Datová suverenita – od Cloud Actu po balíček technologické suverenity

Datová suverenita – od Cloud Actu po balíček technologické suverenity
Články a zajímavosti

Firmy ukládají citlivá data do cloudů globálních poskytovatelů, přičemž mnohé z nich netuší, že k nim bez jejich vědomí mohou mít přístup americké úřady. Cloud Act a nařízení Evropské unie stojí často v přímém právním rozporu. Jak na to reaguje Evropa, co přináší nový balíček technologické suverenity a proč je český cloud pro mnoho organizací tím nejbezpečnějším řešením? To vše se dozvíte v našem článku.

Americký zákon Cloud Act dává tamním úřadům právo vyžadovat data evropských firem, která jsou uložená u amerických poskytovatelů cloudu. Pro evropský trh to znamená zásadní právní konflikt s GDPR. Firmy proto stále intenzivněji řeší datovou suverenitu – tedy snahu mít svá data plně pod kontrolou. Řešením této situace může být cloud českého provozovatele, který legislativě třetích zemí nepodléhá. Celou problematiku vám podrobně vysvětlíme. 

Co je Cloud Act, GDPR a Data Act a proč jsou v konfliktu? 

Jde o tři hlavní normy, které formují debatu o datové suverenitě. Cloud Act je zákon Spojených států amerických z roku 2018, který jejich úřadům umožňuje požadovat data od amerických firem bez ohledu na to, kde jsou fyzicky uložena. I server ve Frankfurtu provozovaný americkou společností podléhá tomuto zákonu. 

GDPR (Obecné nařízení o ochraně osobních údajů) naproti tomu jasně říká, že osobní údaje občanů EU nesmějí být předány zahraničním orgánům jen proto, že o to požádají – k tomu je nutná platná mezinárodní dohoda. 

Data Act (nařízení vstoupilo v platnost 11. ledna 2024) rozšiřuje ochranu i na neosobní data a ukládá cloudovým poskytovatelům povinnost technicky a organizačně zabránit přístupu třetích zemí k datům uloženým v EU, pokud by takový přístup odporoval evropskému právu. 

Výsledkem je právní pat. Firma, která ukládá data u amerického poskytovatele, se může ocitnout v situaci, kdy tento musí zároveň splnit americký zákon i evropské nařízení a obojí je vzájemně neslučitelné. Podrobnosti ke každé z legislativ a jejich praktickým dopadům rozvádíme níže. 

 

Když jedno právo vylučuje druhé 

Střet Cloud Actu a GDPR je strukturální, což potvrdil před francouzským Senátem v červnu 2025 právní zástupce Microsoftu. Na otázku, zda může garantovat, že data občanů EU zůstanou mimo dosah amerických institucí, odpověděl záporně. Důvod je prostý: Microsoft je americká společnost a jako taková musí vyhovět platným příkazům americké justice. Bez ohledu na to, kde server fyzicky stojí

Jenže GDPR takový přenos dat opakovaně označuje za právně nepřijatelný. Jde o střet dvou suverénních právních řádů, který nedokáží vyřešit ani sebelepší smluvní doložky. Frankfurtské datové centrum na výsledku nic nemění, pokud nad ním drží kontrolu americká firma, zůstává v působnosti amerického práva. 

 

Rizika, která z toho plynou 

Právní konflikt mezi Cloud Actem, GDPR a Data Actem má pro firmy i instituce velmi konkrétní dopady: 

  • Americké úřady mohou od poskytovatele žádat data bez povinnosti informovat dotčenou firmu nebo zákazníka. Ke zpřístupnění může dojít bez vědomí kohokoliv na evropské straně. 
  • Firmy podléhající GDPR, NIS2, TISAX nebo DORA (Nařízení o digitální provozní odolnosti finančního sektoru) nesmějí architekturu svého IT postavit na základě, který strukturálně porušuje ochranu dat. Spoléhat se na smluvní garance poskytovatele bez architektonického řešení nestačí. Poskytovatel cloudu je podle NIS2 kritickým dodavatelem: pokud nemůže garantovat datovou suverenitu, může firma čelit problémům při auditu ze strany NÚKIB. 
  • Dalším rizikem je geopolitická závislost. Rozhodnutí přijatá za oceánem dokáží narušit provoz celých evropských odvětví. Data jsou strategickým aktivem a ten, kdo nad nimi nemá kontrolu, nemá ani skutečnou provozní nezávislost. 

 

Evropský balíček technologické suverenity 

Evropská komise 3. června 2026 oficiálně přijala tzv. „Evropský balíček technologické suverenity“ – soubor legislativních a strategických iniciativ zaměřených na posílení digitální autonomie EU. Balíček stojí na čtyřech pilířích: čipech (Chips Act 2.0), cloudu a umělé inteligenci (zákon CADA – Cloud and AI Development Act), open source softwaru a digitalizaci energetiky. 

Stěžejním nástrojem z pohledu firem a veřejných institucí je právě CADA

  • Zavede čtyřúrovňový rámec pro hodnocení cloudové suverenity – tzv. Union Assurance Levels (UAL), který měří nezávislost a transparentnost zpracování dat, bezpečnost a provozní kontrolu. 
  • Přístup k nejcitlivějším datům veřejného sektoru, zdravotnictví a financí bude podmíněn splněním přísných provozních a jurisdikčních požadavků na území EU. 
  • Velcí hyperscaleři (AWS, Microsoft, Google) nebudou z evropského trhu vyloučeni, ale citlivá data mají být dostupná pouze přes struktury plně podléhající evropskému právu – dceřiné společnosti v EU, samostatné firmy nebo joint ventures s lokálními partnery. 
  • Ambiciózním cílem je ztrojnásobit kapacitu evropských datových center v příštích pěti až sedmi letech a sjednotit dnes roztříštěné národní certifikační standardy. 

Petr Loužecký, CTO Algotechu, k tomu říká:

„Z mého pohledu praktika je směr správný a hlavně není revoluční. Jen pojmenovává to, co dobří provozovatelé dělají dávno: data blízko uživateli, podpora v jeho jazyce a čase, jasná odpovědnost za to, kdo drží klíče.“ 

 

Proč je český cloud jiný? 

Celá situace pochopitelně nahrává lokalizaci dat v ČR. Právní argumenty ale nejsou jedinou výhodou. Za nimi stojí i ty provozní, bezpečnostní i ekonomické. 

Data fyzicky uložená v České republice a spravovaná výhradně firmou podléhající českému a evropskému právu nejsou dosažitelná na základě Cloud Actu ani analogické legislativy třetích zemí. Žádná smluvní doložka toto nenahradí. 

Infrastruktura blízko zákazníka přináší také lepší odezvu systémů i výrazně rychlejší reakci při provozních incidentech. Rozdíl mezi „vyřešeno do oběda“ a „čekáme na odpověď z jiného kontinentu“ je v kritických situacích zásadní. 

V těchto momentech máte navíc k ruce podporu bez jazykové bariéry. Tým, který rozumí prostředí, jazyku i právnímu rámci zákazníka, je neporovnatelně efektivnější než globální helpdesk operující v jiném časovém pásmu. Incidenty se pak řeší lépe a rychleji. 

U lokálního poskytovatele je také jednoznačně dohledatelné, kdo má k datům přístup, za jakých podmínek a v rámci jakého právního řádu. To tvoří základ odpovědného řízení rizik. 

 

Český cloud jako strategická volba 

Datová suverenita přestala být tématem výhradně pro velké korporace nebo státní instituce. Týká se každé firmy, která ukládá v cloudu citlivá zákaznická data, obchodní tajemství nebo informace podléhající regulaci. 

Provozujeme vlastní datové centrum na území České republiky a cloudovou infrastrukturu zálohujeme ve třech nezávislých lokalitách. Data spravujeme výhradně našimi zaměstnanci a zákazník má vždy přehled o tom, kdo přistupuje k jeho prostředí a na základě jakých pravidel. Náš provozní model odpovídá požadavkům GDPR, ISO 27017,  zákona o kybernetické bezpečnosti (NIS2) i nově chystaným standardům v rámci evropské technologické suverenity. 

Petr Loužecký doplňuje:

„Z pohledu bezpečnosti je tu jeden princip, který platí bez ohledu na regulaci: kontrolu nad daty má v posledku ten, kdo drží klíče, spravuje infrastrukturu a podléhá danému právnímu řádu. Čím transparentnější a bližší je tento řetězec, tím lépe se řídí riziko.“ 

Více o přístupu Algotechu k lokálnímu cloudu si můžete přečíst v článku Český cloud – mějte svá data pod kontrolou

 

Střet různých právních rámců zatím žádná smluvní doložka spolehlivě neřeší a je otázka, zda posílení evropské technologické suverenity přinese skutečné rozuzlení. To dnes můžeme najít pouze v rozhodnutí o tom, kde jsou data uložena, kdo je spravuje a jakému právnímu řádu podléhá. 

Náš český cloud s daty fyzicky v ČR a nezávislostí na zahraničních providerech je správným rozhodnutím pro firmy, které to s datovou suverenitou myslí vážně. Ozvěte se nám, rádi vám sestavíme řešení na míru

Pošlete nezávaznou poptávku ještě dnes
Volbou "Odeslat" beru na vědomí zásady zpracování osobních údajů.
MOHLO BY VÁS ZAJÍMAT

Podobné články

Najdeme řešení i pro vás
KONTAKT

Kontaktujte nás

Máte zájem o vyzkoušení našich služeb nebo konzultaci? Zanechte nám na sebe kontakt, ozveme se vám do 3 hodin.
- Ozveme se vám do 3 hodin
- Non-stop podpora v češtině i angličtině
- Předběžnou nabídku máte do týdne
- Garance dostupnosti dat 99,99 %
Zavolejte nám
Nechcete čekat na odpověď?
Zavolejte nám na číslo
+420 225 006 555
Volbou "Odeslat" beru na vědomí zásady zpracování osobních údajů.