Právní aspekty využívání cloudu ve veřejném sektoru:

Využívání cloud computingu ve veřejné správě již není volbou, ale strategickou nutností pro efektivní a moderní fungování státu. Přechod do cloudu však s sebou nese komplexní právní výzvy, od přísných požadavků na bezpečnost dat až po specifická pravidla pro veřejné zakázky. V tomto článku naleznete jasné a praktické odpovědi, jak se v této složité legislativě zorientovat, minimalizovat rizika a zajistit, aby vaše cesta do cloudu byla nejen úspěšná, ale i právně neprůstřelná.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Petr Hanzel, LL.M.", expert na dané téma.

Proč je cloud pro veřejnou správu strategickou nutností (a právní minové pole)?

Přechod na cloudové služby nabízí orgánům veřejné moci nesporné výhody. Umožňuje efektivnější provoz, snižuje náklady na vlastní hardwarovou infrastrukturu a díky centralizovanému řízení a aktualizacím může paradoxně vést i k bezpečnějšímu provozu informačních systémů. Obce, kraje i ministerstva tak mohou občanům poskytovat rychlejší a dostupnější služby, což je klíčový cíl digitální transformace státu.

Tato strategická modernizace je však obklopena hustou sítí vzájemně provázaných právních předpisů. Nejde jen o jeden zákon, ale o komplexní ekosystém, kde každá část ovlivňuje ty ostatní. Klíčové je porozumět souhře Zákona o informačních systémech veřejné správy (ZoISVS), Zákona o kybernetické bezpečnosti (ZKB), Obecného nařízení o ochraně osobních údajů (GDPR) a Zákona o zadávání veřejných zakázek (ZZVZ).

Právě v tomto bodě se projevuje zásadní paradox: stát na jedné straně tlačí na digitalizaci a využívání cloudu, ale zároveň vytváří vysoce komplexní a přísný regulatorní rámec. Pro orgán veřejné správy to znamená, že musí kráčet po cestě, která je plná právních nástrah. Chybný krok v jedné oblasti, například nesprávné nastavení zadávacího řízení, může vést nejen k jeho zrušení, ale i k porušení pravidel kybernetické bezpečnosti a GDPR, což s sebou nese riziko citelných finančních sankcí.

V advokátní kanceláři ARROWS se na tuto problematiku specializujeme a denně pomáháme orgánům veřejné správy i velkým korporacím s bezpečným nastavením jejich digitálních projektů. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Český právní labyrint: Jak se vyznat v zákoně o ISVS a „cloudových vyhláškách“?

Cesta k legálnímu využívání cloudu ve veřejné správě není jednoduchým seznamem úkolů, ale přísně navazujícím procesem, kde chyba v prvním kroku znehodnotí všechny následující. Zákon č. 365/2000 Sb., o informačních systémech veřejné správy (ZoISVS), a na něj navazující tzv. cloudové vyhlášky definují jasný postup, který je nutné dodržet.

Krok 1: Klasifikace systému a stanovení bezpečnostní úrovně

Vše začíná u vás. Než vůbec začnete poptávat jakoukoli cloudovou službu, musíte provést interní klasifikaci vašeho informačního systému. Podle Vyhlášky č. 315/2021 Sb. musíte zhodnotit, jaký by byl nejhorší možný dopad, kdyby došlo k narušení důvěrnosti, integrity nebo dostupnosti dat ve vašem systému. Na základě tohoto posouzení zařadíte systém do jedné ze čtyř bezpečnostních úrovní: nízká, střední, vysoká nebo kritická.

Krok 2: Povinnost výběru z Katalogu cloud computingu

Jakmile znáte požadovanou bezpečnostní úroveň, přichází na řadu klíčový nástroj – Katalog cloud computingu. Tento seznam, spravovaný Digitální a informační agenturou (DIA), obsahuje prověřené poskytovatele a jejich konkrétní cloudové služby, které splnily zákonné požadavky.

Od 1. ledna 2024 platí pro orgány veřejné správy striktní povinnost využívat pouze služby a poskytovatele zapsané v tomto katalogu.

Krok 3: Co musí splnit poskytovatel?

Zápis do katalogu není formalita. Poskytovatelé musí splnit rozsáhlé technické a bezpečnostní požadavky stanovené Vyhláškou č. 316/2021 Sb.. Jejich způsobilost navíc posuzuje nejen DIA, ale u vyšších bezpečnostních úrovní vydává závazné stanovisko i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Pro vás jako klienta to znamená, že nabídky v katalogu prošly základním sítem a splňují minimální standardy.

Krok 4: Vaše průběžné povinnosti

Tím ale vaše povinnosti nekončí. Vyhláška č. 190/2023 Sb. stanovuje bezpečnostní pravidla přímo pro vás jako uživatele cloudových služeb. Musíte mít například definovanou tzv. exit strategii pro případ ukončení smlouvy, zajistit řízení přístupů nebo ochranu proti DDoS útokům. Důležité je, že tato vyhláška dopadá i na smlouvy uzavřené před její účinností, a to s povinností zajistit soulad od 1. ledna 2024, což vyvolává naléhavou potřebu revize stávajících kontraktů.

Správné nastavení celého procesu od samého začátku je klíčové. Právníci ARROWS vám mohou pomoci s právním auditem a poskytnout konzultace, které zajistí soulad s celým tímto komplexním legislativním rámcem. Potřebujete právní pomoc? Kontaktujte nás na office@arws.cz.

FAQ – Právní tipy k základní legislativě

1. Co je to "informační systém veřejné správy" (ISVS)?
   Podle zákona č. 365/2000 Sb. se jedná o funkční celek, který slouží k výkonu veřejné správy. Patří sem například agendové systémy, spisové služby nebo systémy pro komunikaci s občany. Naopak se regulace typicky nevztahuje na čistě interní provozní systémy, jako je správa majetku nebo některé účetní systémy. Pro přesné určení, zda váš systém spadá pod regulaci, nás kontaktujte na office@arws.cz.
2. Musíme opravdu využívat pouze služby z Katalogu?
   Ano, pro informační systémy veřejné správy je to od 1. ledna 2024 povinné. Zákon sice definuje několik úzce vymezených výjimek (např. pro zkušební provoz bez reálných dat), ale spoléhat na ně je velmi riskantní a může být snadno zpochybněno při kontrole. Potřebujete posoudit vaši situaci? Napište nám na office@arws.cz.

Nevíte si s daným tématem rady?

Veřejné zakázky na cloud: Jak správně soutěžit a vyhnout se zrušení tendru?

Nákup cloudových služeb se řídí Zákonem o zadávání veřejných zakázek (ZZVZ), což vnáší do procesu další vrstvu složitosti. Zadavatelé se ocitají v napětí mezi dvěma protichůdnými tlaky. Na jedné straně ZZVZ vyžaduje maximálně otevřenou a nediskriminační soutěž. Na druhé straně specifická cloudová legislativa (ZoISVS) a požadavky NÚKIB nutí zadavatele k vysoké míře specifičnosti a omezují výběr pouze na předem schválené poskytovatele z Katalogu.

Pro zjednodušení nákupu zejména softwarových služeb (SaaS) zavedla DIA tzv. Dynamický nákupní systém (DNS). Tento nástroj umožňuje orgánům veřejné správy pružněji a transparentněji poptávat služby od dodavatelů, kteří jsou již pro účast v DNS kvalifikováni. DIA v tomto procesu vystupuje jako centrální zadavatel, což může menším úřadům výrazně snížit administrativní zátěž.

I přes existenci DNS zůstává největším rizikem špatně připravená zadávací dokumentace. Úřad pro ochranu hospodářské soutěže (ÚOHS) často ruší IT zakázky z několika typických důvodů. Může jít o příliš obecně vymezený předmět zakázky, který vede k podání nesrovnatelných nabídek, nebo naopak o příliš omezující technické požadavky, které bezdůvodně zvýhodňují jednoho konkrétního dodavatele a jsou považovány za diskriminační.

Klíčem k úspěchu je precizně formulovaná zadávací dokumentace a technická specifikace, která najde rovnováhu mezi obecností a konkrétností. ARROWS disponuje unikátní kombinací expertízy v oblasti veřejných zakázek i ICT práva. Našim klientům pomáháme připravit nebo revidovat zadávací podmínky tak, aby byly nejen v souladu se všemi zákony, ale také obhajitelné v případě námitek či přezkumu ze strany ÚOHS.

Rizika v procesu veřejné zakázky na cloudové služby

Rizika a sankce	Jak pomáhá ARROWS
Zrušení zadávacího řízení ze strany ÚOHS pro diskriminační nebo netransparentní podmínky.	Příprava a revize zadávací dokumentace, která je v souladu se ZZVZ i specifickými požadavky na cloud. Potřebujete revidovat dokumentaci? Kontaktujte nás na office@arws.cz.
Podání námitek neúspěšnými uchazeči, které zdrží nebo zmaří celý projekt.	Zastupování v řízení o námitkách a před ÚOHS. Jsme připraveni hájit váš postup. Potřebujete právní zastoupení? Spojte se s námi na office@arws.cz.
Neschopnost vybrat vhodného dodavatele kvůli nesrovnatelným nabídkám v důsledku chybné specifikace.	Právní konzultace při definování technických a smluvních požadavků. Pomůžeme vám nastavit jasná a objektivní kritéria. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
Uzavření nevýhodné smlouvy, která neřeší klíčové aspekty jako exit strategii nebo ochranu dat.	Příprava nebo revize smluv, které chrání vaše zájmy po celou dobu životnosti systému. Chcete mít jistotu ve smlouvách? Obraťte se na nás na office@arws.cz.

GDPR a bezpečnost dat: Vaše největší odpovědnost v cloudu

Přesunem dat do cloudu se nezbavujete odpovědnosti za jejich ochranu. Naopak. Podle GDPR jste v pozici správce osobních údajů, zatímco poskytovatel cloudu je zpracovatelem.

Veškerá konečná odpovědnost za soulad se zákonem a za případné úniky dat leží vždy na vás jako na správci. Proto je naprosto nezbytné mít s poskytovatelem uzavřenou detailní smlouvu o zpracování osobních údajů, která přesně vymezuje jeho povinnosti v souladu s článkem 28 GDPR.

Naši specialisté pro Vás:

Nejsložitější právní výzvou je bezesporu předávání osobních údajů do třetích zemí, zejména do USA, kde sídlí největší poskytovatelé cloudových služeb (tzv. hyperscaleři jako Microsoft, Google, Amazon). Rozsudek Soudního dvora EU známý jako Schrems II v roce 2020 zneplatnil dosavadní mechanismus (Privacy Shield) a konstatoval, že americké zákony o dohledu nad komunikací nejsou slučitelné s evropským právem na ochranu soukromí.

Jako reakce vznikl nový mechanismus, tzv. EU-US Data Privacy Framework. Poskytovatelé zapsaní v tomto rámci by měli nabízet dostatečnou úroveň ochrany. Jeho právní stabilita však může být v budoucnu opět zpochybněna. Proto je pro orgány veřejné moci, které zpracovávají citlivá data občanů, klíčové provést vlastní posouzení vlivu na ochranu osobních údajů (DPIA) a analýzu rizik spojených s přenosem dat (Transfer Impact Assessment).

Nesmíme zapomínat ani na roli NÚKIB, který stanovuje závazné bezpečnostní standardy. Porušení GDPR může vést k pokutám v řádu stovek milionů korun (v ČR byla udělena rekordní pokuta 351 milionů Kč) , zatímco nedodržení Zákona o kybernetické bezpečnosti může znamenat sankce až 250 milionů Kč.

Díky naší síti ARROWS International řešíme otázky mezinárodního práva a přenosu dat prakticky denně a dokážeme přesně posoudit rizika spojená s využitím zahraničních poskytovatelů.

FAQ – Právní tipy k ochraně dat v cloudu

1. Nestačí, když je náš americký provider zapsán v českém Katalogu?
   Nestačí. Zápis v katalogu řeší soulad s českým ZoISVS, ale neřeší plně rizika přenosu dat dle GDPR. Jako správce dat máte samostatnou povinnost posoudit rizika spojená s legislativou USA, která umožňuje tamním bezpečnostním složkám přístup k datům. Naši právníci jsou připraveni vám pomoci s tímto posouzením – napište na office@arws.cz.
2. Co přesně je "posouzení vlivu na ochranu osobních údajů" (DPIA)?
   DPIA je strukturovaný proces pro analýzu a minimalizaci rizik, která zpracování osobních údajů představuje pro práva a svobody občanů. Dle článku 28 GDPR je povinný pro operace s vysokým rizikem, což přechod klíčových agend veřejné správy do cloudu téměř vždy je. Pomůžeme vám s přípravou DPIA, kontaktujte nás na office@arws.cz.

Jak se nechytit do pasti „Vendor Lock-in“?

Kromě regulatorních rizik číhá na veřejnou správu i významné obchodní riziko známé jako vendor lock-in. Jde o stav, kdy se stanete natolik závislí na technologii, službách nebo know-how jednoho dodavatele, že přechod k jinému je buď technicky extrémně náročný, nebo finančně neúnosný. V praxi to znamená ztrátu vyjednávací síly, skokové navyšování cen za údržbu a další rozvoj a nemožnost inovovat.

Z pohledu veřejného zadavatele je vendor lock-in obzvláště nebezpečný. Efektivně totiž likviduje budoucí hospodářskou soutěž a nutí vás zadávat navazující zakázky v jednacím řízení bez uveřejnění, což je postup, který je vždy pod drobnohledem ÚOHS a kontrolních orgánů.

Nejlepší obranou je prevence. Riziku vendor lock-in musíte čelit již ve fázi přípravy zadávacího řízení a při tvorbě smlouvy. Klíčové je trvat na smluvních a technických zárukách, které vám ponechají otevřené dveře pro budoucí změny. 

Mezi nejdůležitější patří:

• Využívání otevřených standardů a detailně zdokumentovaných API rozhraní.
• Smluvní garance přenositelnosti dat a jasná definice datových formátů pro export.
• Zajištění odpovídajících licencí k duševnímu vlastnictví a u software na míru nekompromisní požadavek na úschovu zdrojových kódů (source code escrow).

V ARROWS se specializujeme na přípravu a revizi implementačních a licenčních smluv, které tyto ochranné mechanismy proaktivně zabudovávají a chrání tak vaši dlouhodobou investici.

Rizika spojená s GDPR a kybernetickou bezpečností

Rizika a sankce	Jak pomáhá ARROWS
Vysoké pokuty od ÚOOÚ za porušení GDPR (až 351 mil. Kč v ČR)  nebo od NÚKIB za porušení ZKB (až 250 mil. Kč).	Příprava komplexní dokumentace (DPIA, interní směrnice), která vás ochrání před pokutami a prokáže soulad. Potřebujete připravit ochrannou dokumentaci? Napište nám na office@arws.cz.
Nezákonný přenos dat do USA v rozporu s rozsudkem Schrems II, vedoucí k zákazu zpracování a sankcím.	Právní stanoviska a analýzy rizik (TIA) pro posouzení legality využití konkrétních cloudových služeb. Chcete znát své právní možnosti? Spojte se s námi na office@arws.cz.
Kybernetický bezpečnostní incident s dopadem na data občanů a reputaci úřadu.	Odborná školení pro zaměstnance a vedení v oblasti kybernetické bezpečnosti a GDPR s certifikátem. Chcete posílit prevenci a proškolit zaměstnance? Kontaktujte nás na office@arws.cz.
Osobní odpovědnost vedení za škody způsobené kybernetickým incidentem, včetně hrozby zákazu výkonu funkce.	Právní konzultace a zastupování u správních orgánů, které chrání management před osobním postihem. Čelíte hrozbě osobního postihu? Neváhejte se obrátit na naši kancelář – office@arws.cz.

ARROWS: Váš partner pro bezpečnou a souladnou cestu do cloudu

Přechod do cloudu je pro veřejnou správu strategickým krokem vpřed. Jak jsme ukázali, tato cesta je lemována složitými právními požadavky, od specifické české regulace, přes nástrahy veřejných zakázek, až po globální výzvy v ochraně osobních údajů. Zvládnout tuto komplexní agendu interně je pro většinu úřadů téměř nemožné.

V advokátní kanceláři ARROWS vám poskytneme komplexní právní podporu ve všech fázích vašeho cloudového projektu. Naše služby zahrnují:

• vyhotovení interních směrnic pro práci s cloudem a ochranu dat,
• přípravu kompletní dokumentace prokazující soulad s GDPR a ZKB,
• přípravu a revizi zadávacích podmínek pro veřejné zakázky,
• vyjednávání a revize smluv s poskytovateli, včetně doložek proti vendor lock-in,
• zastupování u správních orgánů (ÚOHS, ÚOOÚ, NÚKIB) a u soudů,
• právní stanoviska k posouzení rizik přenosu dat do zahraničí,
• odborná školení pro zaměstnance a vedení s certifikátem.

Naše zkušenosti jsou zárukou kvality. V našem portfoliu je více než 150 akciových společností, 250 s.r.o. a 51 obcí a krajů, pro které hrají naše zkušenosti z poskytování dlouhodobých služeb klíčovou roli. Díky deset let budované síti ARROWS International řešíme problematiku s mezinárodním prvkem, jako jsou přenosy dat, prakticky denně. Navíc umíme naše klienty efektivně propojit, pokud mají zajímavé investiční či obchodní příležitosti.

Naši specialisté pro Vás:

Neřešte složitou právní problematiku sami. Svěřte ji expertům a soustřeďte se na to, co je důležité – poskytování kvalitních služeb občanům. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.

FAQ – Nejčastější právní dotazy k využívání cloudu ve veřejném sektoru

1. Jaký je rozdíl mezi "významným informačním systémem" podle zákona o kybernetické bezpečnosti a běžným ISVS?
   „Významný informační systém“ (VIS) je definován v Zákoně o kybernetické bezpečnosti a jeho prováděcí vyhlášce č. 317/2014 Sb.. Jde o systémy spravované orgány veřejné moci (s výjimkou obcí), jejichž narušení by mohlo významně ohrozit výkon jejich působnosti. Na VIS se vztahují přísnější bezpečnostní opatření a povinnosti než na běžný ISVS. Pokud si nejste jisti klasifikací vašeho systému, kontaktujte nás na office@arws.cz.
2. Naše obec chce využívat cloud pro email a spisovou službu. Vztahují se na nás stejná pravidla jako na ministerstvo?
   Ano, i obce jsou orgány veřejné správy a musí dodržovat ZoISVS a související „cloudové vyhlášky“, včetně povinnosti využívat Katalog cloud computingu. Zákon o kybernetické bezpečnosti sice výslovně vylučuje obce z definice správce významného informačního systému, ale povinnosti plynoucí z ZoISVS a GDPR zůstávají v plném rozsahu. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
3. Co se stane, když náš stávající poskytovatel cloudu není zapsán v Katalogu?
   Dle přechodných ustanovení zákona musel být soulad s novými pravidly zajištěn do konce roku 2023. Pokud váš poskytovatel a jeho služba pro ISVS nejsou v katalogu zapsáni, porušujete § 6l ZoISVS. Jste povinni situaci neprodleně řešit, což v praxi znamená zahájit proces migrace k certifikovanému poskytovateli. Potřebujete právní pomoc s migrací a přípravou nové smlouvy? Kontaktujte nás na office@arws.cz.
4. Jak konkrétně vypadá "exit strategie" a proč je tak důležitá?
   Je to smluvně a technicky definovaný plán pro bezproblémový přechod k jinému dodavateli nebo zpět na vlastní (on-premise) řešení po ukončení smlouvy. Zahrnuje ujednání o formátu a předání dat, součinnosti dodavatele při migraci a vypořádání licencí. Je klíčovým nástrojem proti vendor lock-inu a pro zajištění kontinuity služeb pro občany. Její absence je vážným obchodním i právním rizikem. Naši právníci jsou připraveni vám pomoci s jejím správným nastavením – napište na office@arws.cz.
5. Můžeme využívat cloudové služby, které zpracovávají data mimo EU, pokud to není USA?
   Ano, ale pouze za přísných podmínek. Daná země musí buď poskytovat „odpovídající úroveň ochrany dat“ dle rozhodnutí Evropské komise, nebo musíte zavést jiné vhodné záruky dle GDPR, nejčastěji standardní smluvní doložky doplněné o posouzení rizik a případná dodatečná technická opatření. Každou zemi je nutné posuzovat individuálně. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.
6. Nabízí ARROWS také školení pro naše zaměstnance?
   Ano, poskytujeme odborná školení na míru pro management i řadové zaměstnance v oblasti GDPR, kybernetické bezpečnosti a specifických povinností ve veřejné správě. Školení je vždy přizpůsobeno vaší konkrétní činnosti a rizikovému profilu a jeho absolvování dokládáme certifikátem. Neváhejte se obrátit na naši kancelář – office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.