Překlady této stránky:

Pravidla, zásady a způsob pořizování, správy a užívání programových prostředků

Následující text vychází z Přílohy usnesení vlády ze dne 19. října 2022 č. 867
Doporučení k zajištění splnění Pravidel, zásad a způsobu pořizování, správy a užívání programových prostředků

ÚVOD

  • Pravidla, zásady a způsob pořizování, správy a užívání programových prostředků (dále jen „Pravidla“) stanovují transparentní, komplexní a jednotný systém pořizování, správy a užívání programových prostředků zaměřený na dosažení optimálního vztahu mezi jejich hospodárností, účelností a efektivností, a to tak, aby jejich pořizování, správa a užívání na všech ministerstvech, ostatních ústředních správních úřadech a ve státních organizacích nebo právnických osobách příslušných hospodařit s majetkem státu, k nimž ústřední správní úřad plní funkci zakladatele, zřizovatele nebo které spadají do jeho působnosti, a podřízených organizačních složkách státu (dále jen „povinný subjekt“) bylo v souladu s platnými právními předpisy, licenčními smlouvami a mezinárodně osvědčenými a všeobecně přijímanými zkušenostmi.
  • Postupovat dle Pravidel je doporučeno i územním samosprávným celkům a jejich organizacím 1), ty mohou vnitřním předpisem upravit jejich rozsah a vymezit, které části Pravidel budou povinné, a to tak, aby rozsah odpovídal velikosti a typu organizace a dále charakteru, finanční hodnotě a možným dopadům neoprávněného užívání programových prostředků.
  • Cílem Pravidel je zpřesnění postupů při pořizování, správě a užívání programových prostředků stanovených příslušnými právními předpisy.
  • Vhodným prostředkem k zakotvení povinností plynoucích z Pravidel v rámci konkrétního povinného subjektu je služební nebo vnitřní předpis.

Základní pojmy

Pro účely Pravidel se rozumí

  • licencí oprávnění k užití programového prostředku stanovené obvykle licenční smlouvou,
  • licenčním ujednáním závazky související s užitím programového prostředku, a to jak na straně nositele autorských práv, tak na straně nabyvatele licence,
  • licenčními podmínkami práva a povinnosti oprávněného uživatele programového prostředku stanovená nositelem autorských práv v souvislosti s jím poskytnutou licencí,
  • licenční smlouvou právní dokument, kterým na základě licenčních ujednání uděluje nositel autorských práv nabyvateli licenci k užití programového prostředku stanoveným způsobem, za stanovených podmínek a ve stanoveném rozsahu,
  • oprávněným uživatelem programového prostředku uživatel programového prostředku, který jej užívá v souladu s licenční smlouvou,
  • zaměstnancem povinného subjektu fyzická osoba, která je vůči povinnému subjektu ve služebním nebo pracovním poměru nebo vykonává činnost pro povinný subjekt na základě dohody o pracích konaných mimo pracovní poměr; zaměstnancem se rozumí též fyzická osoba, která pro povinný subjekt fakticky vykonává činnosti na základě příkazní nebo jiné smlouvy, včetně inominátních smluv.2)

Předmět Pravidel

  1. Předmětem Pravidel je určení základních postupů pro
    • posouzení potřeby pořízení programových prostředků a návrh nejvhodnější formy jejího uspokojení,
    • pořízení programových prostředků,
    • uzavření licenčních a souvisejících smluv umožňujících užívání programových prostředků,
    • instalaci pořízených programových prostředků,
    • užívání programových prostředků,
    • kontrolu a vyřazování programových prostředků,
    • pořizování a užívání programových prostředků podle zásad hospodárnosti, efektivnosti a účelnosti při nakládání s veřejnými prostředky po celou dobu jejich životního cyklu.
  2. Pravidla se vztahují na všechny inovace i nová nasazení informačních a komunikačních technologií povinného subjektu.
  3. Pokud prostředky infrastruktury informačních a komunikačních technologií pro povinný subjekt provozuje osoba odlišná od dodavatele, zajistí povinný subjekt dodržování Pravidel také touto osobou.
  4. Pravidla se vztahují i na testování zapůjčených programových prostředků.

Příprava pořízení a užití programových prostředků

Povinný subjekt před pořízením programového prostředku provede

  • posouzení využití jím dříve uzavřených licenčních smluv a licenčních ujednání podle zásad hospodárnosti, efektivnosti a účelnosti při nakládání s veřejnými prostředky, a to jak licenčních smluv a ujednání vztahujících se k programovým prostředkům obdobným nebo souvisejícím s programovým prostředkem, který má v záměru pořídit, tak také k technickým prostředkům, na nichž jsou nebo budou všechny tyto programové prostředky provozovány,
  • posouzení možností uspokojení potřeby nové nebo změněné programové služby dodáním programové funkcionality dle zásad hospodárnosti, efektivnosti a účelnosti při nakládání s veřejnými prostředky, ve které zohlední aktuální dostupnost funkcionalit odpovídajících programových prostředků na trhu, licenční podmínky jejich využití, provozní náklady včetně nákladů na správu licencí3) a zajištění nezbytných organizačních, materiálně technických a personálních podmínek, a to v návaznosti na obdobné či související programové prostředky již využívané a na technické prostředky, na nichž bude nově pořizovaný programový prostředek provozován,
  • posouzení rizik pořízení a užití nového programového prostředku z hlediska souladu s právními předpisy a zásadami hospodárnosti, efektivnosti a účelnosti při nakládání s veřejnými prostředky, a to po celou dobu předpokládaného životního cyklu programového prostředku, se zvláštním zřetelem na minimalizaci rizika vzniku či posílení závislosti na dodavateli programového prostředku,
  • posouzení rizik kybernetické bezpečnosti při akvizici, užívání a ukončování užívání programových a technických prostředků dle příslušných právních předpisů 4) , standardů a doporučení, a kvalifikovaný odhad nákladů na zvolená opatření,
  • posouzení souladu pořizovaného programového prostředku s právními předpisy, z nichž vychází relevantní standardy, jako např. Národní standard pro elektronické systémy spisové služby nebo standardy publikace a katalogizace otevřených dat veřejné správy ČR.

Pořízení užívacích práv k programovým prostředkům a jejich evidence

  1. Povinný subjekt pořizuje programové prostředky a služby, které tyto programové prostředky využívají, s plnou znalostí licenčních podmínek stanovených nositelem autorských práv, a to jak z hlediska oprávněnosti užití pořizovaných programových prostředků, tak také z hlediska zásad hospodárnosti, efektivnosti a účelnosti při nakládání s veřejnými prostředky.
  2. Za účelem zajištění oprávněnosti užití pořizovaných programových prostředků je povinný subjekt povinen
    • pořizovat licence programových prostředků jen od takových nositelů autorských práv, kteří jsou k poskytnutí příslušných licencí oprávněni, a za tímto účelem požadovat od těchto nositelů autorských práv ujištění v rámci smluv na dodávky programových prostředků,
    • v případě, že je programový prostředek již nainstalován na pořizovaném technickém zařízení, požadovat od dodavatele takovéhoto technického zařízení písemné ujištění o tom, že autorská práva k tomuto programovému prostředku nejsou a nebudou jeho instalací nebo užíváním porušena,
    • k programovému prostředku požadovat originální, přiměřeně lokalizovanou uživatelskou dokumentaci,
    • zajistit řádné převzetí, uložení a evidenci originální smluvní, licenční a jiné dokumentace, a to minimálně v rozsahu dokládajícím oprávněnost užívání programového prostředku,
    • zajistit řádnou registraci užívání programových prostředků v registračních centrech či obdobných evidencích výrobců programových prostředků nebo jiné úkony požadované nositelem autorských práv, pokud je to požadováno licenční smlouvou nebo licenčními podmínkami.
  3. Povinný subjekt ověřuje užívací práva a bezpečnost používání programových prostředků bez komerčních záruk (dále jen „ověření), za tímto účelem zavede povinný subjekt pro potřeby instalace programových prostředků, které jsou volně šiřitelným nebo zaměstnaneckým autorským dílem, proces prokazatelného ověření, že instalací a užíváním takovéhoto programového prostředku nedojde k porušení autorských práv nebo ke zvýšení rizika narušení kybernetické bezpečnosti.

Dokumentace prokazující oprávněnost užívání a interní evidence programových prostředků

  1. Povinný subjekt je povinen prokázat oprávněnost užívání programového prostředku, nejednáli se o programový prostředek volně šiřitelný.
  2. Oprávněnost užívání programových prostředků lze prokázat alespoň některým z těchto dokumentů
    • smlouvou na dodávku či poskytnutí práva užívání programového prostředku či jiným nabývacím dokladem,
    • fakturou nebo obdobným účetním dokladem,
    • licenční smlouvou upravující užívání programového prostředku nebo jeho standardními licenčními podmínkami,
    • dokladem, který dokládá řádnou registraci užívání programového prostředku v jeho registračním centru nebo v obdobné evidenci nositele autorských práv k programovému prostředku,
    • elektronickou kopií souvisejících zpráv odeslaných a přijatých při pořizování programového prostředku dálkovým přístupem.
  3. Povinný subjekt vede evidenci o instalaci programového prostředku, za tímto účelem zajistí povinný subjekt centrální vedení evidence o instalacích programových prostředků, na základě níž bude průkazné, že instalace programových prostředků byla provedena v souladu s licenčními smlouvami.
  4. Povinný subjekt vede evidenci o vyřazení licence programového prostředku z užívání a z majetku.
  5. Při vyřazení licence programového prostředku z užívání je nutno postupovat v souladu s licenčními ujednáními. Oprávněnost užívání programového prostředku musí být prokazatelná i po vyřazení licence k tomuto programovému prostředku z užívání, a to prostřednictvím dokladů, se kterými je nutno nakládat v souladu se zvláštním právním předpisem5).
  6. Při převodu práv k užívání programových prostředků je třeba předat i kopie dokumentů uvedených v odstavci 2.

Zajištění oprávněnosti užívání programových prostředků

K zajištění oprávněnosti užívání programových prostředků povinný subjekt

  • provádí instalaci či zpřístupnění programového prostředku pouze na takový počet technických zařízení takového typu, který odpovídá licenční smlouvě a počtu pořízených licencí,
  • užívá programový prostředek tak, aby počet a typ technických zařízení, na nichž může být programový prostředek souběžně užíván či počet zpřístupnění, nepřekročil počet a typ zařízení stanovených licenčním ujednáním, případně aby byla dodržena jiná obdobná omezení stanovená v licenční smlouvě,
  • zajistí nevratné odstranění programového prostředku ze všech technických zařízení, na nichž je nainstalován nebo využíván, po vyřazení programového prostředku z majetku nebo po ukončení práva jeho užívání podle licenční smlouvy a dále též případnou fyzickou likvidaci médií s programovým prostředkem; nejsou-li tyto postupy možné proto, že je dotyčný programový prostředek svázán s daty, která je nutno uchovat, zajistí povinný subjekt prokazatelné zamezení jeho neoprávněného užití,
  • vede interní evidenci o skutečnostech uvedených v písmenech a) až c) a zajistí automatické sledování instalace, přítomnosti a odstranění programového prostředku, pokud to umožňují technické, provozní a administrativní podmínky.

Ukončení užívání programových prostředků

V případě rozhodnutí povinného subjektu o ukončení užívání programového prostředku nebo v případě, že je kontrolou dodržování licenčních podmínek zjištěno užívání programového prostředku v rozporu se zásadami hospodárnosti, efektivnosti a účelnosti při nakládání s veřejnými prostředky, postupuje povinný subjekt v souladu podle zvláštních právních předpisů6), a to včetně využití možnosti postoupení práv k užívání nepotřebných nebo nevyužívaných licencí programových prostředků jiným subjektům, pokud to licenční podmínky umožňují.

Termíny kontrol a opatření k nápravě

  1. Povinný subjekt zajistí alespoň jednou ročně pravidelnou kontrolu souladu užívání programových prostředků s příslušnými právními předpisy, licenčními smlouvami a licenčními podmínkami.
  2. Pro provádění kontrol je doporučeno používat takové prostředky, které mají výsledek automatizované kontroly zabezpečen proti neoprávněným změnám. V případě zjištění jakéhokoliv nesouladu užívání programových prostředků s právními předpisy, licenčními smlouvami nebo licenčními podmínkami přijme povinný subjekt opatření k nápravě.
  3. O kontrolách a jejich výsledcích vede povinný subjekt záznamy, které uchovává po dobu nejméně tří let.

Uložení povinnosti zaměstnancům povinného subjektu

  1. Povinný subjekt proškolí své zaměstnance užívající jeho programové prostředky, obsahem školení je zejména způsob užívání, rozsah oprávnění k užívání a povinnosti při užívání programových prostředků včetně pravidel bezpečného užívání konkrétního programového prostředku.
  2. Obsah a forma školení musí odpovídat jak prostředí povinného subjektu, tak také znalostem a druhu činnosti zaměstnance.
  3. Školení proběhne neprodleně po započetí činnosti vykonávané zaměstnancem povinného subjektu a dále vždy po takových změnách, které mají ve srovnání s předchozím školením vliv na způsob nebo rozsah oprávnění k užívání programových prostředků.
1)
Ustanovení § 23 odst. 1 zákona č. 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění pozdějších předpisů.
2)
Např. podnikající fyzické osoby (kontraktanti), zaměstnanci dodavatelů apod.
3)
To znamená zvážit náročnost (pracnost) správy licencí včetně zejména aktivního sledování změn licenčních politik těch programových prostředků, u kterých není informační povinnost smluvně uložena dodavateli licencí, nebo poskytovateli přístupových práv k licencím (v případě pořízení SW jako služby).
4)
Zejména zákon č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti a metodická doporučení NÚKIB.
5)
Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů.
6)
Například zákon č. 219/2000 Sb., o majetku České republiky a jejím vystupování v právních vztazích, ve znění pozdějších předpisů a další relevantní právní předpisy.

Diskuze

Vložte svůj komentář: