Zákon o informačních systémech veřejné správy a o změně některých dalších zákonů - HLAVA VI - VYUŽÍVÁNÍ CLOUD COMPUTINGU ORGÁNY VEŘEJNÉ SPRÁVY

HLAVA VI

VYUŽÍVÁNÍ CLOUD COMPUTINGU ORGÁNY VEŘEJNÉ SPRÁVY

§ 6i

Působnost v oblasti využívání cloud computingu orgány veřejné správy

(1) Vláda

a) pověřuje osobu nebo jiné právní uspořádání, které jsou zřízené nebo založené státem a které splňují požadavky podle § 6m odst. 1, poskytováním cloud computingu orgánům veřejné správy (dále jen „poskytovatel státního cloud computingu“),

b) schvaluje plán zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy, včetně rozpočtového výhledu na 5 let.

(2) Agentura

a) koordinuje využívání cloud computingu orgány veřejné správy,

b) vydává metodické pokyny pro využívání cloud computingu orgány veřejné správy,

c) zpracovává plán zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy, včetně rozpočtového výhledu na 5 let a předkládá ho vládě,

d) navrhuje opatření k zajištění dlouhodobě udržitelného financování využívání cloud computingu orgány veřejné správy,

e) kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n a kvalitu tohoto cloud computingu,

f) spravuje informační systém cloud computingu pro orgány veřejné správy (dále jen „informační systém cloud computingu“),

g) vede katalog cloud computingu pro orgány veřejné správy (dále jen „katalog cloud computingu“),

h) vykonává působnost správního orgánu příslušného k uplatňování, regulaci a kontrole cen podle právního předpisu upravujícího ceny v případě cen za poskytování cloud computingu orgánům veřejné správy.

(3) Národní úřad pro kybernetickou a informační bezpečnost kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n, v případě, že je využíván k provozování informačního systému veřejné správy, který je informačním nebo komunikačním systémem kritické informační infrastruktury, významným informačním systémem nebo informačním systémem základní služby podle právního předpisu upravujícího kybernetickou bezpečnost.

(4) Orgán veřejné správy poskytne na žádost Agentury podklady pro zpracování plánu zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy.

§ 6j

Informační systém cloud computingu

(1) Zřizuje se informační systém cloud computingu, který je informačním systémem veřejné správy sloužícím k podpoře řízení využívání cloud computingu orgány veřejné správy.

(2) Správcem informačního systému cloud computingu je Agentura.

(3) Správce informačního systému cloud computingu může prostřednictvím informačního systému cloud computingu poskytovat službu dynamického nákupního systému podle právního předpisu upravujícího zadávání veřejných zakázek.

(4) Správce informačního systému cloud computingu může prostřednictvím informačního systému cloud computingu poskytovat službu elektronického nástroje podle právního předpisu upravujícího zadávání veřejných zakázek.

§ 6k

Katalog cloud computingu

(1) Katalog cloud computingu je seznam, ve kterém se vedou údaje o poptávkách cloud computingu, poskytovatelích cloud computingu, nabídkách cloud computingu a o cloud computingu využívaném orgány veřejné správy.

(2) Údaji vedenými v katalogu cloud computingu o

a) poptávkách cloud computingu jsou

1. údaje identifikující poptávku cloud computingu,

2. údaje identifikující orgán veřejné správy, který cloud computing poptává,

3. údaje charakterizující poptávaný cloud computing, včetně údajů o základních parametrech poptávaného cloud computingu a požadované bezpečnostní úrovni,

b) poskytovatelích cloud computingu jsou údaje identifikující poskytovatele cloud computingu,

c) nabídkách cloud computingu jsou

1. údaje identifikující nabídku cloud computingu,

2. údaje identifikující poskytovatele cloud computingu, který cloud computing nabízí,

3. údaje charakterizující nabízený cloud computing, včetně údajů o základních parametrech nabízeného cloud computingu a jeho bezpečnostní úrovni a údaje o předpokládaném místu zpracování informací orgánu veřejné správy a předpokládané době, předpokládaném rozsahu a předpokládaném účelu zpracování informací orgánu veřejné správy v tomto místě, případně o tom, že nabízený cloud computing vyžaduje dlouhodobé uložení informací orgánu veřejné správy mimo území Evropské unie,

d) využívaném cloud computingu jsou

1. údaje identifikující využívaný cloud computing,

2. údaje identifikující orgán veřejné správy, který cloud computing využívá,

3. údaje identifikující poskytovatele cloud computingu, který cloud computing poskytuje,

4. údaje charakterizující využívaný cloud computing, včetně údajů o základních parametrech využívaného cloud computingu, jeho bezpečnostní úrovni a finančním objemu nákladů vynaložených v souvislosti s využíváním cloud computingu.

(3) Údaje podle odstavce 2 jsou veřejné s výjimkou údajů charakterizujících poptávaný, nabízený nebo využívaný cloud computing, jejichž zveřejnění by mohlo ohrozit kybernetickou bezpečnost a které určí u konkrétního cloud computingu Agentura na základě požadavku orgánu veřejné správy, který cloud computing poptává nebo využívá. Po jejich vymazání z katalogu cloud computingu Agentura uchová údaje po dobu 5 let v informačním systému cloud computingu.

(4) Katalog cloud computingu je součástí informačního systému cloud computingu.

§ 6l

Základní pravidla využívání cloud computingu orgánem veřejné správy

(1) Orgán veřejné správy může využívat pouze cloud computing, který splňuje požadavky podle § 6n a je poskytovaný

a) poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu na základě nabídky cloud computingu tohoto poskytovatele zapsané v okamžiku jejího přijetí orgánem veřejné správy v katalogu cloud computingu,

b) v rámci vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo

c) v rámci obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek.

(2) Přestane-li cloud computing využívaný orgánem veřejné správy splňovat podmínky podle odstavce 1, orgán veřejné správy ukončí jeho využívání nejpozději do 12 měsíců ode dne, kdy se o této skutečnosti dozvěděl.

(3) Orgán veřejné správy využívá cloud computing poskytovaný poskytovatelem cloud computingu na základě písemné smlouvy o poskytování cloud computingu orgánu veřejné správy.

(4) Odstavce 1 až 3 se nepoužijí v případě cloud computingu, který slouží výlučně

a) ke správě a řešení technických potíží nebo diagnostice programových anebo technických prostředků, případně k zabezpečení nebo přenosu s tím souvisejících signálů,

b) ke správě nebo využívání prostředků pro elektronickou identifikaci využívajících vícefaktorové autentizace,

c) k aktualizaci nebo opravě programového prostředku, nebo

d) ke shromažďování nebo výměně provozních údajů,

e) ke zkušebnímu provozu informačního systému veřejné správy, pokud při něm nebudou využity údaje, které se v informačním systému veřejné správy vedou nebo povedou anebo které jsou nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány.

(5) Je-li poskytování cloud computingu poskytovatelem státního cloud computingu závislé na využití cloud computingu jiného poskytovatele cloud computingu, použijí se na toto využití ustanovení tohoto zákona o využívání cloud computingu orgány veřejné správy.

§ 6m

Požadavky na poskytovatele cloud computingu poskytujícího cloud computing orgánu veřejné správy

(1) Poskytovatelem cloud computingu poskytujícím cloud computing orgánu veřejné správy může být pouze osoba nebo jiné právní uspořádání, které jsou

a) způsobilé zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy,

b) bezúhonné v rozsahu bezúhonnosti požadované po kvalifikovaném správci kvalifikovaného systému elektronické identifikace,

c) způsobilé pro poskytnutí cloud computingu orgánu veřejné správy z hlediska veřejného pořádku, bezpečnosti a dodržování práv třetích osob.

(2) Poskytovatelem cloud computingu poskytujícím orgánu veřejné správy cloud computing zařazený do nejvyšší bezpečnostní úrovně může být pouze poskytovatel státního cloud computingu.

§ 6n

Požadavky na cloud computing využívaný orgánem veřejné správy

Orgán veřejné správy může využívat a poskytovatel cloud computingu může orgánu veřejné správy nebo poskytovateli státního cloud computingu poskytovat pouze cloud computing,

a) který umožňuje splnění požadavků kladených na informační systém veřejné správy informační koncepcí České republiky,

b) který umožňuje dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy,

c) který umožňuje orgánu veřejné správy postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost,

d) jehož bezpečnostní úroveň je stejná nebo vyšší než bezpečnostní úroveň informačního systému veřejné správy nebo jeho části, k zajištění jehož provozu je využíván,

e) který v případě, že je jeho poskytování závislé na jiném cloud computingu, je poskytovaný s využitím cloud computingu splňujícího požadavky podle písmen b) až d) a poskytovaného poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c),

f) u něhož v případě, že je jeho poskytování závislé na více poskytovatelích cloud computingu, je každý poskytovatel cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c).

§ 6o

Zápis poptávky cloud computingu do katalogu cloud computingu

(1) Agentura zapíše poptávku cloud computingu do katalogu cloud computingu na základě požadavku orgánu veřejné správy, který poptává poskytnutí cloud computingu, a to do 15 dnů ode dne uplatnění požadavku. Agentura dále zapíše poptávku cloud computingu do katalogu cloud computingu na základě vlastního vyhodnocení potřeby využívání cloud computingu orgány veřejné správy.

(2) Orgán veřejné správy uplatňuje požadavek elektronicky ve strojově čitelném formátu.

(3) Orgán veřejné správy uvede v požadavku údaje o poptávce cloud computingu v rozsahu údajů, které se o poptávce cloud computingu vedou v katalogu cloud computingu.

(4) Orgán veřejné správy připojí k požadavku hodnocení ekonomické výhodnosti využití poptávaného cloud computingu.

(5) Odpovídá-li poptávka cloud computingu zapsaná v katalogu cloud computingu charakteristikou poptávaného cloud computingu jiné poptávce cloud computingu zapsané v katalogu cloud computingu, Agentura tyto poptávky sdruží.

§ 6p

Výmaz poptávky cloud computingu z katalogu cloud computingu

(1) Agentura vymaže z katalogu cloud computingu poptávku cloud computingu,

a) o jejíž zápis do katalogu cloud computingu požádal orgán veřejné správy, na základě požadavku tohoto orgánu veřejné správy, a to do 15 dnů ode dne uplatnění požadavku,

b) o jejíž zápis do katalogu cloud computingu požádal orgán veřejné správy, po uplynutí doby 1 roku ode dne, kdy byla poptávka cloud computingu do katalogu cloud computingu zapsána,

c) o jejíž zápis do katalogu cloud computingu požádal orgán veřejné správy, na základě zápisu cloud computingu, který je předmětem poptávky cloud computingu, do katalogu cloud computingu podle § 6x,

d) kterou zapsalo do katalogu cloud computingu podle § 6o odst. 1 věty druhé, na základě vlastního vyhodnocení potřeby využívání cloud computingu orgány veřejné správy.

(2) Agentura vyrozumí prostřednictvím informačního systému cloud computingu orgán veřejné správy, na základě jehož požadavku byla poptávka cloud computingu do katalogu cloud computingu zapsána, o výmazu poptávky cloud computingu podle odstavce 1 písm. a) a b).

Zápis poskytovatele cloud computingu do katalogu cloud computingu

§ 6q

(1) Agentura rozhodne o zápisu poskytovatele cloud computingu do katalogu cloud computingu na základě jeho žádosti, splňuje-li poskytovatel cloud computingu požadavky podle § 6m odst. 1. O žádosti rozhodne Agentura do 45 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný.

(2) Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu poskytovatele cloud computingu do katalogu cloud computingu. O zápisu do katalogu cloud computingu Agentura vyrozumí poskytovatele cloud computingu, který o zápis požádal.

(3) Poskytovatel cloud computingu podává žádost elektronicky ve strojově čitelném formátu.

(4) Poskytovatel cloud computingu uvede v žádosti

a) údaje o sobě v rozsahu údajů, které se o poskytovateli cloud computingu vedou v katalogu cloud computingu,

b) adresu svého sídla, má-li jej mimo území České republiky.

(5) Poskytovatel cloud computingu k žádosti připojí

a) doklad vydaný orgánem státu, v němž má sídlo, obsahující identifikační údaje osob, které jsou jeho skutečným majitelem; část věty před středníkem se nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky,

b) doklad o svých zkušenostech s poskytováním cloud computingu za posledních 5 let,

c) doklad o tom, že splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost,

d) doklad o své bezúhonnosti, nelze-li bezúhonnost potvrdit postupem podle § 12 zákona o Rejstříku trestů; ustanovení právního předpisu upravujícího elektronickou identifikaci o dokladech prokazujících bezúhonnost kvalifikovaného správce kvalifikovaného systému elektronické identifikace se použijí obdobně,

e) doklad vydaný orgánem státu, v němž má sídlo, a doklad vydaný orgánem státu, na jehož území předpokládá dlouhodobé uložení informací orgánu veřejné správy, že nemá evidován nedoplatek vůči žádnému z orgánů těchto států; část věty před středníkem se ve vztahu k dokladu vydanému orgánem státu, v němž má poskytovatel cloud computingu sídlo, nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky.

(6) Nevydává-li orgán státu doklad podle odstavce 5 písm. a) nebo e), poskytovatel cloud computingu jej může nahradit čestným prohlášením.

§ 6r

(1) Agentura si vyžádá pro účely posouzení splnění požadavků podle § 6m odst. 1 písm. a) závazné stanovisko Národního úřadu pro kybernetickou a informační bezpečnost. Národní úřad pro kybernetickou a informační bezpečnost vydá závazné stanovisko do 3 měsíců od jeho vyžádání.

(2) Agentura si vyžádá pro účely posouzení splnění požadavku podle § 6m odst. 1 písm. c) informace o tom, zda poskytovatel cloud computingu nemá evidovaný nedoplatek u

a) orgánu Finanční správy České republiky,

b) orgánu Celní správy České republiky,

c) orgánu sociálního zabezpečení na pojistném a na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti a

d) zdravotní pojišťovny na pojistném a na penále na veřejné zdravotní pojištění.

(3) Pro rozsah údajů poskytnutých podle odstavce 2 se přiměřeně použijí ustanovení daňového řádu o rozsahu údajů v potvrzení o stavu osobního daňového účtu. Poskytnutí těchto údajů není porušením mlčenlivosti podle daňového řádu.

(4) Agentura si vyžádá pro účely posouzení splnění požadavku podle § 6m odst. 1 písm. c) údaje o skutečném majiteli poskytovatele cloud computingu z evidence údajů o skutečných majitelích; pro tento účel umožní Ministerstvo spravedlnosti Agentuře dálkový přístup k údajům o skutečném majiteli podle právního předpisu upravujícího veřejné rejstříky právnických a fyzických osob.

(5) Agentura je oprávněna si vyžádat pro účely posouzení splnění požadavku podle § 6m odst. 1 písm. c) informace Národního úřadu pro kybernetickou a informační bezpečnost, Policie České republiky, zpravodajské služby nebo jiného orgánu.

(6) Po dobu od vyžádání vyjádření nebo informace podle odstavců 2, 4 a 5 do jejich poskytnutí lhůta podle § 6q odst. 1 neběží, nejdéle však po dobu 3 měsíců.

(7) Dokumenty týkající se posuzování splnění požadavků podle § 6m odst. 1, které obsahují utajované informace nebo jiné informace, na něž se vztahuje zákonem uložená nebo uznaná povinnost mlčenlivosti, se uchovávají odděleně mimo spis.

§ 6s

Výmaz poskytovatele cloud computingu z katalogu cloud computingu

(1) Agentura rozhodne o výmazu poskytovatele cloud computingu z katalogu cloud computingu,

a) požádá-li o to poskytovatel cloud computingu, a to do 15 dnů ode dne podání žádosti, nebo

b) zjistí-li, že poskytovatel cloud computingu přestal splňovat požadavek podle § 6m odst. 1 písm. a) a nezjednal-li nápravu ve lhůtě stanovené Agenturou, která nesmí být kratší než 30 dnů, nebo zjistí-li, že poskytovatel cloud computingu přestal splňovat požadavek podle § 6m odst. 1 písm. b) nebo c).

(2) Proti rozhodnutí podle odstavce 1 není rozklad přípustný.

(3) Agentura vyrozumí prostřednictvím informačního systému cloud computingu o výmazu poskytovatele cloud computingu z katalogu cloud computingu orgán veřejné správy, který využívá cloud computing tohoto poskytovatele cloud computingu; ve vyrozumění uvede datum výmazu a jeho důvody.

(4) Ustanovení § 6r se na výmaz poskytovatele cloud computingu z katalogu cloud computingu použijí obdobně.