Komplexní revize IT smluv:

Proč je revize IT smluv obzvlášť riziková

Smlouvy o dílo v IT a servisní smlouvy patří k oblastem, kde se právní a technická realita často střetávají. Vývojář či dodavatel softwaru slibuje funkční systém, ale co se stane, když se projekt zpozdí o měsíce? Jaká máte práva, když software neodpovídá dohodnuté specifikaci?

Právníci z ARROWS advokátní kanceláře se setkávají s případy, kdy statutární orgány firem podepsaly smlouvu bez důkladného právního přezkumu a později zjistily závažné nedostatky. Často jde o situace, kdy si dodavatel vyhradil právo jednostranně měnit funkcionality či ceník bez souhlasu klienta.

Dalším častým problémem je smluvní pokuta za předčasné ukončení smlouvy, která je nepřiměřeně vysoká a v praxi znemožňuje změnu dodavatele. Jakmile je smlouva podepsána, vaše vyjednávací pozice dramaticky slábne a změny jsou těžko prosaditelné. U IT kontraktů proto dává smysl řešit nastavení změnových řízení, exit klauzulí i sankcí v rámci smluv a vyjednávání.

Hlavní právní rizika v IT smlouvách

Neurčitost rozsahu prací

Scope (předmět plnění) je nejdůležitější součástí smlouvy, ale zároveň nejčastějším zdrojem sporů. Pokud není v technické příloze přesně definováno, co je součástí implementace a co již spadá do placeného rozvoje, dochází ke konfliktům.

Typický případ často zahrnuje situaci, kdy smlouva uvádí „implementace informačního systému“, ale již neřeší migraci historických dat či integraci s API třetích stran, což následně vede k účtování víceprací.

Právníci ARROWS advokátní kanceláře doporučují strukturovat smlouvu dle fází analýzy, designu, vývoje, testování, nasazení a stabilizace, přičemž v každé fázi musí být definovány konkrétní výstupy.

Absence nebo nevymahatelné SLA

SLA je právně závazný parametr kvality služby, který definuje reakční doby, dobu vyřešení incidentu a garantovanou dostupnost. Bez kvalitního SLA nemáte praktickou možnost, jak vymáhat plnění. Pokud se dodavatel opakovaně dostává do prodlení nebo neplní SLA, bývá na místě vyhodnotit i procesní strategii včetně důkazů a nároků, což spadá do agendy obchodních a soudních sporů.

Efektivní SLA obsahuje:

• Reakční doba : Čas, do kterého musí dodavatel potvrdit přijetí incidentu.
• Doba vyřešení : Maximální doba pro odstranění vady nebo poskytnutí náhradního řešení.
• RTO a RPO : Maximální přípustná doba výpadku a maximální přípustná ztráta dat.
• Dostupnost : Garantované procento času, kdy systém běží.
• Sankce : Konkrétní smluvní pokuty nebo slevy za nedodržení parametrů.

Odpovědnost za data a bezpečnost

Zde se jedná o právní hranici, kterou musí smluvní strany jasně vymezit. Bezpečnostní incident má nejen technické, ale i právní důsledky dle GDPR a zákona o kybernetické bezpečnosti. Praktický rámec pro smluvní nastavení rolí správce a zpracovatele a minimalizaci rizik při zapojení třetích stran shrnuje i novinka SaaS platforma v EU: Právní ošetření VOP, GDPR a licenčních ujednání pro AI výstupy.

Typický právní problém nastává, když smlouva uvádí, že dodavatel neručí za ztrátu dat. Takové ustanovení může být v rozporu s kogentními ustanoveními občanského zákoníku o náhradě újmy. Musíte mít definováno:

• Bezpečnostní standardy : Povinnost dodržovat konkrétní normy.
• Součinnost při incidentu : Povinnost dodavatele hlásit incidenty bezodkladně.
• Zálohování a obnova : Pravidla pro zálohování a testování obnovy.
• Pojištění : Povinnost dodavatele mít pojištění profesní odpovědnosti.

Duševní vlastnictví a vendor lock-in

Kdo vykonává majetková práva k výslednému kódu, designu a databázím? Dle autorského zákona platí, že pokud není sjednáno jinak, autor poskytuje pouze licenci k užití díla, nikoliv právo do něj zasahovat.

Představte si situaci, kdy chcete systém po letech modernizovat, ale původní dodavatel již neexistuje a vy nemáte přístup ke zdrojovým kódům, čímž se dostáváte do pasti tzv. vendor lock-in.

Právníci z ARROWS doporučují vyjednat co nejširší licenci s právem provádět úpravy a u software na míru trvat na předání zdrojových kódů či využití institutu úschovy kódu. Praktické dopady špatně nastavených smluvních vztahů a prevence budoucích sporů jsou rozpracovány i v novince Prevence sporů v holdingu: Nastavení smluvních vztahů mezi propojenými společnostmi.

Akceptační procedura

Okamžik akceptace je právně klíčový, protože jím přechází nebezpečí škody na věci a začíná běžet záruční doba. Pokud smlouva neobsahuje objektivní kritéria, dodavatel může tvrdit, že dílo je hotové, i když systém vykazuje vady.

Správný přístup zahrnuje:

• Akceptační kritéria : Seznam podmínek, které musí systém splnit.
• Akceptační testy : Právo klienta provést testování v přiměřené lhůtě.
• Kategorizace vad : Rozdělení vad na kritické a drobné.
• Podmíněné platby : Vázání poslední části ceny na úspěšný podpis protokolu.

Proces eskalace a řešení sporů

Během implementace mohou nastat neshody a bez definovaného procesu se spor často zbytečně vyhrotí. Dobrá smlouva obsahuje stupně řešení od eskalace na řídící výbor přes mediaci až po soudní řízení.

Právníci z ARROWS advokátní kanceláře podotýkají, že efektivně nastavená eskalace často ušetří měsíce času a statisíce korun za soudní poplatky.

Praktický postup při revizi IT smlouvy

Fáze 1: Právní audit

Než cokoliv změníte, je nutné identifikovat rizika. Právníci z ARROWS provádí analýzu návrhu smlouvy a označují kritická místa, která jsou v rozporu s vašimi zájmy nebo platnou legislativou. Příkladem může být nepřijatelná klauzule o omezení náhrady škody na symbolickou částku.

Fáze 2: Vyjednávání a připomínkování

Dodavatelé často tvrdí, že používají „standardní korporátní šablony“, které nelze měnit. Zkušenost ARROWS ukazuje, že každá smlouva je k jednání, zejména pokud argumentujete souladem s českou legislativou a symetrií práv a povinností.

Fáze 3: Finalizace a podpis

Změny se zapracují formou revizí nebo dodatků. Důležité je zajistit, aby technické přílohy nebyly v rozporu s hlavní právní částí smlouvy, což je častá chyba při kompletaci dokumentace.

Bezpečnost a GDPR v IT smlouvách

Implementace software téměř vždy zahrnuje přístup k osobním údajům. Pokud dodavatel přistupuje k datům vašich klientů či zaměstnanců, stává se zpracovatelem a vyžaduje uzavření Zpracovatelské smlouvy.

Pokud dodavatel přistupuje k osobním údajům vašich klientů či zaměstnanců, stává se dle čl. 28 GDPR zpracovatelem a musíte s ním uzavřít zpracovatelskou smlouvu.

Smlouva by vám měla garantovat právo provést audit bezpečnosti u dodavatele, což vyžaduje i směrnice NIS2 transponovaná do českého zákona o kybernetické bezpečnosti.

Smluvní lhůta pro nahlášení bezpečnostního incidentu dodavatelem musí být kratší než 72 hodin, abyste vy jako správce stihli splnit svou zákonnou povinnost vůči dozorovému úřadu.

Specifické situace a klíčové prvky

Cloud vs. On-premise

U cloudu (SaaS) je klíčová dostupnost, místo uložení dat a proces exit managementu, tedy jak dostanete svá data zpět při ukončení smlouvy. Data jsou v tomto případě uložena u dodavatele, což vyžaduje specifické záruky.

U on-premise řešení, tedy instalace na vaší infrastruktuře, je rozhodující rozsah licence (trvalá vs. časově omezená). Dále je nutné ošetřit záruku za dílo a maintenance, což zahrnuje právo na nové verze a bezpečnostní záplaty.

Agilní vývoj vs. Waterfall

Metoda Waterfall se vyznačuje pevným rozsahem, cenou i termínem, a právně se obvykle řeší jako smlouva o dílo s důrazem na akceptaci celku. Je vhodná pro jasně definované projekty.

Agilní vývoj je právně složitější, protože se často účtuje dle vykázaného času. Zde je nutné smluvně ošetřit právo klienta měnit priority, definici dokončení úkolu a mechanismus zastropování rozpočtu, aby se projekt neúměrně neprodražil.

Jak postupovat při problémech během implementace

Pokud zjistíte, že smlouva je nevýhodná až v průběhu projektu, pokuste se sjednat dodatek ke smlouvě. Často je možné vyměnit ústupek v harmonogramu za zpřísnění SLA nebo doplnění chybějící licence.

Jestliže dodavatel neplní, je nutné vady formálně vytknout v souladu se smlouvou a zákonem, protože dokumentace je klíčová pro případný soudní spor. Pokud je porušení podstatné, občanský zákoník umožňuje odstoupení od smlouvy, což je však krajní řešení vyžadující analýzu.

Právníci z ARROWS advokátní kanceláře vám pomohou situaci analyzovat a zvolit strategii, která minimalizuje škody.

Závěrečné shrnutí

Revize IT smlouvy je základním prvkem řízení rizik, který chrání investici do technologií před právními vadami. Ty mohou být ve výsledku nákladnější než samotný software.

Typické riziko ignorance zahrnuje podpis smlouvy bez revize, následný vendor lock-in, nemožnost migrace dat a vysoké náklady na právní spory při selhání dodavatele.

Právníci ARROWS advokátní kanceláře se specializují na IT právo a duševní vlastnictví. Naším cílem není jen právní správnost, ale především obchodní funkčnost a vymahatelnost smlouvy v praxi.

Pokud plánujete IT projekt nebo potřebujete revidovat stávající smluvní vztahy, ARROWS advokátní kancelář vám pomůže nastavit férové a bezpečné podmínky. Kontaktujte nás na office@arws.cz pro nezávaznou konzultaci.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory, a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.