| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verzePoslední revizeObě strany příští revize |
| nap:pravidla:pravidla_portaly_vs_spuu [2020/06/10 13:32] – [Agendový portál] Tomáš Šedivec | nap:pravidla:pravidla_portaly_vs_spuu [2021/04/29 12:10] – titulek Tomáš Šedivec |
|---|
| <title>Pravidla pro Portály veřejné správy a Soukromoprávních uživatelů údajů</title> | ======Pravidla pro Portály veřejné správy a Soukromoprávních uživatelů údajů====== |
| |
| Úřad musí při provozování portálu zavést a změnit současné procesy orientované především na osobní kontakt s klientem. Současné portály již musí disponovat funkcionalitou propojení se zaručenou identitou dle zákona 250/2017 Sb. a musí se umět přizpůsobit situaci, kdy klient veřejné správy bude komunikovat pouze elektronicky. Začíná se tedy samotným uživatelsky přívětivým prostředím, které musí být v souladu s [[https://designsystem.gov.cz/|grafickým manuálem MVČR]]. Dále je potřeba formulářový engine, který umožní nejen předvyplnit veškeré státu již známé údaje z [[nap:propojeny_datovy_fond|propojeného datového fondu]] a [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|elektronické identity poskytnuté národní identitní autoritou]]. V neposlední řadě je potřeba zajistit předávání všech podání učiněné v portálu do agendových informačních systémů, ve kterých se dle agendy podání řeší a zároveň do spisové služby úřadu. | Úřad musí při provozování portálu zavést a změnit současné procesy orientované především na osobní kontakt s klientem. Současné portály již musí disponovat funkcionalitou propojení se zaručenou identitou dle zákona 250/2017 Sb. a musí se umět přizpůsobit situaci, kdy klient veřejné správy bude komunikovat pouze elektronicky. Začíná se tedy samotným uživatelsky přívětivým prostředím, které musí být v souladu s [[https://designsystem.gov.cz/|grafickým manuálem MVČR]]. Dále je potřeba formulářový engine, který umožní nejen předvyplnit veškeré státu již známé údaje z [[nap:propojeny_datovy_fond|propojeného datového fondu]] a [[nap:nia|elektronické identity poskytnuté národní identitní autoritou]]. V neposlední řadě je potřeba zajistit předávání všech podání učiněné v portálu do agendových informačních systémů, ve kterých se dle agendy podání řeší a zároveň do spisové služby úřadu. |
| |
| Portál podporuje samoobslužného klienta, který obsahuje jak přenesenou, tak samosprávnou působnost a obsahuje popis životních situací, ve kterých se řeší [[nap-dokument:pravidla_pro_funkcni_celky_architektury_jednotlivych_uradu#mandaty_role_a_prava_v_elektronicke_komunikaci|mandáty v elektronické komunikaci]]. Pokud portál vykonává a podporuje [[nap:agendovy_model_verejne_spravy|agendu veřejné správy]] dle [[nap:rpp|registru práv a povinností]], musí se chovat jako jakýkoliv jiný agendový informační systém a pracovat dle definice agendy. | Portál podporuje samoobslužného klienta, který obsahuje jak přenesenou, tak samosprávnou působnost a obsahuje popis životních situací, ve kterých se řeší [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy#mandaty_role_a_prava_v_elektronicke_komunikaci|mandáty v elektronické komunikaci]]. Pokud portál vykonává a podporuje [[nap:agendovy_model_verejne_spravy|agendu veřejné správy]] dle [[nap:rpp|registru práv a povinností]], musí se chovat jako jakýkoliv jiný agendový informační systém a pracovat dle definice agendy. |
| |
| Při předávání podání z portálu je tak potřeba mít zajištěnou funkcionalitu, která z podání vytvoří "lidsky čitelné" a "strojově čitelné" informace v rámci jednoho dokumentu, typicky formátu PDF/A3 a vyšší. Tento „kontejnerový“ formát pak slouží jak pro plnění požadavku „čitelnosti“ tak i pro zajištění požadavku na automatizované zpracování dat (vložené XML s údaji pro automatizované zpracování). Dokument musí být dále pak opatřen náležitostmi dle zákona č. 297/2016 Sb., typicky elektronickým podpisem nebo elektronickou pečetí a časovým razítkem. Lidsky čitelný formát, typicky PDF, jde do spisové služby pro evidenci a strojově čitelný formát jde od agendového systému. Při provozu portálu nezáleží na technologiích, ani infrastruktuře. Není tedy preferované ani On Premise řešení, ani cloudové řešení, vše záleží na potřebách daného úřadu a možnostech, které technologie dokáží nabídnout. Je vždy potřeba myslet na rozložení zátěže, například daňové přiznání z příjmu fyzických osob se podává 1x ročně a není proto nutné klást na infrastrukturu celoroční nepřetržitý provoz. Každé řešení však musí podporovat přístup k centrálním službám eGovernmentu a dalším službám veřejné správy skrze zabezpečenou infrastrukturu [[nap:referencni_rozhrani|Referenčního rozhraní veřejné správy]]. | Při předávání podání z portálu je tak potřeba mít zajištěnou funkcionalitu, která z podání vytvoří "lidsky čitelné" a "strojově čitelné" informace v rámci jednoho dokumentu, typicky formátu PDF/A3 a vyšší. Tento „kontejnerový“ formát pak slouží jak pro plnění požadavku „čitelnosti“ tak i pro zajištění požadavku na automatizované zpracování dat (vložené XML s údaji pro automatizované zpracování). Dokument musí být dále pak opatřen náležitostmi dle zákona č. 297/2016 Sb., typicky elektronickým podpisem nebo elektronickou pečetí a časovým razítkem. Lidsky čitelný formát, typicky PDF, jde do spisové služby pro evidenci a strojově čitelný formát jde od agendového systému. Při provozu portálu nezáleží na technologiích, ani infrastruktuře. Není tedy preferované ani On Premise řešení, ani cloudové řešení, vše záleží na potřebách daného úřadu a možnostech, které technologie dokáží nabídnout. Je vždy potřeba myslet na rozložení zátěže, například: |
| | - daňové přiznání z příjmu fyzických osob se podává 1x ročně a ačkoliv se nejedná o jeden rozhodný moment (celková doba je 6 měsíců) a je možné podávat i dodatečná daňová přiznání, není nutné klást na infrastrukturu stejné nároky po dobu celého roku, nebo |
| | - žádosti o různé dotace (například tzv. "kotlíkové") se podávají do určitého data, dá se předpokládat jisté vytížení od okamžiku spuštění až do ukončení, kdy budou vysoké nároky na infrastrukturu (se vzrůstajícím trendem) a po uplynutí termínu, kdy budou minimální. |
| | |
| | Každé řešení však musí podporovat přístup k centrálním službám eGovernmentu a dalším službám veřejné správy skrze zabezpečenou infrastrukturu [[nap:referencni_rozhrani|Referenčního rozhraní veřejné správy]]. |
| | |
| | ===== PO a PVS - Portál občana a Portál veřejné správy ===== |
| | |
| | Pravidla pro Portál občana a Portál veřejné správy jsou popsána v samostatném [[nap:pravidla:pravidla_po_pvs|funkčním celku]]. |
| |
| ===== Agendový portál ===== | ===== Agendový portál ===== |
| Takový portál musí splnit několik podmínek: | Takový portál musí splnit několik podmínek: |
| |
| * Musí být registrovaný jako informační systém veřejné správy v [[https://rpp-ais.egon.gov.cz/AISP/verejne|systému o informačních systémech veřejné správy]] | * Musí být registrovaný jako informační systém veřejné správy v [[https://rpp-ais.egon.gov.cz/AISP/verejne|rejstříku informačních systémů veřejné správy]] |
| * Musí být federovaný do [[nap:portal_obcana|portálu občana]] | * Má správce orgán veřejné správy, který vykonává jednu nebo více agend dle [[https://rpp-ais.egon.gov.cz/gen/agendy-detail/|seznamu agend veřejné správy]] |
| | * Musí být federovaný do [[nap:portal_obcana|Portálu občana]] |
| | * Musí být federovaný do [[nap:nia|Národní identitní autority]] a [[nap:pravidla:pravidla_nia|ohlášen jako kvalifikovaný poskytovatel služeb]] |
| * Musí dle svého agendového zákona být schopný čerpat a poskytovat údaje skrze systém [[:nap:egsb|eGON Service Bus / Informační systém sdílené služby]] | * Musí dle svého agendového zákona být schopný čerpat a poskytovat údaje skrze systém [[:nap:egsb|eGON Service Bus / Informační systém sdílené služby]] |
| * Musí dle svého agendového zákona být schopný čerpat údaje z informačního systému základních registrů | * Musí dle svého agendového zákona být schopný čerpat údaje z informačního systému základních registrů |
| * Musí být [[https://www.eidentita.cz/Resources/SeP_p%C5%99%C3%ADru%C4%8Dka_1v2_20181009.pdf|ohlášen jako kvalifikovaný poskytovatel služeb]] | * Musí využívat stejnou strukturu [[nap:katalog_sluzeb|katalogu služeb a životních situací]], jaká je v [[nap:rpp|RPP]] |
| * Musí využívat stejnou strukturu katalogu služeb a životních situací, jaká je v [[nap:rpp|RPP]] | |
| |
| | Postup činností práce s klientem, jeho identifikací a výběrem služeb |
| | * Klienti se připojují přes [[nap:nia|NIA]] a jsou identifikováni pomocí BSI do doby, než si klient zvolí službu, která je poskytována [[https://rpp-ais.egon.gov.cz/gen/agendy-detail/|agendou]] |
| | * Po zvolení služby klientem, OVS zajistí překlad identity (BSI-AIFO agendy vybrané služby) pomocí [[nap:iszr|eGON služeb ISZR]] |
| | * OVS se doptá na oprávněné údaje pro potřeby služby |
| | * OVS dá klientovi vybrat, do jaké role chce obsadit dle agendy, ve které je služba poskytována [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|(tzv. mandát)]] |
| | * Po dokončení služby si OVS nepamatuje AIFO ani jiné údaje použité pro službu, pokud to nevyžaduje samotná agenda |
| | * OVS si pamatuje BSI pro klientský profil na portále |
| | |
| ===== Portál území ===== | ===== Portál území ===== |
| |
| * Musí být pro každý úřad jeden - je na něm dostupné vše, v čem má úřad působnost | * Musí být pro každý úřad jeden - je na něm dostupné vše, v čem má úřad působnost |
| * Musí být registrovaný jako informační systém veřejné správy v [[https://rpp-ais.egon.gov.cz/AISP/verejne|systému o informačních systémech veřejné správy]] | * Musí být registrovaný jako informační systém veřejné správy v [[https://rpp-ais.egon.gov.cz/AISP/verejne|systému o informačních systémech veřejné správy]] |
| * Musí být federovaný do portálu občana | * Musí být federovaný do [[nap:portal_obcana|Portálu občana]] |
| | * Musí být federovaný do [[nap:nia|Národní identitní autority]] a [[nap:pravidla:pravidla_nia|ohlášen jako kvalifikovaný poskytovatel služeb]] |
| * Musí dle svého agendového zákona být schopný čerpat a poskytovat údaje skrze systém [[:nap:egsb|eGON Service Bus / Informační systém sdílené služby]] | * Musí dle svého agendového zákona být schopný čerpat a poskytovat údaje skrze systém [[:nap:egsb|eGON Service Bus / Informační systém sdílené služby]] |
| * Musí dle svého agendového zákona být schopný čerpat údaje z informačního systému základních registrů | * Musí dle svého agendového zákona být schopný čerpat údaje z informačního systému základních registrů |
| * Musí být [[https://www.eidentita.cz/Resources/SeP_p%C5%99%C3%ADru%C4%8Dka_1v2_20181009.pdf|ohlášen jako kvalifikovaný poskytovatel služeb]] | * Musí využívat stejnou strukturu [[nap:katalog_sluzeb|katalogu služeb a životních situací]], jaká je v [[nap:rpp|RPP]] |
| * Musí využívat stejnou strukturu katalogu služeb a životních situací, jaká je v [[nap:rpp|RPP]] | |
| | Postup činností práce s klientem, jeho identifikací a výběrem služeb |
| | * Klienti se připojují přes [[nap:nia|NIA]] a jsou identifikováni pomocí BSI do doby, než si klient zvolí službu, která je poskytována [[https://rpp-ais.egon.gov.cz/gen/agendy-detail/|agendou]] |
| | * Po zvolení služby klientem, OVS zajistí překlad identity (BSI-AIFO agendy vybrané služby) pomocí [[nap:iszr|eGON služeb ISZR]] |
| | * OVS se doptá na oprávněné údaje pro potřeby služby |
| | * OVS rozlišuje mezi samostatnou a přenesenou působností |
| | * Samostatná působnost je soubor více agend, nelze celou samostatnou působnost konat jako jednu agendu |
| | * OVS dá klientovi vybrat, do jaké role chce obsadit dle agendy, ve které je služba poskytována [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|(tzv. mandát)]] |
| | * Po dokončení služby si OVS nepamatuje AIFO ani jiné údaje použité pro službu, pokud to nevyžaduje samotná agenda |
| | * OVS si pamatuje BSI pro klientský profil na portále |
| |
| ===== Portál soukromoprávního uživatele údajů ===== | ===== Portál soukromoprávního uživatele údajů ===== |
| * Název kvalifikovaného poskytovatele (SeP) | * Název kvalifikovaného poskytovatele (SeP) |
| * Popis kvalifikovaného poskytovatele | * Popis kvalifikovaného poskytovatele |
| * URL adresa odkazující na úvodní webové stránk | * URL adresa odkazující na úvodní webové stránky |
| * URL adresa pro odeslání požadavků | * URL adresa pro odeslání požadavků |
| * Adresa pro příjem vydaného tokenu (URL) | * Adresa pro příjem vydaného tokenu (URL) |
| - Musí umět přijímat a zpracovávat data pomocí standardů SAML2 nebo WS-Federation | - Musí umět přijímat a zpracovávat data pomocí standardů SAML2 nebo WS-Federation |
| |
| ===== Postup ohlášení portálu jako kvalifikovaného poskytovatele služby ===== | Postup činností práce s klientem, jeho identifikací a výběrem služeb |
| | * Portál SPUU nemusí být ISVS |
| Následující kroky popisují jednotlivé části procesu, který je naznačen níže, na základě ověření přes ISDS. Aktuálně je registrace organizace prostřednictvím portálu národního bodu přístupná pouze pro orgány veřejné moci (OVM), ostatní subjekty musí provést registraci přímo u Správy základních registrů (viz krok 8). Kompletní příručka je dostupná [[https://info.eidentita.cz/download/SeP_PriruckaKvalifikovanehoPoskytovatele.pdf|zde]]. | * Klienti se připojující přes [[nap:nia|NIA]] jsou identifikováni pomocí BSI do doby, než si klient zvolí veřejnoprávní službu |
| | * Pro potřeby doptání se dalších údajů, musí využít ISVS (možno i jiného OVS vykonávající danou agendu), kterému předá BSI uživatele. Předávání údajů mezi SPUU a OVS musí být legislativně podchyceno |
| - Uživatel jako zástupce organizace požaduje po portálu národního bodu, který je Service Providerem, službu umožňující registraci dané organizace. Tato registrace umožní fungování dané organizace v [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|NIA]] a vytváření jednotlivých Service Providerů. | * SPUU dá klientovi vybrat, do jaké role chce obsadit |
| - Portál národního bodu kontaktuje [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|Národní identitní autoritu]], která ověření zprostředkovává, s požadavkem na ověření dané osoby (uživatele). | * Po dokončení služby si SPUU nepamatuje údaje použité pro službu, pokud to nevyžaduje specifické zmocnění |
| - Pro ověření uživatele pro registraci organizace či konfigurací jednotlivých Service Providerů je jako Identity Provider určen Informační systém datových schránek (ISDS). Národní identitní autorita provede přesměrování na přihlášení prostřednictvím datových schránek. | * SPUU si pamatuje BSI pro klientský profil na portále |
| - Uživatel provede ověření vlastní osoby přihlášením k datovým schránkám. Aby mohl uživatel registrovat organizaci na portálu národního bodu, musí být přihlášen prostřednictvím ISDS (v definované roli a typem schránky OVM). V případě, že organizace není OVM, je potřeba provést registraci u Správy základních registrů. | * <wrap important>**Soukromoprávní služby se řídí vlastními specifickými pravidly!**</wrap> |
| - V případě, kdy je uživatel úspěšně ověřen, Informační systém datových schránek předá [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|Národní identitní autoritě]] jako výsledek ověření autentizační token obsahující IČO a název subjektu, roli přihlašovaného uživatele a další atributy. | |
| - [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|Národní identitní autorita]] provede sběr atributů v Informačním systému základních registrů (ISZR) na jehož základě následně provede kontrolu existence IČO. | |
| - [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|Národní identitní autorita]] předává portálu národního bodu potřebné atributy z Informačního systému základních registrů a atributy přijaté v autentizačním tokenu z Informačního systému datových schránek, které jsou nutné ke zpracování formuláře pro registraci. | |
| - Na základě úspěšného splnění předchozích kroků umožní portál národního bodu uživateli službu registrace organizace (SeP) a zobrazí mu vyplněný formulář pro registraci. Toto platí pouze pro organizace, které jsou OVM. Není-li organizace OVM, jsou místo registračního formuláře zobrazeny podrobné informace o tom, jakým způsobem provést registraci přímo u Správy základních registrů. | |
| - Uživatel potvrdí správnost údajů a provedení registrace organizace (SeP). | |
| - Portál národního bodu zpracuje přijatý požadavek na registraci a po úspěšném zaregistrování umožní uživateli provést konfiguraci jednotlivých Service Providerů spadající pod danou organizaci (seznam konfigurací kvalifikovaných poskytovatelů). | |
| - Uživatel provede konfiguraci Service Providera zahrnující následující údaje: | |
| * IČO subjektu | |
| * Název kvalifikovaného poskytovatele | |
| * Popis kvalifikovaného poskytovatele | |
| * URL adresa odkazující na úvodní webové stránky kvalifikovaného poskytovatele | |
| * URL adresa pro odeslání požadavků | |
| * Adresa pro příjem vydaného tokenu | |
| * URL adresa, na kterou bude uživatel přesměrován při odhlášení z Vašeho webu | |
| * Načtení certifikátu | |
| * Adresa pro načtení veřejné části šifrovacího certifikátu z metadat | |
| * Zpřístupnění autentizace prostřednictvím brány eIDAS | |
| * Logo kvalifikovaného poskytovatele | |
| | |
| ==== Příklad pro poskytovatele zdravotních služeb ==== | |
| | |
| Poskytovatel zdravotních služeb není orgán veřejné moci, a proto je třeba zajistit kromě výše uvedeného postupu i následující kroky: | |
| - Požádat Ministerstvo zdravotnictví o zavedení do [[nap:rpp|registru práv a povinností]] jako SPUÚ dle povinností vyplývající ze zákonů č. 250/2017 Sb. a č. 372/2011 Sb., ideálně pod agendou [[https://rpp-ais.egon.gov.cz/gen/agendy-detail/A1086_11102019.xlsx|A1086]] | |
| - Na adrese https://www.eidentita.cz/Home/Ovm se přihlásit jako oprávněný uživatel datovou schránkou poskytovatele zdravotních služeb | |
| * Nově by se mělo nabídnout ruční zadání údajů s dalším postupem | |
| * Pokud se neobjeví, postupovat dle obecných bodů výše – poslání datové zprávy obsahující potřebné údaje (URL, logo….) | |
| - Upravit si svůj profil na https://www.eidentita.cz/Home/Ovm pro přístup jiných osob (IT oddělení např.) a správu svého profilu, konfigurovat pro Portál pacienta poskytovatele zdravotních služeb. | |
| |