GDPR a cloud v roce 2026: stačí mít data v EU?
Přímá odpověď: ano, veřejný cloud (AWS i Azure) může být plně v souladu s GDPR — oba poskytovatelé nabízejí EU regiony, zpracovatelské smlouvy i potřebné certifikace. Pozor ale na častý omyl: „data uložená v EU” není totéž co „data mimo dosah cizích jurisdikcí”. Rezidence dat je technická vlastnost; právní suverenita je smluvní a korporátní struktura. V roce 2026 na to reagují obě velké platformy — Microsoft přes EU Data Boundary a AWS přes nový European Sovereign Cloud.
Co GDPR u cloudu skutečně vyžaduje
- Zpracovatelskou smlouvu (DPA) podle čl. 28 — standardní součást smluv AWS i Microsoftu.
- Právní mechanismus přenosů mimo EU — standardní smluvní doložky (SCC), případně rozhodnutí o přiměřenosti (EU-US Data Privacy Framework).
- Přiměřená technická opatření — šifrování při přenosu i v klidu, řízení přístupů, logování.
- Evidenci zpracovatelských činností — vědět, kudy které osobní údaje tečou (včetně podpory a telemetrie).
Splnit tyto čtyři body je pro běžnou firmu jednodušší v cloudu než na vlastním serveru ve sklepě — poskytovatel dodá certifikace, šifrování i fyzickou bezpečnost, které byste si jinak platili sami.
Microsoft EU Data Boundary
EU Data Boundary pokrývá Microsoft 365, Dynamics 365, Power Platform a většinu Azure služeb: zákaznická data i pseudonymizované osobní údaje se ukládají a zpracovávají v EU/EFTA. Pro většinu firem je to dostatečná odpověď na otázku „kde jsou naše data”.
Limit: je to závazek rezidence, ne jurisdikce. Microsoft jako americká společnost nadále podléhá americkému právu (CLOUD Act) — teoreticky i pro data uložená v EU.
AWS European Sovereign Cloud (novinka 2026)
AWS spustil 15. ledna 2026 European Sovereign Cloud s prvním regionem v německém Braniborsku. Nejde o další region, ale o fyzicky a právně oddělenou infrastrukturu: provozují ji samostatné německé společnosti (GmbH) s personálem rezidentním v EU a deklarovaným cílem, aby data neopustila EU a nebyla přístupná z USA. Je to dnes nejsilnější odpověď na jurisdikční otázku ve veřejném cloudu — míří na veřejný sektor a regulovaná odvětví.
Co z toho plyne pro běžnou firmu v ČR/SR
- Pro většinu firem stačí: EU region + DPA + šifrování + zdokumentované toky dat. To je standard, který nastavujeme při každé migraci.
- Regulovaná odvětví (finance, zdravotnictví, veřejná správa) by měla zvážit sovereign varianty — AWS European Sovereign Cloud, případně specifické Azure služby s dodatečnými zárukami.
- Nezapomeňte na SaaS nástroje třetích stran — GDPR soulad cloudu vám nepomůže, pokud CRM či mailing posílá data mimo EU bez smluvního krytí.
Kontrolní seznam před migrací
- Vyberte EU region (Frankfurt, Stockholm, Varšava…).
- Podepište DPA a prověřte subdodavatele zpracování.
- Zapněte šifrování v klidu i při přenosu; zvažte vlastní klíče (BYOK).
- Zdokumentujte toky osobních údajů včetně podpory a monitoringu.
- U citlivých dat zvažte sovereign cloud nebo dodatečné technické záruky.
Související témata: Kolik stojí cloud migrace a AWS vs Azure pro firmy.
Jak to děláme v SynapseCore
Každou migraci stavíme na EU regionech s GDPR souladem v základu: DPA, šifrování, řízení přístupů a dokumentace toků. I compliance dokumentaci zvládáme s podporou AI rychle a důkladně — malý tým, málo člověkodnů, žádné kompromisy v kvalitě. Ozvěte se nám, pokud chcete bezplatné posouzení GDPR připravenosti vašeho prostředí.
Zdroje
Připraveni na transformaci?
Kontaktujte nás ještě dnes a začněme společně budovat budoucnost vašeho byznysu.
Začít projekt