Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verzePoslední revizeObě strany příští revize | ||
nap:pravidla:pravidla_nia [2020/05/13 11:55] – Tomáš Šedivec | nap:pravidla:pravidla_nia [2020/11/27 09:00] – Tomáš Šedivec | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
< | < | ||
- | |||
- | Úřad musí zajistit identifikaci a autentizaci klientů veřejné správy prostřednictvím kvalifikovaného systému elektronické identifikace (v současnosti pouze [[nap: | ||
Zásadním požadavkem bezpečnosti a transparentnosti pro informační systémy veřejné správy je požadavek na jednotnou elektronickou identifikaci externích uživatelů. Pro každou operaci je nutná znalost osoby, která tuto operaci provádí zvláště z hlediska nepopiratelné zodpovědnosti osoby. Externí uživatelé (klienti) informačních systémů veřejné správy musí být jednoznačně identifikováni zvláště z důvodů ochrany osobních údajů a dále z procesního hlediska, jak předpokládá správní řád (jednoznačné prokázání totožnosti účastníků řízení). | Zásadním požadavkem bezpečnosti a transparentnosti pro informační systémy veřejné správy je požadavek na jednotnou elektronickou identifikaci externích uživatelů. Pro každou operaci je nutná znalost osoby, která tuto operaci provádí zvláště z hlediska nepopiratelné zodpovědnosti osoby. Externí uživatelé (klienti) informačních systémů veřejné správy musí být jednoznačně identifikováni zvláště z důvodů ochrany osobních údajů a dále z procesního hlediska, jak předpokládá správní řád (jednoznačné prokázání totožnosti účastníků řízení). | ||
Řádek 13: | Řádek 11: | ||
NAP v této oblasti vyžaduje naplnění následujících principů pro všechny informační systémy veřejné správy: | NAP v této oblasti vyžaduje naplnění následujících principů pro všechny informační systémy veřejné správy: | ||
- | - Každý úřad, který poskytuje své služby elektronicky a potřebuje pro ně ověřeného klienta, musí využít služeb kvalifikovaného systému elektronické identifikace (v současnosti pouze [[nap: | + | - Každý úřad, který poskytuje své služby elektronicky a potřebuje pro ně ověřeného klienta, musí využít služeb |
+ | - Pro využití [[nap: | ||
- Každý úřad musí akceptovat nejen identitu českého občana, ale kteréhokoliv občana Evropské Unie dle eIDAS. | - Každý úřad musí akceptovat nejen identitu českého občana, ale kteréhokoliv občana Evropské Unie dle eIDAS. | ||
- | - Při tvorbě identitního prostoru si prvně udělat analýzu, zda nepostačuje již některý z federovaných identit v rámci kvalifikovaného systému elektronické identifikace (v současnosti pouze [[nap: | + | - Při tvorbě identitního prostoru si prvně udělat analýzu, zda nepostačuje již některý z federovaných identit v rámci |
- | - Jakýkoliv nový identitní prostor musí být budován tak, aby byl federovaný v rámci kvalifikovaného systému elektronické identifikace (v současnosti pouze [[nap: | + | - Jakýkoliv nový identitní prostor musí být budován tak, aby byl federovaný v rámci |
- Prostředky pro identifikaci a autentizaci jsou vždy vydány bezpečnou a jednoznačnou cestou identifikované osobě tak, aby byla zajištěna minimálně úroveň důvěry značná. O tomto vydání prostředků existuje trvalý záznam spolu s údaji, jak byla ověřena identita osoby | - Prostředky pro identifikaci a autentizaci jsou vždy vydány bezpečnou a jednoznačnou cestou identifikované osobě tak, aby byla zajištěna minimálně úroveň důvěry značná. O tomto vydání prostředků existuje trvalý záznam spolu s údaji, jak byla ověřena identita osoby | ||
- Osoba, jíž byly prostředky vydány, nedílně zodpovídá za ochranu těchto prostředků před odcizením a zneužitím | - Osoba, jíž byly prostředky vydány, nedílně zodpovídá za ochranu těchto prostředků před odcizením a zneužitím | ||
Řádek 22: | Řádek 21: | ||
- Věcný správce agend, které jsou vykonávány v rámci informačního systému, zodpovídá za obsazení osob do rolí (technicky vykonává technický správce informačního systému, vždy však na základě podkladů o věcných správců). Tuto svoji zodpovědnost může delegovat v rámci organizační struktury na více zodpovědných osob. | - Věcný správce agend, které jsou vykonávány v rámci informačního systému, zodpovídá za obsazení osob do rolí (technicky vykonává technický správce informačního systému, vždy však na základě podkladů o věcných správců). Tuto svoji zodpovědnost může delegovat v rámci organizační struktury na více zodpovědných osob. | ||
- | ==== Mandáty, role a práva v elektronické komunikaci | + | ===== Postup ohlášení kvalifikovaného poskytovatele služby (Service provider; SeP) ===== |
+ | |||
+ | Následující kroky popisují jednotlivé části procesu, který je naznačen níže, na základě ověření přes ISDS. Aktuálně je registrace organizace prostřednictvím portálu národního bodu přístupná pouze pro orgány veřejné moci, ostatní subjekty musí provést registraci přímo u Správy základních registrů (viz krok 8). Kompletní příručka je dostupná [[https:// | ||
- | Zajištění správné obsazení do role neboli autorizace, klienta využívajícího elektronické služby je jedním ze základních předpokladů jejího správného fungování. Různé role mají v rámci služby různá oprávnění a povinnosti a poskytovatel služby je povinen nabídnout klientovi veškeré role, do kterých se v rámci služby může pasovat, včetně rolí jako zástupce právnické osoby, zástupce nezletilého, | + | - Uživatel jako zástupce organizace požaduje po portálu národního bodu, který |
+ | - Portál národního bodu kontaktuje [[nap: | ||
+ | - Pro ověření uživatele pro registraci organizace či konfigurací jednotlivých Service Providerů | ||
+ | - Uživatel provede ověření vlastní osoby přihlášením k datovým schránkám. Aby mohl uživatel registrovat organizaci na portálu národního bodu, musí být přihlášen prostřednictvím ISDS (v definované roli a typem schránky OVM). V případě, | ||
+ | - V případě, kdy je uživatel úspěšně ověřen, Informační systém datových schránek předá [[nap: | ||
+ | - [[nap: | ||
+ | - [[nap: | ||
+ | - Na základě úspěšného splnění předchozích kroků umožní portál národního bodu uživateli službu registrace organizace (SeP) a zobrazí mu vyplněný formulář pro registraci. Toto platí pouze pro organizace, které jsou OVM. Není-li organizace OVM, jsou místo registračního formuláře zobrazeny podrobné informace o tom, jakým způsobem provést registraci přímo u Správy základních registrů. | ||
+ | - Uživatel potvrdí správnost údajů a provedení registrace organizace (SeP). | ||
+ | - Portál národního bodu zpracuje přijatý požadavek na registraci a po úspěšném zaregistrování umožní uživateli provést konfiguraci jednotlivých Service Providerů spadající pod danou organizaci (seznam konfigurací kvalifikovaných poskytovatelů). | ||
+ | - Uživatel provede konfiguraci Service Providera zahrnující následující údaje: | ||
+ | * IČO subjektu | ||
+ | * Název kvalifikovaného poskytovatele | ||
+ | * Popis kvalifikovaného poskytovatele | ||
+ | * URL adresa odkazující na úvodní webové stránky kvalifikovaného poskytovatele | ||
+ | * URL adresa | ||
+ | * Adresa pro příjem vydaného tokenu | ||
+ | * URL adresa, na kterou bude uživatel přesměrován při odhlášení z Vašeho webu | ||
+ | * Načtení certifikátu | ||
+ | * Adresa pro načtení | ||
+ | * Zpřístupnění autentizace prostřednictvím brány eIDAS | ||
+ | * Logo kvalifikovaného poskytovatele | ||
- | - Znalost typů mandátů při jednání s veřejnou správou | + | ==== Příklad pro poskytovatele zdravotních služeb ==== |
- | - Jednoznačnou identifikaci a autentizaci klienta veřejné správy | + | |
- | - Systém veřejné správy schopný komunikovat a získávat údaje z propojeného datového fondu | + | |
- | - Vlastní zajištění autorizace klienta veřejné správy | + | |
- | === Mandáty pro jednání s veřejnou správou === | + | Poskytovatel zdravotních služeb není orgán |
+ | - Požádat Ministerstvo zdravotnictví o zavedení do [[nap: | ||
+ | - Na adrese https:// | ||
+ | * Nově by se mělo nabídnout ruční zadání údajů s dalším postupem | ||
+ | * Pokud se neobjeví, postupovat dle obecných bodů výše – poslání datové zprávy obsahující potřebné údaje (URL, logo….) | ||
+ | - Upravit si svůj profil na https:// | ||
- | Při výkonu veřejné správy a to zejména při jakékoliv interakci a komunikaci s klientem veřejné správy je nutné, aby veřejná správa respektovala mandáty k zastupování jedné osoby druhou na základě různých titulů. Zjednodušeně se dá rozdělit forma mandátu zastupování dle následující tabulky. | ||
- | ^ Typ subjektu | ||
- | | **Fyzická osoba** | ||
- | |::: | Jednající jménem jiné fyzické osoby ze zákona: \\ - rodič dítěte,\\ - manžel/ | ||
- | |::: | Jednající jménem jiné fyzické osoby ze zmocnění: \\ - plná moc,\\ - advokát,\\ - zastupující FO,\\ - jiný druh zmocnění, | ||
- | | **Fyzická osoba jednající za právnickou osobu** |Jednatel právnické osoby | | ||
- | |::: |statutární zástupce právnické osoby (jedna FO) | | ||
- | |::: |Statutární orgán právnické osoby (více FO) | | ||
- | |::: |Insolvenční správce | | ||
- | |::: |Likvidátor | | ||
- | |::: |Jednající jménem zřizovatele právnické osoby | | ||
- | |::: |Pověřen k jednání za právnickou osobu: \\ - Veřejnoprávním titulem, \\ - Soukromoprávním titulem (smlouva, plná moc, společenská smlouva, apod.) | | ||
- | |||
- | Jak je zdůrazněno níže, při výkonu veřejné správy je nutné, aby příslušný orgán konající nějakou činnost v rámci dané agendy věděl, pro jakou formu zastupování je mandát umožněný nebo dokonce nutný. Zcela jiným způsobem se orgán veřejné moci bude chovat k mandátu plynoucímu z veřejnoprávního titulu rodičovství a jinak k mandátu plynoucímu ze soukromoprávního titulu plné moci. | ||
- | |||
- | Je také vhodné rozlišovat účel mandátu, tedy typ úkonů, které prostřednictvím zastupované osoby klient veřejné správy dělá. Ty je možno rozdělit do následujících skupin: | ||
- | |||
- | * Nahlížení na údaje subjektů údajů bez jakéhokoliv interaktivního využívání či zapisování údajů (informační účel). | ||
- | * Přístup k údajům subjektů a jejich reklamace, nebo pokud je přímo umožněna editace klientům veřejné správy (transakční účel). | ||
- | * Zmocnění k přístupu či využívání údajů subjektu údajů pro třetí strany, nebo poskytnutí údajů z ISVS třetím stranám (zmocňovací účel). | ||
- | * Činění podání a úkonů vůči orgánům veřejné správy (účel úkonu). | ||
- | * Využívání elektronických klientských služeb jako je objednání se k úředníkovi. | ||
- | * Zápis, úprava a zrušení mandátu. | ||
- | |||
- | === Jednoznačná identifikace a autentizace klienta veřejné správy === | ||
- | |||
- | Všechny subjekty povinné dle [[https:// | ||
- | |||
- | „Vyžaduje-li právní předpis nebo výkon působnosti prokázání totožnosti, | ||
- | |||
- | Kvalifikovaný systém spravuje kvalifikovaný správce (státní orgán nebo akreditovaná osoba) a splňuje technické normy i specifikace Evropské unie a především je propojen s národním bodem pro identifikaci a autentizaci – tzv. Národní identitní autorita (NIA). | ||
- | |||
- | Identifikace a autentizace prostřednictvím NIA zajistí jen a pouze službu ověřené identity fyzické osoby, neboli každý systém čerpající služby NIA, se může spolehnout na to, že přihlášená fyzická osoba je skutečna ta, za kterou se vzdáleně a elektronicky vydává. Již se dále nezajišťují další služby typu autorizace. | ||
- | |||
- | === Systém veřejné správy schopný komunikovat a získávat údaje z propojeného datového fondu === | ||
- | |||
- | Systém poskytující elektronické služby veřejné správy musí být schopen komunikovat a získávat údaje z [[nap: | ||
- | |||
- | * [[https:// | ||
- | * [[https:// | ||
- | * [[https:// | ||
- | * Nařízení eIDAS | ||
- | |||
- | Více o využívání údajů propojeného datového fondu a infrastruktuře referenčního rozhraní je napsáno v kapitolách: | ||
- | |||
- | * [[: | ||
- | * [[nap: | ||
- | * [[nap: | ||
- | |||
- | Centrální sdílené služby eGovernmentu dokáží zajistit následující mandáty pro fyzické osoby, které se prokázaly u poskytovatele služeb svou zaručenou elektronickou identitou: | ||
- | |||
- | * eGON služba [[http:// | ||
- | * pro zajištění ověření, zda je fyzická osoba statutárním zástupcem | ||
- | * eGON služba [[http:// | ||
- | * pro zajištění ověření, zda je fyzická osoba rodič nezletilého, | ||
- | * pro zajištění ověření, zda je fyzická osoba zákonným zástupcem jiné fyzické osoby | ||
- | * pro zajištění ověření, zda je fyzická osoba opatrovníkem jiné fyzické osoby | ||
- | * pro zajištění ověření, zda je fyzická osoba manžel/ | ||
- | * eGON služba [[http:// | ||
- | * pro zajištění ověření, zda je fyzická osoba vlastníkem nemovitosti | ||
- | * Služba ISDS | ||
- | * Pro zajištění, | ||
- | |||
- | Žádné další centrální služby ověření oprávnění/ | ||
- | |||
- | === Vlastní zajištění autorizace klienta veřejné správy === | ||
- | |||
- | Každá vykonávaná agenda (výkon veřejné správy) může pro svoji potřebu vyžadovat jiné mandáty. Například mandát podání daňového přiznání za jinou fyzickou osobu, mandát nahlížení na zdravotnickou dokumentaci jiné fyzické osoby, nakládání s majetkem právnické osoby, u které nejsem statutární zástupce, či například mandát k zastupování při dědickém řízení. | ||
- | |||
- | Všechny tyto mandáty se musí řešit v rámci dané agendy a jako ideální řešení navrhujeme: | ||
- | |||
- | * Zřídit buď v jednotlivých agendových informačních systémech, nebo v rámci centralizované správy subjektů mandátní registr. | ||
- | * V rámci mandátního registru určit předem definované typy mandátů přípustné v dané agendě a způsob zápisu mandátů pro nahlížení a pro transakce ze strany klienta | ||
- | * Povolit zapisovat všem klientům mandáty dle definovaných typů pod svou zaručenou elektronickou identitou. | ||
- | * Umožnit klientům přidat mandát i offline, například na přepážce úřadu. | ||
- | * Při každém přihlášení klienta kontrolovat kromě mandátů z centrálních sdílených služeb eGovernmentu i vlastní mandátní registr a dát vždy při přihlášení vybrat klientovi, v jaké roli a s jakým mandátem chce pracovat. | ||
- | |||
- | Je důležité zdůraznit, že veřejná správa nemá rozlišovat formu komunikace a jednání s klientem. Tedy mandát obecně platící pro osobní jednání s úředníkem, | ||
- | |||
- | Mandát plynoucí z veřejnoprávního nebo soukromoprávního titulu a to včetně plných mocí a dohod o zastupování při správním jednání s úřady patří mezi společné rozhodné skutečnosti, | ||
- | |||
- | * využívá a buduje centrální evidenci subjektů, | ||
- | * centrální evidenci rozhodných skutečností, | ||
- | * skutečnosti o zapsaném anebo z něčeho plynoucím mandátu k zastupování, | ||
- | * je zahrnul do rozhodných skutečností. | ||
- | |||
- | Klient se totiž může odvolat na příslušná ustanovení správního řádu a neposkytovat zejména plné moci a další dokumenty, z nichž mandát plyne, úřadu opakovaně. |