Metodický pokyn státním právnickým osobám ke správě informačních systémů veřejné správy

Digitální a informační agentura ve spolupráci s ostatními orgány veřejné správy vydávají tento metodický pokyn dle § 4 odst. 1 písm. c) zákona č. 365/2000 Sb., o informačních systémech veřejné správy (dále jen jako „Zákon“) pro výkon odborných činností spojených s vytvářením, správou, provozem, užíváním a rozvojem informačních systémů veřejné správy.

Účelem metodického pokynu je pro orgány veřejné správy typu státní právnické osoby definovat jejich práva a povinností dle Zákona.

Povinnou osobou, na kterou se vztahuje tento metodický pokyn jsou dle Zákona státní orgány, orgány územních samosprávných celků nebo státní právnické osoby (dále jen „orgán veřejné správy“). Pro tyto orgány Zákon stanovuje práva a povinnosti, které souvisejí s vytvářením, správou, provozem, užíváním a rozvojem informačních systémů veřejné správy.

Výčet povinných osob (kategorie orgánů veřejné správy):

• Státní orgány (ministerstva a ostatní ústřední správní úřady)
• Orgány územních samosprávných celků (kraje, obce)
• Státní právnické osoby:
  • Státní fondy: Jedná se o právnické osoby zřízené přímo zákonem za účelem správy specifických oblastí veřejného zájmu. Např. Státní fond životního prostředí ČR, Státní fond dopravní infrastruktury
  • Příspěvkové organizace: Tyto organizace jsou zřizovány státem za účelem poskytování veřejných služeb v oblastech, jako je kultura, školství nebo zdravotnictví. Například: Národní divadlo, Fakultní nemocnice nebo některé speciální zdravotnické ústavy.
  • Veřejné výzkumné instituce. Založené státem za účelem provádění výzkumu a vývoje v různých oblastech. Například: Akademie věd České republiky.

Obecně jsou státní právnické osoby subjekty zřízené nebo založené státem za účelem uspokojování potřeb obecného zájmu, které nemají průmyslovou ani obchodní povahu. Tyto organizace jsou převážně financovány státem, podléhají jeho řídícímu dohledu nebo mají ve svých orgánech členy jmenované státem.

Státní právnické osoby dle § 2 odst. 2 písm. e) Zákona jsou zahrnuty jako součást Orgánů veřejné správy, čímž jsou na ně kladeny stejné požadavky jako například na ministerstvo nebo jiný ústřední správní úřad. Zákon definuje velké množství práv a povinností, která se dají rozdělit do následujících kategorií:

1. Povinnosti orgánů veřejné správy při správě informačních systémů veřejné správy dle § 5 Zákona.
2. Povinnosti orgánů veřejné správy při dlouhodobém řízení informačních systémů veřejné správy dle § 5a a § 5b Zákona.
3. Povinnosti orgánů veřejné správy při atestaci dlouhodobého řízení informačních systémů veřejné správy dle HLAVY III Zákona
4. Povinnosti orgánů veřejné správy při napojení na centrální místo služeb dle HLAVY V Zákona
5. Povinnosti orgánů veřejné správy při vyžívání cloud computingu dle HLAVY VI Zákona
6. Povinnosti orgánů veřejné správy při vydávání výpisů a výstupů z informačních systémů veřejné správy HLAVY X Zákona
7. Právo orgánu veřejné správy využít v informačním systému veřejné správy fikci podpisu dle HLAVY VIII Zákona
8. Právo orgánu veřejné správy využít součinnosti provozovatele informačního systému veřejné správy dle HLAVY XI Zákona.

Orgány veřejné správy jsou správci informačních systémů veřejné správy (dále také ISVS). Tyto informační systémy jsou v Zákoně definovány takto:

Informační systém veřejné správy

Informační systém veřejné správy je funkční celek nebo jeho část zabezpečující cílevědomou a systematickou informační činnost pro účely výkonu veřejné správy nebo plnění jiných funkcí státu anebo dalších veřejnoprávních korporací. Každý informační systém veřejné správy zahrnuje data, která jsou uspořádána tak, aby bylo možné jejich zpracování a zpřístupnění, provozní údaje a dále technické a programové prostředky, případně jiné nástroje umožňující výkon informačních činností

Pokud orgán veřejné správy informační systém veřejné správy nevlastní (není žádného správcem), jedná se sice o povinnou osobu dle Zákona, ale jeho povinnosti a práva se nedají aplikovat.

Provozní informační systém je specifický typ informačního systému veřejné správy přímo definovaný Zákonem jako „informační systém veřejné správy zajišťující informační činnosti nutné pro vnitřní provoz příslušného orgánu“. Pro provozní informační systémy platí, že na orgány územně samosprávných celků a státní právnické osoby se povinnosti stanovené Zákonem nevztahují. Pro státní orgány platí Zákonem dle § 1 odst. 4 výjimka, která vymezuje provozní informační systémy na které se zákon vztahuje a to jsou informační systémy pro řízení a rozvoj lidských zdrojů a odměňování, elektronické systémy spisové služby, informační systémy pro vedení účetnictví nebo řízení finančních zdrojů a systémy elektronické pošty spravované státními orgány. Na jiné provozní informační systémy se Zákon s výjimkou vazeb na informační systémy veřejné správy nevztahuje.

Informační systémy veřejné správy, které zabezpečují výkon veřejné správy, jsou typicky informační systémy, ve kterých se vykonává agenda¹⁾ veřejné správy na základě zákona, spravují se v něm údaje o subjektech a objektech práva vyskytujících se v základních registrech veřejné správy²⁾ a poskytující služby veřejné správy³⁾. Příkladem mohou být informační systémy:

• ePortál ČSSZ
• Portál občana
• Informační systém datových schránek
• Portál justice
• Automatizovaný daňový informační systém
• Spisová služba Ministerstva vnitra
• Portál veřejných zakázek - Národní elektronický nástroj
• Portál dopravy, elektronická dálniční známka
• Portál stavební správy

Informační systémy veřejné správy, které slouží k plnění jiných funkcí státu anebo dalších veřejnoprávních korporací, jsou typicky informační systémy, ve kterých se nevykonávají agendy veřejné správy, ale soukromoprávní činnosti nebo veřejnosprávní činnosti, které nemají vazbu na služby veřejné správy. Tyto orgány veřejné správy spravují informační systémy veřejné správy, které naplňují formální náležitostí definice bez výkonu veřejné správy s neočekávaným dopadem na práva a povinnosti klientů služeb veřejné správy.

Do kategorie orgánů veřejné správy, které spravují informační systémy veřejné správy sloužící k plnění jiných funkcí státu spadají například poskytovatelé zdravotních služeb zřízené Ministerstvem zdravotnictví. Tyto subjekty jsou státní právnickou osobou, tedy i orgánem veřejné správy, a protože jejich informační systémy plní „jiné funkce státu anebo dalších veřejnoprávních korporací“. V takovém případě je nutné vymezit, které z těchto informační systémů veřejné správy mohou být považovány za provozní informační systémy.

Pro určení rozdílu mezi provozním informačním systémem a informačních systémů veřejné správy sloužící k plnění jiných funkcí státu anebo dalších veřejnoprávních korporací se musí vyjít z definice provozního informačního systému, tedy rozlišit, zda se jedná o podporu vnitřního provozu bez poskytování služeb klientům.

Informačním systémem veřejné správy sloužící k plnění jiných funkcí státu anebo dalších veřejnoprávních korporací bude typicky pacientský portál (a s ním spojené informační technologie), který nejenže zpracovává údaje o klientech, ale má i vazbu na služby veřejné správy. Stejné je to i v případě, kdy je např. nemocniční informační systém využitý k poskytování údajů do pacientského portálu, odesílání údajů do centrální infrastruktury resortu zdravotnictví či eGovernmentu.

Ostatní informační systémy lze považovat za provozní informační systémy, na které se práva a povinnosti ze Zákona nevztahují. Příkladem mohou být ambulantní, laboratorní, objednávkové či bezpečnostní informační systémy.

Orgány veřejné správy mají obecnou povinnost vytvářet informační koncepci, což je zahrnuto v požadavcích tzv. dlouhodobého řízení infomačních systémů veřejné správy dle § 5a a § 5b Zákona.

Informační koncepce – povinnost vytvářet informační koncepci platí obecně pro všechny orgány veřejné správy. Ukládá jim povinnost zpracovat způsob řízení, správy a provozování informačních systémů veřejné správy. Pokud orgán veřejné správy informační systémy veřejné správy nevlastní, tedy žádný nespravuje, nedává existence informační koncepce smysl.

Strategie řízení ISVS – v případě státních právnických osob, které spravují pouze informační systémy veřejné správy, které slouží k plnění jiných funkcí státu anebo dalších veřejnoprávních korporací se namísto standardní informační koncepce může zpracovat náhradní varianta tzv. Strategie řízení ISVS. Tato strategie obsahuje údaje a informace, které státní právnická osoba musí/bude muset popsat dle současného zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů nebo jeho novelizace. Státní právnické osoby ve Strategii řízení ISVS zahrnou následující:

• Plán rozvoje informačních systémů orgánu veřejné správy
• Politika organizační bezpečnosti
• Politika řízení dodavatelů
• Politika bezpečnosti lidských zdrojů
• Politika řízení změn
• Politika řízení kontinuity činností
• Politika řízení dokumentace
• Politika fyzické bezpečnosti
• Politika řízení provozu a komunikací
• Politika řízení přístupu
• Politika bezpečného chování uživatelů
• Politika zálohování a obnovy a dlouhodobého ukládání
• Politika řízení technických zranitelností
• Politika bezpečného používání mobilních zařízení
• Politika akvizice, vývoje a údržby
• Politika zvládání kybernetických bezpečnostních incidentů

Plán rozvoje informačních systémů veřejné správy se zpracovává dle požadavků § 3 odst. 2 vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy ve struktuře:

1. popis stávajícího stavu architektury státní právnické osoby (orgánu veřejné správy),
2. popis důvodů pro změny architektury státní právnické osoby (orgánu veřejné správy),
3. navržený cílový stav architektury státní právnické osoby (orgánu veřejné správy) a
4. plán realizace změn informačních systémů státní právnické osoby (orgánu veřejné správy).

1. Státním právnickým osobám se v souladu s výše uvedenými skutečnostmi dává pokyn plnit veškerá práva a povinnosti dle Zákona, pokud jsou správci alespoň jednoho informačního systému veřejné správy zabezpečující výkon veřejné správy.
2. Pokud státní právnická osoba spravuje alespoň jeden informační systém veřejné správy sloužící k plnění jiných funkcí státu anebo dalších veřejnoprávních korporací, a nesloužící k zabezpečení výkonu veřejné správy, dává se jí pokyn plnit následující povinnosti a práva:

• Povinnosti orgánů veřejné správy při správě informačních systémů veřejné správy dle § 5 Zákona.
• Povinnosti orgánů veřejné správy při vydávání výpisů a výstupů z informačních systémů veřejné správy HLAVY X Zákona
• Povinnost zpracovat „Strategii řízení ISVS“
• Právo orgánu veřejné správy využít v informačním systému veřejné správy fikci podpisu dle HLAVY VIII Zákona
• Právo orgánu veřejné správy využít součinnosti provozovatele informačního systému veřejné správy dle HLAVY XI Zákona.

Ostatní povinnosti dle Zákona plní státní právnická osoba dobrovolně.

Stání právnické osoby nemusí v souladu s výše uvedenými skutečnostmi plnit povinnosti a práva dle Zákona, pokud nespravují žádný informační systém veřejné správy nebo spravují pouze provozní informační systémy nebo informační systémy dle § 1 odst. 2 a 3 Zákona.

Vztahy mezi kategoriemi orgánů veřejné správy a informačních systémů veřejné správy s právy a povinnostmi Zákona shrnuje následující tabulka.