Diskuse o digitální suverenitě v Evropě trpí dlouhodobě nepřesností. Termín se používal zaměnitelně pro obchodní protekcionismus, regulační ambice, rezidenci dat i politické sebevědomí. Do roku 2026, po pěti letech implementace GDPR, NIS2, DORA, AI Act a Cyber Resilience Act, existuje dostatek empirického materiálu k tomu, abychom tento pojem rozdělili pečlivěji.
Pracovní definice, kterou tento web používá: digitální suverenita je schopnost organizace nakládat se svými digitálními aktivy podle vlastní vůle — v rámci aktuálních fyzických omezení a s aktivním využitím každé možnosti, kterou mezinárodní právní a smluvní rámec dovoluje. Nejde o „Made in EU". Nejde o izolacionismus. Jde o technickou a právní architekturu, která zachovává možnost přechodu — schopnost změnit poskytovatele, jurisdikci nebo technologii bez zničujících nákladů.
Tato schopnost se rozpadá do tří vrstev, z nichž každá může být narušena nezávisle na ostatních.
Bitová vrstva
Samotná data. Sekvence jedniček a nul v klidu i v pohybu. Klíčová otázka: kde fyzicky žijí moje data a kdo k nim má přístup?
Evropa tuto vrstvu ošetřuje relativně dobře. GDPR, rozsudek Schrems II , Judgment of the Court (Grand Chamber) of 16 July 2020 — Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Case C-311/18) , 2020-07-16 · link · archived a následný rámec EU–USA pro ochranu soukromí dat vybudovaly právní lešení; technicky jsou BYOK a HYOK dnes standardní nabídkou každého hyperscalera. Bitová vrstva selhává tehdy, když data leží v proprietárním formátu, který umí číst pouze současný dodavatel. Pokud nemůžete svá data exportovat — ve dnech, ne rocích, ve standardním formátu — nejste suverénní na bitové vrstvě. Jste nájemník.
Data Act , Regulation (EU) 2023/2854 — Data Act, switching provisions in application , Directorate-General for Communications Networks, Content and Technology, 2025-09-12 · link · archived , jehož ustanovení o přechodu nabyla účinnosti 12. září 2025, řeší právě tento problém. Od tohoto data musí poskytovatelé cloudových služeb umožnit zákazníkům migraci k alternativám v pevně stanovených lhůtách, ve standardních formátech a — od ledna 2027 — bez poplatků za odchod. Zda je nařízení vymáháno tak, jak je napsáno, je samostatná otázka, které se věnuje sekce Vymáhání.
Interpretační vrstva
Schopnost dávat datům smysl bez součinnosti poskytovatele. Tato vrstva bývá přehlížena, protože je méně viditelná než fyzické úložiště. Interpretační autonomie není jen vlastnictví dešifrovacích klíčů; je to kontrola nad algoritmy, schématy a logikou, které přeměňují bity v lidsky srozumitelné informace.
Příklad: organizace přesunula veškerou komunikaci na platformu, která ukládá zprávy v proprietárním protokolu se šifrováním na straně dodavatele. I s fyzickou zálohou dat — bez dodavatele — máte nepoužitelný šum. Totéž platí pro modely umělé inteligence: pokud podniková rozhodnutí závisí na uzavřeném modelu třetí strany, jehož dotazy a výstupy nelze auditovat, replikovat ani migrovat, vaše interpretační vrstva je u dodavatele, nikoli u vás.
Instrumentační vrstva
Nástroje — hardware i software — které data spravují. V suverenitním pojetí jsou tyto nástroje považovány za nahraditelné: organizace musí být schopna vyměnit „traktor" (nástroj), aniž by ztratila „osivo" (data) nebo „znalost pěstování" (interpretační schopnost). To je rozdíl mezi zdravou závislostí a vendor lock-in. Závislost je pohodlná a často ekonomicky racionální. Lock-in je past.
Instrumentační vrstva je místem, kde mají extrateritoriální právní režimy přímý účinek. CLOUD Act , Clarifying Lawful Overseas Use of Data Act (CLOUD Act) , Public Law 115-141, Consolidated Appropriations Act, 2018, Division V, 2018-03-23 · link · archived opravňuje americké orgány k tomu, aby si vyžádaly data uložená u amerických poskytovatelů bez ohledu na fyzickou polohu; FISA 702 , Section 702 of the Foreign Intelligence Surveillance Act (FISA) , 2008-07-10 · link · archived umožňuje sledování komunikace osob, které nejsou občany USA. Žádný z těchto předpisů nevyžaduje, aby poskytovatel jednal ve zlé víře. Poskytovatel je jednoduše podřízen americkému právnímu řádu z titulu korporátní struktury. Z pohledu zákazníka jde o výsledek: cizí jurisdikce může kdykoli, jakmile je splněn její právní práh, zasáhnout do instrumentační vrstvy evropského cloudu.
Evropská jurisdikce není symetrickým štítem. Kanadský soudní příkaz ze září 2024 namířený proti OVHcloud , Canadian data order risks blowing a hole in EU sovereignty , 2025-11-27 · link · archived , v němž se kanadský soud pokusil přinutit OVHcloud k předání dat uložených ve Francii, Spojeném království a Austrálii, ilustruje toto omezení. OVHcloud se dovolal francouzského blokačního zákona (loi de blocage) a odmítl vyhovět. Případ ukazuje, že i evropští poskytovatelé mohou být vystaveni extrateritoriálnímu tlaku; rozdíl spočívá v tom, že mají k dispozici právní nástroje — národní blokační zákony — které jim poskytují alespoň procesní obranu.
Proč jsou vrstvy strategicky důležité
Ne každá závislost je problémem. Některé jsou ekonomicky racionální. Jiné jsou fatální. Klíčem k jejich rozlišení je právě to, o které vrstvě hovoříme.
Uvažme tři typické situace.
Středně velká evropská společnost provozuje svůj e-shop, ERP a nástroje pro spolupráci na jediném hyperscalovém cloudu. Jde o závislost na instrumentační vrstvě — na nástroji. Pokud se dodavatel ukáže jako nevhodný, společnost má práci navíc, ale migrace je proveditelná: data se exportují, aplikace přeinstalují, provoz pokračuje. Nepohodlné, ne fatální. Zde je konsolidace u jednoho poskytovatele obvykle racionální — úspory z rozsahu převáží nad rizikem.
Tatáž společnost se rozhodne, že veškerá interní komunikace, znalostní báze a podpora rozhodování poběží přes jednoho dodavatele uzavřeného AI modelu — prompty, embeddingy, vektorové databáze, vše uvnitř jediného proprietárního ekosystému. Jde o závislost na interpretační vrstvě. Pokud společnost přijde o dodavatele, data fyzicky vlastní, ale bez nástroje, který je umí číst, jsou data prakticky nepoužitelná. Konsolidace je zde strategicky nebezpečná, i když krátkodobě levnější.
A konečně: společnost ukládá své produkční datové sklady u jediného poskytovatele, který si vyhrazuje právo jednostranně měnit smluvní podmínky a jehož exportní rozhraní je proprietární a zpoplatněné. Jde o závislost na bitové vrstvě. Bez sjednaných možností odchodu neexistuje racionální argument pro konsolidaci, bez ohledu na to, jak pohodlné nebo levné je stávající řešení. Pokud nemůžete dostat svá data ven ve dnech ve standardním formátu, nejste vlastníkem dat. Jste nájemník.
Pravidlo: čím hlouběji v zásobníku závislost leží, tím nákladnější je její materializace v krizi a tím vyšší prémii je racionální platit za zachování možnosti odchodu.
Minimum Viable Sovereignty
Tento třívrstvý rámec tvoří operační základ MVS — konceptu, který formuloval analytik Forresteru Dario Maisto , Minimum Viable Sovereignty: A Smarter Path For Tech Leaders , Forrester Research, 2025-09-29 · link · archived . MVS není binární stav; je to spektrum, na němž si každá organizace volí hloubku podle vlastního rizikového profilu.
MVS přijímá, že plná suverenita napříč všemi třemi vrstvami je pro většinu organizací nedosažitelná a z velké části nežádoucí. Vyžaduje minimální soubor smluvních, architektonických a provozních opatření, která organizaci umožní přejít k jinému poskytovateli v horizontu měsíců, nikoli let — bez ztráty dat, bez ztráty schopnosti je interpretovat a bez právní nebo obchodní pasti, která by přechod znemožnila.
Rozhodnutí DORA z listopadu 2025 , Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) , EUR-Lex, 2022-12-14 · link · archived — klasifikující devatenáct poskytovatelů ICT jako kritické poskytovatele třetích stran podléhající přímému dohledu EU, včetně AWS, Azure a Google Cloud — tento pohled přímo operacionalizují. Dohledový rámec nevyžaduje, aby evropské finanční instituce přestaly tyto poskytovatele využívat. Vyžaduje, aby prokázaly ověřenou, otestovanou schopnost od nich odejít.
Zbytek tohoto webu rozvíjí MVS do konkrétních rozhodnutí: jak mapovat závislosti (Závislosti), kde evropské alternativy skutečně existují (Alternativy), s kým navazovat partnerství (Partnerství), co zahrnout do smluv a v jakém pořadí (Operace) a čeho může a nemůže dosáhnout regulatorní vymáhání (Vymáhání).
Citované zdroje
- Dario Maisto, Minimum Viable Sovereignty: A Smarter Path For Tech Leaders , Forrester Research , 2025-09-29 . link · archived
- U.S. Congress, Clarifying Lawful Overseas Use of Data Act (CLOUD Act) , Public Law 115-141, Consolidated Appropriations Act, 2018, Division V , 2018-03-23 . link · archived
- U.S. Office of the Director of National Intelligence, Section 702 of the Foreign Intelligence Surveillance Act (FISA) , 2008-07-10 . link · archived
- Court of Justice of the European Union (Grand Chamber), Judgment of the Court (Grand Chamber) of 16 July 2020 — Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Case C-311/18) , 2020-07-16 . link · archived
- European Commission, Regulation (EU) 2023/2854 — Data Act, switching provisions in application , Directorate-General for Communications Networks, Content and Technology , 2025-09-12 . link · archived
- European Parliament and Council of the European Union, Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) , EUR-Lex , 2022-12-14 . link · archived
- The Register, Canadian data order risks blowing a hole in EU sovereignty , 2025-11-27 . link · archived