Tisíce občanů čeká na vyřízení žádosti. Systém je od rána nedostupný. Úřad volá svému IT dodavateli, ten ukazuje na poskytovatele cloudu, ten na bezpečnostního partnera. Každý má smlouvu, ale nikdo nemá odpovědnost. Tahle situace není hypotéza. Je reálným příkladem, který vzniká v důsledku nedostatečné přípravy IT projektů a neodpovídajícího smluvního rámce.
Následující text vychází z naší dlouhodobé zkušenosti s cloudovými projekty pro orgány veřejné správy, příspěvkové organizace i státní podniky. Záměrně se vyhýbáme akademickým definicím a zaměřujeme se na to, co v praxi rozhoduje o úspěchu nebo neúspěchu cloudové migrace.
Debata o tom, zda cloud do veřejné správy patří, je dávno uzavřena. Otázka dnes zní jinak: za jakých právních a smluvních podmínek a co se stane, až jednoho dne budete chtít systém auditovat, změnit dodavatele, nebo zjistit, kdo vlastně nese odpovědnost za to, že veřejná služba nefunguje.
Cloudové projekty ve veřejném sektoru se pohybují v hustém regulatorním prostředí. Vedle zákona o informačních systémech veřejné správy (ZISVS) a zákona o kybernetické bezpečnosti (ZKB) vstupuje do hry GDPR, zákon o zadávání veřejných zakázek a na unijní úrovni sílící trend „cloudové suverenity" – patrný například v iniciativách jako EUCS (European Union Cloud Scheme) nebo GAIA-X. Česká republika se přitom nachází ve fázi, kdy se politická vůle k adopci cloudu střetává s nedostatečnou legislativní a smluvní praxí.
Cloud pro veřejnou správu: právně vícevrstvý produkt
Cloud pro soukromé společnosti je primárně otázkou efektivity a nákladů. Cloud pro orgány veřejné správy je od základu něčím jiným: jde o „právně vícevrstvý produkt", kde se na každé vrstvě prolínají různé právní režimy.
Každá cloudová služba provozovaná OVS (orgánem veřejné správy) musí být posuzována souběžně z pohledu více předpisů: ZISVS (atestace ISVS, KIVS), ZKB (povinnosti poskytovatelů regulovaných služeb a jejich dodavatelů), GDPR, zákona o archivnictví a spisové službě i zadávacích pravidel.
Zásadní je jedno: odpovědnost za plnění všech těchto povinností zůstává na orgánu veřejné správy, bez ohledu na to, co je „v cloudu". Cloud je nástroj, nikoli způsob, jak se odpovědnosti zprostit. Přesně tato záměna – „dali jsme to do cloudu, teď je to jejich starost" – stojí za celou řadou problémů, se kterými se ve své praxi setkáváme.
Dvě klíčová rizika: kdo za co odpovídá a jak se dostat ven
„Rozplizlá“ odpovědnost
Typický cloudový projekt ve veřejném sektoru dnes zahrnuje přinejmenším čtyři aktéry: hyperscalera (AWS, Azure, GCP) nebo lokálního cloud providera, systémového integrátora, provozovatele konkrétní agendové aplikace nebo SaaS platformy a bezpečnostního dodavatele nebo SOC. Každý z nich fakticky nese jen část odpovědnosti. Přitom až konečný dodavatel je častokrát jedinou smluvní stranou s veřejným dodavatelem. Logicky se tak brání odpovědnosti za ostatní články.
Pokud smlouva neobsahuje jasné definice rolí, SLA a není ujednán jednotný incident management, vzniká v praxi často problém. Výsledkem je totiž situace, kdy si při výpadku systému veřejná správa vysvětluje s hlavním dodavatelem zvlášť, proč problém „není na jeho straně". Náprava je zdlouhavá, náklady na vynucení práv vysoké a veřejná služba mezitím nefunguje.
Vendor lock‑in: ve veřejném sektoru citlivější než kdekoli jinde
Závislost na jednom poskytovateli je nepříjemná všude. Ve veřejném sektoru má ale specifické právní a praktické důsledky.
Pokud je další rozvoj systému ekonomicky nebo technicky možný jen u stávajícího poskytovatele, zadavatel se dostává do slepé uličky. Zadavatel buď pokračuje za jakýchkoli podmínek (s rizikem napadení takového postupu), nebo zahájí nové zadávací řízení, jehož výsledkem bude fakticky totéž. Odchod od poskytovatele navíc může být neúměrně drahý, pokud smlouva neupravuje formát exportu dat, přechodovou součinnost ani práva ke customizacím. Navíc v případě výpadku nebo insolvence poskytovatele musí veřejná správa zajistit kontinuitu služby ze zákona, což bez fungujícího exit plánu bývá krizový scénář s politickými i právními dopady.
Co musí dobrá cloudová smlouva obsahovat
Právní rámec cloudového projektu pro veřejný sektor je dnes spíše compliance a governance nástrojem než klasickou IT smlouvou. Na základě naší praxe považujeme za klíčové zejména tyto oblasti:
- Jasný popis služby a architektury – kdo je skutečný cloud provider, kdo integrátor, kde fyzicky leží data, jaká je architektura tenantů. Standardní produktové listy hyperscalerů nestačí.
- SLA a bezpečnost – klasifikace incidentů odpovídající ZKB a interní bezpečnostní politice zadavatele, BCP/DR s testovatelnou dostupností, právo na audit nebo akceptace auditů třetích stran (ISO 27001, SOC 2).
- Ochrana osobních údajů – jednoznačné určení rolí správce a zpracovatele, transparentní podzpracovatelský mechanismus, lokalizace dat a pravidla pro mezinárodní přenosy, standardy šifrování.
- Poddodavatelský řetězec – aktuální seznam poddodavatelů jako příloha smlouvy, povinnost notifikovat změny s dostatečným předstihem, právo zadavatele vznést odůvodněné námitky.
- Exit a přenositelnost dat – závazný formát a úplnost exportu dat (strojově čitelný, otevřený standard), délka a obsah přechodové součinnosti (transition services), maximální náklady exitu sjednané předem, lhůty a potvrzení pro smazání zbytkových kopií.
- Ochrana před jednostrannými změnami podmínek – hyperscaleři průběžně mění své standardní smluvní podmínky; smlouva musí obsahovat tzv. regulator change clause a stabilizační ustanovení pro případ, že změna podmínek poskytovatele ohrozí plnění zákonných povinností zadavatele.
Příklad z praxe
Veřejný subjekt migruje svou agendovou platformu do SaaS řešení. Migrace proběhne hladce, systém funguje. Po třech letech přichází potřeba soutěžit rozšíření funkcionality – zadavatel zjišťuje, že customizace provedené integrátorem jsou technicky neoddělitelné od platformy, formát exportu dat není standardizovaný, smlouva neobsahuje transition services a poddodavatelský řetězec poskytovatele se mezitím dvakrát změnil bez notifikace. Výsledkem je de facto nemožnost změny poskytovatele a silně omezená vyjednávací pozice.
Těmto situacím lze předejít. Mezi klíčová opatření patří zejména nastavení přenositelnosti dat a standardizovaných rozhraní (API) jako podmínky zadání, povinnost dokumentovat customizace a zajistit k nim licence, zakotvení transition services jako smluvního standardu a pravidelný audit poddodavatelského řetězce jako součást SLA. Nic z toho není technicky složité, ale je důležité tyto požadavky zapracovat do zadávací dokumentace a smluvního rámce ještě před zahájením soutěže.
Závěr: největším rizikem není výpadek, ale neauditovatelnost
Zkušenost z cloudových projektů ve veřejném sektoru ukazuje opakující se vzorec. Největším rizikem není to, že systém „spadne". Rizikem je, že nebude auditovatelný, soutěžitelný a „opustitelný“ v souladu se zákonem. Dobrá cloudová smlouva proto dnes musí být v první řadě compliance a governance nástrojem: musí přesně vymezit odpovědnosti, zajistit kontrolovatelnost a umožnit zadavateli reálně uplatnit svá zákonná práva v případě, že se vztah s poskytovatelem zkomplikuje.
HAVEL & PARTNERS se dlouhodobě věnuje právnímu nastavení cloudových projektů pro orgány veřejné správy, příspěvkové organizace i regulované subjekty – od přípravy zadávací dokumentace a hodnoticích kritérií přes smluvní rámec odpovídající požadavkům ZISVS, ZKB a GDPR až po nastavení exit strategií a governance modelů. Pokud připravujete cloudový projekt nebo přehodnocujete stávající smluvní vztahy s cloudovými poskytovateli, rádi vám nabídneme praktický pohled z první ruky.
