SaaS platforma v EU:

Právní architektura SaaS platformy

Právníci z ARROWS advokátní kanceláře denně řeší právě tuto základní problematiku. V EU totiž existují dva klíčové subjekty: správce osobních údajů (ten, kdo rozhoduje, jak a proč se s daty nakládá) a zpracovatel (ten, kdo data zpracovává pro správce podle jeho pokynů). 

U SaaS řešení se situace komplikuje tím, že správců může být více, přičemž provozovatel SaaS platformy je v pozici správce například v situacích, kdy spravuje uživatelské účty svých zákazníků pro účely fakturace.

Na druhé straně, pokud vaši zákazníci používají vaši platformu k tomu, aby do ní vkládali a zpracovávali osobní údaje svých zaměstnanců, klientů nebo obchodních partnerů, je v takovém případě váš zákazník správcem a vy jste zpracovatelem. Právě proto je zásadní vymezit si toto postavení jasně v každé smlouvě – ne jen proto, že to vyžaduje čl. 28 GDPR, ale také proto, aby bylo jasné, kdo nese odpovědnost, pokud dojde k incidentu.

Ještě více se komplikuje situace, když do hry vstoupí třetí strany. Pokud například vaše SaaS platforma běží v cloudu globálního poskytovatele, tento poskytovatel se stává vaším dalším zpracovatelem (subzpracovatelem). Musíte s ním uzavřít vlastní zpracovatelskou smlouvu, která musí poskytovat dostatečné záruky ochrany dat. Při nastavování DPA, rolí správce/zpracovatele a odpovědností v řetězci dodavatelů může pomoci specializace na GDPR

. V praxi se stává, že mnoho SaaS provozovatelů tento řetězec zcela opomene a při kontrole či incidentu se zjistí, že nemají přehled o tom, kdo všechno má k zákaznickým datům přístup.

GDPR a SaaS: Kdy je zpracování údajů legální

Zpracování osobních údajů v SaaS prostředí není právně neutrální aktivita. GDPR stanovuje jasné pravidlo: bez právního titulu (tzv. právního základu) je zpracování zakázané. To znamená, že pokud chcete uchovávat údaje zaměstnanců, sbírat e-mailové adresy klientů nebo logovat IP adresy, musíte mít pro každý tento účel právní důvod. U SaaS produktů je současně vhodné mít dobře nastavené i smluvní dokumenty (zejména VOP, licenční ujednání a DPA), což typicky spadá do oblasti smluv a vyjednávání.

V GDPR existuje šest právních základů. V praxi se v SaaS prostředí používají nejčastěji čtyři právní základy: plnění smlouvy, plnění právní povinnosti, oprávněný zájem a souhlas subjektu údajů. Právě v oblasti právních základů se skrývá jedno z největších rizik, neboť mnozí poskytovatelé SaaS se mylně domnívají, že mohou data využívat libovolně.

Například "vylepšování služby" pomocí dat klientů vyžaduje pečlivé posouzení, zda jde ještě o oprávněný zájem, nebo zda je nutné data anonymizovat. Právníci z ARROWS advokátní kanceláře tuto problematiku běžně řeší a znají praktické limity tzv. balančních testů (posouzení oprávněného zájmu), které musíte provést a zdokumentovat, pokud se o tento titul opíráte.

Hlavní povinnosti při zpracování osobních údajů

Když již máte právní základ, čeká vás řada dalších povinností. Musíte vést Záznamy o činnostech zpracování (dle čl. 30 GDPR), ve kterých pro každou agendu zaznamenáte účel, kategorii údajů, dobu uchovávání, příjemce a bezpečnostní opatření. Pokud vaše SaaS aplikace využívá AI prvky, které se učí z interakcí uživatelů, měli byste v záznamech výslovně definovat tento účel a jeho rizika.

Dále musíte plnit informační povinnost pomocí tzv. Zásad ochrany osobních údajů (Privacy Policy), kde musíte uživatelům srozumitelně sdělit, jak s jejich daty nakládáte. V praxi to znamená, že pokud uživatel uplatní právo na výmaz, musíte být technicky schopni jej z databáze skutečně odstranit.

Jednou z důležitých povinností je posouzení vlivu na ochranu osobních údajů (DPIA). Pokud provozujete SaaS platformu s pravděpodobně vysokým rizikem pro práva a svobody fyzických osob (např. rozsáhlé zpracování citlivých údajů nebo profilování), GDPR vyžaduje provedení DPIA před zahájením zpracování. Absence DPIA u rizikových systémů je častým terčem kontrol dozorových úřadů.

Bezpečnost dat v SaaS prostředí

V EU jsou požadavky na bezpečnost osobních údajů v SaaS přísné. Podle čl. 32 GDPR musíte přijmout vhodná technická a organizační opatření. To zahrnuje šifrování dat v klidu (at rest) i při přenosu (in transit), což v praxi znamená, že databáze by neměla být uložena v prostém textu a veškerá komunikace musí probíhat přes zabezpečené protokoly.

Dále se vyžaduje řízení přístupů a autentizace. SaaS aplikace by měla mít auditní logy, které zaznamenávají, kdo se přihlásil a jaká data zobrazil či změnil, což je zásadní pro zpětné dohledání příčin bezpečnostních incidentů.

Také musíte mít plán pro řešení bezpečnostních incidentů. GDPR vyžaduje, abyste porušení zabezpečení osobních údajů, které představuje riziko pro práva a svobody osob, oznámili Úřadu pro ochranu osobních údajů (ÚOOÚ) do 72 hodin. Pokud jste v pozici zpracovatele, musíte incident ohlásit svému zákazníkovi (správci) bez zbytečného odkladu, aby on mohl splnit své zákonné povinnosti.

Co vám hrozí, pokud se GDPR nedržíte

AI Act: Povinnosti pro umělou inteligenci v roce 2026

V roce 2026 je nařízení o umělé inteligenci (AI Act) již plně účinné a vymahatelné. Pokud vaše SaaS platforma využívá AI (chatboty, doporučovací algoritmy, generativní modely, analýzu obrazu), musíte být v souladu s touto legislativou. Porušení pravidel pro zakázané praktiky může znamenat pokutu až 35 milionů EUR nebo 7 % celosvětového obratu, u ostatních povinností až 15 milionů EUR nebo 3 % obratu.

AI Act dělí systémy podle míry rizika. Vaše SaaS aplikace pravděpodobně spadá do jedné z následujících kategorií, které AI Act rozlišuje podle míry rizika.

• Zakázané systémy: Např. sociální skórování, biometrická kategorizace citlivých údajů nebo manipulativní techniky. Tyto funkce nesmíte v EU nabízet.
• Vysokorizikové systémy (High-Risk AI): Např. systémy používané v náboru zaměstnanců, úvěrovém skóringu, vzdělávání nebo kritické infrastruktuře. Zde jsou povinnosti nejpřísnější.
• Systémy s omezeným rizikem: Např. chatboty či deep fakes. Zde platí primárně povinnosti transparentnosti.
• Modely pro obecné účely (GPAI): Pokud integrujete silné modely (LLM), vztahují se na jejich poskytovatele specifická pravidla.

Pokud provozujete vysokorizikový systém, musíte mít zaveden systém řízení rizik, vést technickou dokumentaci, zajistit přesnost a kybernetickou bezpečnost a především umožnit lidský dohled nad rozhodováním systému.

Klasifikace a role v řetězci AI

Zásadní je určit, zda jste poskytovatelem (provider) AI systému, nebo jeho nasazujícím subjektem (deployer). Pokud vyvíjíte vlastní AI model nebo zásadně upravujete model třetí strany pod svou značkou, jste poskytovatelem se všemi povinnostmi (certifikace, registrace v databázi EU).

Pokud pouze využíváte API (např. od poskytovatele globálního modelu) a integrujete ho do své SaaS bez zásadních úprav účelu, jste v pozici nasazujícího subjektu (deployer), který má povinnost zajistit, aby systém používal v souladu s návodem, a zajistit lidský dohled a informovanost uživatelů. Právníci z ARROWS advokátní kanceláře pomáhají klientům správně určit jejich roli a kategorii rizika, což může ušetřit obrovské náklady na compliance.

Transparentnost a označování obsahu

AI Act v čl. 50 vyžaduje transparentnost. Uživatel musí vědět, že komunikuje se strojem (chatbot). Dále platí povinnost označovat výstupy generované umělou inteligencí tak, aby byly strojově detekovatelné (vodoznaky, metadata), což se týká zejména generátorů obrázků, videa a zvuku (deep fakes). Pokud vaše SaaS generuje obsah, musíte zajistit, aby byl jako umělý identifikovatelný.

Autorská práva a obsah generovaný umělou inteligencí

Jedním z nejpalčivějších témat pro SaaS operátory je otázka, komu patří obsah generovaný AI. Odpověď českého práva je v roce 2026 stále poměrně striktní. Podle autorského zákona (§ 5) může být autorem pouze fyzická osoba.

Soudní praxe (např. rozhodnutí Městského soudu v Praze ve věci obrázku generovaného AI) potvrzuje, že výstup vytvořený umělou inteligencí bez podstatného tvůrčího vkladu člověka není autorským dílem. Samotné zadání textového promptu zpravidla nestačí k tomu, aby vzniklo autorské právo k výsledku.

To má pro vaši SaaS platformu zásadní důsledky. Pokud chcete poskytnout svým uživatelům AI funkci, která generuje obsah (texty, grafiku), a chcete jim smluvně "převést autorská práva", právně narážíte na fakt, že žádná autorská práva nevznikla. Nemůžete převést to, co neexistuje.

Jak to řešit v licenčních podmínkách

Řešením je transparentnost a správná formulace VOP.

• Nevyvolávejte dojem exkluzivity: Upozorněte uživatele, že AI výstupy nemusí být chráněny autorským právem a že stejný prompt může vygenerovat podobný výstup i jinému uživateli.
• Lidský tvůrčí vklad: Pokud vaše platforma umožňuje uživateli výstup dále editovat a upravovat, může autorské právo vzniknout k tomuto finálnímu, člověkem upravenému dílu.
• Trénovací data: AI Act ukládá povinnost poskytovatelům GPAI modelů zveřejnit shrnutí obsahu použitého pro trénování modelu.

Všeobecné obchodní podmínky a zpracovatelské smlouvy

VOP pro SaaS nejsou jen formalitou. Jsou to dokumenty, které definují váš obchodní vztah. V EU se VOP pro B2B SaaS běžně strukturují následovně:

• Předmět služby: SaaS je služba (pronájem přístupu), nikoliv prodej zboží. Zákazník nezískává software do vlastnictví.
• Licenční podmínky: Rozsah užití, počet uživatelů, zákaz zpětné analýzy (reverse engineering).
• Dostupnost (SLA): Garance dostupnosti a sankce za výpadky.
• Odpovědnost za škodu: Klíčová část. V B2B vztazích lze odpovědnost limitovat, což vás chrání před likvidačními nároky.
• Ochrana dat (DPA): Často formou přílohy řešící GDPR.

Datový zákon (Data Act) a přenositelnost

Od září 2025 se plně uplatňuje nařízení o datech (Data Act). Pro poskytovatele cloudových služeb (včetně SaaS) zavádí povinnost odstranit překážky pro změnu poskytovatele. Musíte zajistit, aby zákazník mohl snadno přejít ke konkurenci – tedy umožnit export jeho dat ve strukturovaném, běžně používaném a strojově čitelném formátu. Praktiky uzamykání zákazníka (vendor lock-in) jsou tímto nařízením postihovány.

Praktické kroky: Jak správně nastavit SaaS

Chcete-li mít svou SaaS platformu právně bezpečnou, postupujte takto:

• Určete role: Kdy jste správce a kdy zpracovatel? Máte zmapované toky dat?
• Klasifikujte AI: Spadá vaše řešení pod AI Act? Je vysokorizikové?
• Vytvořte dokumentaci na míru: Zkopírované VOP od konkurence vás neochrání. Potřebujete VOP, DPA a Privacy Policy odpovídající vašemu technickému řešení.
• Zmapujte subdodavatele: Mějte uzavřené smlouvy s cloud providery a dalšími zpracovateli.
• Nastavte procesy: Incident response plán, vyřizování práv subjektů údajů, export dat dle Data Actu.
• Zabezpečte aplikaci: Šifrování, logování, zálohování.

Pokud se vám zdá, že je toho moc, máte pravdu. Právo technologií je složité. Právníci z ARROWS advokátní kanceláře se danou problematikou zabývají denně. Pokud si nejste jisti, kde začít, napište nám na konzultace@arws.cz – rádi vám pomůžeme s právní analýzou a přípravou dokumentace.