Důvodová zpráva k zákonu č. 261/2021 Sb., změna zákonů v souvislosti s další elektronizací postupů orgánů veřejné moci

Údaje potřebné k výkonu působnosti orgánů veřejné moci jsou kromě systémů spisové služby a listinných databází vedeny ve 4 základních registrech [základní registr obyvatel, základní registr právnických osob, podnikajících fyzických osob a orgánů veřejné moci (tzv. registr osob), základní registr územní identifikace, adres a nemovitostí a základní registr agend, orgánů veřejné moci, soukromoprávních uživatelů údajů a některých práv a povinností (tzv. registr práv a povinností)] a v cca 4 300 agendových informačních systémech.

Zatímco základní registry byly od počátku vytvářeny s cílem využít je napříč agendami, agendové informační systémy se naopak zřizují primárně pro podporu konkrétní agendy. Agendové informační systémy však v mnoha případech obsahují údaje, jež jsou potřebné k výkonu jiných agend. Na rozdíl od základních registrů, jejichž filozofie výstavby stojí na poskytování velkého objemu aktuálních údajů současně, agendové informační systémy obsahují např. historické údaje. Již stávající právní řád proto počítá s využitím údajů z agendových informačních systémů i pro výkon jiných agend, než pro kterou je agendový informační systém primárně zřízen a spravován (jedná se např. o informační systém evidence obyvatel, informační systém cizinců, evidenci občanských průkazů a informační systém datových schránek).

V případě těch agendových informačních systémů, které jsou zřízeny zákonem, je využití v nich vedených údajů pro potřeby jiných agend řešeno právně stejným způsobem jako využití údajů vedených v základních registrech, tj. cestou určení orgánu veřejné moci, agendy a výčtu využitelných údajů v příslušném zákoně upravujícím danou jinou agendu.

Většina agendových informačních systémů však není kreována zákonem a využití údajů v nich vedených pro výkon jiných agend se právně opírá o více, či méně obecná ustanovení v obecných kompetenčních normách (např. § 27 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky), obecných procesních normách (např. § 8 odst. 2 zákona č. 500/2004 Sb., správní řád) i v zákonech upravujících konkrétní agendy, které řeší součinnost orgánů veřejné moci, vzájemné poskytování podkladů apod. Je pak do značné míry na subjektivním posouzení správce konkrétního agendového informačního systému, zda údaje ze systému na základě takových ustanovení poskytne pro výkon jiné agendy, či nikoliv.

Z výše uvedeného vyplývá disproporce v právních titulech pro využívání údajů vedených v agendových informačních systémech pro potřeby jiných agend. Část oprávnění je řešena rigorózním výčtem údajů, který má sice tu výhodu, že je zcela transparentní, na druhé straně je však neoperativní, neboť identifikuje-li praktická zkušenost s výkonem agendy potřebu využití i jiného údaje (neuvedeného ve výčtu), orgán veřejné moci získá k tomuto údaji přístup až po změně právní úpravy. Podstatná část oprávnění k využívání údajů však vyplývá z obecných součinnostních ustanovení, z hlediska subjektů údajů je proto velmi nepřehledná a z pohledu orgánů veřejné moci, které mají oprávněný zájem na využití údajů z „cizích“ agendových informačních systémů, zatížená přílišným subjektivismem správců těchto systémů.

Stávající legislativně-technická praxe neumožňuje rozšíření sdílení údajů vedených v různých informačních systémech veřejné správy, neboť již tak rozsáhlá ustanovení zákonů regulující využívání údajů by bylo nutno znásobit doplněním dalších v úvahu připadajících informačních systémů veřejné správy. Tato praxe představuje překážku i nevyhnutelné centralizaci informačních systémů veřejné správy, neboť sloučení informačních systémů veřejné správy, které poskytují v nich vedené údaje více agendám, je podmíněno provedením změn nejen v zákonech, které tyto systémy zřizují, nýbrž i v zákonech, které upravují jiné agendy, v nichž se s využitím těchto informačních systémů veřejné správy počítá. Nutno podotknout, že výčtová metoda využívání údajů z různých databází obdobná té, která je doposud využívána v právním řádu České republiky, nebyla v legislativní praxi jiných států identifikována.

Zákon o právu na digitální služby a o změně některých zákonů zavádí novou koncepci využívání údajů ze základních registrů a agendových informačních systémů. Oprávnění jednotlivých orgánů veřejné moci k čerpání údajů ze základních registrů a agendových informačních systémů se bude nově odvíjet od registrace agendy v registru práv a povinností a registrace působnosti konkrétního orgánu veřejné moci v agendě. Ústřední správní úřad ohlašující agendu (gestor agendy) vyhodnotí, které údaje ze kterých informačních systémů veřejné správy bude potřeba pro výkon jím ohlašované agendy využívat, přičemž potřebu těchto údajů odůvodní. Množina těchto údajů bude v rámci procesu ohlášení agendy předána Ministerstvu vnitra, jakožto orgánu veřejné moci provádějícímu registraci všech agend, které ji zašle ke stanovisku správci příslušného základního registru nebo agendového informačního systému a správci referenčního rozhraní. Správce příslušného základního registru nebo agendového informačního systému posoudí vhodnost zpřístupnění navrhovaných údajů a v případě nutnosti navrhne redukci či naopak rozšíření. Nebude-li ohlašovatel agendy s touto modifikací souhlasit, rozhodne v případě těch ohlašovatelů, kteří jsou podřízeni vládě, o konečném rozsahu údajů vláda jako vrcholný orgán moci výkonné a subjekt odpovědný Poslanecké sněmovně mj. za výkon veřejné správy, a to s využitím stanoviska Úřadu pro ochranu osobních údajů. V případě ostatních ohlašovatelů agend bude množina údajů stanovena podle stanoviska správce příslušného informačního systému veřejné správy.

Tato nová koncepce využívání údajů ze základních registrů a agendových informačních systémů nicméně nekoresponduje s výčty údajů, které jsou orgány veřejné moci oprávněny využívat ze základních registrů a agendových informačních systémů, které jsou v jednotlivých agendových zákonech v současné době obsaženy. Je to dáno tím, že nová pravidla využívání údajů ze základních registrů a agendových informačních systémů, původně obsažená spolu s rušením položkových skladeb v tomto návrhu, byla z vůle Parlamentu z návrhu vyňata a učiněna součástí zákona o právu na digitální služby.

Sdílení údajů mezi orgány veřejné moci je v současné době limitováno absencí centrální notifikační služby, která by správce informačních systémů veřejné správy informovala o změnách údajů v jednotlivých informačních systémech veřejné správy, ze kterých příslušný informační systém veřejné správy využívá údaje. Taková notifikační služba existuje pouze u základních registrů. V případě agendových informačních systémů není služba notifikací řešena centrálně, ale pouze partikulárně jako povinnost správců jednotlivých informačních systémů zajistit notifikaci změn údajů vedených v jím spravovaném informačním systému veřejné správy.

Problematika využívání cloud computingu veřejným sektorem je doposud regulována toliko na úrovni zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, a výlučně ve vztahu k subjektům podléhajícím regulaci obsažené v tomto zákoně. V rámci novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, obsažené v zákonu o právu na digitální služby se regulace využívání cloud computingu výrazně rozšiřuje, přičemž se předpokládá její účinnost od 1. srpna 2020.

Gros této regulace tkví v tom, že orgány veřejné správy ve smyslu zákona o informačních systémech veřejné správy budou moci využívat pouze takového cloud computingu, který je poskytován tzv. státním poskytovatelem cloud computingu nebo jiným poskytovatelem cloud computingu a který je veden jako nabídka cloud computingu v katalogu cloud computingu spravovaném Ministerstvem vnitra. Podmínkou zápisu nabídky cloud computingu do katalogu cloud computingu je, že nabízený cloud computing splňuje bezpečnostní pravidla pro orgány veřejné správy využívající služby poskytovatelů cloud computingu a kritéria pro zařazení do některé z bezpečnostních úrovní pro využívání cloud computingu orgány veřejné správy. Zkoumání splnění uvedených podmínek a vedení řízení o zápisu nabídky cloud computingu do katalogu cloud computingu náleží do působnosti Ministerstva vnitra (ve spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost). Toto aranžmá má orgánům veřejné správy, zejména těm menším, usnadnit využívání cloud computingu, neboť samy nebudou muset provádět komplexní hodnocení kvality nabízeného cloud computingu.

Orgány veřejné správy mohou poptávat poskytnutí cloud computingu výlučně prostřednictvím katalogu cloud computingu. Podmínkou zápisu poptávky cloud computingu je, že poptávaný cloud computing splňuje bezpečnostní pravidla pro orgány veřejné správy využívající služby poskytovatelů cloud computingu, splňuje kritéria pro zařazení do některé z bezpečnostních úrovní pro využívání cloud computingu orgány veřejné správy, neodpovídá svým obsahem jinému poptávanému cloud computingu, který je již zapsán v katalogu cloud computingu, a je proveditelný. I v tomto případě náleží zkoumání splnění podmínek a vedení řízení o zápisu poptávky cloud computingu do katalogu cloud computingu do působnosti Ministerstva vnitra (ve spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost).

Konečně z důvodu potřeby státu mít přehled o využití cloud computingu orgány veřejné správy jsou tyto povinny využívaný cloud computing zapisovat do katalogu cloud computingu a po ukončení využívání jej z katalogu vymazat.

Samotný katalog cloud computingu má být součástí informačního systému cloud computingu, který má být mj. schopen poskytovat služby dynamického nákupního systému podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, a službu elektronického nástroje podle téhož zákona. Má sloužit i ke komunikaci mezi Ministerstvem vnitra, orgány veřejné správy a poskytovateli cloud computingu.

V rámci přípravy implementace nového právního rámce využívání cloud computingu byly ze strany Ministerstva vnitra a Národního úřadu pro kybernetickou a informační bezpečnost identifikována některá problematická místa.

Tím stěžejním je fakt, že ambice nového právního rámce využívání cloud computingu orgány veřejné správy ne zcela koresponduje se zdroji, které má veřejný sektor k dispozici. Posuzování všech poptávek cloud computingu a všech nabídek cloud computingu, kdy je nutno počítat s více než 6 500 orgány veřejné správy (pravidla dopadají na takřka všechny státní orgány a orgány územních samosprávných celků) a s několika desítkami poskytovatelů cloud computingu, při míře komplexity posuzování a zákonem stanovené lhůtě není realizovatelné, ledaže by ze strany Ministerstva vnitra a Národního úřadu pro kybernetickou a informační bezpečnost bylo ryze formální (což by však bylo zcela proti cíli regulace).

Dalším identifikovaným problémem je, že právní úprava rigorózně spojuje možnost využívání cloud computingu s trváním zápisu nabídky cloud computingu, který je využíván, v katalogu cloud computingu. V okamžiku výmazu nabídky cloud computingu z katalogu je orgán veřejné správy nucen využívání takového cloud computingu bezodkladně ukončit. Je třeba artikulovat skutečnost, že výmaz nabídky cloud computingu z katalogu cloud computingu může být proveden i jednostranným úkonem poskytovatele cloud computingu, který může být motivován jinými ohledy než bezpečnostními (např. přehodnocením výhodnosti kontraktu, jehož předmětem je poskytnutí cloud computingu).

Nikoliv nevýznamnou je skutečnost, že byť může být nabídka cloud computingu po všech stránkách, včetně bezpečnostních, aktuální, musí být po třech letech ode dne zápisu do katalogu cloud computingu vymazána a je třeba, aby znovu prošla řízením o zápisu, včetně komplexního zkoumání.

Významným problémem je možnost moderace poptávky cloud computingu ze strany Ministerstva vnitra. To může podle nové regulace vyloučit zápis poptávky v případě, že ji shledá duplicitní s již zapsanou poptávkou. Ve svém důsledku tento krok může vést k tomu, že nemusí být plně uspokojeny potřeby orgánu veřejné správy, který sám je schopen je definovat nejpřesněji.

Implementace nového právního rámce využívání cloud computingu signalizuje i nejasnosti ohledně výkladů samotných pojmů „poptávka cloud computingu“ a „nabídka cloud computingu“, a to ve vztahu k režimu zákona o zadávání veřejných zakázek. Tedy zda se již jedná o úkony v rámci zadávacího řízení či, jak bylo zamýšleno, jde o úkony tomuto řízení předcházející.

Dne 27. března 1990 přijalo tehdejší Federální shromáždění Československé socialistické republiky zákon č. 85/1990 Sb., o právu petičním. Tímto právním předpisem došlo k vytvoření regulatorního rámce na úrovni zákona, který umožnil reálné naplňování čl. 29 tehdy ještě platného ústavního zákona č. 100/1960 Sb., Ústava Československé socialistické republiky, zakládajícího v ústavní rovině obecné petiční právo. Po přijetí, respektive potvrzení nyní platných základních právních aktů ústavního pořádku České republiky, ústavního zákona č. 1/1993 Sb., Ústava České republiky, a Listiny základních práv a svobod, se zákon o právu petičním stal prováděcím zákonem k čl. 18 Listiny základních práv a svobod, který je recentním ústavním základem obecného petičního práva. Zákon o právu petičním je i nyní nosičem podústavních norem blíže reglementujících právo osob obracet se individuálně nebo společně s jinými na státní orgány, orgány územní samosprávy a právnické osoby, jimž byla působnost státního orgánu svěřena, se žádostmi, návrhy a stížnostmi ve věcech veřejného nebo jiného společného zájmu.

Problematika obecných petic je v právním řádu dále obsažena v zákoně č. 90/1995 Sb., o jednacím řádu Poslanecké sněmovny, či zákoně č. 107/1999 Sb., o jednacím řádu Senátu, které představují zvláštní procesní úpravu obecných petic adresovaných státní legislatuře či jejím členům. Vedle toho obsahuje právní řád úpravu zvláštních petic souvisejících s výkonem práva sdružovacího či práva podílet se na správě věcí veřejných. Jde zejména o úpravu v zákoně č. 84/1990 Sb., o právu shromažďovacím, zákoně č. 424/1991 Sb., o sdružování v politických stranách a v politických hnutích, zákoně č. 247/1995 Sb., o volbách do Parlamentu České republiky a o změně a doplnění některých dalších zákonů, zákoně č. 491/2001 Sb., o volbách do zastupitelstev obcí a o změně některých zákonů, a zákoně č. 275/2012 Sb., o volbě prezidenta republiky a o změně některých zákonů (zákon o volbě prezidenta republiky).

Subjektem obecného petičního práva jsou fyzické i právnické osoby. Zatímco fyzická osoba jím je bezvýhradně, tj. bez ohledu na věk, svéprávnost, občanství či místo pobytu, právnickou osobou požívající práva petičního bude podle převažující doktríny právnická osoba soukromého práva, když právnická osoba veřejného práva je právě tou, které jsou žádosti, návrhy a stížnosti adresovány. K sestavení petice, opatření podpisů pod ni a doručení petice státnímu orgánu mohou občané vytvořit petiční výbor. Pokud již jsou v petičním právu věková omezení, pak jsou stanovena toliko v rámci procedurálních záležitostí, když osoba, která zastupuje petiční výbor ve styku se státními orgány, musí být starší 18 let a osoba pověřená ke sběru podpisů na místě přístupném veřejnosti musí dosáhnout alespoň věku 16 let.

Petice musí být písemná, a může tak mít listinnou, nebo elektronickou podobu. Zatímco v případě petice v listinné podobě potvrzuje petent svou vůli podpořit petici svým vlastnoručním podpisem, v případě petice elektronické lze jako potvrzení vůle použít výlučně elektronický podpis, a to v souladu s § 6 odst. 1 zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, uznávaný elektronický podpis. Z povahy věci nelze využít podpisu podle § 18 odst. 2 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, neboť tato se uplatní pouze při individuálním úkonu či právním jednání. Protože je však potvrzování vůle podpořit petici cestou uznávaného elektronického podpisu organizačně i technicky náročné, tento způsob není v praxi příliš využíván. To vede k tomu, že valná část petic je vyhotovována klasicky v listinné podobě. V praxi se sice vyskytují petice realizované prostřednictvím on-line platforem vytvářených a spravovaných nestátními subjekty, potvrzení vůle podpořit petici v podobě „kliknutí“ na tlačítko souhlasu jako alternativa vlastnoručního podpisu je právně diskutabilní, nehledě na fakt, že tyto platformy negarantují, že s podporou petentů nebude manipulováno. Lze tak konstatovat, že