Jak na zápis do seznamu poskytovatelů cloud computingu

9.12.2022

Digitalizaci je možné označit za fenomén této doby. Již dávno neplatí, že k datům můžeme přistupovat pouze ze stolního počítače ve své kanceláři, a proto možnost vykonávat práci na různých místech světa a požadavek přístupu k datům z mobilních zařízení nutí společnosti přesouvat svá data z lokálních uložišť do cloudových služeb. Veřejná správa je segmentem typickým pro zpracovávání velkého množství dat, tudíž je možnost jejich vzdáleného uložení s menšími nároky na hardwarový výkon a kapacitu jednotlivých počítačů velmi atraktivní. Je zde ovšem i stinná stránka takového řešení, a to je zajištění náležité bezpečnosti citlivých dat!

V souvislosti s tzv. DEPO novelou1 se významným způsobem změnily podmínky využívání služeb cloud computingu orgány veřejné správy a současně na straně druhé se novela dotýká i všech subjektů, které služby veřejné správě poskytují nebo se poskytovat chystají.

Věřím, že osobám pohybujícím se v IT branži netřeba pojem cloud computing ozřejmovat, nicméně se jistě najdou i takoví, kteří si nemusí být přesným významem cizojazyčného pojmu zcela jistí.

Co je to cloud computing?

Základním zákonným pramenem vnitrostátní právní úpravy obsahující od 1. 8. 2017 i definici cloud computingu je zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Jedná se o digitální službu, která „umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet.“

Alternativní zákonnou definici nabízí již v kontextu jeho užití ve veřejné správě zákon č. 365/2000 Sb., Zákon o informačních systémech veřejné správy a o změně některých dalších zákonů, konkrétně výkladové ustanovení § 2 písm. x): „cloud computingem se rozumí způsob zajištění provozu informačního systému veřejné správy nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy.“

Ve zkratce se tedy jedná o dnes již běžně užívané služby fungující na bázi cloudu poskytované společnostmi jako Google, Apple nebo Amazon, ale i o vysoce specializované produkty, které mohou i nemusí využívat a navazovat na služby těchto „velkých hráčů“.

Proč se zapsat do katalogu poskytovatelů?

Odpověď je prostá. Orgány veřejné správy mohou od 1. 1. 2023 využívat služeb cloud computingu výhradně na základě nabídky subjektu zapsaného v katalogu poskytovatelů cloud computingu. Bez řádného zápisu osoby poskytovatele i nabídky jeho služeb není možné vstupovat do nových smluvních vztahů na dodávky cloud computingových služeb veřejné správě.

Jaké jsou podmínky zápisu?

Katalog poskytovatelů cloud computingu je veřejným seznamem vedeným  Ministerstvem vnitra ČR obsahující údaje o poskytovatelích cloud computingu, jejich nabídkách služeb a poptávkách cloud computingu ze strany orgánů veřejné správy.

Orgány veřejné správy budou povinny využívat výhradně poskytovatele, kteří byli zapsáni do seznamu poskytovatelů cloud computingu v katalogu cloud computingu a v průběhu řízení o žádosti došlo k přezkoumání jejich schopnosti zajistit požadovanou úroveň důvěrnosti, integrity a dostupnosti informací danému orgánu veřejné správy.

V současné době mohou orgány veřejné správy postupovat dle výjimek stanovených v přechodných ustanoveních2 a nadále využívat služeb cloud computingu nasmlouvaných nebo využívaných před 1. 9. 2021 i bez splnění nových zákonných podmínek, a to až do 31. 12. 2023. Služby cloud computingu, s jejichž užíváním započal orgán veřejné správy po 1. 9. 2021, je možné bez naplnění zákonných podmínek užívat však jen do konce roku 2022, poté musejí být uzavřeny smlouvy nové. Přechodnými ustanoveními zákona je tak zachována kontinuita užívání umožněním dočasně užívat služby poskytovatelů nezapsaných do katalogu poskytovatelů cloud computingu, avšak na druhou stranu dochází i k jistému zvýhodnění takových subjektů na trhu poskytovatelů. Veškeré nové závazky na služby cloud computingu jsou však orgány veřejné správy povinny sjednávat výhradně s poskytovateli zapsanými do katalogu poskytovatelů.

Průběh zápisu do katalogu poskytovatelů

Úvodním krokem pro zápis do seznamu poskytovatelů cloud computingu je podání žádosti vyplněním formuláře dostupného na stránkách Ministerstva vnitra ČR3. Žádost se podává včetně veškerých příloh elektronicky k Ministerstvu vnitra. Pro podávání žádostí byla zřízena zvláštní datová schránka ministerstva s názvem „Katalog cloud computingu (Ministerstvo vnitra)“ a identifikátorem datové schránky: ap2hwi6. Formulář ve formátu .xlxs lze označit za přehledný a prostřednictvím pokynů obsažených na separátním listu provádí žadatele celým procesem.

Obecné požadavky pro zápis poskytovatele jsou následující:

  1. způsobilost zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy,
  2. bezúhonnost v rozsahu bezúhonnosti požadované po kvalifikovaném správci kvalifikovaného systému elektronické identifikace,
  3. způsobilost pro poskytnutí cloud computingu orgánu veřejné správy z hlediska veřejného pořádku, bezpečnosti a dodržování práv třetích osob.

Poskytovatelé mající sídlo na území České republiky dokládají uvedené skutečnosti písemným prohlášením s uvedením konkrétních referencí obsahující zkušenosti žadatelů s poskytování služeb cloud computingu za posledních 5 let. V rámci referencí musí být například označen smluvní partner (zákazník) včetně kontaktní osoby pro ověření reference, doba plnění zakázky nebo její finanční objem. Je nutné zdůraznit, že nedoložení relevantních referencí, ať již z důvodu jejich neexistence nebo nemožnosti jejich uvedení, nemůže být důvodem pro zamítnutí žádosti o zápis do katalogu cloud computingu. Dále je nezbytné přiložit výpis z evidence Rejstříku trestů.

Po podání přihlášky si ministerstvo pro účely posouzení splnění požadavků způsobilosti žadatele uvedených výše pod písm. c) vyžádá stanovisko k evidenci nedoplatku u:

  • orgánu Finanční správy ČR,
  • orgánu Celní správy ČR,
  • orgánu sociálního zabezpečení na pojistném a na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti,
  • zdravotní pojišťovny na pojistném a na penále na veřejné zdravotní pojištění.

Ke způsobilosti poskytovatele pod písm. a) si ministerstvo vyžádá rovněž i závazné stanovisko Národního úřadu pro kybernetickou bezpečnost.

Jak dlouho zápis poskytovatele do katalogu trvá?

Ministerstvo je povinno rozhodnout o zápisu poskytovatele do 45 dní ode dne podání přihlášky. Uvedená lhůta se jeví na první pohled poměrně krátká, nicméně je nutné jedním dechem dodat, že je zde možnost stavět uvedenou lhůtu až na 3 měsíce pro získání stanovisek shora uvedených orgánů a Národní úřad pro kybernetickou bezpečnost má pro vydání závazného stanoviska lhůtu v délce 3 měsíců. Celková délka vyřizování žádosti může přesáhnout i 7 měsíců.

Závěr

Navzdory potenciálním bezpečnostním rizikům vnímám zavádění cloudových služeb do veřejné správy jako krok správným směrem. Samotný proces zápisu poskytovatele není náročný, nicméně vyžaduje systematicky a administrativně zatěžující postup. K prosinci 2022 je v seznamu zapsáno pouhých 17 subjektů, proto lze očekávat, že s koncem přechodných období bude zájemců pro zápis přibývat a správní orgány budou nuceny využívat maximum ze zákonem poskytnutých lhůt pro vyřízení žádostí. Podání žádosti proto klientům nedoporučuji příliš odkládat.

Úspěšný zápis do katalogu poskytovatelů cloud computingu je pouze prvním krokem, na nějž je pro poskytovaní služeb orgánům veřejné správy nezbytné navázat zapsáním konkrétních služeb jako nabídky do katalogu cloud computingu. Objektivně se jedná o proces komplikovanější a bude obsahem některého z mých dalších článků.

V případě jakýchkoli dotazů týkajících se cloud computingu se neváhejte obrátit na Mgr. Petra Hanzela, hanzel@arws.cz.

 

[1] Zákon č. 261/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci

[2] Čl. LXXXI zákona č. 261/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci

[3] https://www.mvcr.cz/clanek/egovernment-cloud.aspx?q=Y2hudW09Mw%3D%3D

Chcete zobrazit celý článek ZDARMA?

Když nám na sebe necháte kontakt, heslo Vám rádi zašleme. K celé databází mají přístup zdarma i naši klienti a je stejné jako heslo k naší veřejné Wi-Fi v zasedacích místnostech.

JUDr. Jakub Dohnal, Ph.D.

JUDr. Jakub Dohnal, Ph.D
advokát, partner

Zadejte prosím heslo


Chcete heslo zdarma?

Podělte se s námi prosím o: