Cloud computing se stal neodmyslitelnou součástí moderního podnikání a veřejné správy. Umožňuje firmám i jednotlivcům efektivně ukládat data, spouštět aplikace a využívat IT infrastrukturu bez nutnosti vlastnit a spravovat drahý hardware. Z právního hlediska však s sebou tento model nese řadu komplexních výzev, zejména v oblastech ochrany dat, suverenity dat a kybernetické bezpečnosti.
1. Právní klasifikace cloudových služeb
Pro pochopení právních rizik je klíčové rozlišovat základní modely cloudových služeb, protože každý z nich implikuje jinou úroveň kontroly a odpovědnosti pro zákazníka (uživatele cloudu) a poskytovatele (cloud providera):
- Software as a Service (SaaS): Zákazník využívá hotovou aplikaci (např. CRM, e-mail) a má minimální kontrolu nad infrastrukturou. V tomto modelu je poskytovatel často hlavním zpracovatelem dat, což s sebou nese vysoké nároky na jeho smluvní zajištění a technická opatření.
- Platform as a Service (PaaS): Zákazník spravuje vlastní aplikace a data, ale infrastrukturu (operační systémy, servery) poskytuje dodavatel. Odpovědnost se dělí.
- Infrastructure as a Service (IaaS): Zákazník si pronajímá základní IT zdroje (virtuální stroje, úložiště, sítě). Má největší kontrolu, ale nese i největší odpovědnost za zabezpečení dat v rámci operačního systému a aplikací.
Právní vztah je obvykle upraven Smlouvou o poskytování cloudových služeb a klíčovou Smlouvou o zpracování osobních údajů (DPA), která je nezbytná dle GDPR.
2. Ochrana osobních údajů (GDPR) a Cloud
Nařízení GDPR (General Data Protection Regulation) je nejzásadnějším právním rámcem ovlivňujícím cloud v EU.
a) Role v procesu zpracování
Cloudové služby jasně definují role:
- Správce dat (Controller): Zákazník cloudu. Určuje účel a prostředky zpracování (např. firma ukládající data svých zaměstnanců). Nese primární odpovědnost za dodržování GDPR.
- Zpracovatel dat (Processor): Poskytovatel cloudu. Zpracovává data jménem správce (např. ukládá a zálohuje data na svých serverech). Musí dodržovat pokyny správce.
Smlouva DPA mezi nimi musí přesně stanovit technická a organizační opatření (TOM), postupy pro řešení incidentů a povinnosti při ukončení služeb.
b) Mezinárodní předávání dat (Transfers)
Největší právní komplikací je předávání osobních údajů mimo Evropský hospodářský prostor (EHP), zvláště do USA (zejména v případě amerických cloud providerů, jako jsou Amazon, Microsoft, Google).
- Standardní smluvní doložky (SCC): Po zrušení tzv. Privacy Shield (v důsledku rozsudku Schrems II) jsou SCChlavním nástrojem. Tyto doložky však musí být doplněny o dodatečná opatření (např. silné šifrování dat, ke kterým nemá poskytovatel přístup), aby byla zajištěna ochrana na úrovni EU.
- Data Border a CLOUD Act: Americký zákon CLOUD Act umožňuje americkým orgánům činným v trestním řízení získat data od amerických poskytovatelů cloudu, a to i v případě, že jsou data uložena mimo USA. To je v přímém rozporu se suverenitou dat a právním řádem EU.
Řešením může být využívání evropských cloudových služeb (tzv. hyperscalerů) nebo volba uložení dat výhradně na území EU.
3. Kybernetická bezpečnost a regulace
V oblasti kybernetické bezpečnosti cloudových služeb hraje klíčovou roli několik právních norem, které rozšiřují povinnosti GDPR:
- Směrnice NIS2: Tato směrnice (v ČR transponovaná do zákona o kybernetické bezpečnosti) rozšiřuje okruh subjektů kritické infrastruktury a digitálních služeb. Cloudoví poskytovatelé jsou přímo zahrnuti a musí plnit přísné bezpečnostní požadavky, provádět analýzy rizik a hlásit kybernetické incidenty.
- Odpovědnost: Směrnice NIS2 zavádí pro společnosti, které jsou v jejím režimu, povinnost zavést odpovídající technická a organizační opatření k řízení rizik a zajištění kontinuity služeb. V případě incidentu nese zákazník (správce) i poskytovatel (zpracovatel) část odpovědnosti dle sjednaného rozsahu služeb (např. poskytovatel odpovídá za infrastrukturu, zákazník za konfiguraci aplikace).
4. Suverenita dat a geopolitika Cloudu
Pojem suverenita dat odkazuje na skutečnost, že data podléhají zákonům a vládním regulačním orgánům, na jejichž území jsou uložena. V globálním cloudu je toto zajištění obtížné.
- Geografická lokalizace dat: I když smlouva specifikuje uložení dat v rámci EU (např. Německo nebo Irsko), pokud je poskytovatelem americká společnost, data jsou i nadále potenciálně přístupná orgánům USA (viz CLOUD Act).
- GAIA-X: Jako reakce na dominanci amerických a čínských cloudů vznikla evropská iniciativa GAIA-X. Jejím cílem je vytvořit federativní datovou infrastrukturu s cílem zajistit plnou evropskou suverenitu dat, transparentnost a možnost přenositelnosti dat.
5. Smluvní zajištění (SLA)
Z právního pohledu je kromě ochrany dat stěžejní Smlouva o úrovni služeb (SLA – Service Level Agreement). Ta by měla detailně řešit:
- Dostupnost služby (uptime): Záruky dostupnosti (např. 99,95 % času) a sankce za nedodržení.
- Zálohování a obnova dat (Disaster Recovery): Způsob a četnost zálohování, časové limity pro obnovu dat (RTO/RPO).
- Ukončení služby a migrace: Postupy pro bezpečné a úplné vrácení nebo zničení dat při ukončení smluvního vztahu.
- Místo uložení dat: Přesné určení jurisdikce, kde budou data fyzicky uložena.
Právo informačních technologií v oblasti cloudu je dynamický obor, který se neustále vyvíjí pod tlakem globální politiky, nových technologií a zpřísňující se regulace. Pro společnosti využívající cloud je klíčové aktivně řídit smluvní vztahy a bezpečnostní standardy a sledovat legislativní vývoj, zejména v souvislosti s přeshraničním tokem dat.