Zákon o informačních systémech veřejné správy a o změně některých dalších zákonů - HLAVA II - PŮSOBNOST A POVINNOSTI V OBLASTI VYTVÁŘENÍ, SPRÁVY, PROVOZU, UŽÍVÁNÍ A ROZVOJE INFORMAČNÍCH SYSTÉMŮ VEŘEJNÉ SPRÁVY

HLAVA II

PŮSOBNOST A POVINNOSTI V OBLASTI VYTVÁŘENÍ, SPRÁVY, PROVOZU, UŽÍVÁNÍ A ROZVOJE INFORMAČNÍCH SYSTÉMŮ VEŘEJNÉ SPRÁVY

§ 3

Vláda

Vláda

a) schvaluje informační koncepci České republiky,

b) rozhoduje o programech obsahujících pořízení nebo architektonické změny určených informačních systémů vypracovaných podle zvláštního právního předpisu^7a) v případě nesouhlasného vyjádření Agentury k návrhům dokumentací těchto programů,

c) rozhoduje o investičních záměrech akcí pořízení nebo architektonických změn určených informačních systémů v případě nesouhlasného vyjádření Agentury k těmto investičním záměrům,

d) rozhoduje o projektech určených informačních systémů nebo jejich architektonických změn, jde-li o určené informační systémy spravované státními orgány nebo státními právnickými osobami, v případě nesouhlasného vyjádření Agentury k těmto projektům.

§ 3a

Rada vlády pro informační společnost

(1) Vláda zřizuje jako svůj poradní orgán Radu vlády pro informační společnost. V jejím čele stojí člen vlády.

(2) Rada vlády pro informační společnost

a) zpracovává návrhy strategických dokumentů v oblasti informačních systémů veřejné správy, a to i z hlediska bezpečnosti těchto systémů, a předkládá tyto dokumenty vládě, sleduje a analyzuje informační potřeby veřejné správy a stav informačních systémů veřejné správy,

b) připravuje nebo koordinuje přípravu záměrů pro vytváření nebo rozvoj informačních systémů veřejné správy spravovaných státními orgány nebo státními právnickými osobami anebo informačních systémů veřejné správy spravovaných orgány územních samosprávných celků, které slouží k výkonu přenesené působnosti, vyvolané společnou potřebou více správců informačních systémů veřejné správy nebo potřebou spolupráce a koordinace na mezinárodní úrovni a

c) předkládá vládě k rozhodnutí programy obsahující pořízení nebo architektonické změny určených informačních systémů, investiční záměry akcí pořízení nebo architektonických změn určených informačních systémů a projekty určených informačních systémů nebo jejich architektonických změn v případě nesouhlasného vyjádření Agentury, nesouhlasí-li orgán veřejné správy s tímto vyjádřením.

§ 4

Agentura

(1) Agentura ve spolupráci s orgány veřejné správy

a) vyhledává, zpracovává, ukládá a vytváří nové informace, které jsou znalostní základnou pro kvalitní vytváření a rozvoj informačních systémů veřejné správy,

b) se vyjadřuje k návrhům dokumentací programů obsahujících pořízení nebo architektonické změny určených informačních systémů vypracovaných podle zvláštního právního předpisu^7a); Agentura přitom přihlíží zejména k oprávněným zájmům předkladatele dokumentace programu, architektuře určených informačních systémů, technickému, ekonomickému a projektovému hledisku, práci s daty, uživatelskému zážitku a k potřebám zajištění řádného výkonu veřejné správy,

c) zajišťuje tvorbu metodických pokynů pro výkon odborných činností spojených s vytvářením, správou, provozem, užíváním a rozvojem informačních systémů veřejné správy,

d) koordinuje a vytváří podmínky pro činnost veřejné správy prostřednictvím veřejně přístupných informačních systémů veřejné správy, včetně dálkového přístupu,

e) koordinuje a vytváří podmínky pro činnost kontaktních míst veřejné správy.

(2) Agentura

a) kontroluje u orgánů veřejné správy dodržování povinností stanovených tímto zákonem,

b) se vyjadřuje k investičním záměrům akcí pořízení nebo architektonických změn určených informačních systémů; Agentura přitom přihlíží zejména k oprávněným zájmům předkladatele investičního záměru akce, architektuře určených informačních systémů, technickému, ekonomickému a projektovému hledisku, práci s daty, uživatelskému zážitku a k potřebám zajištění řádného výkonu veřejné správy,

c) vykonává působnost stanovenou tímto zákonem v oblasti akreditace a atestací,

d) stanoví a spravuje referenční rozhraní a stanoví a ve Věstníku Agentury zveřejní pravidla užívání referenčního rozhraní,

e) ukládá správní tresty za přestupky podle § 7,

f) ukládá opatření směřující k nápravě nedostatků,

g) vyjadřuje se k projektům určených informačních systémů nebo jejich architektonických změn, jde-li o určené informační systémy spravované státními orgány nebo státními právnickými osobami anebo určené informační systémy spravované orgány územních samosprávných celků, které slouží k výkonu přenesené působnosti,

h) posuzuje, zda informační systémy veřejné správy splňují požadavky kladené na ně právními předpisy upravujícími informační nebo komunikační technologie, informační koncepcí orgánu veřejné správy a provozní dokumentací, a jde-li o informační systémy veřejné správy spravované orgány veřejné správy, pro něž jsou závazná usnesení vlády, rovněž informační koncepcí České republiky a jinými usneseními vlády týkajícími se informačních nebo komunikačních technologií,

i) vydává Věstník Agentury, v němž uveřejňuje metodické pokyny [odstavec 1 písm. f)], seznam atestačních středisek, udělení osvědčení o akreditaci a udělení atestů a další dokumenty vztahující se k informačním systémům veřejné správy; vydávání Věstníku Agentury zabezpečuje Agentura prostřednictvím portálu veřejné správy,

j) konzultuje návrhy metodických pokynů zejména s dotčenými osobami nebo jejich součástmi formou veřejné konzultace, jejímž cílem je získání stanovisek a připomínek dotčených osob nebo jejich součástí k předmětnému návrhu, a za tímto účelem zřídí a spravuje informační systém, kde způsobem umožňujícím dálkový přístup uveřejňuje návrhy metodických pokynů, umožňuje předkládání připomínek a uveřejňuje výsledek konzultace,

k) kontroluje výkon působnosti kontaktních míst veřejné správy.

§ 5

Orgány veřejné správy

(1) Orgány veřejné správy v rozsahu své zákonné působnosti provádějí výběr technických a programových prostředků a dalších produktů pro provoz jimi vytvářených a spravovaných informačních systémů veřejné správy; to neplatí pro orgány veřejné správy, pro něž jsou závazná usnesení vlády, předpokládá-li informační koncepce České republiky užití produktu určitých vlastností.

(2) Orgány veřejné správy jsou v rámci informačních systémů veřejné správy povinny

a) spolupracovat s Agenturou při plnění jejích úkolů podle § 4,

b) předložit Agentuře k vyjádření návrhy dokumentací programů obsahujících pořízení nebo architektonické změny určených informačních systémů vypracovaných podle zvláštního právního předpisu^7a) a investiční záměry akcí pořízení nebo architektonických změn určených informačních systémů,

c) předložit Agentuře před zahájením poskytování služby informačního systému veřejné správy jimi spravovaným určeným informačním systémem nebo na žádost Agentury provozní dokumentaci určeného informačního systému k posouzení, zda určený informační systém odpovídá jeho projektu nebo projektu jeho architektonických změn, v podobě, v jaké k nim bylo učiněno souhlasné vyjádření Agentury nebo souhlasné rozhodnutí vlády; část věty před středníkem se použije pouze v případě určených informačních systémů spravovaných státními orgány nebo státními právnickými osobami anebo určených informačních systémů spravovaných orgány územních samosprávných celků, které slouží k výkonu přenesené působnosti,

d) zajistit, aby vazby jimi spravovaného informačního systému veřejné správy s výjimkou provozního informačního systému uvedeného v § 1 odst. 4 písm. a) až d) na informační systémy veřejné správy jiného správce byly uskutečňovány prostřednictvím referenčního rozhraní. Toto ustanovení se nevztahuje na vazby mezi jimi spravovanými informačními systémy veřejné správy a informačními systémy veřejné správy vedenými zpravodajskými službami,

e) odstranit zjištěné nedostatky ve lhůtě stanovené Agenturou,

f) předložit Agentuře k vyjádření a v případě určených informačních systémů spravovaných orgány územních samosprávných celků, které slouží výlučně k výkonu samostatné působnosti, na vědomí projekty určených informačních systémů nebo jejich architektonických změn,

g) uskutečnit programy obsahující pořízení nebo architektonické změny určených informačních systémů, jejichž návrhy dokumentace jsou povinny předložit Agentuře k vyjádření, investiční záměry akcí pořízení nebo architektonických změn určených informačních systémů, které jsou povinny předložit Agentuře k vyjádření, a projekty určených informačních systémů nebo jejich architektonických změn, které jsou povinny předložit Agentuře k vyjádření, až po souhlasném vyjádření Agentury nebo souhlasném rozhodnutí vlády,

h) oznámit Agentuře zahájení zkušebního provozu určeného informačního systému souvisejícího s jeho pořízením nebo architektonickými změnami před tím, než tato skutečnost nastane, vést záznam o průběhu zkušebního provozu a zpřístupnit záznam Agentuře dálkovým přístupem,

i) zahájit poskytování služby informačního systému veřejné správy jím spravovaným určeným informačním systémem až po vyjádření Agentury, že určený informační systém odpovídá jeho projektu nebo projektu jeho architektonických změn, v podobě, v jaké k nim bylo učiněno souhlasné vyjádření Agentury nebo souhlasné rozhodnutí vlády; část věty před středníkem se nepoužije na službu informačního systému veřejné správy, která se týká výlučně výkonu samostatné působnosti,

j) provádět hodnocení ekonomické výhodnosti způsobu provozu jimi spravovaných informačních systémů veřejné správy,

k) provádět před pořízením informačního systému veřejné správy nebo v rámci architektonických změn anebo rozvoje jimi spravovaného informačního systému veřejné správy hodnocení ekonomické výhodnosti jeho provozu.

(3) Ústřední správní úřady zveřejňují věstníky vydávané ve své působnosti na portálu veřejné správy.

(4) Orgány veřejné správy vykonávají informační činnost tak, aby nebyla ohrožena činnost zpravodajské služby.

(5) Orgány veřejné správy mohou při zkušebním provozu informačního systému veřejné správy využívat v nezbytném rozsahu údaje, které se v informačním systému veřejné správy vedou nebo povedou nebo které jsou nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány.

§ 5a

Dlouhodobé řízení informačních systémů veřejné správy

(1) Rada vlády pro informační společnost vytváří a předkládá vládě ke schválení informační koncepci České republiky. Informační koncepce České republiky stanoví cíle České republiky v oblasti informačních systémů veřejné správy a obecné principy pořizování, architektonických změn, vytváření, správy, provozování, užívání a rozvoje informačních systémů veřejné správy v České republice na období 5 let.

(2) Orgány veřejné správy vytvářejí a vydávají informační koncepci orgánu veřejné správy, uplatňují ji v praxi a vyhodnocují její dodržování. V informační koncepci orgánu veřejné správy orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení spravovaných informačních systémů veřejné správy a vymezí obecné principy pořizování, architektonických změn, vytváření, správy, provozování, užívání a rozvoje svých informačních systémů veřejné správy. V případě orgánů téhož územního samosprávného celku se vytváří jedna informační koncepce pro všechny orgány územního samosprávného celku. Orgány veřejné správy předkládají informační koncepci orgánu veřejné správy do 3 měsíců ode dne jejího vydání nebo aktualizace Agentuře. Strukturu a náležitosti informační koncepce orgánu veřejné správy, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy, pravidla pro strukturování dat v informačních systémech veřejné správy a bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, stanoví prováděcí právní předpis.

(3) Na základě vydané informační koncepce orgánu veřejné správy orgány veřejné správy vytvářejí a vydávají provozní dokumentaci k jednotlivým informačním systémům veřejné správy, uplatňují ji v praxi a vyhodnocují její dodržování. Strukturu a náležitosti provozní dokumentace stanoví prováděcí právní předpis.

(4) Orgány veřejné správy si zajistí atestaci dlouhodobého řízení informačních systémů veřejné správy s výjimkou provozních informačních systémů uvedených v § 1 odst. 4 písm. a) až d) a prokáží splnění povinností podle odstavců 2 a 3 atestem dlouhodobého řízení informačních systémů veřejné správy. Rozsah provozní dokumentace předkládané při atestaci stanoví prováděcí právní předpis. Povinnost podle věty první se nevztahuje na obce, které vykonávají přenesenou působnost pouze v základním rozsahu^9a).

§ 5b

(1) Orgány veřejné správy uplatňují opatření odpovídající bezpečnostním požadavkům na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy.

(2) Orgány veřejné správy při využívání cloud computingu postupují podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost.

§ 5c

Kontrola dodržování povinností orgánů veřejné správy

(1) Zjistí-li Agentura při kontrole podle § 4 odst. 2 písm. a) u orgánu veřejné správy nedostatky, uloží orgánu veřejné správy, aby přijal opatření k nápravě těchto nedostatků.

(2) Agentura při ukládání opatření podle odstavce 1 specifikuje zjištěné nedostatky a stanoví opatření, která mají být orgánem veřejné správy přijata k nápravě těchto nedostatků, a určí orgánu veřejné správy přiměřenou lhůtu k přijetí těchto opatření. Tato lhůta nesmí přesáhnout 6 měsíců a v případě nedostatku v podobě nesouladu informační koncepce orgánu veřejné správy s informační koncepcí České republiky 3 měsíce.

(3) Realizace programů obsahujících pořízení nebo architektonické změny určených informačních systémů, investičních záměrů akcí pořízení nebo architektonických změn určených informačních systémů anebo projektů určených informačních systémů nebo jejich architektonických změn bez souhlasného vyjádření Agentury nebo souhlasného rozhodnutí vlády, jsou-li vyžadovány, se považuje za porušení rozpočtové kázně.

§ 5d

(1) V případech, kdy byl z informačního systému veřejné správy poskytnut nebo využit údaj anebo bylo do informačního systému veřejné správy přistoupeno na základě umožnění zvláštního přístupu a ten, komu byl zvláštní přístup umožněn, písemně prohlásí, že zpřístupnění záznamu o umožnění zvláštního přístupu další osobě nebo její součásti by mohlo ohrozit zajištění účelu, pro který byl zvláštní přístup umožněn, nelze po dobu trvání tohoto ohrožení záznam zpřístupnit. To neplatí pro zpřístupnění záznamu orgánu činnému v trestním řízení, jde-li o trestný čin související s účelem, pro který byl umožněn zvláštní přístup, nebo orgánu vykonávajícímu dozor nad zpracováním osobních údajů v rámci jeho působnosti. Zvláštním přístupem se pro účely tohoto zákona rozumí přístup do informačního systému veřejné správy v souvislosti se zajišťováním bezpečnosti České republiky, veřejného pořádku nebo vnitřní bezpečnosti, s předcházením, vyhledáváním nebo odhalováním trestné činnosti anebo stíháním trestných činů, se zajišťováním významného hospodářského nebo finančního zájmu České republiky anebo Evropské unie, včetně měnové, rozpočtové a daňové oblasti, nebo se zajišťováním ochrany subjektu údajů.

(2) Ten, kdo učinil prohlášení podle odstavce 1, je povinen správci informačního systému veřejné správy bez zbytečného odkladu oznámit, že pominuly důvody pro znepřístupnění záznamu o umožnění zvláštního přístupu.

§ 5e

Správce informačního systému veřejné správy poskytuje Ministerstvu vnitra, Policii České republiky nebo zpravodajským službám za účelem provádění opatření k evidenční ochraně údajů na základě jejich požadavku záznamy o poskytnutí a využití údajů a o přístupu do informačního systému veřejné správy, včetně záznamů, které obsahují neveřejné nebo znepřístupněné údaje, a to způsobem umožňujícím nepřetržitý a dálkový přístup.