Firmy ukládají citlivá data do cloudů globálních poskytovatelů, přičemž mnohé z nich netuší, že k nim bez jejich vědomí mohou mít přístup americké úřady. Cloud Act a nařízení Evropské unie stojí často v přímém právním rozporu. Jak na to reaguje Evropa, co přináší nový balíček technologické suverenity a proč je český cloud pro mnoho organizací tím nejbezpečnějším řešením? To vše se dozvíte v našem článku.
Americký zákon Cloud Act dává tamním úřadům právo vyžadovat data evropských firem, která jsou uložená u amerických poskytovatelů cloudu. Pro evropský trh to znamená zásadní právní konflikt s GDPR. Firmy proto stále intenzivněji řeší datovou suverenitu – tedy snahu mít svá data plně pod kontrolou. Řešením této situace může být cloud českého provozovatele, který legislativě třetích zemí nepodléhá. Celou problematiku vám podrobně vysvětlíme.
Jde o tři hlavní normy, které formují debatu o datové suverenitě. Cloud Act je zákon Spojených států amerických z roku 2018, který jejich úřadům umožňuje požadovat data od amerických firem bez ohledu na to, kde jsou fyzicky uložena. I server ve Frankfurtu provozovaný americkou společností podléhá tomuto zákonu.
GDPR (Obecné nařízení o ochraně osobních údajů) naproti tomu jasně říká, že osobní údaje občanů EU nesmějí být předány zahraničním orgánům jen proto, že o to požádají – k tomu je nutná platná mezinárodní dohoda.
Data Act (nařízení vstoupilo v platnost 11. ledna 2024) rozšiřuje ochranu i na neosobní data a ukládá cloudovým poskytovatelům povinnost technicky a organizačně zabránit přístupu třetích zemí k datům uloženým v EU, pokud by takový přístup odporoval evropskému právu.
Výsledkem je právní pat. Firma, která ukládá data u amerického poskytovatele, se může ocitnout v situaci, kdy tento musí zároveň splnit americký zákon i evropské nařízení a obojí je vzájemně neslučitelné. Podrobnosti ke každé z legislativ a jejich praktickým dopadům rozvádíme níže.
Střet Cloud Actu a GDPR je strukturální, což potvrdil před francouzským Senátem v červnu 2025 právní zástupce Microsoftu. Na otázku, zda může garantovat, že data občanů EU zůstanou mimo dosah amerických institucí, odpověděl záporně. Důvod je prostý: Microsoft je americká společnost a jako taková musí vyhovět platným příkazům americké justice. Bez ohledu na to, kde server fyzicky stojí.
Jenže GDPR takový přenos dat opakovaně označuje za právně nepřijatelný. Jde o střet dvou suverénních právních řádů, který nedokáží vyřešit ani sebelepší smluvní doložky. Frankfurtské datové centrum na výsledku nic nemění, pokud nad ním drží kontrolu americká firma, zůstává v působnosti amerického práva.
Právní konflikt mezi Cloud Actem, GDPR a Data Actem má pro firmy i instituce velmi konkrétní dopady:
Evropská komise 3. června 2026 oficiálně přijala tzv. „Evropský balíček technologické suverenity“ – soubor legislativních a strategických iniciativ zaměřených na posílení digitální autonomie EU. Balíček stojí na čtyřech pilířích: čipech (Chips Act 2.0), cloudu a umělé inteligenci (zákon CADA – Cloud and AI Development Act), open source softwaru a digitalizaci energetiky.
Stěžejním nástrojem z pohledu firem a veřejných institucí je právě CADA:
Petr Loužecký, CTO Algotechu, k tomu říká:
„Z mého pohledu praktika je směr správný a hlavně není revoluční. Jen pojmenovává to, co dobří provozovatelé dělají dávno: data blízko uživateli, podpora v jeho jazyce a čase, jasná odpovědnost za to, kdo drží klíče.“
Celá situace pochopitelně nahrává lokalizaci dat v ČR. Právní argumenty ale nejsou jedinou výhodou. Za nimi stojí i ty provozní, bezpečnostní i ekonomické.
Data fyzicky uložená v České republice a spravovaná výhradně firmou podléhající českému a evropskému právu nejsou dosažitelná na základě Cloud Actu ani analogické legislativy třetích zemí. Žádná smluvní doložka toto nenahradí.
Infrastruktura blízko zákazníka přináší také lepší odezvu systémů i výrazně rychlejší reakci při provozních incidentech. Rozdíl mezi „vyřešeno do oběda“ a „čekáme na odpověď z jiného kontinentu“ je v kritických situacích zásadní.
V těchto momentech máte navíc k ruce podporu bez jazykové bariéry. Tým, který rozumí prostředí, jazyku i právnímu rámci zákazníka, je neporovnatelně efektivnější než globální helpdesk operující v jiném časovém pásmu. Incidenty se pak řeší lépe a rychleji.
U lokálního poskytovatele je také jednoznačně dohledatelné, kdo má k datům přístup, za jakých podmínek a v rámci jakého právního řádu. To tvoří základ odpovědného řízení rizik.
Datová suverenita přestala být tématem výhradně pro velké korporace nebo státní instituce. Týká se každé firmy, která ukládá v cloudu citlivá zákaznická data, obchodní tajemství nebo informace podléhající regulaci.
Provozujeme vlastní datové centrum na území České republiky a cloudovou infrastrukturu zálohujeme ve třech nezávislých lokalitách. Data spravujeme výhradně našimi zaměstnanci a zákazník má vždy přehled o tom, kdo přistupuje k jeho prostředí a na základě jakých pravidel. Náš provozní model odpovídá požadavkům GDPR, ISO 27017, zákona o kybernetické bezpečnosti (NIS2) i nově chystaným standardům v rámci evropské technologické suverenity.
Petr Loužecký doplňuje:
„Z pohledu bezpečnosti je tu jeden princip, který platí bez ohledu na regulaci: kontrolu nad daty má v posledku ten, kdo drží klíče, spravuje infrastrukturu a podléhá danému právnímu řádu. Čím transparentnější a bližší je tento řetězec, tím lépe se řídí riziko.“
Více o přístupu Algotechu k lokálnímu cloudu si můžete přečíst v článku Český cloud – mějte svá data pod kontrolou.
Střet různých právních rámců zatím žádná smluvní doložka spolehlivě neřeší a je otázka, zda posílení evropské technologické suverenity přinese skutečné rozuzlení. To dnes můžeme najít pouze v rozhodnutí o tom, kde jsou data uložena, kdo je spravuje a jakému právnímu řádu podléhá.
Náš český cloud s daty fyzicky v ČR a nezávislostí na zahraničních providerech je správným rozhodnutím pro firmy, které to s datovou suverenitou myslí vážně. Ozvěte se nám, rádi vám sestavíme řešení na míru.
Copyright © 2026 - Algotech a.s., all rights reserved
| Zpracování osobních údajů |
Všeobecné obchodní podmínky