V oblasti řešení datové suverenity se v praxi setkáváme s řadou systémových pochybení. Nejčastější chybou ze strany firem bývá nekritické spoléhání se na globální cloudové providery, bez hlubší analýzy, zda jejich produkty splňují české a evropské regulatorní požadavky. Například americký CLOUD Act nemusí dostatečně reflektovat požadavky evropského nařízení GDPR nebo českých právních předpisů – třeba v oblasti ochrany citlivých informací či kritické infrastruktury. 

Nadto podle CLOUD Actu musí poskytovatelé cloudových služeb ze Spojených států v odůvodněných případech předat data úřadům, a to i v případě, že jsou tato data uložena na serverech v EU. To je samozřejmě v rozporu s nařízením GDPR, což může být pro evropské společnosti problém. Pokud by totiž k podobné situaci došlo, porušily by GDPR a vystavily se tím riziku vysokých sankcí ze strany dozorových orgánů. Společnosti by proto neměly přehnaně spoléhat na to, že pro správu dat využívají globálního hráče, ale měly by si dodavatele zvolit na základě důkladné právní analýzy, která vyloučí riziko porušení evropských i národních právních předpisů.

Ve finančním sektoru hraje v oblasti datové suverenity důležitou roli nařízení o digitální provozní činnosti neboli Digital Operational Resilience Act (tzv. DORA), jež nabylo účinnosti 17. ledna 2025. DORA má jakožto lex specialis pro finanční sektor přednost před směrnicí Network and Information Security 2 (tzv. NIS2). V sektoru finančních služeb proto musí implementace jakéhokoli outsourcingového řešení odpovídat striktním pravidlům nařízení DORA, které stanovuje povinný obsah smluvních ujednání mezi finančními institucemi a poskytovateli IT služeb. 

Ve smluvních ujednáních musí být obsažen například detailní popis všech poskytovaných služeb a jejich funkcí, konkrétní vymezení místa poskytování služeb (vč. subdodavatelského řetězce), záruky týkající se bezpečnosti a ochrany dat nebo právo na ukončení smlouvy. Finanční instituce by měly mít nejen absolutní přehled o tom, kde jsou jejich data uložena a kým a jak jsou spravována, ale smlouvy s poskytovateli musí individuálně nastavit tak, aby vyhověly požadavkům nařízení DORA. Bez ohledu na to, zda se jedná o drobného poskytovatele, nebo amerického giganta. 

DORA po finančních institucích rovněž vyžaduje zajištění možnosti přístupu, kontroly a případně i auditu poskytovatele IT služeb. Poskytovatel má podle nařízení rovněž povinnost zajistit vysokou dostupnost, integritu a důvěrnost ochrany dat, což by mělo být rovněž ošetřeno ve smlouvě s poskytovatelem. V neposlední řadě by finanční instituce měly zajistit dostatečně silnou ochranu kryptografických klíčů, kterými jsou spravovaná data šifrována.

V oblasti zdravotnictví, v němž dominuje nakládáni s citlivými daty, hraje prim dodržování požadavků stanovených nařízením GDPR. Problematické v praxi bývá zejména předávání dat třetím stranám nebo jejich ukládání na zahraničních serverech – pokud například lékař či zdravotnické zařízení pro správu dat využívá externí poskytovatele datových serverů. V souvislosti s nově příchozím nařízením o evropském prostoru pro zdravotní údaje (tzv. EHDS) budou subjekty ve zdravotnictví muset v budoucnu posílit technickou interoperabilitu systémů pro správu dat a vedení elektronické zdravotní dokumentace, tak aby umožnily bezpečné sdílení dat mezi jednotlivými poskytovateli zdravotní péče i členskými státy EU. Jedním z cílů EHDS je totiž lépe propojit zdravotnictví napříč EU.

EHDS by mělo také nastavit přísná pravidla pro ochranu soukromí pacientů a bezpečnosti jejich dat, včetně požadavků na anonymizaci, šifrování a kontrolu přístupu. Současně by mělo zajistit vytvoření bezpečného prostředí pro sdílení, ukládání či jiné zpracování dat v elektronické podobě. V kombinaci s GDPR půjde o velmi silný „legislativní koktejl“, který budou muset subjekty pracující s digitální zdravotnickou dokumentací dodržovat. V budoucnu s největší pravděpodobností vyvstane potřeba přizpůsobit dosavadní systémy a procesy tak, aby byly v souladu s přísnými legislativními požadavky, což bezesporu povedené k posílení datové suverenity u lékařů a zdravotnických zařízení.

Veřejný sektor představuje v otázce datové suverenity zcela unikátní disciplínu, kde se střetává potřeba digitalizace s rigiditou právního rámce. Datová suverenita v této oblasti podléhá zejména požadavkům zákona č. 264/2025 Sb., o kybernetické bezpečnosti, který transponuje evropskou směrnici NIS2. Podle zmíněného zákona mají veřejné instituce povinnost zavést vhodná bezpečnostní opatření pro zajištění kybernetické bezpečnosti, včetně potřebné suverenity při správě dat. 

Zákon povinným subjektům ukládá například povinnost dodavatele důkladně prověřit před uzavřením smlouvy, do smluvních vztahů zakotvit jasné bezpečnostní záruky nebo oprávnění provádět audity. Data by měla být zabezpečena tak, aby splnila požadavky zákona na jejich fyzickou bezpečnost, bezpečnost komunikačních sítí či dostupnost a obnovitelnost. Měla by rovněž vyhovět zákonným požadavkům na správu a ověřování identit, kryptografické algoritmy (tj. šifrování dat) nebo řízení přístupových práv. Veškeré tyto povinnosti (a mnoho dalších) musí být ze strany veřejných institucí splněny s ohledem na zajištění datové bezpečnosti a nezávislosti. 

Veřejné instituce se v praxi často potýkají s fenoménem „vendor lock-in“, kdy se stávají rukojmími uzavřených proprietárních systémů, jež nesplňují aktuální požadavky na suverénní správu dat. Pouhý požadavek na umístění dat na území České republiky nebo alespoň na území EU je pro řadu globálních poskytovatelů datových řešení stále problematický a vyžaduje náročná vyjednávání. To je však jen jeden z mnoha prvků, u kterých může veřejná instituce u poskytovatele IT řešení narazit.

Aktuálně velmi diskutovanou problematikou je povinná certifikace elektronických spisových služeb. Tato relativně nová povinnost, která vyplývá z novely zákona č. 499/2004 Sb., o archivnictví a spisové službě, představuje pro veřejné instituce značnou technologickou výzvu. Od 1. července 2025 totiž platí zákaz nabízet nebo dodávat velké části veřejnoprávních subjektů elektronický systém spisové služby (tzv. eSSL), který nesplňuje požadavky zákona o archivnictví a u něhož není splnění těchto požadavků potvrzeno atestem. Atestace eSSL však není pouhou formalitou, ale důkladnou prověrkou schopnosti systému garantovat dlouhodobé uchovávání dat, jejich autenticitu a možnost bezpečné skartace či předání do digitálního archivu. Pro poskytovatele IT řešení to znamená nutnost investovat nemalé prostředky do vývoje a testování, tak aby jejich produkty prošly náročným procesem atestace a byly pro veřejný sektor použitelné. 

Problematika datové suverenity je důležitým tématem, které je relevantní napříč byznysem i veřejnou správou. Data se totiž stávají čím dál tím cennějším artiklem a jejich zneužití může způsobit dalekosáhlé škody. Proto by organizace měly dbát na ochranu svých dat a směřovat k co největší datové nezávislosti. To vše samozřejmě při plnění veškerých povinností, které jim v daném odvětví či sektoru ukládají české a evropské právní předpisy.