Zpět na blog

GDPR a cloud v roce 2026: stačí mít data v EU?

6. července 2026 7 min čtení SynapseCore

Přímá odpověď: ano, veřejný cloud (AWS i Azure) může být plně v souladu s GDPR — oba poskytovatelé nabízejí EU regiony, zpracovatelské smlouvy i potřebné certifikace. Pozor ale na častý omyl: „data uložená v EU” není totéž co „data mimo dosah cizích jurisdikcí”. Rezidence dat je technická vlastnost; právní suverenita je smluvní a korporátní struktura. V roce 2026 na to reagují obě velké platformy — Microsoft přes EU Data Boundary a AWS přes nový European Sovereign Cloud.

Co GDPR u cloudu skutečně vyžaduje

  1. Zpracovatelskou smlouvu (DPA) podle čl. 28 — standardní součást smluv AWS i Microsoftu.
  2. Právní mechanismus přenosů mimo EU — standardní smluvní doložky (SCC), případně rozhodnutí o přiměřenosti (EU-US Data Privacy Framework).
  3. Přiměřená technická opatření — šifrování při přenosu i v klidu, řízení přístupů, logování.
  4. Evidenci zpracovatelských činností — vědět, kudy které osobní údaje tečou (včetně podpory a telemetrie).

Splnit tyto čtyři body je pro běžnou firmu jednodušší v cloudu než na vlastním serveru ve sklepě — poskytovatel dodá certifikace, šifrování i fyzickou bezpečnost, které byste si jinak platili sami.

Microsoft EU Data Boundary

EU Data Boundary pokrývá Microsoft 365, Dynamics 365, Power Platform a většinu Azure služeb: zákaznická data i pseudonymizované osobní údaje se ukládají a zpracovávají v EU/EFTA. Pro většinu firem je to dostatečná odpověď na otázku „kde jsou naše data”.

Limit: je to závazek rezidence, ne jurisdikce. Microsoft jako americká společnost nadále podléhá americkému právu (CLOUD Act) — teoreticky i pro data uložená v EU.

AWS European Sovereign Cloud (novinka 2026)

AWS spustil 15. ledna 2026 European Sovereign Cloud s prvním regionem v německém Braniborsku. Nejde o další region, ale o fyzicky a právně oddělenou infrastrukturu: provozují ji samostatné německé společnosti (GmbH) s personálem rezidentním v EU a deklarovaným cílem, aby data neopustila EU a nebyla přístupná z USA. Je to dnes nejsilnější odpověď na jurisdikční otázku ve veřejném cloudu — míří na veřejný sektor a regulovaná odvětví.

Co z toho plyne pro běžnou firmu v ČR/SR

  • Pro většinu firem stačí: EU region + DPA + šifrování + zdokumentované toky dat. To je standard, který nastavujeme při každé migraci.
  • Regulovaná odvětví (finance, zdravotnictví, veřejná správa) by měla zvážit sovereign varianty — AWS European Sovereign Cloud, případně specifické Azure služby s dodatečnými zárukami.
  • Nezapomeňte na SaaS nástroje třetích stran — GDPR soulad cloudu vám nepomůže, pokud CRM či mailing posílá data mimo EU bez smluvního krytí.

Kontrolní seznam před migrací

  1. Vyberte EU region (Frankfurt, Stockholm, Varšava…).
  2. Podepište DPA a prověřte subdodavatele zpracování.
  3. Zapněte šifrování v klidu i při přenosu; zvažte vlastní klíče (BYOK).
  4. Zdokumentujte toky osobních údajů včetně podpory a monitoringu.
  5. U citlivých dat zvažte sovereign cloud nebo dodatečné technické záruky.

Související témata: Kolik stojí cloud migrace a AWS vs Azure pro firmy.

Jak to děláme v SynapseCore

Každou migraci stavíme na EU regionech s GDPR souladem v základu: DPA, šifrování, řízení přístupů a dokumentace toků. I compliance dokumentaci zvládáme s podporou AI rychle a důkladně — malý tým, málo člověkodnů, žádné kompromisy v kvalitě. Ozvěte se nám, pokud chcete bezplatné posouzení GDPR připravenosti vašeho prostředí.

Zdroje

Připraveni na transformaci?

Kontaktujte nás ještě dnes a začněme společně budovat budoucnost vašeho byznysu.

Začít projekt
SynapseCore

SynapseCore je malý tým zkušených IT profesionálů s velkým know-how v cloudu, vývoji softwaru a AI. S umělou inteligencí nejen stavíme řešení — pracujeme s ní v celém procesu dodávky. Proto dodáváme rychleji a za méně člověkodnů než velcí dodavatelé, ve stejné kvalitě.

Firemní údaje

  • SynapseCore s.r.o.
  • Trnavská cesta 106
  • 821 01 Bratislava
  • Slovakia
  • IČO: 57214476
  • DIČ: 2122607520
  • DIČ DPH: SK2122607520

© 2025 SynapseCore s.r.o. All rights reserved.

Privacy Policy - GDPR Cookie Policy