Překlady této stránky:

Metodický pokyn ke zveřejňování informací v sadách dokumentací provozní dokumentace informačního systému veřejné správy způsobem umožňujícím dálkový přístup spojených s kybernetickou bezpečností

Preambule

Digitální a informační agentura ve spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost a ostatními orgány veřejné správy vydávají tento metodický pokyn dle § 4 odst. 1 písm. c) zákona č. 365/2000 Sb., o informačních systémech veřejné správy pro výkon odborných činností spojených s vytvářením, správou, provozem, užíváním a rozvojem informačních systémů veřejné správy.

Problematika

Dle § 11 odst. 3 vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy (dále jen jako „Vyhláška“) má každý orgán veřejné správy zveřejnit sady dokumentací provozní dokumentace informačního systému veřejné správy způsobem umožňujícím dálkový přístup. Tato povinnost neplatí, jestliže zveřejnění vylučuje jiný právní předpis nebo úkon anebo právní jednání vyžadované nebo umožněné takovým právním předpisem. Provozní dokumentace informačního systému veřejné správy tvoří podle Vyhlášky sady dokumentací

  1. plánování vytvoření a rozvoje informačního systému,
  2. zadání a smluv pro vytvoření a rozvoj informačního systému,
  3. stavu informačního systému při uvedení do produkčního provozu po jeho vytvoření nebo rozvoji,
  4. plánu a zajišťování provozu,
  5. změn informačního systému a
  6. hodnocení informačního systému, včetně hodnocení ekonomické výhodnosti.

Důvodová zpráva k danému odstavci Vyhlášky uvádí:

„Transparentní zveřejňování provozní dokumentace o existujícím informačním systému směřuje k tzv. otevřeným řešením a otevřeným licencím, kdy z výsledku činnosti orgánu veřejné správy, případně z výsledku veřejné zakázky, může takové řešení užívat kdokoli z veřejné správy ČR. Správní orgán je povinen posoudit, zda zveřejnění některé části provozní dokumentace nevyloučit např. z důvodu ohrožení kybernetické bezpečnosti či ochrany utajovaných informací. Další důvod k vyloučení může zakládat skutečnost, že se jedná o informace, jejichž zveřejnění vylučuje zákon o svobodném přístupu k informacím. Úkonem a právním jednáním se rozumí situace, kdy některý právní předpis výslovně nevylučuje zveřejnění určité informace, nicméně předpokládá či umožňuje, aby určitá informace nebyla zveřejněna.“

Uvedené je plně v souladu s premisou, že veškerá data, údaje či informace, které nejsou výslovně v právních předpisech uvedeny jako neveřejné, se pokládají za veřejné a není důvod je chránit. Předpokládá se, že veřejná správa spravuje veškerá svá aktiva transparentně jako věci veřejné a není důvod od toho odlišovat ani data, údaje či informace. Pro údaje vedené v agendách veřejné správy je tento princip zakotven v § 51 odst. 6 písm. k) zákona č. 111/2009 Sb., o základních registrech.

Protože však u orgánů veřejné správy vznikla pochybnost, zda se zveřejňování informací v provozní dokumentaci týká i informací, které by mohly ohrozit kybernetickou bezpečnost informačních systémů veřejné správy, vzniká tento metodický pokyn. Pochybnost vyplývá z toho, že předmětné ustanovení Vyhlášky umožňuje nezveřejnit sady dokumentací pouze v situaci, kdy to jiný právní předpis vylučuje nebo jinak upravuje. Hlavním předpisem spravujícím kybernetickou bezpečnost je zákon č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen jako „zákon o kybernetické bezpečnosti“) a vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti. Ustanovení § 10a zákona o kybernetické bezpečnosti vylučuje zveřejňování informací podle předpisů upravujících svobodný přístup k informacím:

„Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidenci incidentů, ze kterých by bylo možné identifikovat orgán nebo osobu, která kybernetický bezpečnostní incident ohlásila, se podle předpisů upravujících svobodný přístup k informacím neposkytují.“

Samotný zákon o kybernetické bezpečnosti tedy vylučuje zveřejňování informací pouze pro předpisy, které upravují svobodný přístup k informacím, čímž je myšlen zejména zákon č. 106/1999 Sb., o svobodném přístupu k informacím (dále jen „zákon o svobodném přístupu k informacím“). Ustanovení § 10a zákona o kybernetické bezpečnosti není samostatným ustanovením upravujícím všechny aspekty svobodného přístupu k informacím, naopak navazuje na předpisy, které tuto problematiku upravují komplexně (a tedy upravují např. i postup poskytování informace nebo přezkum rozhodnutí o jejím neposkytnutí). Pokud tedy Vyhláška v § 11 odst. 3 odkazuje na zákon o kybernetické bezpečnosti, odkazuje na něj (a jeho § 10a) v jednotě se zákonem o svobodném přístupu k informacím.

Zákon o svobodném přístupu k informacím upravuje poskytování dožádaných informací a jejich zveřejnění. Ačkoli Vyhláška formuluje výjimku z povinnosti zveřejnit sady dokumentací odkazem na předpis nebo navazující úkon nebo jednání vylučující „zveřejnění“ informace, přičemž zákon o svobodném přístupu k informacím upravuje poskytování a následné uveřejňování informace na žádost, je potřeba výjimku vykládat tak, že se vztahuje na informace, které by – pokud by o ně bylo požádáno – nebyly podle pravidel zákona o svobodném přístupu k informacím a zákona o kybernetické bezpečnosti poskytnuty (a tím spíše ani zveřejněny). Jakýkoli jiný výklad by popřel smysl a účel existence § 11 odst. 3 Vyhlášky a odkazu na zákony v poznámce pod čarou.

Nový zákon o kybernetické bezpečnosti pracuje s podobným zněním a pokud bude ve stejné podobě i vyhlášen ve sbírce zákonů, použije se tento pokyn obdobně.

Pokyn

Orgánům veřejné správy se v souladu se zněním § 11 odst. 3 vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy, její důvodové zprávy a § 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti, dává pokyn nezveřejňovat data, údaje či informace v sadách dokumentací provozní dokumentace informačního systému veřejné správy způsobem umožňujícím dálkový přístup, které by ohrozily kybernetickou bezpečnost informačních systémů veřejné správy.

Diskuze

Vložte svůj komentář: