Reseller Magazine TÉMA ČÍSLA | CLOUD
OD BUZZWORDU KE KRITÉRIU
MICHALA BENEŠOVSKÁ
CO ZNAMENÁ SUVERÉNNÍ CLOUD? „Sovereign cloud“ neboli suverénní cloud už v Evropě není jen termín z konferenčních panelů, na které se nikdo moc nehrnul. Co to vlastně znamená a proč je to velice důležité téma, které by vás mělo zajímat?
V roce 2025 používalo placené cloudové služby 52,7 % podniků v EU a AI technologie 19,95 % podniků; jinými slovy, cloud a AI se staly běžnou provozní vrstvou byznysu právě ve chvíli, kdy se výrazně zostřily požadavky na jurisdikci, přenosy dat, interoperabilitu a dohled nad poskytovateli. V evropské praxi dnes suverénní cloud neznamená „cloud v EU“ ani „datové centrum v Evropě“. Znamená to schopnost doložit, kdo službu právně řídí, kdo ji provozně ovládá, podle jakého práva se rozhoduje o přístupu k datům, jak je řešen odchod od dodavatele, jak transparentní je dodavatelský řetězec a zda lze v takovém prostředí provozovat i moderní AI workloady bez obcházení compliance. Přesně tímto směrem se posouvají evropské regulace, doporučení národních autorit i nejnovější cloudové procurement rámce Komise.
Druhý důvod je, že AI a cloud regulace začínají běžet paralelně. AI Act vstoupil v platnost 1. srpna 2024, zakázané praktiky a povinnosti AI gramotnosti se uplatňují od 2. února 2025, pravidla pro GPAI modely od 2. srpna 2025 a plná použitelnost aktu je nastavena na 2. srpna 2026. Současně NIS2 a na něj navázaná prováděcí pravidla zpřesňují kybernetické požadavky na digitální infrastruktury a části cloudového trhu; ENISA už k tomu vydala technické návody pro implementaci. Ve finančním sektoru se pak od 17. ledna 2025 uplatňuje DORA, která z cloudových a ICT dodavatelů dělá ještě citlivější součást řízení provozní odolnosti. Třetí důvod je vynucování. Už rozsudek Schrems II v roce 2020 potvrdil, že při předávání osobních údajů do třetích zemí musí být zachována ochrana „v podstatě rovnocenná“ ochraně v EU a že dozorové orgány mají povinnost přenos pozastavit nebo zakázat, pokud takovou ochranu nelze zajistit. Na to dnes navazují i aktuální pokyny EDPB k článku 48 GDPR: přímý požadavek cizí veřejné autority sám o sobě nevytváří právní základ ani přenosový mechanismus. A že nejde o teorii, ukázal i EDPS v kauze Microsoft 365 u Evropské komise, kde v roce 2024 nařídil zastavit datové toky do neadekvátních třetích zemí a donutil Komisi změnit nastavení využívání služby. EDPS v červenci 2025 vymáhací řízení uzavřel jako vyřešené, precedent o povinnostech při použití neevropských cloudových služeb ale zůstal.
Proč už suverénní cloud není okrajové téma
První důvod je regulatorní. Data Act se začal používat od 12. září 2025 a pro cloud je mimořádně důležitý ve třech bodech: ukládá požadavky na změnu mezi poskytovateli, rozvíjí interoperabilitu a zavádí ochranu proti nezákonnému přístupu třetích zemí k neosobním datům drženým v EU. Od 12. ledna 2027 navíc zcela odstraňuje poplatky za změnu včetně poplatků za data egress, což je přímý zásah proti vendor lock-inu. To je zásadní změna: svrchovanost se poprvé neřeší jen bezpečnostně a právně, ale i díky skutečné možnosti odejít jinam. Je potřeba dodat jedno upřesnění – do 12. ledna 2027 jsou poplatky pokrývající skutečně vynaložené náklady na změnu stále povoleny a tzv. poplatky za předčasné ukončení (early termination penalties) zůstávají dovolené i po tomto datu za určitých podmínek.
Co v evropské praxi znamená cloudová suverenita
Nejdůležitější novinka posledních měsíců je, že Evropská komise převedla debatu o „digitální suverenitě“ do měřitelného rámce. V Cloud Sovereignty Frameworku, který použila při svém tendru, rozpadá suverenitu do osmi konkrétních cílů: strategická
květen 2026 | www.rmol.cz
42