Překlady této stránky:

Metodický pokyn ke správě dat dle vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy

Preambule

Digitální a informační agentura ve spolupráci s ostatními orgány veřejné správy vydávají tento metodický pokyn dle § 4 odst. 1 písm. c) zákona č. 365/2000 Sb., o informačních systémech veřejné správy (dále jen jako „Zákon“) pro výkon odborných činností spojených s vytvářením, správou, provozem, užíváním a rozvojem informačních systémů veřejné správy.

Digitální a informační agentura je dle //Strategie pro správu dat ve veřejné správě České republiky (2024 - 2030)// (dále jen jako „Strategie“) zároveň koordinačním a metodickým centrem pro oblast správy, sdílení a využívání dat ve veřejné správě. V tomto metodickém pokynu proto poskytuje výklad povinností týkajících se správy dat v rámci dlouhodobého řízení informačních systémů veřejné správy. Tento výklad je v souladu s obsahem strategie a podpůrných metodických materiálů pro správu dat vydávaných na základě ní a zároveň i v souladu s ostatními již existujícími edpisy týkajícími se zacházení s daty ve veřejné správě. Správa dat a dlouhodobé řízení informačních systémů jsou komplementární a vzájemně se doplňují.

Informace vycházející primárně z obsahu strategie a metodiky pro správu dat jsou v tomto metodickém pokynu graficky odlišeny od ostatního obsahu použitím tohoto stylu a ohraničení.

Problematika

Správu dat chápeme jako soubor disciplín, které se věnují zacházení s daty tak, aby při jejich vytváření, zpracování, uchovávání, zpřístupňování a využívání byla chráněna jejich důvěryhodnost a hodnota. Veškeré nakládání s daty se dnes již dominantně odehrává v informačních systémech, které proto musí být co možná nejlépe připraveny jej podporovat. Problematika správy dat tedy zasahuje do celého životního cyklu každého informačního systému, a také proto jsou některá témata správy dat součástí vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy (dále jen jako „Vyhláška“).

Dle § 1 písm. d) vyhláška stanoví pravidla pro strukturování dat v informačních systémech. Mimo tato pravidla (uvedená v § 23 a podrobně vysvětlená níže) se správy dat tykají i další povinnosti, které vyhláška popisuje s ohledem na zmocnění ze Zákona. Tématům správy dat se vyhláška věnuje v:

  1. § 12 Náležitosti provozní dokumentace
    1. odst. 4 písm. g). Podrobný popis informačního systému obsahuje alespoň přehled evidovaných údajů a jejich strukturu.

      Povinnost poskytnout přehled údajů evidovaných v informačním systému bude plněna vytvořením a udržováním konceptuálního popisu dat1) v kombinaci s popisem datových rozhraní,2) jejichž prostřednictvím jsou data zpřístupňována. Tento přehled bude zároveň v podobě shrnutí na úrovni věcných oblastí dat součástí informační koncepce orgánu veřejné správy (konkrétně v její kapitole „Přehled údajů ve správě úřadu“ a příloze „Přehled věcných oblastí dat“).

      Větší detail v podobě podrobného popisu technických vlastností a struktury datových úložišť (typicky fyzického a logického datového modelu databází) má být uveden v provozní dokumentaci každého informačního systému veřejné správy. K tomu míří i doporučení (D21) Vznik nebo aktualizace dokumentace datových úložišť uvedené v podpůrném materiálu Dopady změn informačních systémů na data a jejich správu.

  2. § 17 Plánování a příprava vytvoření a rozvoje informačního systému

    Již v úvodních fázích plánování a přípravy změn informačních systémů je nutné zohlednit potřeby související s daty a vyplývající z celého jejich životního cyklu. V podpůrném materiálu Dopady změn informačních systémů na data a jejich správu je proto shrnuta sada praktických doporučení ohledně toho, jak při řešení změn týkajících se informačních systémů systematicky vytvářet nejlepší možné podmínky pro správu a využívání dat.

    1. odst. 1 písm. d). Věcný správce ve fázi plánování a přípravy vytvoření a rozvoje informačního systému identifikuje požadavky na zpracování datového výstupu určeného k dlouhodobému uchovávání.

      Základní informace a odkazy na další zdroje týkající se povinností souvisejících s archivací a dlouhodobým uchováním dat shrnuje Národní archiv v podpůrném materiálu „Jak na archivaci dat?“. Zohlednění těchto témat při řešení změn informačních systémů řeší také doporučení (D44) Zajištění archivace dat uvedené v podpůrném materiálu Dopady změn informačních systémů na data a jejich správu

    2. odst. 2 písm. e). Technický správce ve fázi plánování a přípravy vytvoření a rozvoje informačního systému vytváří plán uchovávání dat.
  3. § 18 Realizace vytvoření a rozvoj informačního systému
    1. odst. 1 písm. b). Věcný správce ve fázi realizace vytvoření a rozvoje informačního systému stanovuje rozsah a formát datového výstupu k dlouhodobému uchovávání.
    2. odst. 4 písm. c) bod 1. Technický správce ve fázi realizace vytvoření a rozvoje informačního systému při zahajování provozu informačního systému s využitím jeho zkušebního provozu provádí testy mechanismů k zajištění integrity dat a procesů jejich zpracování.
    3. odst. 4 písm. e). Technický správce ve fázi realizace vytvoření a rozvoje informačního systému při zahajování provozu informačního systému s využitím jeho zkušebního provozu vytváří a předává zkušební datový výstup k dlouhodobému uchovávání.
  4. § 19 Produkční provoz informačního systému
    1. odst. 2 písm. c). Technický správce ve fázi produkčního provozu informačního systému zajišťuje pravidelnou kontrolu integrity dat.
    2. odst. 2 písm. d). Technický správce ve fázi produkčního provozu informačního systému zajišťuje pravidelné zálohování a uchovávání dat bez přerušení provozu informačního systému.
    3. odst. 2 písm. e). Technický správce ve fázi produkčního provozu informačního systému zajišťuje pravidelné testy obnovy všech funkcí, kódů a dat informačního systému do nového prostředí.
    4. odst. 2 písm. l). Technický správce ve fázi produkčního provozu informačního systému zajišťuje vytváření a předávání datového výstupu k dlouhodobému uchovávání.
  5. § 21 Ukončení životního cyklu informačního systému
    1. odst. 1 písm. a). Technický správce ve fázi ukončení životního cyklu informačního systému zajišťuje transformaci údajů a export dat podle potřeb z informačního systému způsobem umožňujícím jejich dlouhodobé uchovávání nebo přenesení do informačního systému, který má původní informační systém nahradit.
    2. odst. 1 písm. b) Technický správce ve fázi ukončení životního cyklu informačního systému zajišťujeenos aktuálních dat, kódů a prostředí v útlumovém režimu, je-li plánován.
    3. odst. 2. Technický správce provádí export dat v rozsahu údajů, které informační systém zpracovával k okamžiku ukončení jeho produkčního provozu s ověřením integrity dat. Správce provádí export dat přednostně v oteeném formátu.
    4. odst. 3. Věcný správce stanovuje pro provoz prostředí v útlumovém režimu pravidla pro aktivaci, údržbu a aktualizaci kódů a komponent, přístup uživatelů informačního systému a využívání a poskytování údajů, bude-li technický správce takové prostředí vytvářet a udržovat.
  6. § 23 Strukturování dat v informačních systémech
    1. odst. 1. Orgán veřejné správy strukturuje data vedená v informačním systému na údaje základních registrů, jiných agend, vlastní a provozní.
    2. odst. 2. Orgán veřejné správy strukturuje data vedená v informačním systému podle způsobu jejich sdílení na údaje veřejně přístupné, poskytované na žádost a zpřístupňované pro výkon agendy.
    3. odst. 3. Orgán veřejné správy strukturuje data vedená v informačním systému podle jejich obsahu na údaje identifikační, evidenční a statistické.

      Strukturování resp. kategorizaci dat v informačních systémech veřejné správy řeší jakožto významné téma samostatný podpůrný materiál správy dat pm 2.3-1_Kategorizace_dat.

    4. odst. 4. Orgán veřejné správy odděluje údaje vedoucí k jednoznačné identifikaci fyzické osoby od evidenčních údajů: Jde o oddělení dat podle toho, zda se týkají přímo objektu či subjektu (tedy jej identifikují) nebo jsou to popisné údaje objektu a subjektu bez jeho identifikace. Příkladem může být jeden řádek o pacientovi, kdy údaje typu jméno, příjmení, datum narození a číslo pojištěnce jsou identifikační údaje, ale diagnózy typu “voda v koleni”, zlomenina, předepsané léky jsou evidenční údaje. Statistické údaje mohou vycházet z identifikačních i evidenčních i jejich kombinace. Například 50 pacientů z Prahy má vodu v koleni. Správce ISVS bude tímto oddělením moci jednoduše dodržovat princip pseudonymizace, které je typem doporučeného zabezpečení zpracování dat dle GDPR, tím, že odděleevidenční a identifikační údaje. - odst. 5. Orgán veřejné správy strukturuje data tak, aby bylo možno naplnit požadavky právních předpisů upravujících ochranu osobních údajů: Jde o deklaratorní ustanovení. Správce ISVS si musí být vědom toho, že vyhláška nemá vyšší právní sílu než zákony a tedy pokud by strukturování dat dle vyhlášky mělo vést k tomu, že bude ohrožena ochrana osobních údajů, nebude takto data strukturovat.
  7. § 24 Technické požadavky na zajištění sdílení údajů
    1. odst. 1. Údaje vedené v informačním systému jsou zpřístupněny v oteeném a strojově čitelném formátu, a to ve formě datových souborů nebo prostřednictvím programovacího aplikačního rozhraní.
    2. odst. 2. Údaje vedené v informačním systému jsou poskytovány podle oteené formální normy pro rozhraní katalogů oteených dat, kterou zveřejňuje Digitální a informační agentura způsobem umožňujícím dálkový přístup.

      Orgány veřejné správy musí mít svá datová rozhraní popsána (formou katalogizačních záznamů podle OFN pro rozhraní katalogů dat) a obsah tohoto popisu musí zároveň odpovídat tomu, jak jsou data reálně („de facto“) poskytována. Tzn. pokud je dohledatelný popis datového rozhraní a v něm např. informace o tom, že je poskytováno na žádost, v daném úřadu opravdu již existuje dříve vytvořené funkční datové rozhraní s daným obsahem, které může být případnému dalšímu žadateli (při splnění všech podmínek) zpřístupněno.

    3. odst. 3. Technické a programové prostředky, které slouží pro sdílení údajů mimo referenční rozhraní, umožňují sdílení údajů mezi informačními systémy jednoho správce prostřednictvím integračního rozhraní a sdílení údajů jako službu, jejíž technické a technologické specifikace jsou veřejně dostupné a využitelné bez dalších omezení a zvýšených nákladů.
  8. § 25 Technické požadavky související s provozem různých prostře
    1. odst. 1. Během provozu různých prostředí informačního systému zařazených do různých bezpečnostních úrovní jsou tato prostředí rozlišována a produkční údaje odděleny od údajů ostatních.
    2. odst. 2 písm. b) Propojované informační systémy provozované v různých prostředích a zařazené do různých bezpečnostních úrovní zamezují uživatelům informačního systému používat shodné autentizační údaje současně v prostředí s produkčními údaji a v prostředí s ostatními údaji
    3. odst. 2 písm. c) Propojované informační systémy provozované v různých prostředích a zařazené do různých bezpečnostních úrovní zamezují uživatelům zajišťujícím provoz, užívání a konfiguraci informačních systémů používat stejné pracovní stanice pro více prostředí s produkčními údaji
    4. odst. 2 písm. d) Propojované informační systémy provozované v různých prostředích a zařazené do různých bezpečnostních úrovní oddělují údaje při přístupu k údajům do prostředí s vyšší bezpečnostní úrovní z prostředí s nižší bezpečnostní úrovní jejich pseudonymizací nebo anonymizací
    5. odst. 2 písm. e) Propojované informační systémy provozované v různých prostředích a zařazené do různých bezpečnostních úrovní zajišťují důvěrnost údajů a stabilitu prostředí při přístupu k údajům do prostředí s vyšší bezpečnostní úrovní z prostředí s nižší bezpečnostní úrovní
    6. odst. 2 písm. f) Propojované informační systémy provozované v různých prostředích a zařazené do různých bezpečnostních úrovní zaznamenávají informace o bezpečnostních a provozních událostech.

Z výše uvedeného vyplývá, že orgány veřejné správy mají mít o svých datech přehled, přičemž tento přehled se má promítat do obsahu jejich informační koncepce. Větší detail ve formě struktury a technických vlastností má být uveden v charakteristice každého informačního systému veřejné správy popsané v provozní dokumentaci. Kategorizace dat má být provedena na úrovni popisů dat (tj. v rámci datových slovníků) a popisů datových rozhraní (tj. v jejich katalogizačních záznamech), které budou zpřístupněny prostřednictvím katalogů dat.

Samotným přehledem, detailním popisem struktury a kategorizací dat však jejich správa pouze začíná, protože konečným důsledkem musí být možnost data dohledat, využívat, poskytovat a sdílet.

Pokyn

Orgánům veřejné správy se v souladu se zněním Zákona, Vyhlášky i Strategie v relevantních částech upravující správu dat či údajů dává pokyn promítnout výstupy činností dle tohoto metodického pokynu do informační koncepce orgánu veřejné správy a provozních dokumentací dotčených informačních systémů veřejné správy.

1)
Jedná se o popis dat na úrovni „pojmů“, o kterých jsou vedena data, tj. objektů/subjektů veřejné správy, jejich vlastností a vztahů. Více viz //Metodika popisu dat//.
2)
Pojem „datové rozhraní“ používáme ve významu zavedeném v návrhu zákona o správě dat pro označení jakéhokoliv technického prostředku, který umožňuje přistupovat k datům v informačním systému, ať už jde o datové rozhraní veřejné či neveřejné. Datovým rozhraním může být například aplikační rozhraní umožňující čtení části dat z IS nebo datový soubor obsahující kopii dat z informačního systému.

Diskuze

Vložte svůj komentář: