Právní aspekty využívání cloudu ve veřejném sektoru
Bezpečnost dat a veřejné zakázky
Využívání cloud computingu ve veřejné správě již není volbou, ale strategickou nutností pro efektivní a moderní fungování státu. Přechod do cloudu však s sebou nese komplexní právní výzvy, od přísných požadavků na bezpečnost dat až po specifická pravidla pro veřejné zakázky. V tomto článku naleznete jasné a praktické odpovědi, jak se v této složité legislativě zorientovat, minimalizovat rizika a zajistit, aby vaše cesta do cloudu byla nejen úspěšná, ale i právně neprůstřelná.

Proč je cloud pro veřejnou správu strategickou nutností (a právní minové pole)?
Tato strategická modernizace je však obklopena hustou sítí vzájemně provázaných právních předpisů. Nejde jen o jeden zákon, ale o komplexní ekosystém, kde každá část ovlivňuje ty ostatní. Klíčové je porozumět souhře Zákona o informačních systémech veřejné správy (ZoISVS), Zákona o kybernetické bezpečnosti (ZKB), Obecného nařízení o ochraně osobních údajů (GDPR) a Zákona o zadávání veřejných zakázek (ZZVZ).
Právě v tomto bodě se projevuje zásadní paradox: stát na jedné straně tlačí na digitalizaci a využívání cloudu, ale zároveň vytváří vysoce komplexní a přísný regulatorní rámec. Pro orgán veřejné správy to znamená, že musí kráčet po cestě, která je plná právních nástrah. Chybný krok v jedné oblasti, například nesprávné nastavení zadávacího řízení, může vést nejen k jeho zrušení, ale i k porušení pravidel kybernetické bezpečnosti a GDPR, což s sebou nese riziko citelných finančních sankcí.
V advokátní kanceláři ARROWS se na tuto problematiku specializujeme a denně pomáháme orgánům veřejné správy i velkým korporacím s bezpečným nastavením jejich digitálních projektů. Pro okamžité řešení vaší situace nám napište na konzultace@arws.cz.
Český právní labyrint: Jak se vyznat v zákoně o ISVS a „cloudových vyhláškách“?
Cesta k legálnímu využívání cloudu ve veřejné správě není jednoduchým seznamem úkolů, ale přísně navazujícím procesem, kde chyba v prvním kroku znehodnotí všechny následující. Zákon č. 365/2000 Sb., o informačních systémech veřejné správy (ZoISVS), a na něj navazující tzv. cloudové vyhlášky definují jasný postup, který je nutné dodržet.
Krok 1: Klasifikace systému a stanovení bezpečnostní úrovně
Vše začíná u vás. Než vůbec začnete poptávat jakoukoli cloudovou službu, musíte provést interní klasifikaci vašeho informačního systému. Podle Vyhlášky č. 315/2021 Sb. musíte zhodnotit, jaký by byl nejhorší možný dopad, kdyby došlo k narušení důvěrnosti, integrity nebo dostupnosti dat ve vašem systému. Na základě tohoto posouzení zařadíte systém do jedné ze čtyř bezpečnostních úrovní: nízká, střední, vysoká nebo kritická.
Krok 2: Povinnost výběru z Katalogu cloud computingu
Jakmile znáte požadovanou bezpečnostní úroveň, přichází na řadu klíčový nástroj – Katalog cloud computingu. Tento seznam, spravovaný Digitální a informační agenturou (DIA), obsahuje prověřené poskytovatele a jejich konkrétní cloudové služby, které splnily zákonné požadavky.
Od 1. ledna 2024 platí pro orgány veřejné správy striktní povinnost využívat pouze služby a poskytovatele zapsané v tomto katalogu.
Krok 3: Co musí splnit poskytovatel?
Zápis do katalogu není formalita. Poskytovatelé musí splnit rozsáhlé technické a bezpečnostní požadavky stanovené Vyhláškou č. 316/2021 Sb.. Jejich způsobilost navíc posuzuje nejen DIA, ale u vyšších bezpečnostních úrovní vydává závazné stanovisko i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Pro vás jako klienta to znamená, že nabídky v katalogu prošly základním sítem a splňují minimální standardy.
Krok 4: Vaše průběžné povinnosti
Tím ale vaše povinnosti nekončí. Vyhláška č. 190/2023 Sb. stanovuje bezpečnostní pravidla přímo pro vás jako uživatele cloudových služeb. Musíte mít například definovanou tzv. exit strategii pro případ ukončení smlouvy, zajistit řízení přístupů nebo ochranu proti DDoS útokům. Důležité je, že tato vyhláška dopadá i na smlouvy uzavřené před její účinností, a to s povinností zajistit soulad od 1. ledna 2024, což vyvolává naléhavou potřebu revize stávajících kontraktů.
Správné nastavení celého procesu od samého začátku je klíčové. Právníci ARROWS vám mohou pomoci s právním auditem a poskytnout konzultace, které zajistí soulad s celým tímto komplexním legislativním rámcem. Potřebujete právní pomoc? Kontaktujte nás na konzultace@arws.cz.
Veřejné zakázky na cloud: Jak správně soutěžit a vyhnout se zrušení tendru?
Nákup cloudových služeb se řídí Zákonem o zadávání veřejných zakázek (ZZVZ), což vnáší do procesu další vrstvu složitosti. Zadavatelé se ocitají v napětí mezi dvěma protichůdnými tlaky. Na jedné straně ZZVZ vyžaduje maximálně otevřenou a nediskriminační soutěž. Na druhé straně specifická cloudová legislativa (ZoISVS) a požadavky NÚKIB nutí zadavatele k vysoké míře specifičnosti a omezují výběr pouze na předem schválené poskytovatele z Katalogu.
Pro zjednodušení nákupu zejména softwarových služeb (SaaS) zavedla DIA tzv. Dynamický nákupní systém (DNS). Tento nástroj umožňuje orgánům veřejné správy pružněji a transparentněji poptávat služby od dodavatelů, kteří jsou již pro účast v DNS kvalifikováni. DIA v tomto procesu vystupuje jako centrální zadavatel, což může menším úřadům výrazně snížit administrativní zátěž.
I přes existenci DNS zůstává největším rizikem špatně připravená zadávací dokumentace. Úřad pro ochranu hospodářské soutěže (ÚOHS) často ruší IT zakázky z několika typických důvodů. Může jít o příliš obecně vymezený předmět zakázky, který vede k podání nesrovnatelných nabídek, nebo naopak o příliš omezující technické požadavky, které bezdůvodně zvýhodňují jednoho konkrétního dodavatele a jsou považovány za diskriminační.
Klíčem k úspěchu je precizně formulovaná zadávací dokumentace a technická specifikace, která najde rovnováhu mezi obecností a konkrétností. ARROWS disponuje unikátní kombinací expertízy v oblasti veřejných zakázek i ICT práva. Našim klientům pomáháme připravit nebo revidovat zadávací podmínky tak, aby byly nejen v souladu se všemi zákony, ale také obhajitelné v případě námitek či přezkumu ze strany ÚOHS.
Rizika v procesu veřejné zakázky na cloudové služby
|
Rizika a sankce |
Jak pomáhá ARROWS |
|
Zrušení zadávacího řízení ze strany ÚOHS pro diskriminační nebo netransparentní podmínky. |
Příprava a revize zadávací dokumentace, která je v souladu se ZZVZ i specifickými požadavky na cloud. Potřebujete revidovat dokumentaci? Kontaktujte nás na konzultace@arws.cz. |
|
Podání námitek neúspěšnými uchazeči, které zdrží nebo zmaří celý projekt. |
Zastupování v řízení o námitkách a před ÚOHS. Jsme připraveni hájit váš postup. Potřebujete právní zastoupení? Spojte se s námi na konzultace@arws.cz. |
|
Neschopnost vybrat vhodného dodavatele kvůli nesrovnatelným nabídkám v důsledku chybné specifikace. |
Právní konzultace při definování technických a smluvních požadavků. Pomůžeme vám nastavit jasná a objektivní kritéria. Pro okamžité řešení vaší situace nám napište na konzultace@arws.cz. |
|
Uzavření nevýhodné smlouvy, která neřeší klíčové aspekty jako exit strategii nebo ochranu dat. |
Příprava nebo revize smluv, které chrání vaše zájmy po celou dobu životnosti systému. Chcete mít jistotu ve smlouvách? Obraťte se na nás na konzultace@arws.cz. |
GDPR a bezpečnost dat: Vaše největší odpovědnost v cloudu
Přesunem dat do cloudu se nezbavujete odpovědnosti za jejich ochranu. Naopak. Podle GDPR jste v pozici správce osobních údajů, zatímco poskytovatel cloudu je zpracovatelem.
Veškerá konečná odpovědnost za soulad se zákonem a za případné úniky dat leží vždy na vás jako na správci. Proto je naprosto nezbytné mít s poskytovatelem uzavřenou detailní smlouvu o zpracování osobních údajů, která přesně vymezuje jeho povinnosti v souladu s článkem 28 GDPR.
Naši specialisté pro Vás:
Nejsložitější právní výzvou je bezesporu předávání osobních údajů do třetích zemí, zejména do USA, kde sídlí největší poskytovatelé cloudových služeb (tzv. hyperscaleři jako Microsoft, Google, Amazon). Rozsudek Soudního dvora EU známý jako Schrems II v roce 2020 zneplatnil dosavadní mechanismus (Privacy Shield) a konstatoval, že americké zákony o dohledu nad komunikací nejsou slučitelné s evropským právem na ochranu soukromí.
Jako reakce vznikl nový mechanismus, tzv. EU-US Data Privacy Framework. Poskytovatelé zapsaní v tomto rámci by měli nabízet dostatečnou úroveň ochrany. Jeho právní stabilita však může být v budoucnu opět zpochybněna. Proto je pro orgány veřejné moci, které zpracovávají citlivá data občanů, klíčové provést vlastní posouzení vlivu na ochranu osobních údajů (DPIA) a analýzu rizik spojených s přenosem dat (Transfer Impact Assessment).
Nesmíme zapomínat ani na roli NÚKIB, který stanovuje závazné bezpečnostní standardy. Porušení GDPR může vést k pokutám v řádu stovek milionů korun (v ČR byla udělena rekordní pokuta 351 milionů Kč) , zatímco nedodržení Zákona o kybernetické bezpečnosti může znamenat sankce až 250 milionů Kč.
Díky naší síti ARROWS International řešíme otázky mezinárodního práva a přenosu dat prakticky denně a dokážeme přesně posoudit rizika spojená s využitím zahraničních poskytovatelů.
Jak se nechytit do pasti „Vendor Lock-in“?
Kromě regulatorních rizik číhá na veřejnou správu i významné obchodní riziko známé jako vendor lock-in. Jde o stav, kdy se stanete natolik závislí na technologii, službách nebo know-how jednoho dodavatele, že přechod k jinému je buď technicky extrémně náročný, nebo finančně neúnosný. V praxi to znamená ztrátu vyjednávací síly, skokové navyšování cen za údržbu a další rozvoj a nemožnost inovovat.
Z pohledu veřejného zadavatele je vendor lock-in obzvláště nebezpečný. Efektivně totiž likviduje budoucí hospodářskou soutěž a nutí vás zadávat navazující zakázky v jednacím řízení bez uveřejnění, což je postup, který je vždy pod drobnohledem ÚOHS a kontrolních orgánů.
Nejlepší obranou je prevence. Riziku vendor lock-in musíte čelit již ve fázi přípravy zadávacího řízení a při tvorbě smlouvy. Klíčové je trvat na smluvních a technických zárukách, které vám ponechají otevřené dveře pro budoucí změny.
Mezi nejdůležitější patří:
- Využívání otevřených standardů a detailně zdokumentovaných API rozhraní.
- Smluvní garance přenositelnosti dat a jasná definice datových formátů pro export.
- Zajištění odpovídajících licencí k duševnímu vlastnictví a u software na míru nekompromisní požadavek na úschovu zdrojových kódů (source code escrow).
V ARROWS se specializujeme na přípravu a revizi implementačních a licenčních smluv, které tyto ochranné mechanismy proaktivně zabudovávají a chrání tak vaši dlouhodobou investici.
Rizika spojená s GDPR a kybernetickou bezpečností
|
Rizika a sankce |
Jak pomáhá ARROWS |
|
Vysoké pokuty od ÚOOÚ za porušení GDPR (až 351 mil. Kč v ČR) nebo od NÚKIB za porušení ZKB (až 250 mil. Kč). |
Příprava komplexní dokumentace (DPIA, interní směrnice), která vás ochrání před pokutami a prokáže soulad. Potřebujete připravit ochrannou dokumentaci? Napište nám na konzultace@arws.cz. |
|
Nezákonný přenos dat do USA v rozporu s rozsudkem Schrems II, vedoucí k zákazu zpracování a sankcím. |
Právní stanoviska a analýzy rizik (TIA) pro posouzení legality využití konkrétních cloudových služeb. Chcete znát své právní možnosti? Spojte se s námi na konzultace@arws.cz. |
|
Kybernetický bezpečnostní incident s dopadem na data občanů a reputaci úřadu. |
Odborná školení pro zaměstnance a vedení v oblasti kybernetické bezpečnosti a GDPR s certifikátem. Chcete posílit prevenci a proškolit zaměstnance? Kontaktujte nás na konzultace@arws.cz. |
|
Osobní odpovědnost vedení za škody způsobené kybernetickým incidentem, včetně hrozby zákazu výkonu funkce. |
Právní konzultace a zastupování u správních orgánů, které chrání management před osobním postihem. Čelíte hrozbě osobního postihu? Neváhejte se obrátit na naši kancelář – konzultace@arws.cz. |
ARROWS: Váš partner pro bezpečnou a souladnou cestu do cloudu
Přechod do cloudu je pro veřejnou správu strategickým krokem vpřed. Jak jsme ukázali, tato cesta je lemována složitými právními požadavky, od specifické české regulace, přes nástrahy veřejných zakázek, až po globální výzvy v ochraně osobních údajů. Zvládnout tuto komplexní agendu interně je pro většinu úřadů téměř nemožné.
V advokátní kanceláři ARROWS vám poskytneme komplexní právní podporu ve všech fázích vašeho cloudového projektu. Naše služby zahrnují:
- vyhotovení interních směrnic pro práci s cloudem a ochranu dat,
- přípravu kompletní dokumentace prokazující soulad s GDPR a ZKB,
- přípravu a revizi zadávacích podmínek pro veřejné zakázky,
- vyjednávání a revize smluv s poskytovateli, včetně doložek proti vendor lock-in,
- zastupování u správních orgánů (ÚOHS, ÚOOÚ, NÚKIB) a u soudů,
- právní stanoviska k posouzení rizik přenosu dat do zahraničí,
- odborná školení pro zaměstnance a vedení s certifikátem.
Naše zkušenosti jsou zárukou kvality. V našem portfoliu je více než 150 akciových společností, 250 s.r.o. a 51 obcí a krajů, pro které hrají naše zkušenosti z poskytování dlouhodobých služeb klíčovou roli. Díky deset let budované síti ARROWS International řešíme problematiku s mezinárodním prvkem, jako jsou přenosy dat, prakticky denně. Navíc umíme naše klienty efektivně propojit, pokud mají zajímavé investiční či obchodní příležitosti.
Naši specialisté pro Vás:
Neřešte složitou právní problematiku sami. Svěřte ji expertům a soustřeďte se na to, co je důležité – poskytování kvalitních služeb občanům. Spojte se s námi na konzultace@arws.cz a získejte právní řešení na míru.
Autor článku:
Čtěte také:
- IT A SOFTWAROVÉ PRÁVO, KYBERBEZPEČNOST
- GDPR
- Jak se připravit na správní řízení u ČNB: Právní a dokumentační minimum
- Regulace a správa alternativních investičních fondů: efektivní právní řešení
- Strategie a právní aspekty vstupu mimoevropských korporací na trh EU
- Trestní odpovědnost firem a právnických osob v roce 2026
- Mgr. Petr Hanzel, LL.M.
- AI v herním studiu check-list smluv, licencí, dat a odpovědnosti
- Licenční podmínky pro AI modely a data sety: Kdo vlastní výsledky a jak je lze využít?
Upozornění:
Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (konzultace@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.

