Zákonná regulace poskytování cloudových služeb orgánům veřejné správy
Cloudové služby nejsou žádnou novinkou, naopak dlouhodobě představují atraktivní alternativu k on-premise řešením. Zákazníkům šetří náklady na infrastrukturu, dodavatelům umožňuje nabízet flexibilní škálovatelné služby a z ekonomického hlediska zajímavé subskripční modely. Situace je však komplikovanější, jakmile je zákazníkem orgán veřejné správy. V ten moment na poskytování cloudových služeb dopadá komplexní zákonná regulace a dodavatel se musí vypořádat se širokou škálou povinností.
Regulace využívání cloudových služeb – tzv. cloud computingu – ve veřejné správě je ukotvena v hlavě VI zákona č. 365/2000 Sb., o informačních systémech veřejné správy („ZISVS“). Jejím cílem je, zjednodušeně řečeno, zajistit, aby data ve správě veřejných institucí byly v bezpečí i v případech, kdy jsou uložena na vzdálené infrastruktuře poskytovatelů cloudových služeb. Proto ZISVS a jeho prováděcí vyhlášky ukládají jak orgánům veřejné správy, tak poskytovatelům cloud computingu řadu povinností.
Kdy se uplatní regulace
Regulace cloud computingu ve veřejné správě se uplatní v celé šíři případů, ale ne neomezeně. Vždy je nutné individuálně zkoumat, zda jsou naplněny všechny podmínky pro aplikaci ZISVS.
První krok uskuteční zákazník, když si odpoví na otázku, zda je orgánem veřejné správy („OVS“) ve smyslu ZISVS; zjednodušeně lze říct, že definičně se OVS z větší části kryje s definicí veřejných zadavatelů podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, jakkoli existují výjimky.
Také další krok je na OVS, a to identifikace, zda poptávané řešení je cloud computingem. Podle ZISVS je cloud computing způsob zajištění provozu informačního systému veřejné správy („ISVS“) nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy.
Přesto existují informační systémy, které mohou být provozovány jako cloud computing mimo regulaci ZISVS. Týká se to např. informačních systémů souvisejících s utajovanými informacemi nebo informačních systémů provozovaných zpravodajskými službami, obranou státu, bezpečnostními sbory nebo například Českou národní bankou. V některých se týká také systémů provozovaných Finančním analytickým úřadem, ministerstvem vnitra, financí či spravedlnosti.
ZISVS nedopadá ani na tzv. provozní informační systémy, tedy informační systémy zajišťující informační činnosti nutné pro vnitřní provoz příslušného orgánu. Platí to s výjimkou informačních systémů pro řízení a rozvoj lidských zdrojů a odměňování, elektronických systémů spisové služby, informačních systémů pro vedení účetnictví nebo řízení finančních zdrojů a systémů elektronické pošty – v případě ústředních orgánů státní správy na tyto systémy regulace dopadá, byť jde o provozní informační systémy.
Přestože uvedená zhodnocení musí provést OVS například před vyhlášením veřejné zakázky, je vhodné, aby dodavatelé byli s regulací seznámeni. Díky tomu mohou být OVS nápomocni ve vyhodnocení, zda jimi poptávané řešení bude spadat pod regulaci cloud computingu, a co to přesně znamená. Ještě významnější je v tomto ohledu návrh samotného cloudového řešení a vyhodnocení, zda skutečně jde o cloud computing ve smyslu ZISVS.
Co je cloud computing
Výše uvedená právnická definice cloud computingu je snahou zákonodárce specifikovat na obecné úrovni širokou škálu cloudových služeb, ale současně z regulace vyloučit takové služby, které nemají (zjednodušeně řečeno) sdílený charakter.
Úvaha za cloudovou regulací je postavena na rozčlenění technologického stacku na vrstvy a jejich rozdělení podle toho, zda je kontroluje poskytovatel, nebo OVS. Rozdělení kontroly je přirozeně odlišné podle typu cloudové služby (IaaS, PaaS, SaaS). Jakmile je kontrola určité vrstvy na straně poskytovatele, může jít o cloud computing.
Důležité však je, že definičně existuje požadavek na sdílení prostředku (vrstvy), což omezuje dopad cloudové regulace na služby hostingu či housingu nebo obecně outsourcingu. Pokud OVS sice chce využívat vzdálený prostředek pod kontrolou poskytovatele, ale tento prostředek je privátní pouze pro dané OVS, přičemž toto je dále technicky zajištěno, zpravidla nepůjde o cloud computing. V případě sdílení některých prostředků se však může jednat o cloud computing ve smyslu ZISVS i v případě hostingu či housingu.
Katalog cloud computingu a zápisy
Jakmile se OVS rozhodne opatřit si cloudové řešení, musí vyhodnotit, zda takové řešení bude spadat do regulace cloud computingu podle ZISVS. Pokud ano, čeká OVS vyhodnocení, zda řešení je ISVS, zda na něj dopadá regulace, a konečně zda poptávané řešení bude cloud computingem. Jsou-li všechny předpoklady splněny, dalším krokem bude zařazení poptávaného řešení do bezpečnostní úrovně a hodnocení ekonomické výhodnosti. Tyto procesy slouží pro zápis poptávky do katalogu cloud computingu, což je vedle využití již existující poptávky nezbytný krok pro pořízení cloud computingu pro OVS.
Katalog cloud computingu je seznam, ve kterém se vedou údaje o poptávkách, nabídkách a poskytovatelích cloud computingu a o cloud computingu využívaném OVS. Pro dodavatele je katalog klíčový, protože OVS může zásadně využívat jen takový cloud computing, který je poskytovaný poskytovatelem zapsaným v katalogu a na základě nabídky zapsané v katalogu.
Jinými slovy subjekt, který chce OVS poskytovat cloud computing, musí být zapsaný v katalogu, a stejně tak musí být v katalogu zapsána jako nabídka i nabízená cloudová služba. Současně je nutné myslet na to, že cloudová řešení obvykle využívají služby třetích stran, na nichž jsou závislé, přičemž tyto obvykle budou považovány za tzv. podpůrný cloud computing, jehož poskytovatel rovněž musí být zapsán v katalogu.
Pro zápis nabídky je nezbytné, aby dodavatel již byl zapsán jako poskytovatel. Oba zápisy jsou poměrně komplikované procesy, které v současné době trvají až několik měsíců, byť zákonné lhůty počítají s výrazně kratší dobou. Přestože zápisy vyžadují doložení zejména technických informací, z našich zkušeností je vhodné na nich spolupracovat s právními poradci, kteří mohou dodavateli proces usnadnit a pomoci mu předejít formálním nedostatkům v žádostech či alespoň zjednodušit jejich odstranění.
Protože zdlouhavé zápisy poskytovatele a nabídky jsou nezbytným předpokladem pro poskytování cloudových řešení OVS, každý dodavatel, který takové služby chce nabízet, by neměl se zápisy otálet.
Požadavky v rámci veřejných zakázek
OVS budou obvykle coby veřejní zadavatelé poptávat cloud computing v rámci veřejné zakázky. Vzhledem k povinnostem, které jim ZISVS ohledně cloud computingu ukládá, lze očekávat, že zápis poskytovatele v katalogu bude nezbytnou podmínkou účasti v takové veřejné zakázce. Důvodem je opět délka procesu – OVS si zpravidla nebudou moci dovolit situaci, kdy v podstatě nebude možné uzavřít smlouvu s vybraným dodavatelem, protože tento ještě není zapsaný v katalogu.
Poněkud odlišná je však situace se zápisem nabídky – obvykle ji totiž není nutné vyžadovat už pro účast ve veřejné zakázce. Postačuje, když se vybraný dodavatel zaváže k tomu, že příslušná nabídka bude zapsána v katalogu ke dni uzavření smlouvy. To dává dodavatelům prostor vyřešit zápis sebe coby poskytovatele, přičemž nabídky lze řešit do jisté míry ad hoc podle situace na trhu.
V některých případech je dokonce možné požadavek na zápis nabídky do katalogu odložit na pozdější okamžik, než je uzavření smlouvy. Tento postup obvykle nepovažujeme z hlediska zadavatele za vhodný, ale v praxi se objevuje. Oporou pro něj je, že požadavek na zápisy poskytovatele a nabídky se neuplatní pro zkušební provoz řešení bez ostrých dat. Lze tedy uzavřít smlouvu s dodavatelem, který zajistí zápis nabídky vztahující se k dodávanému řešení až ke dni spuštění ostrého provozu, tedy například po migraci ostrých dat do nového řešení. Teoreticky by uvedený postup byl aplikovatelný i na zápis samotného poskytovatele, ale s ohledem na zmíněné dlouhé doby potřebné pro řízení o zápisu je taková situace v praxi těžko představitelná.
Pozor na katalog cloud computingu
Řada dodavatelů cloudových služeb není zapsána v katalogu cloud computingu a nemají zde zapsány své nabídky. Zákazníci pak často opomíjí svou povinnost z katalogu vybírat. Doporučujeme proto jak veřejným zadavatelům, tak dodavatelům věnovat regulaci cloud computingu ve veřejné správě bedlivou pozornost.
  |
| Jan Tomíšek, David Sláma Autoři článku jsou advokáti specializující se na IT právo, kteří působí v kanceláři ROWAN LEGAL. |
