Sorry, you need to enable JavaScript to visit this website.

E-government 20:10

Čas nutný k přečtení
11 minut
Již přečteno

E-government 20:10

0 comments
Podnázev: 
aneb Žijem si jak na zámku, ať to trvá věčně

Již třetím rokem se účastním konference e-government 20:10, aneb žijem si jak na zámku, ať to trvá věčně, která se pořádá pod záštitou magazínu eGovernment. Konference se tentokrát konala na zámku v Mikulově ve dnech 5. – 6. 9. 2017. Hlavní název odkazuje na hlavní téma a rok 2010, tedy rok, kdy byl pořádán 1. ročník této konference, zatímco podtitul odkazuje jednak na prospěšnost elektronizace veřejné správy, a jednak i na již zmiňované prostředí zámku Mikulov.

Výhled z okna zámku Mikulov
Výhled z okna zámku Mikulov

Konference jako taková se zajímá o stav současné podoby e-governmentu a cestu kam směřuje. V současné chvíli se stále drží v popředí všech akcí pořádaných k elektronizaci veřejné správy evropské nařízení GDPR (General Data Protection Regulation)[1], jehož cílem je zvýšit úroveň ochrany osobních údajů a posílit práva občanů Evropské unie v této oblasti. Druhým nejpopulárnějším tématem je již tradičně eIDAS (nařízení Evropské unie č. 910/2014 o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu), obzvláště pak jeho druhý pilíř, tedy elektronický občanský průkaz (eOP).

Konference začala přivítáním Ing. Michala Jirkovského, který provázel celým následným dopoledním blokem, tedy plenárním jednáním, jehož hlavní tematickou linkou bylo nejen GDPR, ale zejména pak cíle veřejné správy na poli elektronizace činností. Jako novinka letošní konference bylo rozeslání, všem registrovaným účastníkům konference, pozvánky do specializovaného online chat rozhraní, kde jsme mohli i my posluchači pokládat napřímo otázky jednotlivým vystupujícím k diskutovanému tématu. Tato aplikace se zprvu netvářila jako aktivní prostředí, ale již během úvodního zahajovacího bloku, se v něm začaly objevovat první dotazy, na něž bylo reagováno prvními řečníky.

Již v úvodu konference se nastolilo téma GDPR, které zajímá aktuálně každého, kdo ve veřejné správě pracuje s informačními systémy nejen jako řadový uživatel, ale má na starost jeho správu, bezpečnost či rozvoj. Všechny kroky teď v rozvoji informačních systému směřují ke správnému zabezpečení dle daného nařízení, což není zrovna jednoduché vzhledem k minimálnímu množství informací a rychlosti, jakou se dostupné informace mění. Jak řekl Petr Mlsna (náměstek ministra vnitra pro řízení sekce legislativy, práva, archivnictví a správních agend, pověřený řízením sekce veřejné správy) „Uvidí se, co se stihne, třeba bude příští rok následovat k mému dnešnímu vystoupení i klasický blok s názvem ‚GDPR – co se nestihlo‘.“

Ukázka z prezentace věnované ochraně osobních údajů
Ukázka z prezentace věnované ochraně osobních údajů

Již v tuto chvíli je totiž zřejmé všem zainteresovaným, že z nařízení GDPR bude velké množství nových soudních řízení, jelikož bude dlouho trvat, než se doladí jednotlivé detaily. Sankce za nedodržení požadavků nařízení hrozí až do výše 20 mil. EUR, což bude pro většinu postižených likvidační, nemluvě o tom, co by taková pokuta udělala ve státní správě, která by nemohla skončit, jelikož je vázána zákonem, který danou instituci zřídil.

Ono samotné GDPR v podstatě znamená ‚Právo být zapomenut‘, což se ovšem velmi lehce říká, ale ve většině informačních systémů hůře dělá. Některé z veřejných institucí se rozhodly zkusit štěstí a úpravy svých systému dotovat z evropských dotačních programů, což vzhledem k blížícímu se termínu pro podávání žádostí skokově zvedlo jejich poptávku, avšak ne každý je schopen podat žádost, která splňuje všechny potřebné náležitosti.

V tuto chvíli se pracuje ze strany Ministerstva vnitra ČR na potřebné legislativě k nařízení. Z původní vize rychlé úpravy zákona č. 101 (zákon 101/2000 Sb. o ochraně osobních údajů) dochází ke vzniku úplně nového zákona, neboť jak zmínil pan Mlsna, „Zákon 101 je zastaralý a přežitý. Struktura je funkcionářská, kdy inspektoři kontrolují napříč veřejnou správou, aniž by měli jakékoliv odbornější znalosti dané problematiky oboru. Nyní je důležité koncipovat Úřad pro ochranu osobních údajů jako klasický správní úřad, kdy každý dělá jen to, čemu rozumí.“.

Nový zákon nebude upravovat to, co je již v nařízení, ale pouze dolaďovat vnitrostátní detaily. Samotná úprava osobních údajů není v regulační pravomoci EU, ale je to oblast, která je výsostním právem každého členského státu. Tzn., že EU zde nemá prostor pro své dlouhé prsty. To ale zároveň neznamená, že pracovní skupina č. 129 (Evropský sbor pro ochranu osobních údajů) zde nemá pravomoc v rámci dohledu nad zaváděním GDPR. Je potřeba si uvědomit, že jeho základní zásady (1. minimalizace sběru dat – sbírat jen ty údaje, které jsou opravdu nezbytné pro danou problematiku, 2. data pravidelně aktualizovat, aby byla stále přesná a aktuální, 3. ukládání dat v takové formě, aby bylo možné data identifikovat po nezbytně dlouhou dobu, 4. integrita a bezpečnost dat) mají celoevropský přesah tak, aby si každý mohl být jistý ochranou svých údajů v každém členském státě EU.

Nařízením GDPR se musí řídit všichni v zájmu celkové ochrany dat, ne každý ale musí ve své instituci zřizovat statut „pověřence“ (tzv. DPO - Data Protection Officer). Pověřence musí povinně zřizovat instituce a firmy pouze ve 3 případech a to pokud jsou: 1. orgán veřejné moci nebo veřejnoprávní korporace, 2. správci či subjekty s rozsáhlým systematickým sběrem dat a 3. zpracovatelé zvláštních osobních údajů, tzv. citlivých údajů (vír, rasa, zdraví, …).

Podle Kláry Jirákové, koordinátor/ky IT projektů Kraje Vysočina, by již ideálně měl v instituci pověřenec pracovat nebo být co nejdříve přijat, aby se stihl aklimatizovat dříve, než nařízení vstoupí v platnost a on bude vhozen do vody, aniž by měl jakýkoliv přehled o činnosti instituce. Proto je podle ní ideální pověřenec člověk, který má přehled nejen v IT a bezpečnosti, ale zároveň má všeobecný přehled. Vezmeme-li v úvahu většinu těchto vlastností, jako naprosto nejvhodnější adept je proto pro většinu institucí interní auditor, který již zná postupy a metodiku v instituci a jeho postavení není považováno za úplně nicotné.

Do neustále se opakujících se frází k tomu, co GDPR obnáší, byl publikem položen dotaz „Můžete uvést alespoň jeden požadavek vyplývající z nařízení GDPR, který musíme zohlednit při architektonickém návrhu nového ISVS?“, na což zástupce MV ČR odpověděl: „Pokud je informační systém v nějakém úřadu stavěn podle nějakého zákona, zpravidla je v něm i uvedenou jakou povahu mají data v dané agendě a tedy jakou mají skartační lhůtu. V tomto případě se data v konkrétním systému vedou ze zákona a právo z GDPR ‚být zapomenut‘ se nemůže uplatnit až do ukončení skartační lhůty. Pokud je ale informační systém postaven mimo agendové zmocnění, vkládá do něho občan svá data dobrovolně a v tom případě se právo na výmaz údajů podle GDPR uplatní v plné své šíři.“

Prezentace věnovaná katalogu služeb
Prezentace věnovaná katalogu služeb

„Příkladem takového systému je systém ‚DROZD‘ Ministerstva zahraničí, kde občané mohou na dobrovolné bázi vkládat data o své plánované cestě do zahraničí spolu se svým telefonním číslem, aby ministerstvo mohlo občana varovat před nějakou nenadálou bezpečnostní situací, která by během jeho pobytu v dané zemi mohla nastat. Možnost uplatnění práva být zapomenut vede na architektonickou potřebu agendy ‚evidence žádostí o výmaz‘. Každou takovou evidovanou žádost je samozřejmě třeba vyřídit co nejdříve v konkrétních datech daného systému. Žádost o výmaz se ale musí evidovat dál, protože například při obnově dat ze zálohy po nějakém kybernetickém incidentu by se mohlo stát, že se již jednou vymazaná data do živé evidence ze zálohy vrátí, což je nepřípustné. Proto po obnově je typicky potřeba již jednou aplikované žádosti o výmaz uplatnit znovu. Toto je jen jeden z případů jak bude nutné upravit informační systémy tak, aby vyhovovaly požadavkům GDPR.“

Na otázku z publika, co takový pověřenec vlastně dělá a jak kolegu motivovat, aby se chtěl sát pověřencem, bylo opět ze strany MV ČR řečeno, že motivace je zřejmá – finanční ohodnocení. Odpověď na první půlku dotazu ale není jasná ani jim samotným a odpověď prozatím nedostali ani z ÚOOÚ (Úřad pro ochranu osobních údajů), kam se obdobně dotazovali. Celkově bylo prozatím doporučeno, aby instituce, které budou službu pověřence řešit externě, pro tuto chvíli zachovaly klid a vyčkávaly, neboť ostatně nikdo nic víc přesně neví a je proto zbytečné cokoliv s ochranou dat řešit nyní externě, jelikož by šlo o ‚kupování zajíce v pytli‘.

Druhé velké téma dne se týkalo eOP, ke kterým v nedávné době prošel schválením zákon č. 250/2017 Sb., elektronické identifikaci. eOP bude výraznou změnou v celé EU, je proto potřeba se tomu tématu řádně věnovat, aby se zavedlo správně a nedocházelo následně k problémům, které by narušovaly jeho správnou funkci. Aby byly úpravy životaschopné již v jejich základní podobě bez okamžitě potřebných novel, nebyly nové zákony a vyhlášky vytvářeny jen ze strany MV ČR, ale spolupracovalo na nich více organizací z praxe. Roman Vrba (ředitel odboru eGovernmentu na Ministerstvu vnitra ČR) k tomu říká, že hlavním a tedy i nejdůležitějším pilířem pro ministerstvo je občan, a proto chtějí více věcí vnímat právě z jejich pohledu.

Samotná elektronická identita je brána jako bezpečná identifikace občana, což pomůže veřejné správě, pokud bude chtít zelektronizovat byť i jen částečně svou agendu v tom smyslu, že nechá občany činit podání vůči ní elektronicky (např. žádosti o zábory veřejných prostranství, objednávání a modifikace parametrů odvozu odpadů, přihlášení poplatku za psa atp.). Tehdy vzniká u veřejné správy problém s identifikací podatele.

Prezentace o elektronické identifikaci (eIDAS)
Prezentace o elektronické identifikaci (eIDAS)

Jak uvedl Ing. Petr Kuchař, hlavní architekt eGovernmentu (MV ČR) „Službu identifikace občana nabízí centrální sdílená komponenta navržená MV ČR a provozovaná SZR (Správa základních registrů), tedy Národní bod elektronické identifikace na základě zákona č.250/2017 Sb., o elektronické identifikaci. Za takovou službu ručí stát, stejně jako za identitní prostředky, které budou do takového systému na základě splnění podmínek zákona vpuštěny. Tedy jednou větou řečeno, výrazně to zlevní výdaje na správu identitního kmene vašich klientů (občanů), kterým nebudete muset vydávat žádné kartičky ani jména a hesla a současně se budete moci spolehnout na jednoznačně sdělené identifikační údaje.“

A právě k jednoznačné identifikaci bude sloužit eOP, který ale bude umožňovat více funkcí. Již při vyzvednutí vyrobeného eOP se občan bude moci rozhodnout, zda si přeje využívat i její elektronické funkce jako je vzdálená elektronická identifikace a také případné umístění ‚osobního‘ elektronického podpisu.

„Pokud ano, bude si moci zadat OIK (osobní identifikační kód) a pro případ jeho zapomenutí ještě také ODK (osobní deblokační kód). V okamžiku zadání uvedených kódů se ‚odemkne‘ elektronická funkce eOP a bude možné s ním provádět vzdálenou elektronickou identifikaci. A jedna aplikace, se kterou počítáme výhledově, bude taková, že se občan vzdáleně elektronicky přihlásí a definovaným procesem na základě žádosti se mu do eOP nahraje elektronický podpis. A protože i k přístupu k němu je dobré používat dvoufaktorový přístup, bude si moci zadat příslušný PIN a PUK.“

Po náročném dni jsme si zasloužili odpočinek, který nám byl poskytnut ve formě prohlídky zámku, na niž navazoval příjemný večerní raut s dobrým vínem v prostorách zámku, který byl doprovázen volbou Miss eGovernment a následnou diskotékou na nádvoří.

Druhý den konference se zabýval zejména prací s digitálními dokumenty a jejich důvěryhodností. Hned v úvodu bylo zdůrazněno, že je potřeba si do konce roku, tedy do 31. 12. 2017, uklidit ve svých institucích tak, aby veškeré metodiky a vnitřní předpisy byly v souladu s principy úplného elektronického podání, zejména pak faktury, „které byly vystaveny, předány a přijaty ve strukturovaném elektronickém formátu, jenž umožňují jejich automatizované a elektronické zpracování.“, jak uvedl Ing. Robert Piffl, poradce náměstka ministra vnitra (MV ČR).

Cílem digitalizace je, což vychází i z pojmu digitální, 100% životního cyklu jednotlivých dokumentů výhradě v digitální podobě, kdy není potřeba zdvojovat jejich podobu do tištěné formy. Ze strany MV ČR je již vše potřebné připraveno včetně nezbytných úprav zákonů. Jakmile se podaří vše řádně rozchodit, budou využívány výhradně ‚inteligentní e-dokumenty‘, tedy „definovaný ‚kontejner‘ obsahující vizualizovaný dokument, textovou vrstvu a strukturované údaje pro automatizované zpracování za současné minimalizace jejich velikosti.“

Je potřeba si uvědomit, že žijeme v době, kdy digitální již neznamená bezpečné. Je potřeba vzít v potaz každý přístroj, který je připojen do sítě jako bezpečností riziko. Vždyť dobrý hacker je schopen se do vnitřní sítě instituce nabourat i skrze připojenou klimatizaci, která se ovládá online. Jak upozornila Erika Lindauerová, ředitelka divize PPS (Personal and Printing Systems) pro Českou republiku a Slovensko, Hewlett-Packard „nebezpečím úniku informací jsou i velké tiskárny na chodbách, proto je potřeba ošetřit i zde bezpečnost informací.“ Přesto všechno je stále více lidí přesvědčeno, že budoucnost je právě v digitalizaci a zejména pak ve využívání mobilních technologií, je však potřeba dbát na zvýšenou bezpečnost, aby nedošlo k úniku informací tam, kam sami nechceme.

V ohledu mobilních technologií byla velmi zajímavá prezentace Davida Řiháka (Sales Director, ADUCID s.r.o.), který v mluvil o zaručené mobilní identitě. Tato funkce by mohla být velmi praktická pro běžné potřeby občana ve vztahu k veřejné správě, otázkou však je, zda je potřeba vyvíjet takovou mobilní identitu, když v budoucnu dostane každý eOP, který bude jednoznačně identifikovat každého jedince. Opět se zde také dostáváme k otázce, zda je jednodušší ztratit eOP nebo mobilní telefon s nahranou identitou?

Závěrem lze říci, že GDPR nebude mít obrovský dopad na funkci eGovernmentu, protože ti, kdo již plní všechny požadavky na bezpečnost dat, nebudou mít výraznější problémy, nýbrž si pouze doladí několik drobných detailů. Příští rok vnese do veřejné správy a nejen tam mnoho nových věcí, některé půjdou jednodušeji a jiné hůře zavádět, ale určitě se podaří všechno zvládnout tak, aby ti hlavní, tedy koncoví uživatelé, byli spokojeni.

Již nyní se těším na další ročník, ale také na další akce k daným problematikám, zejména na "Konferenci CNZ 2017 - Velká říjnová spisová revoluce", která proběhne 10. 10. 2017 v prostorách Národního archivu v Praze a následně pak na každoroční dubnovou konferenci ISSS v Hradci Králové.

Poznámka:
  1. „Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů EU 2016/679“, které nabude účinnost 25. května 2018, se dotkne každého orgánu státní správy i samosprávy a jejich podřízených organizací.
Hodnocení: 
Průměr: 2.5 (hlasů: 2)
STREJCOVÁ, Vendula. E-government 20:10. Ikaros [online]. 2017, ročník 21, číslo 8 [cit. 2018-04-25]. urn:nbn:cz:ik-18151. ISSN 1212-5075. Dostupné z: http://ikaros.cz/node/18151

automaticky generované reklamy
registration login password