======Doporučení k zajištění splnění Pravidel, zásad a způsobu pořizování, správy a užívání programových prostředků====== Metodický materiál ke splnění usnesení vlády České republiky ze dne 19. října 2022 č. 867\\ [[znalostni_baze:sprava_programovych_prostredku|Pravidla, zásady a způsob pořizování, správy a užívání programových prostředků]]\\ \\ {{ :znalostni_baze:doporuceni_k_priloze_usneseni_2022_867_1.docx |Doporučení k příloze usnesení vlády České republiky ze dne 19. října 2022 č. 867 }}\\ {{ :znalostni_baze:vysvetleni_doporuceni_-_raci-tabulka_atributu.xlsx |RACI tabulka atributů}}\\ {{ :znalostni_baze:vysvetleni_doporuceni_k_priloze_uv_2022_867.docx | Vysvětlení k doporučení k zajištění splnění Pravidel, zásad a způsobu pořizování, správy a užívání programových prostředků}} =====ÚVOD===== (1) Toto Doporučení k zajištění splnění Pravidel, zásad a způsobu pořizování, správy a užívání programových prostředků (dále jen „Doporučení“) stanovuje doporučenou formu dokumentace transparentního, komplexního a jednotného způsobu pořizování, správy a užívání programových prostředků podle pravidel a zásad stanovených pro povinné subjekty v příloze usnesení vlády České republiky ze dne 19. října 2022 č. 867 ve znění jeho pozdějších aktualizací (dále jen „UV867/2022“), který je zaměřen na dosažení optimálního vztahu mezi hospodárností, účelností a efektivností((Blíže viz např. příslušná ustanovení [[https://www.zakonyprolidi.cz/cs/2001-320|zákona o finanční kontrole č. 320/2001 Sb.]], § 2, odst. l až o a jejich průměty do dalších ustanovení téhož zákona, jakož i do ustanovení dalších právních předpisů, jako jsou např. [[https://www.zakonyprolidi.cz/cs/2000-218|rozpočtová pravidla]] č. 218/2000 Sb., § 39, odst. 3, [[https://www.zakonyprolidi.cz/cs/2000-219|Zákon o majetku České republiky a jejím vystupování v právních vztazích]], č. 219/2000 Sb., § 14 odst. 1 aj., to vše ve znění pozdějších předpisů. )) této dokumentace s minimální administrativní náročností. (2) Další ze základních zásad, jejichž naplnění je cílem tohoto Doporučení, je zejména účelné, hospodárné a efektivní využití již existujících evidencí, postupů, pravidel a zásad stanovených zvláštními předpisy pro pořizování, správu a užívání programových prostředků((Blíže viz např. příslušná ustanovení [[https://www.zakonyprolidi.cz/cs/2000-121|autorského zákona č. 121/2000 Sb.]], § 40 aj., [[https://www.zakonyprolidi.cz/cs/2018-82|vyhláška o kybernetické bezpečnosti č. 82/2018 Sb.]], přílohy č. 5, 7 aj., to vše ve znění pozdějších předpisů. )), a to mj. tak, aby doporučená forma i rozsah dokumentace podle tohoto Doporučení zahrnující odkazy na jiné evidence podle zvláštních předpisů mohly být účelně, hospodárně, efektivně a v souladu s příslušnými právními předpisy využity též k předběžné, průběžné a následné veřejnosprávní kontrole, jakož i při dalších formách auditu nakládání s veřejnými prostředky dle příslušných zvláštních předpisů. =====Čl. 1 - Základní pojmy===== Základní pojmy využívané v rámci tohoto Doporučení jsou vymezeny v dokumentu Pravidla, zásady a způsob pořizování, správy a užívání programových prostředků v příloze UV867/2022, a to konkrétně v jeho čl. 1 „Základní pojmy“, a dále též v příslušných zvláštních předpisech. =====Čl. 2 - Kontrolní seznam pořízení, správy a užívání programových prostředků===== (1) Základním doporučovaným dokumentem dokládajícím transparentní, komplexní a jednotný způsob pořizování, správy a užívání programových prostředků podle pravidel a zásad stanovených pro povinné subjekty v příloze UV867/2022, je Kontrolní seznam pořízení, správy a užívání programových prostředků (dále jen „Kontrolní seznam“). (2) Formu a rozsah vzorového Kontrolního seznamu je povinným subjektům doporučeno stanovit v jejich příslušném služebním nebo vnitřním předpisu, a to včetně uvedení povinných odkazů do dalších evidencí. (3) Až podle konkrétní potřeby povinné subjekty mohou a měly by vytvářet účelné další verze odvozené od vzorového Kontrolního seznamu pro specifické typy programových prostředků a tyto verze pak zahrnout do novelizace příslušného služebního nebo vnitřního předpisu, a to podle svých specifických potřeb a charakteru svých již využívaných či nově pořizovaných programových prostředků a přiměřeně jejich účelu, hodnotě a/nebo charakteru příslušných licenčních ujednání – tj. např. zvlášť pro * programové prostředky pořizované v rámci pořízení hmotného majetku (např. OEM verze operačních systémů, předinstalované doplňkové programové prostředky pro jeho správu aj.), * standardní programové prostředky nevyžadující rozsáhlejší implementaci (např. standardní kancelářský software, databázový software, software pro ochranu proti škodlivému kódu apod.), * standardní programové prostředky vyžadující individuální implementaci podle potřeb jejich uživatele či uživatelů (např. programové prostředky spisové služby), * nadstavbové či zcela autonomní programové prostředky vyvíjené na míru podle unikátních potřeb jejich uživatele či uživatelů formou tzv. zaměstnaneckého díla (tj. programové prostředky vyvinuté zaměstnanci a/nebo pracovníky najímanými jiným způsobem), * nadstavbové či zcela autonomní programové prostředky vyvíjené na míru podle unikátních potřeb jejich uživatele či uživatelů externími dodavateli (tj. např. programové prostředky pro unikátní agendové informační systémy), * další aplikace či aplikační komponenty volně šiřitelné či využívané bezplatně v souladu s podmínkami jejich využití stanovených oprávněnými poskytovateli práv k jejich užití, programové prostředky vyvíjené interně např. formou tzv. zaměstnaneckého díla dle zvláštních předpisů aj. =====Čl. 3 - Doporučený minimální obsah Kontrolního seznamu===== (1) Konkrétní formu dokumentace transparentního, komplexního a jednotného způsobu pořizování, správy a užívání programových prostředků podle pravidel a zásad stanovených pro povinné subjekty v příloze UV867/2022 prostřednictvím vzorového Kontrolního seznamu a jeho ev. dalších variant je povinným subjektům doporučeno stanovit v jejich příslušném služebním nebo vnitřním předpisu tak, aby tento vzorový Kontrolní seznam a jeho ev. další varianty vždy obsahovaly * informace o způsobu naplnění činností dle UV867/2022 a ev. odkaz na dokumentaci provedení těchto činností ve vazbě na kritéria stanovená podle zvláštních předpisů, přičemž také celkový rozsah těchto informací i jejich ev. další dokumentace by měly rovněž odpovídat jak již zavedeným formám dokumentace takovýchto procesů a postupů v povinném subjektu, tak také charakteru příslušného programového prostředku. * informaci kdo, k jakému datu a jakou formou (zápis z porady, písemná analýza apod.) příslušné činnosti provedl s uvedením jeho pracovního zařazení, jména, příjmení a kontaktních informací. * informaci kdo, k jakému datu, na základě jakého předchozího postupu (projednání interaktivní formou, prezentace zpracovatelem, namátková kontrola aj.) a jakým způsobem výstupy a závěry příslušných činností schválil (tj. např. opět ve formě zápisu z porady, písemného stanoviska vedoucího příslušného útvaru či představeného apod.), a to s uvedením konkrétního pracovního zařazení, jména, příjmení schvalujícího vedoucího nebo představeného, a jeho kontaktních údajů. (2) Doporučený minimální obsah Kontrolního seznamu by měl ve výše uvedeném rozsahu dokumentovat v přiměřeném rozsahu a formě v průběhu životního cyklu příslušného programového prostředku krok po kroku minimálně činnosti povinného subjektu uvedené v příloze UV867/2022, tj. konkrétně v ustanoveních jejího * článku 3, písm. a až e, a to ve vazbě na konkrétní kritéria stanovená podle zvláštního předpisu, * článku 4, odst. 1, * článku 4, odst. 2, písm. a až e, * článku 4, odst. 3 v případě takového programového prostředku, který je zaměstnaneckým dílem dle zvláštního předpisu((Blíže viz např. příslušná ustanovení [[https://www.zakonyprolidi.cz/cs/2000-121|autorského zákona č. 121/2000 Sb.]], § 58 aj., ve znění pozdějších předpisů.)) nebo který je volně šiřitelný, * článku 5, odst. 1 a 2 v případě programového prostředku, který není volně šiřitelný, * článku 5, odst. 3 až 6, * článku 6, písm. a až d, * článku 7, * článku 8, odst. 1 až 3, * článku 9, odst. 1 až 3. =====Čl. 4 - Vysvětlení dalších věcných, personálních a právních souvislostí tohoto Doporučení===== (1) Vysvětlení dalších věcných a právních souvislostí tohoto Doporučení a potřeby jeho průmětu do příslušného služebního nebo vnitřního předpisu (dále jen „Vysvětlení“) prostřednictvím Kontrolního seznamu a jeho odvozených forem (vč. např. formy elektronické) je obsaženo v příloze tohoto Doporučení a v dalších odkazech v něm uvedených. (2) Informace o dalších, širších či hlubších souvislostech pořizování programových prostředků a jejich průmětu do příslušného služebního nebo vnitřního předpisu na základě již existujících či nově vznikajících potřeb povinných subjektů jsou nebo budou detailněji popsány a průběžně aktualizovány a doplňovány v dokumentech publikovaných Digitální a informační agenturou na stránce [[https://archi.gov.cz.]] =====Čl. 5 - Soulad tohoto Doporučení s dalšími právními předpisy===== (1) Dokumentace pořizování, správy a užívání programových prostředků formou Kontrolního seznamu, která je obsahem tohoto doporučení, nikterak nezprošťuje povinné subjekty vést nad její rámec další formy evidence programových prostředků a jejich využití podle zvláštních předpisů. (2) V případě jakýchkoliv duplicit údajů uváděných v Kontrolním seznamu s údaji o pořizování programových prostředků a jejich využití podle zvláštních předpisů mají v souladu s těmito předpisy povinné subjekty mj. povinnost podle svých potřeb účelně, hospodárně a efektivně minimalizovat veškeré tyto duplicity ve svých příslušných služebních nebo vnitřních předpisech, a to např. účelnou modifikací obsahu Kontrolního seznamu, tj. typicky náhradou či doplněním údajů v něm uváděných adresnými a jednoznačnými odkazy do příslušných evidencí podle zvláštních předpisů a/nebo dalších dokumentů dokládajících (s)plnění příslušných ustanovení UV867/2022. =====Čl. 6 - Doporučené termíny aktualizace konkrétní podoby a formy Kontrolních seznamů===== (1) Na základě tohoto Doporučení je vhodné provést kontrolu účelnosti obsahu Kontrolních seznamů stanoveného příslušným služebním nebo vnitřním předpisem vždy jednou ročně, a to po dokončení pravidelné kontroly souladu užívání programových prostředků s příslušnými právními předpisy, licenčními smlouvami a licenčními podmínkami dle UV867/2022, čl. 8, odst. 1. (2) Závěry takovéto kontroly účelnosti obsahu Kontrolních seznamů stanoveného příslušným služebním nebo vnitřním předpisem je doporučeno zahrnout do záznamu o kontrolách a jejich výsledcích dle UV867/2022, čl. 8, odst. 3, a tyto závěry pak co možná nejdříve promítnout v přiměřené míře do podoby Kontrolních seznamů specifikované příslušným služebním nebo vnitřním předpisem. =====Čl. 7 - Účinnost===== Toto Doporučení a jeho další aktualizace nabývají v souladu s UV867/2022 účinnosti jejich publikováním na www-stránkách Digitální a informační agentury.