento času, kdy systém běží.
  • Sankce : Konkrétní smluvní pokuty nebo slevy za nedodržení parametrů.
Odpovědnost za data a bezpečnost

Zde se jedná o právní hranici, kterou musí smluvní strany jasně vymezit. Bezpečnostní incident má nejen technické, ale i právní důsledky dle GDPR a zákona o kybernetické bezpečnosti. Praktický rámec pro smluvní nastavení rolí správce a zpracovatele a minimalizaci rizik při zapojení třetích stran shrnuje i novinka SaaS platforma v EU: Právní ošetření VOP, GDPR a licenčních ujednání pro AI výstupy.

Typický právní problém nastává, když smlouva uvádí, že dodavatel neručí za ztrátu dat. Takové ustanovení může být v rozporu s kogentními ustanoveními občanského zákoníku o náhradě újmy. Musíte mít definováno:

  • Bezpečnostní standardy : Povinnost dodržovat konkrétní normy.
  • Součinnost při incidentu : Povinnost dodavatele hlásit incidenty bezodkladně.
  • Zálohování a obnova : Pravidla pro zálohování a testování obnovy.
  • Pojištění : Povinnost dodavatele mít pojištění profesní odpovědnosti.
Duševní vlastnictví a vendor lock-in

Kdo vykonává majetková práva k výslednému kódu, designu a databázím? Dle autorského zákona platí, že pokud není sjednáno jinak, autor poskytuje pouze licenci k užití díla, nikoliv právo do něj zasahovat.

Představte si situaci, kdy chcete systém po letech modernizovat, ale původní dodavatel již neexistuje a vy nemáte přístup ke zdrojovým kódům, čímž se dostáváte do pasti tzv. vendor lock-in.

Právníci z ARROWS doporučují vyjednat co nejširší licenci s právem provádět úpravy a u software na míru trvat na předání zdrojových kódů či využití institutu úschovy kódu. Praktické dopady špatně nastavených smluvních vztahů a prevence budoucích sporů jsou rozpracovány i v novince Prevence sporů v holdingu: Nastavení smluvních vztahů mezi propojenými společnostmi.

Akceptační procedura

Okamžik akceptace je právně klíčový, protože jím přechází nebezpečí škody na věci a začíná běžet záruční doba. Pokud smlouva neobsahuje objektivní kritéria, dodavatel může tvrdit, že dílo je hotové, i když systém vykazuje vady.

Správný přístup zahrnuje:

  • Akceptační kritéria : Seznam podmínek, které musí systém splnit.
  • Akceptační testy : Právo klienta provést testování v přiměřené lhůtě.
  • Kategorizace vad : Rozdělení vad na kritické a drobné.
  • Podmíněné platby : Vázání poslední části ceny na úspěšný podpis protokolu.
Proces eskalace a řešení sporů

Během implementace mohou nastat neshody a bez definovaného procesu se spor často zbytečně vyhrotí. Dobrá smlouva obsahuje stupně řešení od eskalace na řídící výbor přes mediaci až po soudní řízení.

Právníci z ARROWS advokátní kanceláře podotýkají, že efektivně nastavená eskalace často ušetří měsíce času a statisíce korun za soudní poplatky.

Související otázky k právním rizikům IT smluv

1. Musíme mít v IT smlouvě všechny uvedené prvky?
Záleží na komplexitě. U krabicového softwaru (SaaS) často akceptujete veřejné obchodní podmínky, ale u implementací na míru nebo u ERP systémů je absence těchto prvků hazardem. Právníci ARROWS doporučují přizpůsobit robustnost smlouvy hodnotě a rizikovosti projektu.

2. Co když je ustanovení ve smlouvě neplatné?
Dle občanského zákoníku je upřednostňován výklad, který smlouvu zachovává v platnosti, a obvykle se používá tzv. salvátorská klauzule. Pokud však chybí podstatná náležitost, jako je dostatečné určení předmětu díla, může být smlouva považována za neplatnou od počátku.

3. Kdo má mít pojištění odpovědnosti?
Dodavatel by měl disponovat pojištěním profesní odpovědnosti a ideálně i pojištěním kybernetických rizik. Vy jako klient byste měli mít vlastní kybernetické pojištění pro případ škod, které nelze vymoci na dodavateli.

Praktický postup při revizi IT smlouvy

Fáze 1: Právní audit

Než cokoliv změníte, je nutné identifikovat rizika. Právníci z ARROWS provádí analýzu návrhu smlouvy a označují kritická místa, která jsou v rozporu s vašimi zájmy nebo platnou legislativou. Příkladem může být nepřijatelná klauzule o omezení náhrady škody na symbolickou částku.

Fáze 2: Vyjednávání a připomínkování

Dodavatelé často tvrdí, že používají „standardní korporátní šablony“, které nelze měnit. Zkušenost ARROWS ukazuje, že každá smlouva je k jednání, zejména pokud argumentujete souladem s českou legislativou a symetrií práv a povinností.

Fáze 3: Finalizace a podpis

Změny se zapracují formou revizí nebo dodatků. Důležité je zajistit, aby technické přílohy nebyly v rozporu s hlavní právní částí smlouvy, což je častá chyba při kompletaci dokumentace.

Bezpečnost a GDPR v IT smlouvách

Implementace software téměř vždy zahrnuje přístup k osobním údajům. Pokud dodavatel přistupuje k datům vašich klientů či zaměstnanců, stává se zpracovatelem a vyžaduje uzavření Zpracovatelské smlouvy.

Pokud dodavatel přistupuje k osobním údajům vašich klientů či zaměstnanců, stává se dle čl. 28 GDPR zpracovatelem a musíte s ním uzavřít zpracovatelskou smlouvu.

Smlouva by vám měla garantovat právo provést audit bezpečnosti u dodavatele, což vyžaduje i směrnice NIS2 transponovaná do českého zákona o kybernetické bezpečnosti.

Smluvní lhůta pro nahlášení bezpečnostního incidentu dodavatelem musí být kratší než 72 hodin, abyste vy jako správce stihli splnit svou zákonnou povinnost vůči dozorovému úřadu.

Možné problémy

Jak pomáhá ARROWS (office@arws.cz)

Nejasný rozsah prací a spory o vícepráce

Právníci ARROWS precizují definici předmětu plnění a naváží jej na konkrétní akceptační procedury.

Absence SLA nebo bezzubé sankce

Nastavíme vymahatelné SLA s jasnými metrikami a motivačními smluvními pokutami.

Rizika spojená s GDPR a kyberbezpečností

Připravíme Zpracovatelskou smlouvu (DPA) a klauzule o kybernetické bezpečnosti v souladu se zákonem.

Vendor lock-in a autorská práva

Zajistíme licenční ujednání tak, abyste měli kontrolu nad dalším rozvojem systému a daty.

Neefektivní řešení sporů

Nastavíme stupňovaný proces eskalace, který minimalizuje náklady a časové prodlevy před případným soudem.

Specifické situace a klíčové prvky

Cloud vs. On-premise

U cloudu (SaaS) je klíčová dostupnost, místo uložení dat a proces exit managementu, tedy jak dostanete svá data zpět při ukončení smlouvy. Data jsou v tomto případě uložena u dodavatele, což vyžaduje specifické záruky.

U on-premise řešení, tedy instalace na vaší infrastruktuře, je rozhodující rozsah licence (trvalá vs. časově omezená). Dále je nutné ošetřit záruku za dílo a maintenance, což zahrnuje právo na nové verze a bezpečnostní záplaty.

Agilní vývoj vs. Waterfall

Metoda Waterfall se vyznačuje pevným rozsahem, cenou i termínem, a právně se obvykle řeší jako smlouva o dílo s důrazem na akceptaci celku. Je vhodná pro jasně definované projekty.

Agilní vývoj je právně složitější, protože se často účtuje dle vykázaného času. Zde je nutné smluvně ošetřit právo klienta měnit priority, definici dokončení úkolu a mechanismus zastropování rozpočtu, aby se projekt neúměrně neprodražil.

Související otázky k nastavení bezpečnosti

1. Musíme jmenovitě uvádět bezpečnostní standardy?
Ano, odkaz na konkrétní normy (např. ČSN ISO/IEC 27001) je právně mnohem jistější než vágní formulace typu „dodavatel zajistí přiměřenou bezpečnost“. U regulovaných subjektů dle zákona o kybernetické bezpečnosti je to nutnost.

2. Jak řešit SLA u Open-source softwaru?
U samotného open-source kódu nelze obvykle nárokovat záruky od komunity. Smlouvu a SLA však uzavíráte s integrátorem, který vám garantuje službu podpory a provozu tohoto softwaru a za tuto službu musí ručit.

3. Je pojištění povinné ze zákona?
Pojištění kybernetických rizik není obecně zákonem povinné, ale v obchodním styku je standardem požadovat jej smluvně. Kryje náklady na forenzní experty, právní zastoupení a případné náhrady škod třetím stranám.

Jak postupovat při problémech během implementace

Pokud zjistíte, že smlouva je nevýhodná až v průběhu projektu, pokuste se sjednat dodatek ke smlouvě. Často je možné vyměnit ústupek v harmonogramu za zpřísnění SLA nebo doplnění chybějící licence.

Jestliže dodavatel neplní, je nutné vady formálně vytknout v souladu se smlouvou a zákonem, protože dokumentace je klíčová pro případný soudní spor. Pokud je porušení podstatné, občanský zákoník umožňuje odstoupení od smlouvy, což je však krajní řešení vyžadující analýzu.

Právníci z ARROWS advokátní kanceláře vám pomohou situaci analyzovat a zvolit strategii, která minimalizuje škody.

Závěrečné shrnutí

Revize IT smlouvy je základním prvkem řízení rizik, který chrání investici do technologií před právními vadami. Ty mohou být ve výsledku nákladnější než samotný software.

Typické riziko ignorance zahrnuje podpis smlouvy bez revize, následný vendor lock-in, nemožnost migrace dat a vysoké náklady na právní spory při selhání dodavatele.

Právníci ARROWS advokátní kanceláře se specializují na IT právo a duševní vlastnictví. Naším cílem není jen právní správnost, ale především obchodní funkčnost a vymahatelnost smlouvy v praxi.

Pokud plánujete IT projekt nebo potřebujete revidovat stávající smluvní vztahy, ARROWS advokátní kancelář vám pomůže nastavit férové a bezpečné podmínky. Kontaktujte nás na office@arws.cz pro nezávaznou konzultaci.

Časté dotazy 

1. Kolik stojí revize IT smlouvy a jak dlouho trvá?
Cena se odvíjí od rozsahu a složitosti, přičemž revize standardně trvá 5 až 10 pracovních dnů. Pro konkrétní cenovou nabídku kontaktujte office@arws.cz.

2. Je lepší smlouvu vypovědět a začít znovu, nebo ji opravit dodatkem?
Pokud je projekt v běhu a vztahy nejsou nenapravitelně narušeny, je efektivnější a levnější uzavřít dodatek, který narovná chybějící parametry. Ukončení smlouvy s sebou nese rizika sporů o vypořádání již provedených prací.

3. Můžeme si smlouvu upravit sami?
Laické zásahy do smluv často vedou k vnitřním rozporům nebo k použití neplatných ustanovení. Doporučujeme odbornou revizi, která zajistí konzistenci a právní jistotu.

4. Co jsou to akceptační kritéria?
Jsou to objektivně měřitelné podmínky pro převzetí díla, například že systém zpracuje určitý počet požadavků za hodinu. Bez nich je převzetí subjektivní a obtížně vymahatelné.

5. Má SLA smysl u malého dodavatele?
Ano, i malý dodavatel musí garantovat kvalitu služby, protože SLA definuje očekávání. Pokud malá firma nemůže garantovat extrémně vysokou dostupnost, SLA by mělo reflektovat realitu a nastavit férovou cenu odpovídající této kvalitě.

6. Jak řešit smlouvu se zahraničním dodavatelem?
Je nutné určit rozhodné právo a místo řešení sporů, přičemž pozor je třeba dát na předávání osobních údajů mimo EU. Právníci ARROWS International mají s přeshraničními IT kontrakty rozsáhlé zkušenosti.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory, a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.

Čtěte také