Pravidla pro využívání cloud computingu orgány veřejné správy z pohledu ZZVZ

Bez ohledu na to, zda jsme přijali zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů, ve znění pozdějších předpisů, s nadšením nebo skepsí, orgány veřejné správy (a nejen ony) se musí vypořádat s tím, že fyzické a právnické osoby mají vůči nim právo činit digitální úkony a synallagmaticky jsou orgány veřejné správy povinny přijímat digitální úkony a poskytovat digitální služby.

Se zajištěním poskytování digitálních služeb a obecně se snahou o efektivní, kvalitní a bezpečné zajištění veřejné správy je spojeno velké množství poměrně nových povinností kladených na orgány veřejné správy v oblasti IT. A jedné z těchto povinností se budeme věnovat v tomto článku, a to z pohledu práva zadávání veřejných zakázek.

Pokud se orgán veřejné správy rozhodne[1] provozovat svůj informační systém prostřednictvím služeb cloud computingu[2], je povinen při zadávání takové veřejné zakázky postupovat nejen v souladu se zákonem č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“), ale musí naplnit také dikci zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů (dále jen „ZoISVS“) [3], pokud je s příslušným informačním systémem taková povinnost spjata.

Dle § 6l odst. 1 ZoISVS[4] může orgán veřejné správy využívat pouze cloud computing, který splňuje požadavky vymezené v § 6n ZoISVS a je poskytovaný:

1. a) poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu na základě nabídky cloud computingu tohoto poskytovatele zapsané v okamžiku jejího přijetí orgánem veřejné správy v katalogu cloud computingu,
2. b) v rámci vertikální spolupráce dle § 11 nebo horizontální spolupráce dle § 12 ZZVZ nebo
3. c) v rámci obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení dle ZZVZ.

Výjimky z výše uvedené povinnosti jsou zahrnuty v § 6l odst. 4 ZoISVS a týkají se případů, kdy cloud computingu slouží výlučně:

1. a) ke správě a řešení technických potíží nebo diagnostice programových anebo technických prostředků, případně k zabezpečení nebo přenosu s tím souvisejících signálů,
2. b) ke správě nebo využívání prostředků pro elektronickou identifikaci využívajících vícefaktorové autentizace,
3. c) k aktualizaci nebo opravě programového prostředku, nebo
4. d) ke shromažďování nebo výměně provozních údajů,
5. e) ke zkušebnímu provozu informačního systému veřejné správy, pokud při něm nebudou využity údaje, které se v informačním systému veřejné správy vedou nebo povedou anebo které jsou nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány.

Dále se budeme věnovat zejména postupu dle § 6l odst. 1 písm. a) ZoISVS.

V současné době orgány veřejné správy mohou postupovat dle některé z výjimek vymezených v přechodných ustanoveních zákona č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů, ve znění pozdějších předpisů a zákona č. 261/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci, ve znění pozdějších předpisů (dále jen „DEPO“) a využívat služeb cloud computingu v tzv. přechodných obdobích. Nicméně při přípravě nových zadávacích řízení (veřejných zakázek) je třeba již počítat s tím, že od 1. 1. 2024 musí být všechny cloud computingové služby využívané orgány veřejné správy výlučně v souladu se ZoISVZ.

V této souvislosti je třeba zmínit, že výše uvedená přechodná ustanovení pouze popisují, za jakých podmínek mohou orgány veřejné správy přechodně využívat nebo zahájit využívání cloud computingu, který nesplňuje požadavky ZoISVS, ale explicitně neřeší situaci po 31. 12. 2023, tedy „přechod“ na cloud computing naplňující požadavky ZoISVS. Zadavatelé nicméně musí problematiku cloud computingu řešit nejen u nových veřejných zakázek, ale musí také posoudit již uzavřené smlouvy na veřejné zakázky.

Pokud by v období do 31. 12. 2023 (či období dřívějšího, podle toho, která z výjimek je orgánem veřejné správy využívána) nedošlo k zápisu využívaného cloud computingu do katalogu cloud computingu, měl by orgán veřejné správy využívání cloud computingu ukončit, neboť v opačném případě by se dopustil závažného porušení svých povinností s dopady do zajištění bezpečného provozu jeho informačních systémů.

Jestliže ale cloud computing využívaný orgánem veřejné správy na základě některé z výše uvedených výjimek během doby, kdy lze tuto výjimku uplatňovat, bude na základě žádosti poskytovatele cloud computingu o zápis nabídky tohoto cloud computingu zapsán do katalogu cloud computingu[5] dle § 6t ZoISVZ (přičemž ale před tímto úkonem musí dojít také k zápisu poskytovatele cloud computingu do katalogu cloud computingu dle § 6q ZoISVZ), pak takový cloud computing od okamžiku zápisu do katalogu cloud computingu splní požadavky ZoISVZ a může být i nadále využíván orgánem veřejné správy v souladu s uzavřenou smlouvou na veřejnou zakázku.

Komplikací pro orgány veřejné správy v současné době je skutečnost, že Ministerstvo vnitra doposud nevydalo všechny prováděcí předpisy tak, jak je uvedeno v ZoISVS. Doposud je vydána pouze vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu, ve znění pozdějších předpisů, vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci, ve znění pozdějších předpisů a vyhláška č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu, ve znění pozdějších předpisů. I přes to, že Ministerstvo vnitra na svých stránkách k eGovernment cloudu https://www.mvcr.cz/clanek/egovernment-cloud.aspx?q=Y2hudW09MQ%3d%3d opakovaně deklaruje, že všechny dotčené osoby mají dostatek informací a podpůrných materiálů pro zajištění řádného postupu dle požadavků ZoISVS, v praxi se orgány veřejné správy setkávají s mnoha nejasnostmi, které snad další připravované vyhlášky Ministerstva vnitra alespoň částečně objasní.

Z pohledu postupu zadavatele dle ZZVZ je podstatná definice poptávky v § 2 písm. y) bod. 3 ZoISVS dle které se poptávkou cloud computingu rozumí „úkon orgánu veřejné správy předcházející úkonu tohoto nebo jiného orgánu veřejné správy podle právního předpisu upravujícího zadávání veřejných zakázek, má-li být cloud computing zadán podle právního předpisu upravujícího zadávání veřejných zakázek“ a nabídky v § 2 písm. z) bod. 3 ZoISVS dle které se nabídkou cloud computingu rozumí „úkon poskytovatele cloud computingu předcházející úkonu tohoto poskytovatele cloud computingu podle právního předpisu upravujícího zadávání veřejných zakázek, má-li být cloud computing zadán podle právního předpisu upravujícího zadávání veřejných zakázek“.

Současně je také podstatná textace důvodové zprávy DEPO k těmto ustanovením, dle které „při přípravě implementace ustanovení zákona o informačních systémech veřejné správy týkajících se cloud computingu (část první hlava VI ve znění novely obsažené v zákonu o právu na digitální služby) byly identifikovány rozdílné pohledy na interpretaci pojmů „poptávka“ a „nabídka“. Konkrétně není zcela jasný vztah k právní úpravě zadávání veřejných zakázek, tj. zda zápis poptávky či nabídky do katalogu cloud computingu předchází zadání veřejné zakázky (což bylo smyslem úpravy části první hlavy VI ve znění novely obsažené v zákonu o právu na digitální služby), nebo zda zápisy poptávky či nabídky korespondují s příslušnými úkony v zadávacích řízeních. Definováním obou pojmů pro účely zákona o informačních systémech veřejné správy se tento interpretační spor odstraňuje.“.

Dopady pro orgán veřejné správy jako zadavatele dle našeho názoru jsou tedy takové, že veřejnou zakázku je možné zadat pouze takovému poskytovateli cloud computingu, který je zapsán v katalogu cloud computingu a na základě nabídky cloud computingu tohoto poskytovatele rovněž zapsané v katalogu cloud computingu.

Doposud výkladově problematická je ale skutečnost, že ZoISVS nestanoví, v jakém pořadí by měl zadavatel postupovat v rámci zadávacího řízení zahrnujícího cloud computing, na který dopadá ZoISVS. Zadavatelům lze tak v současně době doporučit, aby nejprve řešili problematiku poptávky a nabídky na cloud computingové služby[6] a teprve poté zahajovali zadávací řízení.

Vzhledem k výše uvedenému tak zadavatel bude muset absolvovat dvě fáze výběru dodavatele (shortlisting / „předvýběr“ a vlastní výběr dodavatele). V první fázi bude docházet k určení okruhu poskytovatelů služeb cloud computingu dle ZoISVS a následně v druhé fázi bude zadavatel v zadávacím či výběrovém řízení dle ZZVZ vybírat již konkrétního dodavatele (poskytovatele služeb cloud computingu) dle jím nastavených konkretizovaných zadávacích podmínek. Zadávací podmínky by v takovém případě měly obsahovat i podmínku účasti v zadávacím řízení vztahující se k zápisu poskytovatele cloud computingu a jeho nabídky v katalogu cloud computingu.

Při sjednávání služeb cloud computingu by orgány veřejné správy měly myslet také na to, že smluvní podmínky musí odpovídat smlouvě o poskytování cloud computingu orgánu veřejné správy ve smyslu § 6l odst. 3 ZoISVS[7] a že je třeba detailně nastavit mechanismus ukončení smlouvy na veřejnou zakázku a exit strategii, protože přestane-li zasmluvněný cloud computing splňovat podmínky podle § 6l odst. 1 ZoISVS (např. výmaz poskytovatele cloud computingu z katalogu cloud computingu), je orgán veřejné správy povinen ukončit jeho využívání nejpozději do 12 měsíců ode dne, kdy se o této skutečnosti dozvěděl[8].

Vzhledem k dynamickému vývoji této problematiky lze zadavatelům, ale i dodavatelům služeb cloud computingu, doporučit, aby bedlivě sledovali pokyny a výklady Ministerstva vnitra uveřejňované na stránkách eGovernment cloud https://www.mvcr.cz/clanek/egovernment-cloud.aspx?q=Y2hudW09MQ%3d%3d a informace na stránkách odboru Hlavního architekta eGovernmentu https://archi.gov.cz/nap:egovernment_cloud. Současně s ohledem na palčivost dané problematiky předpokládáme, že se k tématu budeme vracet v dalších odborných statích.

Mgr. Lenka Lelitovská, advokátní koncipient

MT Legal s.r.o., advokátní kancelář

Mgr. David Mareš, Ph.D., advokát

MT Legal s.r.o., advokátní kancelář

[1] Rozhodování orgánu veřejné správy je svázáno s kalkulací a porovnáním nákladů vlastnictví (TCO) jednotlivých informačních systémů v modelu provozu on-premise a s využitím služeb cloud computingu.

[2] Cloud computing je způsob zajištění provozu informačního systému veřejné správy nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy.

[3] Již před novelizací tohoto zákona ve vztahu ke cloud computingu upravoval zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“) bezpečnostní pravidla pro orgány veřejné moci využívající služby poskytovatelů cloud computingu. Tato úprava je i nadále účinná, a proto je třeba jí také zahrnout do příprav veřejných zakázek na služby cloud computingu tam, kde je relevantní.

[4] K identifikaci situací, kdy pro pořízení SW produktů nebo služeb cloud computingu musí orgán veřejné správy postupovat v souladu se ZoISV a tedy využívat cloud computing dle § 6l odst. 1 ZoISVS a kdy nikoliv je možné využít metodický pokyn Ministerstva vnitra Co je a co není informační systém veřejné správy dostupný na https://www.mvcr.cz/clanek/co-je-a-co-neni-isvs.aspx.

[5] Pro podání žádosti o zápis nabídky cloud computingu do katalogu cloud computingu bude poskytovatel oprávněn využít poptávku cloud computingu Ministerstva vnitra dle § 6o odst. 1 ZoISVS nebo dokud Ministerstvo vnitra výkladem ZoISVS nestanoví jinak, může zvolit postup zaslání nabídky cloud computingu k zápisu do katalogu poskytovatelem cloud computingu bez vazby na konkrétní poptávku.

[6] Zápis poptávky orgánu veřejné správy není jedinou cestou, jak může být poptávka na určitý cloud computing zapsána do katalogu cloud computingu. Orgánem veřejné správy poptávaný cloud computing může již být zapsaný jako poptávka katalogu cloud computingu (např. na základě poptávky Ministerstvo vnitra). Současně k takto zapsaným poptávkám již může existovat v katalogu cloud computingu i zapsaná nabídka cloud computingu od poskytovatelů cloud computingu. Zápis poptávky cloud computingu orgánem veřejné správy tak není obecnou obligatorní povinností orgánu veřejné správy, ale vždy bude třeba tuto situaci vyhodnotit (optimálně před zahájením zadávacího řízení).

[7] Ministerstvo vnitra má vyhláškou stanovit požadavky na náležitosti smlouvy o poskytování cloud computingu orgánu veřejné správy podle § 6l odst. 3 ZoISVS, ale doposud tak neučinilo. Tato situace je v současné době řešena tak, že součástí bezpečnostních kritérií je ověření, že poskytovatelé budou ve svých smlouvách na služby cloud computing respektovat „Minimální smluvní podmínky“, které tvoří přílohu č. 4 Metodiky pro práci s katalogem cloud computingu a katalogem služeb cloud computingu dostupné na https://www.mvcr.cz/clanek/egovernment-cloud.aspx?q=Y2hudW09Mw%3d%3d.

[8] Současně je třeba při stanovení smluvních podmínek pamatovat také na povinnosti dle ZKB a na ochranu osobních údajů (Úřad pro ochranu osobních údajů průběžně vydává metodiky a doporučení k této problematice na svých stránkách https://www.uoou.cz/povinnosti-spravcu/ds-5856/p1=5856).