Cloud ugovori i sajber bezbednost: Ključne klauzule 2026

U 2026. cloud nije samo pitanje gde se nalazi server, već direktan deo vaše sajber bezbednosti i pravne odgovornosti. Svaki ozbiljniji incident – pad servisa, ransom, curenje podataka – vrlo brzo postane pitanje: šta piše sadrže cloud ugovori, ko za šta odgovara i koliko ste zaista zaštićeni. Za tehnološke firme iz Srbije, koje često rade za EU i druge strane klijente, ovo više nije fina nijansa, već uslov da zadržite poverenje i posao.

Sadržaj

Deljena odgovornost – napišite ono što se ne sme „podrazumevati“

Cloud provajder skoro nikad ne preuzima kompletnu bezbednost sistema. Odgovornost je podeljena: provajder štiti infrastrukturu, a vi naloge, konfiguracije, podatke i integracije. Ako to ostane samo u marketing brošuri, posle incidenta svi će tvrditi da je kriv onaj drugi.

Zato cloud ugovori treba bar da:

sadrže tabelu ili aneks sa jasnom podelom obaveza (provajder vs. korisnik);
upućuju na model deljene odgovornosti koji je sastavni deo ugovora;
obavezuju provajdera da vas obavesti kad taj model menja.

Ne morate otkrivati svoju arhitekturu – poenta je da nije sporno ko je bio zadužen za koji deo.

Bezbednosni standardi i mere

Formulacija „primenjivaćemo odgovarajuće mere“ zvuči lepo, ali je suviše rastegljiva. U praksi vredi tražiti da cloud ugovori navedu makar okvir:

na koje standarde se provajder poziva (npr. ISO 27001, enkripcija u prenosu i mirovanju, MFA);
obavezu da taj nivo održava tokom trajanja ugovora;
makar periodične potvrde da su sertifikati/bezbednosne provere obnovljeni.

Na taj način ne ulazite u njihove tehničke dijagrame, ali imate minimum ispod koga ne želite da idete.

Incidenti i rokovi obaveštavanja

Zakonski rok od 72 sata za prijavu povrede podataka ne znači mnogo ako za incident saznate četvrtog dana. Ključne stvari koje ugovor treba da pokrije:

obavezu da vas provajder obavesti „bez nepotrebnog odlaganja“, uz maksimalan rok (npr. 24 sata od saznanja za incident koji utiče na vas);
minimalan sadržaj obaveštenja (šta se desilo, koji sistemi/podaci su pogođeni, privremene mere, kontakt osoba);
dužnost provajdera da sarađuje u komunikaciji sa regulatorima i klijentima, u meri u kojoj je incident vezan za njegovu infrastrukturu.

Vaše interne procedure ostaju interne, ali ugovor osigurava da ne ostanete bez ključnih informacija.

SLA, dostupnost i posledice

SLA je deo bezbednosne priče jer utiče na kontinuitet poslovanja. Cloud govori bi trebalo da pruže odgovore na tri pitanja:

kolika je garantovana dostupnost (npr. 99,9% mesečno) i šta se tačno računa u downtime;
da li su ozbiljni bezbednosni incidenti i veći outage‑ovi pokriveni SLA‑om;
šta se dešava kada SLA nije ispunjen (servisni krediti, mogućnost raskida posle ponovljenih kršenja).

Bitno je i da vaši ugovori sa klijentima ne obećavaju više nego što dobijate od cloud provajdera – u suprotnom preuzimate „prazan“ rizik.

Lokacija podataka i podizvođači

Za firme koje rade sa podacima građana EU ili stranih klijenata, pitanje lokacije je i pravno i komercijalno važno. Dovoljno je da ugovor:

navede u kojim regionima/zemljama se podaci čuvaju i obrađuju;
ograniči prebacivanje podataka u „treće zemlje“ bez vaše saglasnosti;
sadrži listu podizvođača (sub‑processors) i mehanizam njihovog dodavanja, uz vaše pravo da se usprotivite.

Tako imate osnov za sopstvene procene rizika i komunikaciju sa klijentima.

Logovi, evidencija i „exit“ klauzule

Bez logova je teško utvrditi šta se desilo, a bez izlazne strategije teško otići kada vam provajder više ne odgovara. U praksi, dovoljno je da ugovor predvidi:

minimalni period čuvanja logova vezanih za vašu uslugu i način pristupa tim logovima;
koliko dugo posle raskida imate pravo da preuzmete svoje podatke i u kom formatu;
da provajder posle isteka tog roka briše vaše podatke i, po vašem zahtevu, dostavi potvrdu o brisanju.

Na taj način ne otkrivate detalje svoje migracione strategije, ali obezbeđujete da „vrata napolje“ postoje i da podaci ne ostaju rasuti po tuđoj infrastrukturi.

Cloud ugovori ne moraju da budu priručnik za vaš bezbednosni tim, ali moraju jasno da kažu ko za šta odgovara, kada mora da reaguje i šta se dešava kada stvari krenu po zlu. Za tehnološke kompanije u Srbiji u 2026. to je razlika između kontrolisanog rizika i neprijatnog iznenađenja u najgorem mogućem trenutku.

Cloud ugovori – neophodna veza između sajber bezbednosti i pravne odgovornosti u savremenom poslovanju.

Zakažite konsultacje>

Kada AI napravi grešku, ko snosi posledice? Pravni vakuum, EU regulativa i rizici za srpske kompanije

Kolektivne tužbe protiv velikih tech platformi u 2026: Šta mali i srednji IT biznisi treba da nauče?

Posle Anthropic-a: kako će izgledati tržište licenci za AI i šta to znači za industriju

Šta slučaj Bartz v. Anthropic znači za Srbiju: autorsko pravo, AI i nova regulativa

Ovo je najveći Copyright vs. Ai settlement u istoriji: Kako je Anthropic platio 1,5 milijardi dolara za piratske knjige