Diagram znázorňující datovou suverenitu EU s českým datacentrem chránícím data před mezinárodními přenosy
Zpět na blog
Compliance

GDPR a datová suverenita — proč český cloud?

Jak GDPR, Schrems II, NIS2 a DORA ovlivňují výběr cloudu. Český cloud s vlastním DC v Praze zajistí datovou suverenitu bez rizika US CLOUD Act.

Tým PROZETA

Inženýři cloudové infrastruktury

|
11 min čtení
|
Sdílet:

Evropská regulatorní krajina zásadně změnila pravidla, kde a jak mohou organizace ukládat data. GDPR, Schrems II, NIS2 a DORA společně vytvářejí rámec, v němž volba mimoevropského poskytovatele cloudu přináší právní rizika, komplexní compliance požadavky a potenciální pokuty až do výše 4 % celosvětového ročního obratu. Pro organizace zpracovávající data občanů EU nabízí český poskytovatel cloudu s vlastním datacentrem v Praze nejjednodušší cestu k plnému souladu s regulacemi.

Co přesně GDPR vyžaduje pro ukládání dat v cloudu?

GDPR (Obecné nařízení o ochraně osobních údajů) stanoví přísná pravidla pro místo zpracování a uložení osobních údajů občanů EU. Články 44 až 49 specificky upravují mezinárodní přenosy dat — jakýkoli přenos osobních údajů mimo Evropský hospodářský prostor (EHP) vyžaduje buď rozhodnutí Evropské komise o přiměřenosti, standardní smluvní doložky (SCC), nebo závazná podniková pravidla (BCR).

Klíčová ustanovení GDPR ovlivňující cloudovou infrastrukturu:

  • Článek 44 — Obecná zásada: Jakýkoli přenos osobních údajů do třetí země smí proběhnout pouze za splnění podmínek stanovených v kapitole V.
  • Článek 45 — Rozhodnutí o přiměřenosti: Evropská komise posuzuje, zda třetí země zajišťuje přiměřenou úroveň ochrany. USA se od roku 2023 spoléhají na EU-US Data Privacy Framework, který je právně napadán.
  • Článek 46 — Vhodné záruky: Bez rozhodnutí o přiměřenosti vyžadují přenosy SCC nebo jiné záruky — plus posouzení dopadu přenosu (Transfer Impact Assessment, TIA).
  • Článek 48 — Přenosy nepovolené právem Unie: Rozhodnutí soudů třetích zemí vyžadující přenos dat nejsou uznávána, pokud nejsou založena na mezinárodní dohodě.

Praktický důsledek: Pokaždé, když vaše data opustí EU na infrastruktuře amerického hyperscalera, nesete důkazní břemeno prokázání přiměřené ochrany. U českého poskytovatele cloudu tato celá compliance vrstva odpadá — vaše data nikdy nepřekročí hranice EU.

Jaké pokuty byly uděleny za porušení GDPR v souvislosti s cloudem?

Záznamy o vymáhání ukazují, že regulátoři to myslí vážně:

  • Meta (Irsko): pokuta 1,2 miliardy EUR (květen 2023) za přenos dat uživatelů z EU do USA bez přiměřených záruk — nejvyšší pokuta v historii GDPR.
  • Amazon (Lucembursko): 746 milionů EUR (červenec 2021) za porušení pravidel zpracování dat.
  • Clearview AI (více úřadů): kombinované pokuty přesahující 60 milionů EUR ve Francii, Itálii, Řecku a Velké Británii za zpracování biometrických dat občanů EU na amerických serverech.
  • Rakouský DPA (2022): rozhodl, že používání Google Analytics porušuje GDPR, protože data byla přenášena do USA bez přiměřené ochrany.

Nejde o teoretická rizika. Evropské úřady pro ochranu osobních údajů (DPA) udělily od roku 2018 pokuty v celkové výši přes 4,5 miliardy EUR, přičemž porušení pravidel mezinárodních přenosů dat tvoří rostoucí podíl.

Jak Schrems II ovlivňuje výběr poskytovatele cloudu?

Soudní dvůr Evropské unie (SDEU) zneplatnil EU-US Privacy Shield v červenci 2020 (věc C-311/18, „Schrems II"). Soud rozhodl, že americké zákony o sledování — zejména Section 702 zákona FISA a Executive Order 12333 — jsou neslučitelné se základními právy EU, protože americké zpravodajské služby mohou přistupovat k datům občanů EU bez přiměřeného soudního dohledu.

Dopad rozsudku na cloudovou infrastrukturu je přímý a měřitelný:

  • Standardní smluvní doložky samy o sobě nestačí, pokud zákony cílové země podkopávají ochranu, kterou poskytují. Pro přenosy do USA musí organizace provést doplňkové posouzení dopadu přenosu.
  • EU-US Data Privacy Framework (DPF), přijatý v červenci 2023 jako náhrada Privacy Shield, čelí právním napadením. Aktivista Max Schrems podal žalobu začátkem roku 2024 a právní experti široce očekávají rozhodnutí „Schrems III", které by mohlo DPF zneplatnit.
  • 72 % evropských podniků dotázaných Eurostatem v roce 2025 označilo mezinárodní přenosy dat za hlavní compliance problém.

Co to znamená pro vaši infrastrukturu: Pokud provozujete workloady na AWS (us-east-1, us-west-2), Azure (US regiony) nebo GCP (US regiony), aktivně sázíte na to, že současný EU-US Data Privacy Framework přežije právní napadení. Pokud padne — jako padl Privacy Shield — budete čelit okamžité compliance mezeře bez přechodného období.

Provoz na českém cloudu s pražským datacentrem toto riziko zcela eliminuje. Žádné mezinárodní přenosy. Žádná posouzení dopadu přenosu. Žádná závislost na geopolitických dohodách.

Proč je US CLOUD Act rizikem pro evropské organizace?

Clarifying Lawful Overseas Use of Data (CLOUD) Act, přijatý v roce 2018, uděluje americkým orgánům činným v trestním řízení pravomoc přinutit americké technologické společnosti poskytnout data uložená na jejich serverech — bez ohledu na to, kde se tato data fyzicky nacházejí. To zahrnuje i data uložená v datacentrech EU provozovaných AWS, Microsoft Azure a Google Cloud Platform.

Konflikt s GDPR je zásadní:

  • Článek 48 GDPR stanoví, že rozhodnutí soudů třetích zemí nebo správní požadavky nejsou uznávány jako zákonný důvod pro přenos dat, pokud nejsou založeny na mezinárodní dohodě (např. Smlouvě o vzájemné právní pomoci).
  • CLOUD Act umožňuje americkým úřadům toto obejít tím, že přinutí americkou mateřskou společnost data vydat.
  • Vaše data v AWS eu-central-1 (Frankfurt) nejsou imunní. Amazon Web Services, Inc. je americká právnická osoba. Americký soud může na základě CLOUD Act přinutit AWS vydat data z jakéhokoli regionu, včetně regionů EU.

Nejde o teorii. Americké ministerstvo spravedlnosti vydalo od roku 2018 tisíce žádostí na základě CLOUD Act a americkým poskytovatelům je zákonem zakázáno mnohé z těchto žádostí svým zákazníkům sdělit.

Jak se liší EU poskytovatelé od amerických hyperscalerů z hlediska datové suverenity?

KritériumUS Hyperscaler (AWS/Azure/GCP)EU poskytovatelČeský poskytovatel (PROZETA)
Expozice vůči CLOUD ActAno — americká mateřská společnostNeNe
Garance datové rezidenceVolitelný region, ale žádná právní imunitaPouze EUDatacentrum Praha, data nikdy neopustí ČR
Riziko přenosu dle GDPRVyžaduje TIA + SCC pro americkou entituMinimálníŽádné
Expozice vůči Schrems IIVysoká — závislost na platnosti DPFNízkáŽádná
Přístup DPA k audituSložitý, multi-jurisdikčníPřímočarýPřímý — stejná jurisdikce
Vlastnictví infrastrukturyAmerická korporaceRůznéČeská společnost (PRO-ZETA a.s., zal. 1991)

PROZETA provozuje vlastní datacentrum v Praze. Mateřská společnost PRO-ZETA a.s. je registrována v České republice — členském státě EU/EHP. Neexistuje žádná americká mateřská entita, žádná jurisdikce CLOUD Act a žádný mezinárodní přenos dat, když hostujete u PROZETA. Vaše data podléhají výhradně českému a unijnímu právu.

Více o naší infrastruktuře na stránkách cloudové platformy Tier5 nebo o společnosti PROZETA.

Co znamená směrnice NIS2 pro vaši cloudovou infrastrukturu?

Směrnice NIS2 (směrnice (EU) 2022/2555) vstoupila v platnost napříč členskými státy EU v říjnu 2024. Výrazně rozšiřuje rozsah povinností v oblasti kybernetické bezpečnosti oproti původní směrnici NIS — nyní pokrývá 18 sektorů včetně energetiky, dopravy, bankovnictví, zdravotnictví, digitální infrastruktury, správy ICT služeb a veřejné správy.

Klíčové požadavky NIS2 ovlivňující rozhodování o cloudové infrastruktuře:

  • Bezpečnost dodavatelského řetězce (čl. 21(2)(d)): Organizace musí posuzovat a řídit kybernetická rizika ve svém dodavatelském řetězci, včetně poskytovatelů cloudu. Používání poskytovatele vystaveného přístupu zahraniční vlády (CLOUD Act) představuje riziko v dodavatelském řetězci, které musí být dokumentováno a ošetřeno.
  • Hlášení incidentů (čl. 23): Významné incidenty musí být hlášeny národnímu CSIRT do 24 hodin (včasné varování) a 72 hodin (úplné oznámení). Poskytovatel ve stejné jurisdikci tento proces zjednodušuje.
  • Odpovědnost vedení (čl. 20): Členové představenstva a vrcholový management jsou osobně odpovědní za zajištění řízení kybernetických rizik. Tato odpovědnost není delegovatelná.
  • Pokuty: Až 10 milionů EUR nebo 2 % celosvětového ročního obratu pro základní subjekty.

NIS2 a výběr poskytovatele cloudu: Směrnice nenařizuje hosting výhradně v EU, ale vytváří silné pobídky. Organizace musí prokázat, že posoudily rizika dodavatelského řetězce — a americký poskytovatel cloudu podléhající CLOUD Act je dokumentované riziko dodavatelského řetězce vyžadující mitigační opatření. Český poskytovatel toto riziko eliminuje na úrovni architektury.

PROZETA je držitelem certifikací ISO 27001 (systém řízení bezpečnosti informací) a ISO 9001 (systém řízení kvality), které poskytují auditovatelné důkazy o bezpečnostních kontrolách vyžadovaných NIS2.

Jak DORA ovlivňuje výběr cloudu ve finančním sektoru?

Nařízení o digitální provozní odolnosti (DORA, nařízení (EU) 2022/2554) se vztahuje na finanční subjekty v celé EU od ledna 2025. Stanoví specifické požadavky na poskytovatele ICT služeb třetích stran, včetně poskytovatelů cloudu.

Požadavky DORA relevantní pro cloudovou infrastrukturu:

  • Řízení rizik ICT třetích stran (kapitola V): Finanční subjekty musí vést registr všech ujednání s poskytovateli ICT třetích stran, provádět due diligence a posuzovat koncentrační riziko.
  • Koncentrační riziko: Regulátoři mohou označit poskytovatele cloudu jako „kritické poskytovatele ICT služeb třetích stran" podléhající přímému dohledu Evropských orgánů dohledu (ESA). AWS, Azure a GCP budou pravděpodobně mezi prvními označenými.
  • Subdodavatelské řetězce: Finanční subjekty musí mít přehled o celém subdodavatelském řetězci svých poskytovatelů cloudu.
  • Výstupní strategie (čl. 28(8)): Smlouvy musí obsahovat plány odchodu zajišťující přenositelnost dat a kontinuitu činnosti.

Praktický dopad: Finanční instituce využívající jediného amerického hyperscalera čelí koncentračnímu riziku podle DORA. Diverzifikace směrem k evropskému nebo českému poskytovateli není jen dobrá praxe — stává se regulatorním požadavkem. Cloudová platforma Tier5 od PROZETA poskytuje EU-suverénní alternativu, která finančním subjektům pomáhá řídit koncentrační riziko dle DORA.

Jaké jsou skutečné náklady nesouladu s regulacemi?

Náklady na nedodržení regulací přesahují daleko za rámec pokut:

  • Pokuty GDPR: Až 20 milionů EUR nebo 4 % celosvětového ročního obratu (vyšší z obou hodnot).
  • Pokuty NIS2: Až 10 milionů EUR nebo 2 % celosvětového ročního obratu pro základní subjekty.
  • Pokuty DORA: Stanovují národní příslušné orgány; periodické penále až 1 % průměrného denního celosvětového obratu za den po dobu až 6 měsíců.
  • Reputační škody: 87 % spotřebitelů uvádí, že by neobchodovali se společností, u níž vnímají nedostatečnou ochranu dat (Cisco 2024 Data Privacy Benchmark Study).
  • Provozní narušení: Pokud rozhodnutí Schrems III zneplatní DPF, organizace spoléhající na americké poskytovatele čelí okamžitému provoznímu výpadku, zatímco horečně hledají alternativy.

Náklady na proaktivní migraci na vyhovující infrastrukturu jsou zlomkem nákladů na reakci na regulatorní zásah nebo náhlou změnu právního rámce.

Jak PROZETA zajišťuje datovou suverenitu?

Přístup PROZETA k datové suverenitě je architektonický, nikoli jen smluvní:

  • Vlastní datacentrum v Praze: Fyzická infrastruktura vlastněná a provozovaná společností PRO-ZETA a.s. Žádná kolokace u poskytovatele podléhajícího zahraniční jurisdikci.
  • Česká právnická osoba: PRO-ZETA a.s., založena v roce 1991, registrovaná v České republice. Žádná americká mateřská společnost, žádná americká dceřiná společnost, žádná expozice vůči CLOUD Act.
  • Certifikace ISO 27001: Systém řízení bezpečnosti informací auditovaný ročně akreditovaným certifikačním orgánem.
  • Certifikace ISO 9001: Systém řízení kvality zajišťující konzistentní poskytování služeb.
  • 8+ let produkčních zkušeností s OpenStack: Provoz enterprise-grade OpenStack cloudů od roku 2016.
  • Hardware HPE: Podnikové servery a síťové prvky — žádná komoditní white-box infrastruktura.
  • Data neopustí EU: Smluvní a technické záruky, že data zůstávají v pražském datacentru.
  • Plný auditní záznam: Zákazníci mohou přímo auditovat fyzické a logické přístupové kontroly.

Pro organizace hledající alternativu k VMware, která současně splňuje požadavky na datovou suverenitu, nabízí cloudová platforma Tier5 od PROZETA úsporu nákladů i compliance v jednom řešení.

Jaké kroky podniknout pro dosažení datové suverenity v cloudu?

Přechod na suverénní cloudovou infrastrukturu je strukturovaný proces, nikoli jednorázové rozhodnutí:

  1. Klasifikace dat: Identifikujte, které datové sady obsahují osobní údaje, citlivé údaje nebo údaje podléhající sektorové regulaci (finanční sektor, zdravotnictví, veřejný sektor).
  2. Posouzení dopadu přenosu: Pro data aktuálně zpracovávaná mimo EU proveďte TIA dokumentující právní základ, rizika a doplňková opatření.
  3. Due diligence poskytovatele: Vyhodnoťte korporátní strukturu poskytovatele cloudu (existuje americká mateřská společnost?), lokace datacenter, certifikace a smluvní závazky.
  4. Revize architektury: Ujistěte se, že žádné datové toky nepřekračují hranice EU — včetně záloh, logů, monitorovacích dat a DNS dotazů.
  5. Plánování migrace: Vytvořte postupný migrační plán s prioritou nejregulovanějších dat.
  6. Smluvní rámec: Uzavřete smlouvy o zpracování osobních údajů (DPA), které explicitně garantují zpracování výhradně v EU a vylučují expozici vůči CLOUD Act.
  7. Průběžný compliance: Implementujte průběžné sledování regulatorních změn (implementace NIS2 se liší podle členského státu, vyvíjející se pokyny ESA k DORA).

Inženýrský tým PROZETA podporuje organizace v každém kroku tohoto procesu. Kontaktujte nás pro diskusi o vašich požadavcích na datovou suverenitu.

Často kladené otázky

Stačí pro soulad s GDPR uložení dat v EU regionu AWS/Azure/GCP?

Ne. Ačkoli data mohou fyzicky být v EU, americká mateřská společnost zůstává podřízena CLOUD Act a americkým zákonům o sledování. Soulad s GDPR závisí na právním rámci, kterému podléhá zpracovatel dat, nikoli pouze na fyzické lokaci serverů.

Řeší EU-US Data Privacy Framework problém Schrems II?

DPF poskytuje aktuální právní základ pro přenosy dat mezi EU a USA, ale čelí právním napadením a je široce očekáváno, že bude znovu přezkoumán SDEU. Organizace by neměly DPF považovat za trvalé řešení.

Jaký je rozdíl mezi datovou rezidencí a datovou suverenitou?

Datová rezidence znamená, že data jsou uložena v konkrétní geografické lokaci. Datová suverenita znamená, že data podléhají výhradně zákonům jurisdikce, v níž jsou uložena — včetně ochrany před přístupem zahraničních vlád. Český poskytovatel nabízí obojí.

Musím se starat o NIS2, pokud nejsem v „kritickém" sektoru?

NIS2 výrazně rozšířila rozsah působnosti. Nyní pokrývá „důležité subjekty" v sektorech jako výroba, potravinářství, odpadové hospodářství, poštovní služby a digitální poskytovatelé. Pokud má vaše organizace 50+ zaměstnanců nebo obrat 10+ milionů EUR v pokrytém sektoru, NIS2 se na vás pravděpodobně vztahuje.

Jak dlouho trvá migrace na suverénní český cloud?

Typické migrace na platformu Tier5 od PROZETA trvají 4–8 týdnů v závislosti na velikosti prostředí. Malá prostředí (do 50 VM) lze migrovat již za 2 týdny. PROZETA poskytuje migrační nástroje a inženýrskou podporu po celou dobu procesu.

Klíčová slova

GDPR clouddatová suverenitačeský cloudCLOUD Act rizikoNIS2 směrniceDORA regulacedatová rezidence EU

Připraveni na migraci z VMware?

Získejte bezplatné posouzení migrace. Zanalyzujeme vaše prostředí a dodáme detailní plán s projekcí nákladů.

Získat bezplatné posouzeníVíce o migraci