Právní aspekty implementace IT systémů ve veřejné správě

Implementace IT systému ve veřejné správě je strategický krok plný právních nástrah. Tento článek vás provede klíčovými aspekty – od veřejných zakázek a licencí po GDPR. Dozvíte se, jak se vyhnout nákladným chybám a ochránit vaši investici před kontrolami ÚOHS či NÚKIB

​Autor článku: ARROWS advokátní kancelář  (JUDr. Jakub Dohnal, Ph.D., LL.M., office@arws.cz, +420 245 007 740)

Digitalizace veřejné správy 

Digitalizace a rozvoj eGovernmentu jsou v České republice klíčovou prioritou, podporovanou národními strategiemi i evropskými fondy.

Cílem je zefektivnit služby pro občany a firmy a snížit administrativní zátěž. Tento přechod však není jen technologickou modernizací, ale především komplexní právní výzvou, která vyžaduje orientaci v několika složitých a vzájemně propojených oblastech.

Každé rozhodnutí o pořízení nového IT systému, například cloudového portálu pro občany, okamžitě spouští lavinu povinností. Celý proces se řídí nejen Zákonem o zadávání veřejných zakázek (ZZVZ), ale také Zákonem o informačních systémech veřejné správy (ZoISVS), Zákonem o kybernetické bezpečnosti (ZKB)  a Obecným nařízením o ochraně osobních údajů (GDPR).

Nejde o jednotlivé kroky, které lze řešit postupně. Jedná se o síť souběžných povinností, kde chyba v jedné oblasti může ohrozit celý projekt.

Právníci ARROWS se specializují na provázení klientů tímto právním minovým polem a zajišťují, aby technologická investice byla od samého počátku postavena na pevných právních základech.

Jak správně vysoutěžit IT systém, abyste se nespálili?

Proces zadávání veřejné zakázky je základním kamenem úspěšné implementace. Jakákoliv nejasnost nebo chyba v této fázi může vést ke sporům, neočekávaným nákladům a v nejhorším případě k nefunkčnímu systému a sankcím ze strany dohledových orgánů.

Proč je správné zadání klíčové pro úspěch celého projektu?

Zadávací dokumentace definuje celý budoucí životní cyklus pořizovaného systému. Právě zde se stanovují nejen technické parametry, ale i smluvní podmínky, licenční ujednání a pravidla pro budoucí rozvoj. Celý proces se musí řídit základními zásadami podle § 6 ZZVZ, tedy transparentností, přiměřeností, rovným zacházením a zákazem diskriminace.

Naši specialisté pro Vás

Jak definovat technické podmínky, abyste získali funkční řešení a neporušili zákon?

Jednou z největších výzev je definovat technické podmínky (§ 89 ZZVZ) tak, aby přesně popisovaly vaše potřeby, ale zároveň neoprávněně neupřednostňovaly konkrétního dodavatele nebo technologii. Zákon sice umožňuje stanovit specifické požadavky, ale musí být vždy řádně odůvodněny předmětem zakázky a jeho účelem.

Špatně nastavené technické podmínky jsou jednou z nejčastějších příčin, proč je zadávací řízení napadeno u Úřadu pro ochranu hospodářské soutěže (ÚOHS). 

Právníci ARROWS pomáhají s formulací technických podmínek tak, aby byly v souladu se zákonem, ale zároveň vedly k pořízení skutečně funkčního a kvalitního řešení.

Riziko jménem Vendor Lock-in: Jak se nenechat "uzamknout" jedním dodavatelem?

Největší hrozbou u IT zakázek ve veřejné správě je takzvaný vendor lock-in. Jedná se o stav, kdy se zadavatel stane zcela závislým na produktech a službách jednoho dodavatele a není schopen své řešení změnit bez jeho souhlasu nebo bez nepřiměřeně vysokých nákladů. Tento problém je v české veřejné správě bohužel velmi rozšířený.

Příčinou je nejčastěji proprietární technologie, nevhodně nastavená licenční smlouva bez práva na úpravy, nebo nemožnost přístupu k vlastním datům a zdrojovým kódům systému.

Nevíte si s daným tématem rady?

Zadavatelé se tak dostávají do situace, kdy musí veškerý další rozvoj a údržbu zadávat v jednacím řízení bez uveřejnění (JŘBU) svému stávajícímu dodavateli, což často vede k vysokým pokutám od ÚOHS, jak ukazují i nedávné případy týkající se digitalizace stavebního řízení.

Prevence vendor lock-in není technická, ale především proaktivní právní a strategická disciplína. Boj o vaši budoucí svobodu a efektivní vynakládání veřejných prostředků se odehrává již při tvorbě zadávací dokumentace a smlouvy.

Naši právníci v ARROWS se na problematiku vendor lock-in specializují. Připravujeme zadávací dokumentace a smlouvy, které vám zajistí vlastnictví vašich dat a práva k úpravám softwaru, čímž chráníme vaši budoucí svobodu a veřejné prostředky.

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Diskriminační technické podmínky v zadávací dokumentaci. Problémy: Zúžení soutěže, napadnutí tendru u ÚOHS, zrušení řízení, pokuty.	Revize zadávací dokumentace: Zajistíme, aby technické a kvalifikační požadavky byly přiměřené, nediskriminační a v souladu s ZZVZ.
Vytvoření závislosti na jednom dodavateli (vendor lock-in). Problémy: Extrémní náklady na rozvoj a údržbu, nemožnost změnit dodavatele, ztráta kontroly nad systémem.	Příprava smluv chránících budoucnost: Navrhneme smlouvy s doložkami o vlastnictví dat, licencí ke zdrojovým kódům a právem na úpravy.
Nedostatečné prověření kvalifikace a spolehlivosti dodavatele. Problémy: Výběr dodavatele, který není schopen zakázku realizovat; selhání projektu; bezpečnostní rizika.	Nastavení adekvátních kvalifikačních kritérií: Pomůžeme definovat smysluplné požadavky na reference a certifikace (např. ISO 27001), které jsou právně obhajitelné.
Nezákonné použití jednacího řízení bez uveřejnění (JŘBU). Problémy: Vysoké pokuty od ÚOHS, jak ukazují nedávné případy (např. digitalizace stavebního řízení).	Právní stanoviska a zastupování: Posoudíme, zda jsou splněny zákonné podmínky pro JŘBU, a v případě potřeby vás zastoupíme v řízení před ÚOHS.
Umožnění podstatné změny smlouvy bez nového tendru. Problémy: Neplatnost smluvního dodatku, pokuta od ÚOHS za obcházení zákona.16	Revize a příprava smluvních dodatků: Zajistíme, aby veškeré změny proběhly v souladu s přísnými pravidly § 222 ZZVZ.
Nejasně definovaný předmět plnění a akceptační kritéria. Problémy: Spory s dodavatelem o to, co mělo být dodáno, problémy s převzetím díla, vícenáklady.	Precizní smluvní dokumentace: Vyhotovíme smlouvu, která jasně a jednoznačně definuje předmět plnění, jeho funkcionality a podmínky pro jeho akceptaci.

 

Smlouvy a licence – Kdo je skutečným pánem vašeho softwaru?

Správně nastavená licenční smlouva je klíčem k ochraně vaší investice a k zajištění dlouhodobé kontroly nad pořízeným IT systémem. V této oblasti se skrývá mnoho právních nuancí, jejichž podcenění může mít fatální následky.

Výhradní, nevýhradní, nebo open-source? Jaká licence je pro vás ta pravá?

Volba licenčního modelu závisí na povaze pořizovaného systému. Pro software vyvíjený na míru se obvykle sjednává výhradní licence, která poskytovateli brání v tom, aby software poskytl komukoliv jinému. U standardních, tzv. krabicových řešení, se setkáte s nevýhradní licencí.

Stále populárnější jsou open-source licence (např. GNU GPL, MIT), které nabízejí velkou míru svobody. Je však třeba dát pozor na jejich specifické podmínky – některé, jako například licence s tzv. virálním efektem (copyleft), vyžadují, aby i veškeré úpravy a odvozená díla byla šířena pod stejnou licencí.

V ARROWS vám pomůžeme analyzovat vaše potřeby a doporučíme optimální licenční model, který zajistí potřebnou funkcionalitu i budoucí flexibilitu.

Zdrojové kódy, právo na úpravy a specifika českého práva

Pro dlouhodobou udržitelnost a rozvoj systému je zásadní mít smluvně zajištěný přístup ke zdrojovým kódům a právo software upravovat. Počítačový program je podle autorského zákona chráněn jako dílo literární  a ochrana se vztahuje i na přípravné koncepční materiály.

České autorské právo má navíc klíčové specifikum, které je často zdrojem problémů, zejména ve smlouvách se zahraničními partnery. Autorská práva jako taková nelze převést z fyzické osoby (autora-programátora) na právnickou osobu (firmu). Ta může pouze vykonávat majetková práva na základě licence.

Požadavek zahraničního dodavatele na "převod autorských práv" je tak podle českého práva neplatný a smlouva obsahující takové ujednání je právně velmi zranitelná.

Naši právníci znají specifika českého autorského práva do detailu. Ochráníme vás před podpisem neplatných nebo nevýhodných smluv, zejména se zahraničními dodavateli, a zajistíme, aby vaše licenční práva byla právně neprůstřelná. Pravidelně pro naše klienty připravujeme a revidujeme licenční smlouvy.

Kybernetická bezpečnost jako základní pilíř důvěry

V digitálním světě je kybernetická bezpečnost absolutním základem pro fungování veřejné správy a udržení důvěry občanů. Legislativa v této oblasti klade na orgány veřejné moci velmi přísné a konkrétní požadavky.

Jaké konkrétní povinnosti vám ukládá zákon o kybernetické bezpečnosti?

Základním předpisem je Zákon o kybernetické bezpečnosti (ZKB) a jeho klíčová prováděcí vyhláška č. 82/2018 Sb. Tyto předpisy se vztahují na tzv. povinné osoby, mezi které patří většina orgánů veřejné správy spravujících významné informační systémy.

Dohled vykonává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který může za nesplnění povinností ukládat citelné sankce.

Obraťte se na naše specialisty:

Řízení přístupu, logování a správa dodavatelů: Co musíte udělat v praxi?

Zákon a vyhláška nestanovují pouze obecné principy, ale vyžadují zavedení konkrétních technických a organizačních opatření. Mezi ty nejdůležitější patří:

• Řízení přístupu: Musíte zavést systém jedinečných identifikátorů, přidělovat práva na základě rolí a zajistit silné ověřování uživatelů, ideálně pomocí vícefaktorové autentizace.
• Zaznamenávání událostí (logování): Jste povinni zaznamenávat a po stanovenou dobu uchovávat záznamy o klíčových událostech v systému, jako jsou úspěšná i neúspěšná přihlášení, činnosti administrátorů nebo změny oprávnění.
• Řízení dodavatelů: Musíte smluvně zavázat své IT dodavatele k dodržování bezpečnostních pravidel a přenést na ně odpovídající povinnosti.

Soulad s kybernetickou legislativou neznamená jen mít správně napsanou smlouvu. Vyžaduje implementaci a dokumentaci celého systému vnitřních procesů a pravidel. Vyhláška například explicitně zmiňuje hrozbu plynoucí z "nedostatečného bezpečnostního povědomí uživatelů".

V ARROWS vám nejen připravíme smlouvy, které přenesou adekvátní povinnosti na vaše dodavatele, ale také vám pomůžeme vypracovat interní bezpečnostní směrnice a zajistíme odborná školení pro vaše zaměstnance, abyste minimalizovali riziko lidské chyby.

Riziko k řešení a potenciální problémy	Jak pomáhá ARROWS
Nesplnění povinností dle ZKB a vyhlášky 82/2018 Sb. Problémy: Pokuty od NÚKIB, nařízení nápravných opatření, reputační škoda, ohrožení funkčnosti úřadu.	Právní audit souladu a příprava dokumentace: Provedeme audit vašich systémů a procesů a vyhotovíme kompletní bezpečnostní dokumentaci a interní směrnice vyžadované zákonem.
Nedostatečná smluvní úprava s IT dodavateli. Problémy: Dodavatel nezavede potřebná bezpečnostní opatření; v případě incidentu zůstává plná odpovědnost na vás.	Příprava a revize smluv s dodavateli: Zajistíme, aby vaše smlouvy obsahovaly jasné vymezení bezpečnostních povinností, odpovědnosti a práva na audit dodavatele.
Kybernetický útok (ransomware, phishing, atd.). Problémy: Ztráta či zašifrování dat, přerušení služeb pro občany, finanční ztráty, únik citlivých informací.	Příprava plánů reakce na incidenty (IRP): Vypracujeme právní rámec pro vaše plány reakce, abyste v krizové situaci věděli, jak postupovat, a minimalizovali škody.
Únik dat zaviněný zaměstnancem (nedbalost, úmysl). Problémy: Vznik bezpečnostního incidentu, porušení GDPR, poškození důvěry veřejnosti.	Odborná školení pro zaměstnance a vedení: Poskytujeme certifikovaná školení zaměřená na bezpečnostní povědomí, která prokazatelně snižují riziko lidského selhání.
Nejasná odpovědnost za bezpečnost v cloudových službách. Problémy: Porušení ZKB i ZoISVS, neoprávněný přístup k datům v cloudu.	Právní konzultace a revize SLA: Pomůžeme vám správně nastavit bezpečnostní úroveň cloudu a zrevidujeme smlouvy s poskytovateli (SLA), aby vaše data byla v bezpečí.

 

Ochrana osobních údajů (GDPR) – Hrozba pokut, nebo zvládnutelná povinnost?

Ochrana osobních údajů je při implementaci nových IT systémů ve veřejné správě naprosto zásadní. GDPR klade na správce dat vysoké nároky a jejich nesplnění může vést k citelným sankcím, které pro orgány veřejné moci v ČR mohou dosáhnout až 10 milionů Kč.

Nevíte si s daným tématem rady?

Kdy je nezbytné provést posouzení vlivu na ochranu osobních údajů (DPIA)?

Posouzení vlivu na ochranu osobních údajů (DPIA) je podle článku 35 GDPR povinný proces řízení rizik. Musí být provedeno před zahájením zpracování, které bude mít pravděpodobně za následek vysoké riziko pro práva a svobody fyzických osob.

Povinnost provést DPIA vzniká téměř u každého významnějšího IT projektu ve veřejné správě. Typicky se jedná o případy, kdy dochází k:

• systematickému a rozsáhlému vyhodnocování osobních aspektů (např. profilování žadatelů o dávky),
• rozsáhlému zpracování citlivých údajů (např. zdravotnické informační systémy),
• rozsáhlému systematickému monitorování veřejně přístupných prostor (např. kamerové systémy ve městech).

Neprovedení DPIA tam, kde je povinné, je přímým a snadno postižitelným porušením GDPR. 

Tým ARROWS má rozsáhlé zkušenosti s prováděním a právním posuzováním DPIA. Provedeme vás celým procesem, pomůžeme identifikovat rizika a navrhnout opatření k jejich minimalizaci, čímž zajistíme soulad vašeho projektu s GDPR od samého počátku.

Využíváte cloudové služby? Jak legálně předávat data mimo EU?

Mnoho moderních IT řešení, zejména cloudových služeb, spoléhá na globální infrastrukturu poskytovatelů jako Amazon, Google nebo Microsoft. To často znamená, že data českých občanů jsou fyzicky zpracovávána mimo Evropskou unii, například v USA. Takové předání osobních údajů je podle GDPR přísně regulováno.

Pro legální předání dat do třetí země musí být splněna jedna z podmínek kapitoly v GDPR:

1. Rozhodnutí o odpovídající ochraně: Evropská komise může určit, že daná země poskytuje dostatečnou úroveň ochrany. Data pak mohou proudit volně. To se týká např. Velké Británie, Švýcarska nebo USA pro společnosti certifikované v rámci programu Data Privacy Framework.
2. Vhodné záruky: Pokud rozhodnutí neexistuje, je nutné přijmout vhodné záruky, nejčastěji ve formě Standardních smluvních doložek (SCC) schválených Evropskou komisí.
3. Posouzení dopadů na předání (TIA): Od přelomového rozsudku Soudního dvora EU ve věci Schrems II však pouhý podpis SCC nestačí. Vývozce dat (tedy vy) musí provést tzv. Transfer Impact Assessment (TIA) a posoudit, zda právní řád cílové země (např. americké zákony o dohledu) neoslabuje ochranu poskytovanou smlouvou.

Provedení TIA je vysoce odborná činnost vyžadující znalost zahraničního práva, kterou český úřad nemůže reálně sám zajistit.

Právě zde se naplno projevuje síla naší mezinárodní sítě ARROWS International. Díky našim partnerům v desítkách zemí jsme schopni pro vás zajistit provedení komplexního posouzení (TIA), které je pro legální využití globálních cloudových služeb nezbytné. Neřešíme jen české právo, řešíme váš problém globálně.

 

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Neprovedení povinného posouzení vlivu (DPIA) u rizikového projektu. Problémy: Přímé porušení čl. 35 GDPR, vysoká pokuta od ÚOOÚ, nařízení k zastavení zpracování.	Právní asistence při DPIA: Provedeme vás celým procesem, od identifikace nutnosti DPIA po návrh opatření a přípravu finální zprávy pro úřady.
Nezákonné předávání osobních údajů mimo EU (např. do cloudu v USA). Problémy: Porušení Kapitoly V GDPR, vysoké pokuty, nařízení k zastavení předávání dat.	Zajištění mezinárodních transferů: S využitím sítě ARROWS International zajistíme vhodné záruky (SCC) a provedeme nezbytné posouzení dopadů (TIA).
Nedostatečné zabezpečení osobních údajů vedoucí k jejich úniku (data breach). Problémy: Povinnost hlásit ÚOOÚ do 72 hodin, pokuty, reputační škoda, nároky na náhradu škody od občanů.	Příprava dokumentace a řešení incidentů: Připravíme interní směrnice pro zabezpečení dat a poskytneme okamžitou právní podporu při řešení a hlášení úniků.
Chybějící nebo nedostatečná smlouva se zpracovatelem (např. IT dodavatelem). Problémy: Porušení čl. 28 GDPR, odpovědnost za pochybení dodavatele, pokuta.	Příprava a revize zpracovatelských smluv: Vyhotovíme a zrevidujeme veškeré smlouvy s vašimi dodavateli tak, aby plně odpovídaly požadavkům GDPR.
Neplnění práv subjektů údajů (právo na přístup, výmaz, atd.). Problémy: Stížnosti u ÚOOÚ, pokuty, ztráta důvěry občanů.	Nastavení interních procesů a školení: Pomůžeme vám nastavit efektivní procesy pro vyřizování žádostí a proškolíme vaše zaměstnance.
Zpracování osobních údajů bez platného právního titulu. Problémy: Nezákonné zpracování, pokuta od ÚOOÚ až 10 mil. Kč pro orgány veřejné správy.	Právní analýza a poradenství: Zanalyzujeme všechny vaše činnosti zpracování a stanovíme pro ně správné a obhajitelné právní tituly.

 

ARROWS – Váš partner pro bezpečnou a efektivní digitalizaci

Jak ukazuje náš přehled, úspěšná implementace IT systému ve veřejné správě vyžaduje komplexní právní strategii, která propojuje právo veřejných zakázek, autorské právo, kybernetickou bezpečnost a ochranu osobních údajů. 

Naše zkušenosti z dlouhodobé péče o více než 150 akciových společností, 250 s.r.o. a 51 obcí a krajů nám dávají unikátní vhled do problémů, kterým čelíte. 

Zakládáme si na rychlosti, vysoké kvalitě a hluboké znalosti problematiky, kterou pro naše klienty řešíme prakticky denně.

Ať už potřebujete vyhotovit interní směrnice, připravit neprůstřelnou smluvní dokumentaci, získat potřebné licence, zastupovat u správních orgánů, nebo proškolit své zaměstnance, v ARROWS najdete spolehlivého partnera. 

Navíc našim klientům aktivně pomáháme propojovat zajímavé obchodní a investiční příležitosti a rádi si poslechneme i vaše byznysové nápady.

Plánujete nový IT projekt nebo si nejste jisti souladem těch stávajících? Obraťte se na nás. Rádi s vámi probereme vaši situaci a navrhneme konkrétní kroky.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.