Smluvní zajištění dostupnosti a kvality cloudových služeb (SLA):

Využíváte cloudové služby a spoléháte na jejich nepřetržitou dostupnost a výkon? Pak potřebujete víc než jen standardní smlouvu od poskytovatele. Tento článek vám poskytne detailní návod, jak prostřednictvím precizně nastavené smlouvy o úrovni služeb (SLA) zajistit smluvní garance kvality, definovat klíčové metriky a nastavit účinné sankce, které ochrání vaše podnikání před finančními ztrátami a provozními riziky.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Petr Hanzel, LL.M.", expert na dané téma.

Proč je standardní smlouva od poskytovatele cloudu pro vaše podnikání nedostatečná?

Při přechodu na cloudové řešení se většina společností setká se standardizovanou smluvní dokumentací. Poskytovatelé, zejména velcí globální hráči, předkládají hotové podmínky, které zákazník buď přijme jako celek, nebo službu nemůže využívat. Tento přístup sice zrychluje proces, ale skrývá v sobě zásadní rizika, která mohou ohrozit kontinuitu vašeho podnikání.

Past adhezních smluv a „univerzálních“ řešení

Z právního hlediska jsou smlouvy s poskytovateli cloudu typicky tzv. adhezní smlouvy. 

Jsou charakteristické tím, že jejich obsah je předem určen silnější smluvní stranou (poskytovatelem) a slabší strana (vy jako klient) nemá reálnou možnost podmínky měnit. Přistupujete na ně jako na celek, bez prostoru pro individuální vyjednávání.

Problém spočívá v tom, že tyto „univerzální“ podmínky jsou navrženy tak, aby chránily především poskytovatele napříč tisíci různých zákazníků, nikoli aby reflektovaly specifické a často kritické potřeby vašeho byznysu.

Generická garance dostupnosti může stačit pro interní testovací prostředí, ale je naprosto nedostatečná pro e-commerce platformu generující tržby v řádu milionů korun denně.

Nový právní rámec pro digitální služby

Český právní řád, konkrétně zákon č. 89/2012 Sb., občanský zákoník, sice neobsahuje specifický smluvní typ pro cloudové služby, ale nahlíží na ně jako na obecné smlouvy o dílo či poskytování služeb.

Klíčová změna však nastala s novelou účinnou od ledna 2023, která do občanského zákoníku zavedla nová pravidla pro smlouvy o poskytování digitálního obsahu a služeb, a to v reakci na evropské směrnice.

Tato nová úprava přináší vyšší standard ochrany pro uživatele, například v oblasti odpovědnosti za vady nebo povinnosti poskytovat aktualizace. Ačkoliv je primárně cílena na spotřebitele (B2C), její principy lze argumentačně využít i v obchodních (B2B) vztazích. 

Zejména v situacích, kdy střední firma jedná s globálním technologickým gigantem, je zjevná nerovnováha v jejich postavení. 

Právníci ARROWS proto využívají principy ochrany slabší strany a zákazu zneužití dominantního postavení (§ 433 občanského zákoníku) jako silný nástroj při vyjednávání individuálních dodatků k jinak neměnným smlouvám.

SLA jako základní kámen vaší digitální infrastruktury: Co to přesně je?

Základem smluvního zajištění kvality cloudových služeb je Dohoda o úrovni služeb, známá pod zkratkou SLA (Service Level Agreement). 

Nejde jen o technický dokument plný procent a milisekund. SLA je právně závazná dohoda, která definuje, jakou kvalitu služby můžete očekávat, jak bude tato kvalita měřena a co se stane, pokud poskytovatel své závazky nesplní.

Právní povaha SLA a její důsledky

Z pohledu českého práva je SLA takzvanou inominátní (nepojmenovanou) smlouvou dle § 1746 občanského zákoníku. To znamená, že zákon pro ni nestanovuje žádná specifická pravidla. 

Tato flexibilita je její největší výhodou i rizikem zároveň. Umožňuje smluvním stranám nastavit si podmínky přesně na míru, ale zároveň platí, že co není ve smlouvě výslovně a jednoznačně napsáno, to neexistuje jako vymahatelná povinnost.

Poskytovatelé cloudu tuto slabinu využívají. Jejich standardní SLA jsou obsáhlé v bodech, které chrání je, ale často mlčí o klíčových aspektech důležitých pro klienta, jako je proces migrace dat při ukončení smlouvy nebo kompenzace za reálné obchodní ztráty.  Hlavní riziko pro vás tedy není v tom, co ve smlouvě je, ale v tom, co v ní chybí.

Úkolem našich právníků v ARROWS není jen revidovat stávající klauzule, ale provést detailní analýzu rizik vašeho byznysu a trvat na doplnění smlouvy o chybějící záruky. Potřebujete právní pomoc? Kontaktujte nás na office@arws.cz.

Pozor na „melounový efekt“: Zelená čísla, červené výsledky

Jedním z největších rizik špatně nastaveného SLA je takzvaný „melounový efekt“ (watermelon effect).

Navzdory tomu, že reporty poskytovatele ukazují zelená čísla a plnění všech metrik, vaše podnikání trpí a výsledky jsou červené. Jak je to možné?

Představte si, že vaše SLA garantuje dostupnost služby 99,9 %. To zní skvěle, ale v ročním součtu to znamená téměř 9 hodin výpadku.

Pokud poskytovatel splní SLA tak, že těchto 9 hodin výpadku nastane v průběhu vaší největší prodejní sezóny, například před Vánoci, report sice bude „zelený“, ale vaše reálné ztráty na tržbách a reputaci budou obrovské. Smlouva byla formálně splněna, ale váš byznys utrpěl.

Nevíte si s daným tématem rady?

Jak měřit skutečnou kvalitu služby?

Aby SLA nebylo jen prázdným dokumentem, musí obsahovat konkrétní, měřitelné a pro vaše podnikání relevantní metriky. Zaměřte se především na tři klíčové oblasti: dostupnost, výkon a podporu.

Dostupnost (Uptime/Availability)

Dostupnost je nejčastěji skloňovanou metrikou. Nespokojte se však jen s jedním procentuálním údajem. Je zásadní rozumět, co tato čísla znamenají v reálném čase, a přesně definovat, co se do nich počítá.

• 99,9 % dostupnosti = až 8 hodin a 45 minut výpadku ročně.
• 99,95 % dostupnosti = až 4 hodiny a 22 minut výpadku ročně.
• 99,99 % dostupnosti = až 52 minut výpadku ročně.

Smlouva musí jasně specifikovat, jak se dostupnost měří, co je považováno za „výpadek“ (např. úplná nedostupnost vs. extrémní zpomalení) a co je z měření vyloučeno. 

Typickým příkladem jsou okna pro plánovanou údržbu, která musí být smluvně omezena na dobu s minimálním dopadem na váš provoz (např. víkendové noci).

Výkon (Performance)

Dostupná, ale pomalá služba je pro byznys téměř stejně škodlivá jako úplný výpadek. Proto je nutné sledovat i výkonnostní metriky.

• Doba odezvy serveru (Server Response Time): Měří, jak rychle server potvrdí přijetí požadavku. Pro moderní webové aplikace je ideální hodnota pod 200 milisekund. Pomalé odezvy přímo zhoršují uživatelský zážitek a negativně ovlivňují pozice ve vyhledávačích.
• Rychlost přenosu dat (Throughput): Udává, jak rychle můžete data nahrávat a stahovat. Je to kritický parametr pro aplikace pracující s velkými objemy dat, pro zálohování nebo pro rychlou obnovu po havárii.

Podpora (Support Metrics)

Když nastane problém, rychlost a kvalita reakce poskytovatele je klíčová. Zde je nutné rozlišovat dva zásadní pojmy:

• Doba reakce (Response Time): Čas, za který poskytovatel potvrdí přijetí vašeho hlášení. Může jít i o automatickou odpověď. Sama o sobě nemá velkou vypovídající hodnotu.
• Doba vyřešení (Resolution Time): Čas, za který poskytovatel problém skutečně odstraní a službu zprovozní. Toto je metrika, na které musíte ve smlouvě trvat, a to s odstupňováním podle závažnosti incidentu. Kritický výpadek celého systému musí mít garantovanou dobu vyřešení v řádu desítek minut, zatímco drobná chyba v administraci může mít lhůtu v řádu hodin či dnů.

Následující tabulka ukazuje běžně doporučované hodnoty pro klíčové metriky, které vám mohou sloužit jako vodítko při vyjednávání.

Metrika	Doporučené minimum	Ideální cíl
Záruka dostupnosti	99,9 %	99,99 %
Doba odezvy serveru	200 ms	Méně než 100 ms
Doba reakce podpory (kritický incident)	30 minut	15 minut
Doba vyřešení (kritický incident)	4 hodiny	2 hodiny

FAQ – Právní tipy k metrikám SLA

1. Jak zajistit, aby se plánovaná údržba nestala skrytým výpadkem?
Odpověď: Smlouva musí přesně definovat okna pro plánovanou údržbu (např. mimo pracovní dobu), jejich maximální četnost a délku. Jakýkoli zásah mimo toto definované okno musí být smluvně klasifikován jako neplánovaný výpadek a započítán do celkové doby nedostupnosti. Potřebujete pomoci s definicí těchto podmínek? Kontaktujte nás na office@arws.cz.

2. Může poskytovatel jednostranně změnit způsob měření metrik?
Odpověď: Neměl by, pokud je smlouva dobře napsána. Klíčové je do SLA zahrnout klauzuli, že jakákoli změna v metodologii měření, monitorovacích nástrojích nebo definicích metrik vyžaduje předchozí písemný souhlas obou smluvních stran. Naši právníci jsou připraveni pro vás takovou smlouvu zrevidovat – napište na office@arws.cz.

Na koho se můžete obrátit?

Když poskytovatel selže: Jaké sankce a nápravná opatření skutečně fungují?

I ta nejlepší smlouva je bezcenná, pokud neobsahuje účinné mechanismy pro případ jejího porušení. Standardní SLA nabízejí jako hlavní kompenzaci tzv. servisní kredity, ale ty často ani zdaleka nepokryjí reálné škody.

Omezení servisních kreditů

Servisní kredity jsou v podstatě slevou z vašeho dalšího měsíčního vyúčtování.Jejich výše se obvykle odvíjí od rozsahu a délky výpadku. Tento mechanismus má však několik zásadních limitů:

• Nepokrývají reálné škody: Kredit ve výši několika tisíc korun vám nenahradí ztracené tržby v řádu statisíců, poškození reputace značky nebo náklady na řešení stížností nespokojených zákazníků.
• Jsou často zastropované: Mnoho smluv omezuje maximální výši kreditů, například na 100 % měsíčního poplatku za danou službu. I při totálním a dlouhodobém výpadku tak získáte zpět maximálně jeden měsíční poplatek.
• Náročný proces uplatnění: Poskytovatelé vyžadují pro uplatnění kreditu striktní postup. Musíte incident nahlásit včas (lhůty mohou být i jen několik pracovních dnů), doložit jeho dopad a vyplnit specifické formuláře. Například Google vyžaduje nahlášení do 30 dnů, Microsoft má pro různé služby lhůty od jednoho do dvou měsíců.

Vyjednávání o smysluplnějších nápravách

Pro kriticky důležité služby je nezbytné vyjednat si ve smlouvě silnější páky, než jsou pouhé servisní kredity.

• Smluvní pokuty: Na rozdíl od servisních kreditů mohou být smluvní pokuty navrženy tak, aby skutečně odrazovaly poskytovatele od neplnění a alespoň částečně kompenzovaly vaše škody.
• Právo na ukončení smlouvy: Smlouva by měla obsahovat tzv. „lemon clause“, která vám dává právo odstoupit od smlouvy bez jakýchkoli sankcí v případě opakovaného nedodržování SLA nebo v případě jednoho závažného, katastrofického selhání.
• Závazné eskalační postupy: Aby se řešení kritického problému nezaseklo na nejnižší úrovni technické podpory, musí smlouva definovat jasnou eskalační matici. Ta stanoví, kdy a na jakého konkrétního manažera na straně poskytovatele se problém přesouvá, pokud není vyřešen v definovaném čase.

Finanční a provozní dopady nedostatečných sankcí v SLA

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Nedostatečná kompenzace za výpadek: Standardní servisní kredity nepokryjí ztrátu tržeb, poškození reputace ani interní náklady na řešení krize.	Analýza obchodních rizik a návrh smluvních pokut: Provedeme právní analýzu a navrhneme smluvní pokuty, které odrážejí reálné finanční dopady. Chcete vědět, jaké jsou vaše právní možnosti? Napište na office@arws.cz.
Opakované menší výpadky: Poskytovatel nemá motivaci řešit příčinu chronických problémů, pokud jsou sankce zanedbatelné (tzv. „melounový efekt“).	Nastavení "lemon" klauzulí: Připravíme smluvní ustanovení, která vám dávají právo na odstoupení od smlouvy při opakovaném neplnění SLA. Potřebujete připravit nebo zrevidovat smlouvu? Kontaktujte nás na office@arws.cz.
Zdlouhavé řešení kritických incidentů: Bez definovaných eskalačních postupů a lhůt pro vyřešení (resolution time) může kritický problém paralyzovat firmu na dny.	Definice závazných eskalačních matic: Vyhotovíme smluvní dodatek s jasně definovanými lhůtami pro řešení a kontakty na odpovědné manažery u poskytovatele. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.
Zmeškání lhůty pro uplatnění nároku: Poskytovatelé mají striktní a krátké lhůty (např. 30 dní) pro nahlášení incidentu a žádost o kredit.	Příprava interních směrnic a procesů: Připravíme pro vás interní postupy pro monitoring SLA a včasné uplatňování nároků, aby vám žádná kompenzace neunikla. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Skrytá rizika v cloudových smlouvách: Na co si dát pozor?

Kromě zjevných parametrů, jako je dostupnost a výkon, skrývají cloudové smlouvy i méně nápadná, ale o to nebezpečnější rizika. Patří mezi ně zejména vendor lock-in, nejasnosti ohledně odpovědnosti za data a kybernetická bezpečnost.

Vendor Lock-in: Digitální past na zákazníky

Termín „vendor lock-in“ označuje situaci, kdy se stanete natolik závislí na technologiích jednoho poskytovatele, že přechod ke konkurenci je buď technicky extrémně složitý, nebo finančně neúnosný. Poskytovatelé k tomu využívají několik mechanismů:

• Proprietární technologie: Používání unikátních API, databázových formátů nebo nástrojů pro správu, které nejsou kompatibilní s jinými platformami.
• Vysoké náklady na odchozí data (Egress Fees): Účtování vysokých poplatků za přenos velkého objemu dat z cloudu ven, což migraci prodražuje.
• Nedostatečná dokumentace a asistence: Smluvní absence povinnosti poskytovatele pomoci s migrací a předat kompletní technickou dokumentaci.

V ARROWS proti vendor lock-in aktivně bojujeme s využitím § 433 občanského zákoníku, který zakazuje podnikatelům zneužívat své hospodářské postavení k vytváření závislosti slabší strany.

Na základě tohoto ustanovení pro naše klienty vyjednáváme smluvní závazky na export dat v otevřených formátech a povinnou součinnost poskytovatele při ukončení smlouvy.

Odpovědnost za data a GDPR: Model sdílené odpovědnosti

V kontextu GDPR je klíčové pochopit tzv. „model sdílené odpovědnosti“ (shared responsibility model). Poskytovatel je odpovědný za bezpečnost cloudu (zabezpečení fyzických datových center, sítě, hardwaru). 

Vy jako klient jste však plně odpovědní za bezpečnost v cloudu (správa přístupových práv, konfigurace služeb, šifrování dat, zabezpečení aplikací).

Z pohledu GDPR jste vy v pozici správce osobních údajů, zatímco poskytovatel cloudu je zpracovatelem. To znamená, že primární právní odpovědnost za případný únik dat a související astronomické pokuty nesete vy jako klient.

Proto je naprosto nezbytné mít s poskytovatelem uzavřenou detailní zpracovatelskou smlouvu (Data Processing Agreement – DPA), která splňuje všechny požadavky článku 28 GDPR.

ARROWS se specializuje na přípravu a revizi DPA smluv, které efektivně přenášejí část odpovědnosti na zpracovatele a chrání vás před sankcemi.

Právní, compliance a bezpečnostní hrozby

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Uvěznění u jednoho dodavatele (Vendor Lock-in): Nemožnost změnit poskytovatele kvůli proprietárním technologiím nebo vysokým nákladům na migraci dat.	Příprava smluv s "exit" strategií: Připravíme smluvní klauzule zaručující export dat v otevřeném formátu a součinnost poskytovatele při migraci. Potřebujete připravit smlouvu? Kontaktujte nás na office@arws.cz.
Nezákonné zpracování osobních údajů: Absence nebo vady ve zpracovatelské smlouvě (DPA) mohou vést k pokutám od ÚOOÚ až do výše 4 % celosvětového obratu.	Vyhotovení GDPR-compliant dokumentace: Zajistíme kompletní přípravu DPA a interních směrnic pro zpracování osobních údajů v cloudu. Chcete ochránit firmu před pokutami? Napište nám na office@arws.cz.
Předávání dat mimo EU/EHP: Ukládání dat na serverech v USA nebo jinde bez adekvátních právních záruk (např. Standardních smluvních doložek) je porušením GDPR.	Právní stanoviska k mezinárodnímu transferu dat: Posoudíme právní režim země, kde jsou data uložena, a zajistíme potřebné smluvní doložky (SCC). Díky síti ARROWS International řešíme tyto otázky prakticky denně. Pro konzultaci nás kontaktujte na office@arws.cz.
Nejasná odpovědnost za bezpečnostní incident: Standardní smlouvy často omezují odpovědnost poskytovatele na minimum a přenášejí většinu rizika na klienta.	Zastupování při jednání o odpovědnosti: Vyjednáme pro vás spravedlivé rozdělení odpovědnosti a limity náhrady škody v případě incidentu způsobeného pochybením poskytovatele. Potřebujete zastoupení u správních orgánů? Napište na office@arws.cz.

Mezinárodní poskytovatelé a český byznys: Máte kontrolu nad svými daty?

Trhu s cloudovými službami dominují globální hráči jako Amazon Web Services (AWS), Microsoft Azure a Google Cloud. 

Jejich technologická vyspělost a škála služeb jsou bezkonkurenční, ale jejich smluvní podmínky jsou komplexním labyrintem, který je navíc často podřízen cizímu právnímu řádu. 

Vaším smluvním partnerem totiž obvykle není česká pobočka, ale například Amazon Web Services EMEA SARL se sídlem v Lucembursku.

V takovém případě je čistě lokální právní pohled nedostatečný. Zde se naplno projevuje síla deset let budované mezinárodní sítě ARROWS International. 

Nevíte si s daným tématem rady?

Díky ní dokážeme efektivně řešit přeshraniční spory, orientovat se v lokálních právních systémech a jednat přímo s právními odděleními nadnárodních korporací. 

Řešení těchto komplexních mezinárodních otázek je denní prací našich specialistů, kteří se zaměřují na IT a softwarové právo, kyberbezpečnost. Více o této službě najdete na našem webu.

Je třeba si také uvědomit, že ani smlouva s evropskou entitou amerického giganta vás plně neochrání před dopady amerických zákonů, jako je CLOUD Act. Tento zákon umožňuje americkým úřadům vyžádat si data uložená kdekoli na světě, pokud je spravuje americká společnost. 

To představuje značné riziko z pohledu GDPR, což potvrdil i Soudní dvůr EU v přelomovém rozsudku Schrems II. 

Naši experti vám proto pomohou navrhnout doplňková opatření, jako je pokročilé šifrování s klíči ve vaší správě, která toto riziko minimalizují.

Jak vám v ARROWS zajistíme smlouvu, která chrání vaše zájmy?

Spoléhat se na standardní podmínky poskytovatelů cloudu je sázka, kterou si úspěšné podnikání nemůže dovolit. 

V ARROWS přistupujeme k zajištění cloudových služeb komplexně a strategicky. Naše dlouholeté zkušenosti s poradenstvím pro více než 150 akciových společností, 250 s.r.o. a 51 obcí a krajů nám umožňují poskytovat služby na nejvyšší úrovni.

Naše pomoc zahrnuje:

• Právní audit stávajících cloudových smluv a identifikaci skrytých rizik.
• Vyjednávání a přípravu SLA a DPA na míru vašim obchodním potřebám.
• Zastupování u soudů a správních orgánů v případě sporů s poskytovateli.
• Vyhotovení interních směrnic pro compliance a řízení rizik spojených s cloudem.
• Odborná školení pro váš management a zaměstnance s certifikátem o absolvování.

V ARROWS si zakládáme na rychlosti, vysoké kvalitě a budování dlouhodobých vztahů. Naše klienty propojujeme, pokud vidíme zajímavé obchodní či investiční příležitosti, a rádi si poslechneme i vaše podnikatelské nápady.

Vaše digitální infrastruktura je příliš cenná na to, abyste ji svěřili standardní smlouvě. Spojte se s námi na office@arws.cz a získejte právní řešení na míru, které skutečně ochrání vaše podnikání.

FAQ – Nejčastější právní dotazy ke smlouvám o cloudových službách

1. Co se stane, když poskytovatel jednostranně změní podmínky SLA v průběhu smlouvy?
Odpověď: Standardní smlouvy si toto právo často vyhrazují. Klíčové je ve smlouvě vyjednat, že jakékoli podstatné a pro vás nevýhodné změny vám dávají právo smlouvu bez sankcí ukončit. Pokud řešíte podobný problém, kontaktujte nás na office@arws.cz.

2. Jak mohu zajistit bezpečný přenos dat k novému poskytovateli při ukončení smlouvy?
Odpověď: Smlouva musí obsahovat tzv. "exit klauzuli", která poskytovatele zavazuje k plné součinnosti, exportu veškerých vašich dat v otevřeném, strojově čitelném formátu a jejich bezpečnému a prokazatelnému smazání z původních systémů po předání. Pro detailní právní poradenství nám napište na office@arws.cz.

3. Kdo je odpovědný, pokud dojde k úniku dat vinou zaměstnance poskytovatele?
Odpověď: Podle GDPR jste jako správce dat primárně odpovědní vůči subjektům údajů (vašim klientům, zaměstnancům). Musíte však mít se zpracovatelem (poskytovatelem) uzavřenou smlouvu, která jasně definuje jeho odpovědnost vůči vám a povinnost nahradit škodu, která vám jeho pochybením vznikla. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

4. Jsou servisní kredity jedinou možnou kompenzací za nedodržení SLA?
Odpověď: Ne, i když je to nejběžnější. Pro kritické služby je možné a žádoucí vyjednat i jiné formy nápravy, jako jsou smluvní pokuty, které lépe odrážejí reálnou škodu, nebo právo na okamžité odstoupení od smlouvy. Pro posouzení vaší situace se na nás neváhejte obrátit na office@arws.cz.

5. Vztahuje se na B2B smlouvy o cloudu ochrana slabší smluvní strany?
Odpověď: Ano, za určitých okolností. Český občanský zákoník v § 433 zakazuje zneužití hospodářského postavení k vytvoření závislosti slabší strany. To může být silný argument při vyjednávání s dominantním poskytovatelem, i když jste podnikatel. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

6. Co znamená "sdílená odpovědnost" za bezpečnost v praxi?
Odpověď: Znamená to, že poskytovatel zabezpečuje fyzickou infrastrukturu a základní síť (bezpečnost cloudu), ale vy jste plně odpovědní za správnou konfiguraci služeb, správu přístupů, šifrování dat a ochranu aplikací (bezpečnost v cloudu). Neváhejte se obrátit na naši kancelář – office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.