Dopady změn legislativy na elektronické systémy spisových služeb a systémy pro správu dokumentů
I. díl ‒ Atestace elektronických systémů spisové služby
Dne 9. 7. 2021 byl ve Sbírce zákonů v částce číslo 113/2021 uveřejněn nový zákon č. 261/2021 Sb., zákon, kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci (dále jen „DEPO“). Tento zákon upravuje vybraná ustanovení zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „AZ“).
Novelizace AZ dopadá poměrně zásadním způsobem na elektronické systémy spisových služeb (dále jen „eSSL“) a samostatné evidence dokumentů neboli informačních systémů spravujících dokumenty (dále jen „ISSD“). Nejpodstatnějším dopadem je zavedení tzv. atestace systémů pro vedení spisové služby v elektronické podobě, kdy se jedná o největší změnu v oblasti spisových služeb od poloviny roku 2012. Novelizace obsahuje též řadu dalších změn, ale v tomto I. dílu se zaměříme výhradně na problematiku atestace.
Atestace je nově definována v novelizovaném zákoně č. 499/2004 Sb. v § 2 písmenu u) takto: „Atestací elektronického systému spisové služby (se rozumí) posouzení souladu elektronického systému spisové služby s požadavky tohoto zákona, vyhlášky podle § 70 odst. 1 a národního standardu pro elektronické systémy spisové služby (dále jen „národní standard“).“
Tato povinnost dopadá na celý elektronický systém spisové služby v rámci celého životního cyklu dokumentů spisové služby, a to od vzniku/příjmu dokumentů až po jejich uložení a vyřazení. Pojetí atestace eSSL dle novely AZ je nikoliv formální typ atestace, ale jedná se o skutečně funkční testy eSSL dle atestačních scénářů, které skutečně ověří, zda eSSL odpovídá požadavkům příslušných právních předpisů, zejména pak po stránce správcovských rolí, rozhraní, vytváření záloh, výmaz dokumentů, transakční protokol, tvorba XML schémat, tvorby a udržování metadat, bezpečnosti systému a řady dalších povinností a v neposlední řadě také, zdali má eSSL řádně vedenou dokumentaci včetně všech požadovaných příruček.
Novela svěřila organizační zajištění atestace a zveřejňování výsledků atestačního řízení Ministerstvu vnitra (dále jen „ministerstvo“). Ustanovení § 44 AZ (Působnost ministerstva) je proto doplněno o tři nové odstavce, podle nichž ministerstvo předně stanoví a následně také zveřejní ve Věstníku ministerstva postup atestačního střediska při provádění atestací, dále podmínky provádění atestace a výši úplaty za provedení atestace [ustanovení § 44 písm. v)], vede seznam atestačních středisek a seznam platných atestů elektronického systému spisové služby [ustanovení § 44 písm. w)] a kontroluje atestační střediska [ustanovení § 44 písm. x)].
Podrobnosti provádění atestace eSSL obsahují pak nová ustanovení § 69b až § 69e AZ. Jsou v nich uvedeny všechny podrobnosti, důležité pro zajištění a organizaci provádění atestačního řízení. Ustanovení § 69b stanovuje, že atestaci provádí vždy a jedině atestační středisko. Jím může být jen a) osoba nebo jiné právní uspořádání podle odstavce 3 § 69b, nebo b) ministerstvo, neurčí-li jinou osobu nebo jiné právní uspořádání podle odstavce 3 § 69b. Ministerstvo může určit atestačním střediskem osobu nebo jiné právní uspořádání jen za stanovených podmínek. Je to především podmínka, že jejich zřizovatelem nebo zakladatelem je stát. Další podmínkou je, že atestačním střediskem může být určena jedině osoba nebo jiné právní uspořádání, u nichž lze předpokládat, že mají odbornou a technickou způsobilost k provádění atestace, a které se samy nezúčastní hospodářské soutěže v oblasti eSSL a nemají žádný zájem na výsledku atestace. AZ současně stanovuje podmínku, že nevykonává-li ministerstvo vůči osobě nebo jinému právnímu uspořádání úkoly zřizovatele nebo zakladatele, může je určit atestačním střediskem pouze v dohodě s ústředním správním úřadem, který vůči nim vykonává úkoly zřizovatele nebo zakladatele. Určení atestačním střediskem je přitom nepřevoditelné, tedy nelze je převést na jinou osobu nebo jiné právní uspořádání. Tak může učinit výhradně ministerstvo.
Ustanovení § 69c stanoví zásady provádění atestace eSSL. Atestační středisko provede atestaci na základě objednávky a postupem, za podmínek a za úplatu stanovených ministerstvem. Objednatel atestace tedy musí podat atestačnímu středisku nejprve objednávku atestace.
K provedení atestu musí být dodán objednavatelem atestace eSSL předem konfigurovaný systém, obsahující vždy testovací data, veškerá rozhraní, testovací uživatele, příslušnou dokumentaci podle zákona č. 365/2000 Sb. (provozní dokumentace, bezpečnostní dokumentace informačního systému veřejné správy, systémová příručka a uživatelská příručka), a objednatel musí poskytovat atestačnímu středisku nezbytnou součinnost.
Lze předpokládat, že atestaci bude objednávat typicky výrobce eSSL či dodavatel. Veřejnoprávní původce totiž není schopen objednat atestaci eSSL a splnit přísné požadavky předpokládané v rámci atestačních postupů. Jedinou výjimkou jsou veřejnoprávní původci, užívající eSSL vyvinutý a nasazený jimi samotnými, v tomto případě je pak objednatelem samotný veřejnoprávní původce jako tvůrce eSSL.
Atestační středisko provede atestaci eSSL ve lhůtě do 3 měsíců ode dne objednání atestu. Zjistí-li důvody, pro něž ji není možné provést v této lhůtě, musí o tom vyrozumět objednavatele atestace ještě před uplynutím lhůty a sdělit mu, do kdy atestaci eSSL provede.
Pokud eSSL splňuje požadavky AZ, vyhlášky v rozsahu zmocnění daného ustanovením § 70 odst. 1 AZ a NS, vydá atestační středisko objednavateli atestace písemný atest. Současně ho zveřejní na svých internetových stránkách a zašle jej ministerstvu, které oznámí jeho vydání ve Věstníku ministerstva. Pokud eSSL požadavky nesplňuje, atestační středisko o tom vyrozumí objednavatele a ministerstvo a sdělí jim důvody nesplnění požadavků.
Ustanovení § 69d stanoví, že atest platí 2 roky ode dne jeho vydání. Dále pak stanoví, že změní-li se v průběhu platnosti atestu požadavky AZ, vyhlášky v rozsahu zmocnění daného ustanovením § 70 odst. 1 AZ nebo NS, atest nadále platí, nejvýše však po dobu 1 roku ode dne nabytí účinnosti změny požadavků. Atestační středisko po uplynutí této doby atest zneplatní, informaci o tom zveřejní na svých internetových stránkách a zašle ji ministerstvu, které ji zveřejní ve Věstníku ministerstva, a objednavateli atestu.
Ustanovení § 69d dává ministerstvu právo, aby – má-li důvodné pochybnosti, zda eSSL skutečně splňuje v době platnosti atestu všechny požadavky a nejde-li o situaci podle odstavce 2 – mohlo uložit atestačnímu středisku provést na jeho náklady revizi atestu, a to v rámci stanovených podmínek. Tato situace bude typicky nastávat v případě nálezů nesrovnalostí v rámci kontrolní činnosti samotného ministerstva, případně příslušného archivu.
Pokud eSSL splňuje nadále všechny požadavky, atestační středisko o této skutečnosti vyrozumí ministerstvo. Pokud je však již nesplňuje, atestační středisko musí o této skutečnosti vyrozumět ministerstvo a objednavatele a sdělit jim důvody nesplnění požadavků. Atestační středisko současně zneplatní atest, zveřejní o tom informaci na svých internetových stránkách a zašle ji ministerstvu, které ji zveřejní ve Věstníku ministerstva, a objednavateli atestace.
AZ dále povoluje veřejnoprávnímu původci vykonávat spisovou službu v eSSL, u kterého bylo revizí atestu zjištěno, že nesplňuje požadavky, nejvýše 1 rok ode dne zveřejnění informace o zneplatnění atestu ve Věstníku ministerstva. Lhůta se stanovuje proto, aby veřejnoprávní původce měl časovou rezervu k nápravě situace (úprava eSSL nebo jeho náhrada atestovaným eSSL).
Zákaz nabídky nebo dodávky neatestovaných systémů
Novela AZ přináší v § 69e naprosto „tvrdý“ zákaz nabídky nebo dodávky neatestovaných systémů: „Zakazuje se nabízet nebo dodávat veřejnoprávním původcům elektronický systém spisové služby, který nesplňuje požadavky tohoto zákona, vyhlášky podle § 70 odst. 1 a národního standardu a u kterého není splnění těchto požadavků potvrzeno atestem.“
Navíc se též zcela zásadním způsobem mění část AZ, Hlava V Přestupky. Do stávajícího ustanovení § 74 se za odst. 10 vkládá nový odst. 11, podle něhož se právnická osoba nebo podnikající fyzická osoba dopustí přestupku tím, že v rozporu s ustanovením § 69e nabízí nebo dodává veřejnoprávnímu původci takový eSSL, který nesplňuje požadavky AZ, vyhlášky a NS a u kterého není splnění těchto požadavků potvrzeno atestem. Za porušení této povinnosti se ukládá pokuta; ustanovení § 74 odst. 12 AZ se proto doplňuje o nové písmeno a), podle něhož je za výše uvedený přestupek možné udělit pokutu až 1 000 000 Kč [pro úplnost se dodává, že dosavadní písmena a) až e) se nově označují jako písmena b) až f)].
Pokutu lze udělovat i opakovaně – lze tedy předpokládat, že na trhu se budou nabízet a dodávat skutečně výhradně atestované eSSL.
Atestace celku, nebo jednotlivých modulů?
V souvislosti s atestací je vhodné zmínit, že pokud eSSL sestává z technologických modulů nebo samostatných funkčních celků, k atestaci se předkládá vždy jako funkční celek. Atest se vydá na takto dodaný funkční celek a platí výhradně pro atestovaný celek. Dílčí atestace eSSL po jednotlivých částech není přípustná. Atest se vydává na konkrétní verzi dodaného eSSL. Softwarové záplaty (tzv. „patch“) jsou možné pouze tehdy, když žádným způsobem neovlivní funkčnost atestované verze eSSL. Ustanovení sice uvádí, že eSSL, který nesplňuje stanovené požadavky, nesmí být nabízen a dodáván dodavateli, ovšem tento požadavek platí samozřejmě rovněž pro veřejnoprávní původce, kteří používají eSSL zhotovený jimi samotnými. To ostatně plyne přímo z ustanovení § 63 odst. 3 věty druhé AZ, povolující používání výhradně atestovaných eSSL.
S jednoznačně formulovaným požadavkem ustanovení § 69e AZ přímo souvisí doplnění ustanovení § 63 odst. 3 věty druhé AZ, podle níž veřejnoprávní původci mohou využívat pouze ty eSSL, které splňují požadavky AZ, vyhlášky a NS a u nichž je splnění těchto požadavků potvrzeno atestem. Toto ustanovení se pak nepoužije jen tehdy, pokud došlo ke změně požadavků AZ, vyhlášky nebo NS a ode dne nabytí účinnosti změny neuplynul 1 rok, a to pouze a výlučně ve vztahu k požadavku, který byl změněn.
Odkdy platí výše uvedené?
Zákon č. 261/2021 Sb. stanoví lhůty, odkdy nabývají jednotlivá ustanovení účinnosti. Ustanovení o povinné atestaci eSSL nabývá účinnosti dnem 1. února 2022. Veřejnoprávní původci podle § 3 odst. 1 písm. a) až e) AZ ve znění účinném ode dne 1. února 2022 jsou povinni uvést výkon spisové služby do souladu se všemi požadavky zákona č. 499/2004 Sb., ve znění účinném ode dne 1. února 2022, nejpozději do 31. prosince 2023. Veřejnoprávní původci podle ustanovení § 3 odst. 1 písm. f) až m) AZ pak mají tuto lhůtu stanovenou do 31. prosince 2024.
Postavení eSSL a ISSD & atestace
Podívejme se na dopady výše uvedených změn na ISSD. Situace zdaleka není tak jednoduchá, jak by to mohlo na první pohled vypadat. Bez ohledu na „název“ systému je nutné vždy nejprve posoudit, zdali informační systém, u kterého se bude určovat, podléhá-li atestaci či nikoliv, plní funkci základní evidenční pomůcky u veřejnoprávního původce. Pokud ano, pak podléhá atestaci a je to jedno, jedná-li se o ISSD nebo eSSL.
Z výše uvedeného ale naopak vyplývá, že pokud ISSD existuje u veřejnoprávního původce „vedle“ samostatného eSSL, který plní funkci základní evidenční pomůcky, pak ISSD atestaci nepodléhá. Systémy ISSD nicméně musí stejně tak jako systémy eSSL plnit požadavky AZ, prováděcí vyhlášky č. 259/2012 Sb. a Národního standardu (dále jen „NSeSSL“), není však nutné, aby tyto požadavky byly ověřeny atestem.
Rozhraní mezi eSSL a ISSD & atestace
S ohledem na skutečnost, že všechny eSSL budou muset mít atest, tak v eSSL budou k dispozici pouze atestovaná rozhraní, která byla předmětem testování v rámci atestačních postupů. Proto eSSL půjde integrovat a propojit pouze s takovými systémy, které plně splňují požadavky AZ, vyhlášky a NSeSSL, a to včetně požadavků na metadata, transakční protokol rozhraní a další související požadavky. Jinými slovy – pokud na straně eSSL budou k dispozici výhradně atestovaná rozhraní, tak „připojovaný protikus“ musí splňovat tytéž požadavky, jinak by připojení nebylo možné. Navíc samostatných evidencí dokumentů u veřejnoprávních původců existuje opravdu obrovské množství (jedná se prakticky o každý systém evidující dokumenty a s ohledem na definici pojmu elektronický dokument v nařízení eIDAS se tak jedná o zejména o různé agendové informační systémy veřejnoprávních původců, systémy ERP, HR a mnohé další). Takto rozsáhlou skupinu informačních systémů by prakticky nebylo ani možné atestovat za podobně přísných podmínek, jako tomu bude u specializovaných systémů eSSL. Navíc eSSL se u veřejnoprávních původců používají i jako systémy, které na základě integrace s ISSD plní většinu životního cyklu pro evidované dokumenty související zejména s úschovou a vyřazováním dokumentů.
Shrnutí
Zavedení atestací eSSL je naprosto zásadní okamžik, který zásadním způsobem změní celou oblast eSSL, a to nejen na straně výrobců a dodavatelů, ale zejména pak na straně veřejnoprávních původců, a to s ohledem na skutečnost, že ačkoliv právní předpisy v této oblasti platí již od poloviny roku 2012, tak řada veřejnoprávních původců nemá ve svých organizacích splněny požadavky nejen na eSSL ale zejména pak pro různé evidence dokumentů a agentových systémů. Řada veřejnoprávních původců by tak nebyla schopna zajistit „správně fungující základní stavební kameny“ pro očekávaný prudký rozvoj a nástup elektronizace a digitalizace úřadování, a to zejména pak s ohledem na zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů. Atestace bude tedy takovým „prubířským kamenem“ pro oblast evidence dokumentů u veřejnoprávních původců.
 |
Robert Piffl Autor článku je odborník na životní cyklus elektronických forem dokumentů s více než 20 lety praktických zkušeností v oboru správy dokumentů. |
