zákon č. 261/2021 Sb.

K částem první až páté, sedmé až sedmnácté, dvacáté až dvacáté osmé, třicáté až čtyřicáté osmé, padesáté první až padesáté deváté, šedesáté první až šedesáté osmé, sedmdesáté, sedmdesáté druhé až osmdesáté osmé, devadesáté, devadesáté druhé až sto první, sto třetí až sto osmé, sto desáté, sto dvanácté až sto dvacáté páté, sto dvacáté sedmé, sto třicáté až sto třicáté páté, sto třicáté sedmé až sto čtyřicáté druhé, sto čtyřicáté čtvrté a sto čtyřicáté páté, sto čtyřicáté sedmé a sto čtyřicáté osmé, sto padesáté až sto padesáté druhé a sto padesáté čtvrté

K čl. I až V, VII až XVII, XX až XXVIII, XXX až XLVIII, LI až LIX, LXI až LXVIII, LXX, LXXII až LXXXVIII, XC, XCIII až CII, CIV až CIX, CXI, CXIII až CXXVI, CXXVIII, CXXXI až CXXXVI, CXXXVIII až CXLIII, CXLV a CXLVI, CXLVIII a CXLIX, CLI až CLIII a CLV

Změny navrhované v dotčených zákonech souvisí se změnou dosavadní legislativní koncepce zakotvení právního titulu pro využívání údajů ze základních registrů a agendových informačních systémů spočívající v založení kompetence k využívání údajů jiným zákonem. Její naplňování nadměrně zatěžuje právní předpisy i legislativní proces (z poslední doby lze jmenovat například zákon č. 196/2017 Sb., kterým se mění některé zákony v oblasti průmyslového vlastnictví v souvislosti s využíváním údajů z informačních systémů veřejné správy, jehož jediným účelem bylo zakotvit do zákonů upravujících průmyslové vlastnictví využívání údajů z informačních systémů veřejné správy). Ustanovení o využívání údajů ze základních registrů a agendových informačních systémů veřejné správy se proto z příslušných zákonů vypouští.

Orgány veřejné moci budou i nadále oprávněny k využívání údajů, které jsou v současné době obsahem měněných ustanovení, avšak jejich oprávnění již nebude založeno zákonem, ale bude se odvíjet od registrace agendy a následné registrace orgánu veřejné moci pro výkon agendy v registru práv a povinností. Příslušný ústřední správní úřad coby ohlašovatel agendy ohlásí v rámci procesu registrace agendy údaje, které budou, po úspěšném ohlášení agendy a registraci orgánu veřejné moci pro výkon agendy, orgány veřejné moci využívat ze základních registrů či agendových informačních systémů, a to prostřednictvím informačního systému základních registrů nebo prostřednictvím informačního systému sdílené služby.

Cestou přechodných ustanovení k návrhu zákona o právu na digitální služby je zabezpečeno, že orgánům veřejné moci bude zachována kompetence využívat údaje z informačních systémů veřejné správy za dosavadních (technických) podmínek jejich poskytování a v rozsahu stanoveném zrušenými ustanoveními zákonů upravujících jednotlivé agendy, a to až do okamžiku, kdy ohlašovatel agendy dospěje k závěru, že je nutno rozsah modifikovat. Po této modifikaci bude orgán veřejné moci využívat údaje z informačních systémů veřejné správy v rozsahu stanoveném v registru práv a povinností.

K části šesté – změna zákona o právu petičním

K čl. VI (navrhovanému § 6a)

K sestavení petice, opatření podpisů občanů pod ni a doručení petice státnímu orgánu se navrhuje využití nástroje pro sestavování elektronických petic (systém ePetice), který bude jedním z modulů informačního systému správy voleb podle zákona o správě voleb. Dostupný bude též z portálu veřejné správy.

Elektronická petice bude muset obsahovat stejné náležitosti, které zákon o právu petičním stanovuje pro archy listinné petice. Fakticky však celá elektronická petice bude představovat jeden petiční arch. Pokud součástí elektronické petice nebude přímo text petice, bude potřeba ji označit tak, aby bylo zřejmé, jaká petice má být podpořena. Dále na ní bude potřeba uvést jméno, příjmení a bydliště (rozumí se adresa místa trvalého pobytu) toho, kdo petici sestavil, nebo toho, kdo zastupuje členy petičního výboru. Elektronický výstup z petice by pak měl obsahovat údaje o občanech, kteří petici podepsali, v rozsahu jména, příjmení a bydliště (rozumí se adresa místa trvalého pobytu). Veřejně přístupné však budou jen údaje identifikující petici a počet podpisů pod peticí.

Petenti se do systému ePetice přihlásí pomocí portálu veřejné správy a prostředku se zaručenou identitou alespoň na úrovni záruky značná. Přístupem se zaručenou identitou se přitom rozumí přístup do informačního systému veřejné správy či elektronické aplikace s využitím prostředku pro elektronickou identifikaci, při jehož vydání nebo v souvislosti s ním anebo v souvislosti s umožněním jeho využití byla totožnost osoby ověřena státním orgánem, orgánem územního samosprávného celku nebo orgánem veřejné moci, který není státním orgánem ani orgánem územního samosprávného celku, nebo který byl vydán v rámci kvalifikovaného systému elektronické identifikace [§ 2 písm. t) zákona o informačních systémech veřejné správy a o změně některých dalších zákonů]. Takovým prostředkem pro elektronickou identifikaci bude zejména občanský průkaz se strojově čitelnými údaji a s kontaktním elektronickým čipem. Aplikace po přihlášení petenta vygeneruje řádek obsahující jeho jména, příjmení a bydliště. Za tímto účelem vysloví petent prostřednictvím aplikace souhlas s tím, aby správce systému ePetice tyto údaje čerpal z příslušných informačních systémů veřejné správy (jde o postup předvídaný § 9 odst. 5 zákona o informačních systémech veřejné správy). Pro vyslovení podpory dané petici klikne petent na tlačítko „Podpořit petici“.

Po ukončení sběru podpisů na elektronické petici organizátor (totožný s tím, kdo elektronickou petici založil, případně osoba, kterou zakladatel poskytnutím přístupových údajů k tomuto úkonu oprávnil) uloží obsah petice do souboru a systém mu předá adresu souboru, v němž bude uložen obsah elektronické petice. Odkaz na úložiště takto vygenerované petice předkladatel petice předá nebo zašle (datovou schránkou, e-mailem nebo poštou) adresátovi petice a uvede údaje podle § 5 odst. 1 zákona o právu petičním o tom, kdo petici podává v rozsahu jméno, příjmení a bydliště (rozumí se adresa místa trvalého pobytu), popř. údaje o členech petičního výboru a osobě, která je oprávněna petiční výbor zastupovat ve styku se státními orgány.

Nevylučuje se, aby ten, kdo sbírá podpisy na petici pomocí systému ePetice, sbíral podpisy k téže petici i v listinné podobě. Znamená to, že při podání petice adresátovi se pak doručí vedle listinné petice i odkaz na elektronické úložiště téže elektronické petice.

Systém ePetice automaticky „ohlídá“, aby tutéž elektronickou petici nepodpořil stejný petent více než jedenkrát.

Předpokládá se, že uvedený postup elektronického sestavování petic by bylo možné použít i pro petice podle zákona o krajích a zákona o obcích, podle nichž mohou občané kraje/obce požadovat projednání určité záležitosti v oblasti samostatné působnosti, je-li žádost podepsána dostatečným počtem občanů kraje/obce, resp. fyzickou osobou, která dosáhla věku 18 let a vlastní na území kraje/obce nemovitost. V takovém případě by systém navíc ověřoval, zda petent splňuje podmínku občanství, věku a trvalého pobytu na území příslušného územního samosprávného celku.

Vzhledem k tomu, že pro sestavování elektronických petic bude využíván informační systém správy voleb, potažmo portál veřejné správy, jejichž správcem je Ministerstvo vnitra, je nutné, aby ministerstvo disponovalo oprávněním rozhodnutím znemožnit v nástroji další realizaci petice, která by odporovala ustanovení § 1 odst. 3 a 4 zákona o právu petičním, tj. pokud by zasahovala do nezávislosti soudu nebo vyzývala k porušování ústavy a zákonů, popírání nebo omezování osobních, politických nebo jiných práv občanů pro jejich národnost, pohlaví, rasu, původ, politické nebo jiné smýšlení, náboženské vyznání a sociální postavení, nebo k rozněcování nenávisti a nesnášenlivosti z těchto důvodů, anebo k násilí nebo hrubé neslušnosti. Neznamená to však, že by Ministerstvo vnitra předem posuzovalo přípustnost každé elektronické petice před tím, než bude založena. Ministerstvo bude sledovat vzniklé elektronické petice, a pokud dospěje k názoru, že některá z těchto petic odporuje § 1 odst. 3 a 4 zákona o právu petičním, technicky neumožní její další provádění. Nutno artikulovat skutečnost, že nepůjde o zrušení petice jako takové, ale o nemožnost její další realizace v rámci systému ePetice. Okruh účastníků, který bude o kroku ministerstva vyrozuměn, se omezuje na osobu, která elektronickou petici vytvořila, jakožto „pána“ petice. Vyrozumění mu bude zasláno prostřednictvím nástroje pro sestavování elektronických petic, což zajistí informování takřka obratem.

Ustanovení pracuje s pojmem „občan“, i přestože z čl. 18 Listiny základních práv a svobod vyplývá, že petiční právo může vykonávat „každý“, nikoli pouze osoba mající státní občanství České republiky. S ohledem na zachování integrity celého zákona a jeho terminologie se i v novele zákona o právu petičním termín „občan“ používá. Toto by však v praxi nemělo činit potíže, neboť se bude aplikovat čl. 42 odst. 3 Listiny základních práv a svobod. Tj. pokud dosavadní předpisy, mezi něž s ohledem na datum jeho vydání spadá i zákon o právu petičním, používají pojmu „občan“, rozumí se tím každý člověk, jde-li o základní práva a svobody, které Listina základních práv a svobod přiznává bez ohledu na státní občanství. Podle doktríny zastávané Ústavním soudem nemá novela právního předpisu samostatnou normativní existenci, nýbrž se po nabytí účinnosti stává součástí novelizovaného právního předpisu, tj. v daném případě zákona, na který se čl. 42 odst. 3 Listiny základních práv a svobod aplikuje. To znamená, že byť navrhovaná právní úprava bude přijata až po přijetí Listiny základních práv a svobod, stane se součástí právního předpisu přijatého před přijetím Listiny základních práv a svobod, což zajistí, že jí použitý pojem občan bude vykládán ve smyslu čl. 42 odst. 3 Listiny základních práv a svobod.

K části osmnácté – změna zákona o organizaci a provádění sociálního zabezpečení

K čl. XVIII bodu 1 (§ 11a)

V zákoně č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů, se navrhuje zrušit § 11a, a to s ohledem na novou koncepci legislativního zakotvení právního titulu pro využívání údajů ze základních registrů a agendových informačních systémů. Česká správa sociálního zabezpečení a další orgány sociálního zabezpečení budou i nadále oprávněny k využívání údajů, které jsou v současné době obsahem § 11a zákona č. 582/1991 Sb., avšak jejich oprávnění již nebude založeno § 11a zákona č. 582/1991 Sb., ale bude se odvíjet od registrace agendy sociálního zabezpečení a následné registrace orgánu sociálního zabezpečení pro výkon této agendy v registru práv a povinností (obě registrace již proběhly).

K čl. XVIII bodům 2 a 3 (§ 85 odst. 3 a 4)

Ze zákona č. 582/1991 Sb. se dále navrhuje vypustit povinnost dokládat vztah k dítěti rodným listem, neboť údaje v něm obsažené si okresní správa sociálního zabezpečení může zjistit z informačního systému evidence obyvatel, k využívání jehož údajů je oprávněna na základě § 11a odst. 3 zákona č. 582/1991 Sb. [písmeno j) citovaného ustanovení umožňuje orgánům sociálního zabezpečení využívat údaj o jménu, popřípadě jménech, příjmení, rodném příjmení, datu narození a rodném číslu u dítěte a osvojeného dítěte, písmeno m) pak umožňuje využívat u osvojení původní a nové jméno, popřípadě jména, příjmení osvojence, původní a nové rodné číslo osvojence, datum a místo narození osvojence, rodná čísla osvojitelů a datum nabytí právní moci rozhodnutí o osvojení nebo rozhodnutí o zrušení osvojení]. Rodný list se bude předkládat pouze v případech, kdy údaje o vztahu k dítěti nebude možné z informačního systému veřejné správy zjistit.

S ohledem na výše uvedené tedy není potřeba vyžadovat po žadateli o důchod dokládání skutečností, jejichž obstarání pro něj může být spojeno s určitými obtížemi (rodné listy svých dospělých dětí obvykle nemá žadatel ve svém držení). Na změnách, které se navrhují provést v § 85 odst. 3 a 4 zákona č. 582/1991 Sb., nemění nic ani skutečnost, že se navrhuje zrušení § 11a tohoto zákona, neboť oprávnění k přístupu se po přijetí navrhovaného zákona bude odvíjet od registrace k výkonu agendy.

K části devatenácté – změna zákona o bankách

K čl. XIX (§ 38ae odst. 2 a 4 až 7, § 38af odst. 2 písm. f) a § 38af odst. 7 a 8]

S ohledem na obecnou úpravu, kterou se umožňuje využívání údajů z informačních systémů veřejné správy soukromoprávními uživateli údajů prostřednictvím vlastního informačního systému, se navrhuje vypustit duplicitní ustanovení ze zákona o bankách. Úprava obsažená ve zrušovaném § 38ae odst. 2 bude obecně pro všechny soukromoprávní uživatele údajů obsažena v navrhovaném § 5a odst. 3 zákona o základních registrech, úprava obsažená ve zrušovaném § 38ae odst. 4 a 5 v navrhovaném § 62d zákona o základních registrech, úprava obsažená ve zrušovaném § 38ae odst. 6 v navrhovaném § 9 odst. 1 a § 10 odst. 1 zákona o základních registrech a konečně úprava obsažená ve zrušovaném § 38ae odst. 7 v navrhovaných změnách § 54 až 57 zákona o základních registrech. V případě § 38af odst. 7 je jeho obecnější paralelou § 5a odst. 5 ve spojení s § 5 odst. 3 zákona o základních registrech a v případě § 38af odst. 8 pak § 5a odst. 1 zákona o základních registrech.

Úprava § 38af odst. 2 písm. f) je reakcí na rozšíření množiny údajů vedených v základním registru obyvatel, kdy se nově povedou údaje i o jiných než elektronicky čitelných identifikačních dokladech.

K části dvacáté deváté – změna zákona o Ústavním soudu a k části osmdesáté deváté

– změna zákona o soudech a soudcích

K čl. XXIX (§ 25a) a čl. LXXXIX (§ 175a)

Rozšíření množiny referenčních údajů vedených v základním registru obyvatel se promítá i do rozsahu referenčních údajů, které z tohoto informačního systému veřejné správy budou moci Ústavní soud, respektive obecné soudy využívat. Reálně však nedochází k nárůstu údajů, které justiční orgány budou moci při výkonu své působnosti využívat, neboť k těmto údajům, avšak vedených v informačním systému evidence obyvatel a informačním systému cizinců, již přístup měly. Změna tak spočívá pouze v tom, že Ústavní soud a obecné soudy budou údaje čerpat z jiné databáze, tj. ze základního registru obyvatel.

K části čtyřicáté deváté – změna zákona o pobytu cizinců na území České republiky

K čl. XLIX bodu 1 [§ 160 odst. 2 písm. a)]

S ohledem na prodloužení doby uchovávání údajů v základním registru obyvatel, které bylo provedeno novelou zákona o základních registrech obsaženou v zákonu o právu na digitální služby, je potřeba promítnutí i v případě jeho zdrojového agendového systému, kterým informační systém cizinců je.

K čl. XLIX bodům 2 a 3 [§ 165a odst. 5 až 8 a § 167 odst. 5 až 8]

Zrušení uvedených ustanovení je promítnutím nové koncepce legislativního zakotvení právního titulu pro využívání údajů ze základních registrů a agendových informačních systémů.

K části padesáté – změna zákona o cestovních dokladech

K čl. L bodům 1 a 4 (§ 20 odst. 4 a § 30 odst. 3 až 5 a 14)

Navrhuje se zrušit § 30 odst. 3 až 5, a to s ohledem na novou koncepci legislativního zakotvení právního titulu pro využívání údajů ze základních registrů a agendových informačních systémů. Ministerstvo vnitra, Ministerstvo zahraničních věcí, zastupitelské úřady a obecní úřady obcí s rozšířenou působností jsou na základě výše uvedeného ustanovení oprávněny k využívání údajů ze základního registru obyvatel, z informačního systému evidence obyvatel a z informačního systému evidence občanských průkazů. Všechny tyto úřady budou i nadále oprávněny k využívání údajů, které jsou v současné době obsahem § 30 odst. 3 až 5, oprávnění k využívání údajů však bude nově založeno na registraci agendy a registraci orgánu veřejné moci pro výkon agendy v registru práv a povinností (i zde se navíc budou aplikovat přechodná ustanovení zmíněná v odůvodnění výše). Ze stejného důvodu se ruší také odstavec 14, který Ministerstvu vnitra zakládá oprávnění k využívání veškerých údajů z evidence diplomatických a služebních pasů. Dále se navrhuje zrušit § 20 odst. 4, podle kterého je zastupitelský úřad, s výjimkou konzulárního úřadu vedeného honorárním konzulárním úředníkem, pro účely plnění zákonem vymezených úkolů oprávněn k využívání údajů ze základního registru obyvatel, informačního systému evidence obyvatel, informačního systému evidence občanských průkazů a informačního systému evidence cestovních dokladů prostřednictvím Ministerstva zahraničních věcí.

K čl. L bodům 2, 3, 5 až 7 (§ 29 odst. 3, § 29a odst. 3, § 30 odst. 5 a § 30b odst. 1)

Legislativně-technické změny související se zrušením odstavců 3 až 5 v § 30.

K části šedesáté – změna zákona o evidenci obyvatel

K čl. LX bodům 1, 4 a 5 (§ 8 odst. 16 až 18, §13b odst. 4 a § 23a)

Mění se dosavadní koncepce legislativního zakotvení právního titulu pro využívání údajů vedených v základních registrech a agendových informačních systémech, podle které byla kompetence orgánu veřejné moci k využívání údajů založena zákonem o základních registrech nebo jiným právním předpisem. Orgány veřejné moci budou i nadále oprávněny k využívání údajů vedených v základních registrech a agendových informačních systémech, jejich oprávnění k využívání těchto údajů však již nebude založeno právním předpisem, ale bude spojeno s registrací agendy a následnou registrací orgánu veřejné moci pro výkon agendy v registru práv a povinností. Orgán veřejné moci tak coby ohlašovatel agendy ohlásí v rámci procesu registrace agendy údaje, které bude možné orgány registrovanými pro výkon v působnosti v agendě, po úspěšné registraci agendy a registraci orgánu veřejné moci pro výkon agendy, využívat ze základních registrů či agendových informačních systémů.

K čl. LX bodu 2 (§ 10 odst. 7)

Navrhuje se pro nadbytečnost zrušit povinnost informovat vlastníka objektu o údajích oprávněné osoby v případě, že oprávněná osoba je vlastníkem objektu podle věty druhé.

K čl. LX bodu 3 (§ 10 odst. 11)

Navrženou změnou se sjednocuje postup při vyžadování ověřeného podpisu zmocnitele na zvláštní plné moci stejně jako v případě § 8 odst. 8 věty třetí.

K části šedesáté deváté – změna zákona o matrikách, jménu a příjmení

K čl. LXIX bodům 1 a 2 (§ 84, 84a, 84b, 84d a 84e)

V souvislosti se zavedením nové koncepce legislativního zakotvení právního titulu pro využívání údajů ze základních registrů a agendových informačních systémů se navrhuje zrušit § 84 odst. 2, který opravňuje Ministerstvo vnitra, krajské úřady a matriční úřady k využívání údajů ze základního registru obyvatel. Dále se navrhuje zrušit § 84a, 84b, 84d a 84e, podle nichž jsou Ministerstvo vnitra, krajské úřady a matriční úřady oprávněny využívat údaje z informačního systému evidence obyvatel, registru rodných čísel, informačního systému cizinců, informačního systému evidence občanských průkazů či informačního systému evidence cestovních dokladů, popřípadě jsou s ustanoveními opravňujícími k využívání údajů úzce spjaty. Veškeré údaje budou tyto úřady oprávněny využívat i nadále, oprávnění k jejich využívání však bude nově založeno na registraci agendy a registraci orgánu veřejné moci pro výkon agendy v registru práv a povinností. Ministerstvo vnitra (coby ohlašovatel agendy) ohlásí v rámci procesu registrace agendy matrik údaje, které bude, po úspěšné registraci agendy a registraci výkonu v agendě možno zainteresovanými orgány veřejné moci pro výkon agendy využívat ze základních registrů či agendových informačních systémů, a to prostřednictvím informačního systému základních registrů nebo prostřednictvím informačního systému sdílené služby.

Cestou přechodných ustanovení k návrhu zákona o právu na digitální služby je zabezpečeno, že výše zmíněným správním orgánům bude zachována kompetence využívat údaje z uvedených informačních systémů veřejné správy za dosavadních (technických) podmínek jejich poskytování a v rozsahu stanoveném zrušenými ustanoveními, a to až do okamžiku, kdy ohlašovatel agendy dospěje k závěru, že je nutno rozsah modifikovat. Po této modifikaci bude správní orgán využívat údaje z informačních systémů veřejné správy v rozsahu stanoveném v registru práv a povinností.

K části sedmdesáté první – změna zákona o informačních systémech veřejné správy

K čl. LXXI bodu 1 [§ 2 písm. v)]

Pro účely zákona se definuje pojem „bezpečnostní úroveň“, což je činěno odkazem na zákon o kybernetické bezpečnosti (a tudíž i na jeho prováděcí předpisy). Tím se metodou přímé delegace „vtahuje“ právní úprava bezpečnostní úrovně obsažená v zákoně o kybernetické bezpečnosti, potažmo v připravované tzv. cloudové vyhlášce i na postupy podle zákona o informačních systémech veřejné správy, které s institutem bezpečnostní úrovně pracují (část první hlava VI ve znění novely obsažené v zákonu o právu na digitální služby).

K čl. LXXI bodu 1 [§ 2 písm. w) a x)]

Při přípravě implementace ustanovení zákona o informačních systémech veřejné správy týkajících se cloud computingu (část první hlava VI ve znění novely obsažené v zákonu o právu na digitální služby) byly identifikovány rozdílné pohledy na interpretaci pojmů „poptávka“ a „nabídka“. Konkrétně není zcela jasný vztah k právní úpravě zadávání veřejných zakázek, tj. zda zápis poptávky či nabídky do katalogu cloud computingu předchází zadání veřejné zakázky (což bylo smyslem úpravy části první hlavy VI ve znění novely obsažené v zákonu o právu na digitální služby), nebo zda zápisy poptávky či nabídky korespondují s příslušnými úkony v zadávacích řízeních. Definováním obou pojmů pro účely zákona o informačních systémech veřejné správy se tento interpretační spor odstraňuje.

Součástí pojmů je i kritérium, že nejde o poptávku či nabídku v rámci tzv. vertikální spolupráce, s níž je počítáno v § 6l písm. b). To ve svém důsledku znamená, že poptávky po využití cloud computingu, respektive nabídky cloud computingu v režimu tzv. vertikální spolupráce nebudou zapsány v katalogu cloud computingu, nebudou podléhat režimu § 6m až 6p (včetně posuzování nabídky Ministerstvem vnitra) a v tomto režimu využívaný cloud computing bude toliko v katalogu cloud computingu evidován (podle § 6q).

K čl. LXXI bodu 2 [§ 5 odst. 2 písm. c)]

Jedná se o ryze legislativně-technické sjednocení formulací s následujícím pododstavcem d).

K čl. LXXI bodu 3 (§ 5b odst. 2)

Povinnost stanovená orgánům a osobám, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti zákonem o kybernetické bezpečnosti, postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající cloud computing stanovených právě uvedeným zákonem se rozšiřuje metodou přímé delegace i na ty orgány veřejné správy ve smyslu zákona o informačních systémech veřejné správy, které stojí mimo režim zákona o kybernetické bezpečnosti. Tím bude zajištěno, že všechny orgány veřejné správy ve smyslu zákona o informačních systémech veřejné správy budou postupovat v oblasti využívání cloud computingu podle stejných bezpečnostních pravidel (jejichž obsah a rozsah stanoví vyhláška o kybernetické bezpečnosti). Metoda přímé delegace je před rozšířením působnosti zákona o kybernetické bezpečnosti preferována z toho důvodu, že není zájmem vztahovat veškerá pravidla obsažená v zákonu o kybernetické bezpečnosti na orgány veřejné správy ve smyslu zákona o informačních systémech veřejné správy a vytváření více množin působnosti zákona o kybernetické bezpečnosti by vedlo k jeho menší přehlednosti a srozumitelnosti.

K čl. LXXI bodu 4 (§ 6k odst. 1)

Změna je toliko legislativně-technickým promítnutím definování pojmů „nabídka“ a „poptávka“ v § 2.

K čl. LXXI bodu 5 (§ 6k odst. 2 a 3)

Pokud se jedná o odstavec 2, pro potřebu stanovit popis způsobu, jakým nabízený cloud computing umožňuje orgánu veřejné správy dodržet bezpečnostní pravidla pro orgány veřejné moci využívající služby cloud computingu podle zákona o kybernetické bezpečnosti, jediným neveřejným údajem, a tedy nutnost s ním pracovat jako s údajem vedeným v katalogu cloud computingu, již nelze ponechat stanovení údajů vedených v katalogu cloud computingu ryze na vyhlášce (řešení, kdy by zákon stanovil jediný údaj a ostatní ponechal na prováděcím předpisu, by bylo asymetrické), a proto se údaje vedené v katalogu cloud computingu na úrovni zákona stanoví druhově. Určitou vadu dosavadního řešení představuje i v zásadě neomezené zmocnění pro stanovení údajů vedených o poptávkách a nabídkách cloud computingu a využívaném cloud computingu v katalogu cloud computingu, zejména odvíjí-li se od něj obsah žádostí o zápis poptávky nebo nabídky cloud computingu do katalogu cloud computingu. I tuto vadu druhové stanovení údajů vedených v katalogu cloud computingu napravuje. Vyhláškou se následně určí konkrétní základní parametry cloud computingu. Identifikační údaje žadatele blíže stanovit třeba není, ponechávají se na správci katalogu cloud computingu, který se bude řídit zásadou minimalizace údajů (a formálně i rozsahem identifikačních údajů předpokládaných správním řádem).

Klíčovou věcnou změnu přináší odstavec 3, který nově stanoví popis způsobu, jakým nabízený cloud computing umožňuje orgánu veřejné správy dodržet bezpečnostní pravidla pro orgány veřejné moci využívající služby cloud computingu podle zákona o kybernetické bezpečnosti, neveřejným údajem. Tím se omezuje znalostní základna potenciálních útočníků. Popis způsobu, jakým nabízený cloud computing umožňuje orgánu veřejné správy dodržet bezpečnostní pravidla, bude nově hrát kruciální roli při posuzování způsobilosti nabízeného cloud computingu sloužit při provozování informačních systémů veřejné správy či elektronických aplikací orgánů veřejné správy.

Další věcnou změnou je možnost dočasného uchování historických údajů z katalogu cloud computingu v rámci informačního systému cloud computingu. Katalog je pojímán jako databáze obsahující aktuální údaje o poptávkách, nabídkách a využívaném cloudu. Jakmile je poptávka nebo nabídka stažena či je ukončeno využívání cloud computingu, údaje se z katalogu cloud computingu vymazávají. Je však žádoucí jejich uchování jako historických údajů např. z hlediska zpětného ověřování, zda byly splněny požadavky stanovené zákonem o informačních systémech veřejné správy v oblasti cloud computingu. Lhůta pěti let je obvyklou lhůtou pro uchovávání různých záznamů (vizte např. zákon o hazardních hrách či zákon na ochranu zvířat proti týrání). Údaje se navrhuje vést jako neveřejné, neboť nebyl identifikován žádný relevantní zájem na jejich veřejnost s tím, že se připouští jejich poskytnutí subjektům, které prokážou právní zájem.

K čl. LXXI bodu 6 (§ 6l)

V odstavci 1 se stanoví nová situace, kdy orgán veřejné správy může využívat cloud computing, který není zapsán jako nabídka v katalogu cloud computingu. Reflektuje se možnost tzv. vertikální spolupráce, tj. stavu, kdy orgán veřejné správy zřídí jemu podřízenou entitu, do jejíhož portfolia náleží i poskytování cloud computingu výlučně tomuto orgánu veřejné správy. V takovém případě nemá vedení poptávky nadřízeného orgánu veřejné správy po využití cloud computingu, která má být uspokojena podřízenou entitou, ani „nabídky“ této entity, která je určena výlučně nadřízenému orgánu veřejné správy, smysl. S ohledem na uzavřenost vertikálního vztahu a současně větší sepětí nadřízeného orgánu veřejné správy a podřízené entity poskytující mu cloud computing (nadřízený orgán veřejné správy entitu ovládá, má možnost ovlivnit její činnost, nadto si ji zřizuje za účelem poskytování cloud computingu) není ani účelné ex ante posuzování toho, zda poskytovaný cloud computing umožňuje dodržování bezpečnostních pravidel pro orgány veřejné moci využívající cloud computingu Ministerstvem vnitra, potažmo Národním úřadem pro kybernetickou a informační bezpečnost. Zvolí-li si proto orgán veřejné správy poskytnutí cloud computingu formou vertikální spolupráce, nese odpovědnost za adekvátní kvalitu využívaného cloud computingu sám. Je však potřeba podtrhnout, že povinnost postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle zákona o kybernetické bezpečnosti zůstává orgánu veřejné správy zachována, splnění této povinnosti však bude kontrolováno ex post.

Druhou věcnou změnou obsaženou v odstavci 1 je zmírnění dosavadní podmínky, že orgán veřejné správy může využívat pouze cloud computing, který je předmětem nabídky cloud computingu obsažené v katalogu cloud computingu. Výmazem nabídky z katalogu, což mohlo být učiněno i jednostranným úkonem poskytovatele cloud computingu, dosud nastává situace, kdy je orgán veřejné správy bezodkladně nucen využívání takového cloud computingu ukončit. Tato situace je krajně nežádoucí, neboť orgán veřejné správy je oproti poskytovateli cloud computingu v nevýhodném postavení (např. v souvislosti s požadavkem na dodatečnou úpravu smluvních podmínek využívaného cloud computingu). Tím, že se nově stanoví, že orgán veřejné správy může využívat cloud computing na základě nabídky cloud computingu zapsané v katalogu cloud computingu, se tato situace eliminuje. Nově tedy nebude relevantní, že po zahájení využívání cloud computingu byla nabídka tohoto cloud computingu z katalogu cloud computingu vymazána, důležité je, že byla zapsanou nabídkou v době výběru. Orgán veřejné správy tak bude moci využívat takový cloud computing do ukončení kontraktu s jeho poskytovatelem (obvyklá doba trvání takových kontraktů jsou 4 roky). To samozřejmě nebude platit v případě situace, kdy využívaný cloud computing přestane umožňovat orgánu veřejné správy plnit bezpečnostní pravidla pro využívání cloud computingu orgány veřejné moci. V takovém případě bude nutno přistoupit k ukončení využívání bez zbytečného odkladu.

Materie dosud obsažená v původním odstavci 2 se nově rozděluje mezi odstavce 2 a 3. Důvodem je skutečnost, že ustanovení o stanovení ceny za poskytnutí cloud computingu byla mylně vztahována toliko ke cloud computingu poskytovanému státním poskytovatelem cloud computingu. To však nebylo úmyslem, neboť pravidla o stanovení cen v řádných (dohodou, resp. akceptací nabídky) i mimořádných situacích (úředním stanovením, cenovým moratoriem) by měla platit i ve vztahu k nestátním poskytovatelům cloud computingu.

K čl. LXXI bodům 7 až 10 (§ 6m)

Pravidla zápisu poptávky cloud computingu do katalogu cloud computingu se výrazně modifikují. Aranžmá, které přináší novela zákona o informačních systémech veřejné správy obsažená v zákoně o právu na digitální služby, se ukazuje být z hlediska požadavků na odborné zkoumání kvality poptávek i nabídek jako příliš náročné. V rámci přípravy implementace těchto pravidel se ukázalo, že adekvátní posuzování poptávek i nabídek Ministerstvem vnitra a Národním úřadem pro kybernetickou a informační bezpečnost, nadto ve vymezené lhůtě 45 dnů není reálné a posuzování by bylo ryze formální. Bylo vyhodnoceno, že z hlediska bezpečnosti je stěžejní nikoliv poptávka cloud computingu, nýbrž nabídka cloud computingu. Proto se navrhuje upustit od posuzování kvality poptávek a zaměřit úsilí na kvalitu nabídek. Poptávky nově nebudou odborně zkoumány, což umožní výrazné zrychlení řízení o zápisu poptávky cloud computingu. V jeho rámci bude Ministerstvo vnitra postupem podle správního řádu posuzovat toliko splnění formálních náležitostí (de facto úplnost žádosti), k čemuž postačí navrhovaná lhůta 15 dnů.

Urychlení řízení o zápisu poptávky cloud computingu do katalogu cloud computingu umožní i požadavek strojově čitelného formátu, který se v rámci odstavce 2 stanoví pro žádost o zapsání poptávky do katalogu cloud computingu. Jeho naplňování zajistí snazší zpracování žádosti.

V rámci odstavce 3 se upouští i od dosavadní podmínky neduplicity poptávky. Důvodem je skutečnost, že není žádoucí, aby byly poptávky zohledňující individuální potřeby orgánu veřejné správy autoritativně modifikovány Ministerstvem vnitra. Namísto toho budou obdobné nabídky toliko sdružovány, tj. vedeny „vedle sebe“, což umožní poptávajícím koordinovaný postup, výměnu informací apod. a nabízejícím usnadní přehled o poptávkách.

K čl. LXXI bodu 11 (§ 6n odst. 2 a § 6p odst. 2)

Jednoznačně se stanoví komunikační kanál, jímž Ministerstvo vnitra bude činit příslušná vyrozumění. Dosavadní formulace totiž umožňovala alternativní závěr, že prostřednictvím informačního systému cloud computingu se provede výmaz poptávky cloud computingu, respektive nabídky cloud computingu (což tak samozřejmě bude), zatímco způsob vyrozumění je v dispozici Ministerstva vnitra.

K čl. LXXI bodům 12 až 15 (§ 6o)

V odůvodnění modifikací § 6m bylo zmíněno, že stěžejní z hlediska zajištění bezpečnosti provozování informačních systémů veřejné správy a elektronických aplikací orgánů veřejné správy bude kvalita nabízeného cloud computingu. Posuzování nabídek cloud computingu ze strany Ministerstva vnitra, potažmo Národního úřadu pro kybernetickou a informační bezpečnost tak bude hrát kruciální roli.

Původní 45denní lhůta není pro komplexní posouzení toho, zda nabízený cloud computing umožňuje orgánu veřejné správy naplnit bezpečnostní pravidla pro orgány veřejné moci využívající služby poskytovatelů cloud computingu, reálná. Jde o vysoce sofistikovaná hodnocení, jejichž výsledek rozhoduje o využitelnosti nabízeného cloud computingu k provozování informačního systému veřejné správy či elektronické aplikace, tedy klíčových nástrojů eGovernmentu. V odstavci 1 se tak stanoví lhůta odpovídající komplexnosti posuzování i zapojení dvou ústředních správních úřadů.

V odstavci 2 se jako prostředek umožňující urychlení vyřízení žádosti zakotvuje povinnost podat žádost elektronicky ve strojově čitelném formátu. Kruciálním podkladem pro posuzování bude dokumentace nabízeného cloud computingu a popis způsobu, jakým nabízený cloud computing umožňuje orgánu veřejné správy dodržet bezpečnostní pravidla pro orgány veřejné moci využívající služby cloud computingu, provázaný s touto dokumentací. Strukturu a obsah obou stanoví vyhláška Ministerstva vnitra. Dokumentace by měla být ne nepodobna provozní dokumentaci informačního systému veřejné správy.

Z hlediska obsahu hodnocení vhodnosti nabídky cloud computingu se upouští od posuzování toho, zda nabízený cloud computing splňuje kritéria pro zařazení do některé z bezpečnostních úrovní pro využívání cloud computingu orgány veřejné správy. Důvodem je fakt, ze zařazení do bezpečnostní úrovně se bude posuzovat z hlediska informačního systému veřejné správy, a to v rámci dlouhodobého řízení informačních systémů veřejné správy primárně ze strany orgánu veřejné správy [v tomto směru bude upravena vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy)]. Posuzování se tak zaměří, jak se navrhuje v novém znění odstavce 3, výlučně na to, zda nabízený cloud computing umožňuje orgánu veřejné správy dodržet bezpečnostní pravidla pro orgány veřejné moci využívající služby cloud computingu. Bude však hlubší, což umožní nové podklady (již zmíněná dokumentace cloud computingu a popis způsobu, jakým nabízený cloud computing umožňuje orgánu veřejné správy dodržet bezpečnostní pravidla pro orgány veřejné moci využívající služby cloud computingu).

Pravidla vyřizování žádostí o zápis poptávky, respektive nabídky do katalogu cloud computingu obsažená v odstavci 4 se precizují v tom smyslu, že je jednoznačně vymezen „vůdčí“ správní orgán, role Národního úřadu pro kybernetickou a informační bezpečnost by se měla „omezit“ na „spoluposuzování“ složitějších poptávek, respektive nabídek. Spolupůsobení úřadu bude logické zejména v situacích, kdy se nabídka cloud computingu bude zaměřovat na informační systémy veřejné správy, které budou významnými informačními systémy veřejné správy, eventuálně komponentami kritické informační infrastruktury. V souladu s § 27 zákona o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky (stanovícím, že ústřední správní úřady si navzájem vyměňují potřebné informace a podklady) Ministerstvo vnitra poskytne či zprostředkuje Národnímu úřadu pro kybernetickou a informační bezpečnost potřebné podklady a informace.

Úprava odstavce 5 je legislativně-technickým promítnutím redukce podmínek (nově bude pouze jedna podmínka).

K čl. LXXI bodům 16 až 19 (§ 6p)

Úprava odstavce 1 písm. b) je legislativně-technickou reakcí na úpravy § 6o odst. 3 a 4.

V případě odstavce 1 písm. c) se zmírňuje požadavek na omezené trvání každé nabídky cloud computingu. Aktuální omezení na 3 roky může znamenat komplikaci zejména pro poskytovatele cloud computingu, neboť ti budou muset co 3 roky požádat o zápis nabídky cloud computingu do katalogu cloud computingu, a tedy projít více než půlročním posuzováním nabídky ze strany Ministerstva vnitra, potažmo Národního úřadu pro kybernetickou a informační bezpečnost. Nově se navrhuje, aby byla platnost nabídky co 3 roky poskytovatelem cloud computingu potvrzována, teprve v případě nepotvrzení by došlo k jejímu výmazu z katalogu cloud computingu. To nic nemění na tom, že nabídka po celou dobu jejího zápisu v katalogu cloud computingu bude muset být způsobilá k tomu, aby umožnila orgánu veřejné správy, který ji využívá či hodlá využít, splnit bezpečnostní pravidla pro využívání cloud computingu orgány veřejné moci podle zákona o kybernetické bezpečnosti.

Nový odstavec 2, podobně jako § 6o odst. 4, modifikují roli Národního úřadu pro kybernetickou a informační bezpečnost v oblasti posuzování trvání toho, že nabízený cloud computing umožňuje orgánu veřejné správy dodržet bezpečnostní pravidla pro orgány veřejné moci využívající služby cloud computingu. I zde by měl úřad figurovat toliko v případě komplikovanějších posuzování. Samozřejmě není vyloučeno, aby poznatky o tom, že nabízený cloud computing již neumožňuje orgánu veřejné správy dodržet bezpečnostní pravidla pro orgány veřejné moci využívající služby cloud computingu, získal při své činnosti primárně Národní úřad pro kybernetickou a informační bezpečnost. Ten je pak v souladu s § 27 zákona o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky (stanovícím, že ústřední správní úřady si navzájem vyměňují potřebné informace a podklady) nebo § 25 odst. 4 kontrolního řádu (stanovícím, že kontrolní orgán předá svá zjištění o nedostatcích příslušnému orgánu, který je oprávněn ve své působnosti činit opatření k nápravě zjištěného stavu nebo ukládat sankce za zjištěné nedostatky) povinen poskytnout příslušná zjištění Ministerstvu vnitra, které po vyhodnocení přistoupí k výmazu nabídky.

Novým odstavcem 5 se sleduje zlepšení informovanosti orgánů veřejné správy o pro ně klíčovém údaji o výmazu cloud computingu z katalogu cloud computingu. Do jisté míry souvisí s modifikací § 6l odst. 1 písm. a) a novou podmínkou využívat pouze cloud computing na základě nabídky zapsané v katalogu cloud computingu.

K čl. LXXI bodu 20 (označení hlavy X)

Jedná se ryze o legislativně-technickou úpravu, kterou se vyčleňuje úprava některých pravidel součinnosti provozovatelů informačních systémů veřejné správy z hlavy IX o kontaktních místech veřejné správy, kam organicky nepatří.

K čl. LXXI bodům 21 a 22 (§ 9e)

Úpravy odstavců 3 a 4 jsou reakcí na aktuální projednávání tzv. likvidační vyhlášky v legislativních orgánech vlády. Ty poukazují na duplicitu tzv. likvidační vyhlášky a ustanovení o likvidaci dat ve vyhlášce o kybernetické bezpečnosti. Cestou této úpravy bude způsob likvidace dat upravený v zákoně o kybernetické bezpečnosti, potažmo jeho vyhlášce o kybernetické bezpečnosti „vztažen“ metodou přímé delegace i na orgány veřejné správy ve smyslu zákona o informačních systémech veřejné správy, kterým se neukládají povinnosti v oblasti kybernetické bezpečnosti zákonem o kybernetické bezpečnosti.

Současně se reaguje na skutečnost, že při některých metodách provozování informačních systémů veřejné správy je z povahy věci vyloučen dohled nad likvidací kopií dat a provozních údajů. Proto se v tomto duchu stanoví výjimka z povinnosti provozovatele dohled umožnit.

K čl. LXXI bodům 23 až 25 (§ 12)

Úpravy v odstavci 1 jsou promítnutím změn navrhovaných v § 6k a 6o (zejména v jejich odstavcích 2). Rozšiřuje se a současně se upřesňuje zmocnění pro vyhlášku Ministerstva vnitra. Naopak zrušení odstavce 2, a tedy zrušení zmocnění pro vydání vyhlášky, je reakcí na úpravu § 9e odst. 3.

K části devadesáté první – změna zákona o zbraních

K čl. XCI bodu 1 (§ 73a odst. 5 a 6)

Navrhuje se změnit způsob zabezpečeného a ověřeného přihlašování externích uživatelů při vstupu do centrálního registru zbraní. V současnosti jsou ke vstupu do on-line aplikace centrálního registru zbraní vyžadovány přihlašovací údaje, které držiteli zbrojní licence, respektive obecné muniční licence a osobám jimi pověřeným vydává Policie České republiky coby správce centrálního registru zbraní. K přihlášení je dále dle vyhlášky o provedení některých ustanovení zákona o zbraních vyžadován certifikát vydaný kvalifikovaným poskytovatelem služeb vytvářejících důvěru. Tento způsob přihlašování se v rostoucí míře jeví jako nevyhovující, neboť na jedné straně certifikáty mají pouze omezenou platnost a jejich vydávání je zpoplatněno (čímž dochází k periodicky opakované zátěži uživatelů centrálního registru zbraní), a na straně druhé je příslušný modul centrálního registru zbraní (na rozdíl od zbytku centrálního registru zbraní, který je programován přímo v rámci Policie České republiky) řešen dodavatelsky, což vede k nižší pružnosti řešení případných problémů či požadavků na změny systému.

Dle návrhu by měl být základním prostředkem přístupu do centrálního registru zbraní přístup se zaručenou identitou s využitím občanského průkazu se strojově čitelnými údaji a kontaktním elektronickým čipem. Správci centrálního registru zbraní se ponechává též možnost zřídit jiné formy přístupu, a to zejména s ohledem na další možnosti rozvoje eGovernmentu při současném zohlednění kapacitních možností správce. V praxi by šlo zejména o využití dalších služeb národní identitní autority (eIdentita). Policie coby správce centrálního registru zbraní by tak napříště přístupové údaje externím uživatelům nevydávala, ale pouze by umožňovala konkrétním osobám přístup do centrálního registru zbraní s využitím jejich zaručené identity.

K čl. XCI bodu 2 (§ 73b)

Reflektuje se změna dosavadní koncepce legislativního zakotvení právního titulu pro využívání údajů vedených v základních registrech a agendových informačních systémech, podle které byla kompetence orgánu veřejné moci k využívání údajů založena zákonem o základních registrech nebo jiným právním předpisem. Orgány veřejné moci budou i nadále oprávněny k využívání údajů vedených v základních registrech a agendových informačních systémech, jejich oprávnění k využívání těchto údajů však již nebude založeno právním předpisem, ale bude spojeno s registrací agendy a následnou registrací orgánu veřejné moci pro výkon agendy v registru práv a povinností. Příslušný ústřední správní úřad coby ohlašovatel agendy (v daném případě Ministerstvo vnitra) ohlásí v rámci procesu registrace agendy údaje, které bude možné orgány registrovanými pro výkon v působnosti v agendě (v daném případě Policie České republiky), po úspěšné registraci agendy a registraci orgánu veřejné moci pro výkon agendy, využívat ze základních registrů či agendových informačních systémů.

K čl. XCII (přechodné ustanovení)

Za účelem bezproblémového přechodu na nový systém přihlašování se navrhuje po přechodné období 12 měsíců ponechat paralelně s tímto novým systémem též dosavadní systém přihlašování prostřednictvím přihlašovacích údajů vydávaných Policií České republiky a certifikátu. Tím se podnikatelským subjektům umožní též využít platných certifikátů (tyto jsou obvykle vydávány s platností 1 roku).

K části sto druhé – změna zákona o uznávání odborné kvalifikace

K čl. CIII

S ohledem na novou legislativní koncepci zakotvení právního titulu pro využívání údajů ze základních registrů a agendových informačních systémů se ze zákona vypouští § 28a s výjimkou poslední věty odstavce 2. Ta obsahuje zmocnění pro Ministerstvo školství mládeže a tělovýchovy k ověření totožnosti žadatele o evropský profesní průkaz na žádost jiných uznávacích orgánů.

K části sto deváté – změna zákona o archivnictví a spisové službě

K čl. CX bodům 1 až 3 [§ 37, § 38 odst. 1 písm. c) a § 38a]

Navrhuje se zrušit § 37 odst. 4 až 9 a § 38a zákona o archivnictví a spisové službě, a to s ohledem na novou koncepci legislativního zakotvení právního titulu pro využívání údajů ze základních registrů a agendových informačních systémů. Příslušné orgány jsou podle uvedených ustanovení oprávněny k využívání údajů ze základních registrů a agendových informačních systémů. Veškeré údaje jsou tyto orgány oprávněny využívat i nadále, oprávnění k jejich využívání však bude nově založeno na registraci agendy archivnictví a spisové služby a registraci orgánu veřejné moci pro výkon této agendy v registru práv a povinností. Ministerstvo vnitra (coby ohlašovatel agendy) ohlásí v rámci procesu registrace agendy údaje, které bude, po úspěšném ohlášení agendy a registraci orgánu veřejné moci pro výkon agendy, možno využívat ze základních registrů či agendových informačních systémů, a to prostřednictvím informačního systému základních registrů nebo prostřednictvím informačního systému sdílené služby. Pro úplnost lze dodat, že archivy (včetně soukromoprávních) jsou prostřednictvím novely zákona o základních registrech obsažené v rámci zákona o právu na digitální služby nově zahrnuty mezi orgány veřejné moci ve smyslu zákona o základních registrech a jako takové budou podléhat režimu právě zmíněného zákona.

Změna provedená v § 38 odst. 1 písm. c) je legislativně-technického charakteru.

K čl. CX bodům 4 a 5 (§ 64 odst. 4, § 64 odst. 5 úvodní část ustanovení a § 64 odst. 6)

Doplnění upřesňujícího spojení „a u nichž původce shledal potřebu jejich zaznamenání ve jmenném rejstříku“ je nutné proto, že stávající znění zákona o archivnictví a spisové službě neomezuje rozsah osob, jejichž údaje se povinně vedou ve jmenném rejstříku. Z tohoto důvodu zůstává zachována povinnost uvádět ve jmenném rejstříku vždy údaje o osobách, které jsou odesílateli nebo adresáty, zatímco v ostatních případech se ponechává na uvážení původce dokumentů vést ve jmenném rejstříku údaje o dalších osobách, o nichž dokument obsahuje informaci. To se netýká případů, kdy jiný právní předpis takovou povinnost stanovuje.

K čl. CX bodům 6 až 8 [§ 64 odst. 5 písm. e), f) a g)]

Zrušením stávajícího spojení „pokud byl určeným původcem přidělen“ se sleduje zpřesnění formulace, neboť toto spojení je nadbytečné (dokumentu či spisu je vždy přidělen bezvýznamový identifikátor pro potřeby výkonu spisové služby typu čísla jednacího, spisové značky apod.). Doplnění nového písmene g) s požadavkem na uvádění čísla jednacího dokumentu nebo spisové značky spisu, v němž se údaj evidovaný ve jmenném rejstříku vyskytuje, je nutné pro zpětné vyhledávání dokumentů či spisů jak pro vlastní potřebu původce dokumentu či spisu (vyhledávání dokumentů či spisů souvisejících), tak pro zpracování dotazů fyzických nebo právnických osob.

K čl. CX bodu 9 (§ 64 odst. 7)

Stanovuje se maximálně tříletá ukládací lhůta a zpřesňuje se postup při vyřazování údajů vedených ve jmenném rejstříku v elektronické podobě o osobě poté, kdy všechny dokumenty nebo spisy, v nichž byly její údaje uvedeny, byly vyřazeny ve skartačním řízení a poté buď předány příslušnému archivu k trvalému uložení, nebo byly zničeny.

K čl. CX bodu 10 (§ 64 odst. 8)

V souvislosti se změnou pojetí jmenného rejstříku jako obligatorní součásti elektronického systému spisové služby, ve kterém se povinně vedou údaje o adresátech a odesílatelích dokumentů vymezené v odstavcích 5 a 6, a zejména se změnou koncepce legislativního zakotvení právního titulu pro využívání údajů vedených v informačních systémech veřejné správy provedenou zákonem o právu na digitální služby se odstavec 8 ukazuje být jako neodůvodněně limitující, neboť omezuje zdroje údajů potřebných k vedení jmenného rejstříku toliko na spis, a vylučuje tak například údaje vedené v informačních systémech veřejné správy.

K čl. CX bodu 11 (§ 78 odst. 3)

Stávající ustanovení § 78 odst. 3 zákona o archivnictví a spisové službě je formulováno jen pro dokumenty v analogové podobě. V prostředí elektronických systémů pro vedení spisové služby a samostatných evidencí vedených rovněž v elektronické podobě je informace, která byla vedena ve spisové službě vykonávané v listinné podobě (v podacím deníku), již vedena elektronicky v elektronickém systému spisové služby a je mj. součástí metadat dokumentu v digitální podobě, za jejichž vyplnění a validitu odpovídá původce dokumentu. Z tohoto důvodu se navrhuje rozšířit ustanovení, podle něhož archivy nejsou povinny ověřovat pravdivost obsahu archiválií, navíc o metadata archiválií v digitální podobě. Beze změny zůstává zásada, že archiv odpovídá za uchování archiválie v podobě, v níž mu byla předána, nikoliv za její obsah; to je věcí interpretace uživatelem informace v archiválii obsažené, případně badatelem.

K čl. CX bodu 12 (bod 14 přílohy č. 2)

Stávající koncept digitální kontinuity dokumentu v digitální podobě vychází z existence validního dokumentu, v případě orgánů veřejné moci opatřeného kvalifikovaným elektronickým podpisem a kvalifikovaným časovým razítkem, umístěného v uzavřeném prostředí elektronické spisové služby. Pro toto elektronické prostředí jsou od roku 2009 definovány parametry v národním standardu pro elektronické systémy spisové služby a digitální kontinuita se opírá v případě elektronického dokumentu platně podepsaného v daném čase o transakční protokol. Ten je podle národního standardu chápán jako důvěryhodný zápis informací o operacích provedených v elektronickém systému spisové služby, které ovlivnily nebo změnily entity nebo samu elektronickou spisovou službu. Tyto informace umožňují dohledání, identifikaci, rekonstrukci a kontrolu těchto operací, stavu entit v minulosti a činnosti uživatelů.

Transakční protokol byl uveden v původním národním standardu v části 4.2.17 se skartačním znakem „A“. V aktuálním národním standardu sice byla pasáž o skartačním znaku vypuštěna, nicméně jeho zařazení do přílohy č. 2 zákona o archivnictví a spisové službě posiluje jeho roli na poli digitální kontinuity, neboť jde o základní nástroj pro prokázání neporušenosti a identity dokumentu v elektronické podobě.

K části sto jedenácté – změna branného zákona

K čl. CXII bodu 1 (§ 31b)

Ministerstvo obrany je na základě § 31b odst. 1 zákona č. 585/2004 Sb., branný zákon, ve znění pozdějších předpisů, oprávněno využívat údaje ze základního registru obyvatel. V taxativním výčtu těchto údajů ovšem absentují údaje o úmrtí osoby, které jsou nezbytné pro naplnění principů odpovědnosti vyplývajících z výkonu branné povinnosti a pro bezproblémové zajišťování potřeb ozbrojených sil a obrany České republiky. Účinnost tohoto ustanovení bude omezena na přechodnou dobu od 1. ledna 2021 do 1. února 2022, kdy bude § 31b zrušen (čl. CXI bod 2).

K čl. CXII bodu 2 (§ 31b)

Navrhuje se zrušit § 31b branného zákona, a to s ohledem na novou koncepci legislativního zakotvení právního titulu pro využívání údajů ze základních registrů a agendových informačních systémů. Ministerstvo obrany je podle § 31b oprávněno k využívání údajů ze základních registrů a agendových informačních systémů. Veškeré údaje bude Ministerstvo obrany oprávněno využívat i nadále, oprávnění k jejich využívání však bude nově založeno na registraci agendy a registraci orgánu veřejné moci pro výkon agendy v registru práv a povinností.

K části sto dvacáté šesté – změna zákona o elektronických úkonech a autorizované konverzi dokumentů

K čl. CXXVII (§ 18a odst. 2)

Okamžik doručení dokumentu doručovaného podle § 18a zákona o elektronických úkonech a autorizované konverzi dokumentů, tj. v režimu tzv. soukromoprávní komunikace, se nově stanovuje shodně s okamžikem doručení dokumentu doručovaného podle § 17 téhož zákona. Dokument bude doručen okamžikem, kdy se do datové schránky přihlásí osoba, která má s ohledem na rozsah svého oprávnění přístup k dodanému dokumentu, a nepřihlásí-li se do datové schránky taková osoba ve lhůtě 10 dnů ode dne, kdy byl dokument dodán do datové schránky, poslední den této lhůty. Pro určení okamžiku doručení veřejnoprávních i soukromoprávních dokumentů prostřednictvím datové schránky tak budou platit stejná pravidla.

K části sto dvacáté osmé – změna zákona o základních registrech

K čl. CXXIX bodu 1 [§ 1 písm. c)]

Tímto návrhem zaváděnou možnost soukromoprávních uživatelů údajů využívat údaje z informačních systémů veřejné správy prostřednictvím jejich vlastních informačních systémů (tzv. soukromoprávních systémů pro využívání údajů) je potřeba zohlednit v předmětu zákona, neboť podmínky sdílení údajů vedených v informačních systémech veřejné správy s informačními systémy soukromoprávních uživatelů údajů budou nově představovat významnou materii upravovanou zákonem o základních registrech, a je proto žádoucí, aby došlo k její artikulaci.

K čl. CXXIX bodu 2 [§ 2 písm. g) a h)]

V definicích informačního systému základních registrů a informačního systému sdílené služby (tzv. eGON service bus) je nutno zohlednit fakt, že budou zabezpečovat též sdílení údajů ve vztahu k informačním systémům soukromoprávních uživatelů, konkrétně tzv. soukromoprávním systémům pro využívání údajů.

K čl. CXXIX bodům 3, 7 a 9 [§ 4 odst. 2, § 5 odst. 5 a § 5b odst. 1]

Prováděné změny jsou pouze legislativně-technického charakteru. V případě § 4 odst. 2 se upřesňuje, o jaký typ údajů jde, dále se napravuje nejednotnost terminologie týkající se referenčních údajů. Rovněž v případě § 5 odst. 5 jde o upřesnění, jaký údaj se má na mysli. Konečně v § 5b odst. 1 se sjednocuje terminologie ve prospěch v zákonu nejrozšířenější formulace.

K čl. CXXIX bodu 4 [§ 4 odst. 3]

Prováděná změna je pouze legislativně-technického charakteru a jejím smyslem je odstranit duplicitu s § 5 odst. 5.

K čl. CXXIX bodům 5 a 6 [§ 4 odst. 6 a 7]

Prováděné změny jsou pouze legislativně-technického charakteru. V první řadě souvisejí s vytvořením vhodnější vazby na definici referenčního údaje v § 2 písm. b). Podle ní je definičním znakem referenčního údaje to, že je veden v základním registru. Proto jsou doušky „vedený v základním registru“ ve vazbě na referenční údaj v textu zákona nadbytečné. Terminologie se dále upřesňuje s ohledem na fakt, že referenčnost je přísně vzato vlastností referenčního údaje, nikoliv jeho zápisu. Konečně, podobně jako v § 4 odst. 2, se v zájmu eliminace jakýchkoliv výkladových potíží upřesňuje, o nesprávnost jakého údaje jde.

K čl. CXXIX bodu 8 [§ 5a odst. 3]

Jedná se o klíčovou změnu ve způsobu, jakým mohou soukromoprávní uživatelé údajů využívat údaje z informačních systémů veřejné správy. Doposud tak lze činit výlučně prostřednictvím agendového informačního systému, tj. informačního systému veřejné správy. Této cesty se však v praxi příliš neužívá (toliko v případě pojišťoven), neboť je spojena s vyššími náklady a konečně i s vyšší odpovědností na straně orgánů veřejné moci. Naopak soukromoprávní uživatelé údajů preferují využívání vlastních platforem, a proto se nově připouští tato možnost. Současně se však ponechává v mírně modifikované podobě i dosavadní možnost využít k čerpání údajů z informačních systémů veřejné správy soukromoprávními uživateli údajů agendového informačního systému. V zájmu vyšší operativnosti by již takový systém neměl být stanoven zákonem, nýbrž ohlašovatelem agendy. Je nutno podtrhnout, že bude právě na ohlašovateli konkrétní agendy, zda bude v této agendě preferovat využívání údajů z informačních systémů veřejné správy cestou agendového informačního systému nebo informačního systému soukromoprávního uživatele údajů. Kritériem pro jeho rozhodování by měl být zejména charakter využívaných údajů a množství a charakter soukromoprávních uživatelů údajů v agendě (při jednotkách až desítkách soukromoprávních uživatelů údajů s adekvátním ekonomickým zázemím nebude efektivní budovat agendový informační systém).

Větou druhou se v zájmu usnadnění interpretace vztahu nových pravidel s již účinnými pravidly upravujícími další možnosti využívání údajů soukromoprávními uživateli jednoznačně deklaruje autonomie těchto pravidel, respektive způsobů. Využívání údajů podle pravidel, na které je odkazováno, tak bude nadále realizováno stejnými technologiemi, tj. mimo rámec agendového informačního systému určeného ohlašovatelem agendy nebo informačního systému soukromoprávního uživatele údajů.

Konečně třetí větou se stanoví povinnost soukromoprávních uživatelů údajů zajistit kompatibilitu svých systémů s tzv. referenčním rozhraním, jehož prostřednictvím vždy dochází k sdílení údajů vedených v informačních systémech veřejné správy. Soukromoprávní uživatelé údajů tak budou muset využít příslušných pasáží provozní dokumentace informačního systému základních registrů či informačního systému sdílené služby k nabytí adekvátních znalostí o těchto systémech a jejich konektivitě.

K čl. CXXIX bodům 10 až 12 [§ 7 odst. 2 písm. c), d) a e)]

Návrhem zaváděnou možnost soukromoprávních uživatelů údajů využívat při sdílení údajů z informačních systémů veřejné správy vlastních informačních systémů je nutno promítnout do portfolia úkolů Správy základních registrů v oblasti zajišťování vazeb mezi informačními systémy.

K čl. CXXIX bodům 13, 15 až 17 [§ 7 odst. 2 písm. k) a § 8 odst. 6 a 7]

Nově se zřizuje centrální služba pro vyrozumívání o změnách údajů, které se vedou v informačním systému veřejné správy o subjektu údajů vedeném v základním registru. Tuto službu budou moci využít i správci agendových informačních systémů pro notifikování změn údajů o subjektech vedených v základním registru. U subjektů, které nejsou vedeny v základních registrech, bude muset správce agendového informačního systému zajistit notifikování cestou vlastní služby. Centrální službu pro vyrozumívání o změnách údajů bude zajišťovat Správa základních registrů.

K čl. CXXIX bodu 14 [§ 7 odst. 4 až 7]

Změny v uvedených odstavcích jsou ryze legislativně-technického charakteru. Souvisejí s preferencí formulací hovořících o údajích ze základních registrů a agendových informačních systémů jako o „využívaných“ spíše než „poskytovaných“ v zákonu o základních registrech i jiných právních předpisech a o „využívání údajů“ před „přístupem k údajům“, což jsou v zákonu o základních registrech vždy synonyma. V tomto smyslu je žádoucí užívat namísto spojení „záznam o přístupu“ spojení „záznam o využívání“ [zákon o základních registrech vykazuje v tomto ohledu jistou terminologickou nejednotnost (srovnejte např. ve vztahu k § 18 odst. 5 a § 19 odst. 5), což je dáno tím, že je výsledkem spojení původně čtyř samostatných návrhů zákonů připravovaných třemi ústředními správními úřady cestou pozměňovacího návrhu připravovaného ve velmi omezeném čase].

K čl. CXXIX bodu 18 [§ 8a]

Tímto návrhem zaváděnou možnost soukromoprávních uživatelů údajů využívat údaje z informačních systémů veřejné správy prostřednictvím jejich vlastních informačních systémů (tzv. soukromoprávních systémů pro využívání údajů) je potřeba promítnout i v podobě nových povinností soukromoprávních uživatelů údajů v oblasti zajišťování příslušných vazeb jejich systémů na informační systém základních registrů, respektive informační systém sdílené služby. V zásadě jde o stejná pravidla, jaká platí pro správce agendových informačních systémů. Výjimkou je toliko to, že soukromoprávní uživatelé údajů nebudou povinni zavést mechanismus opravy nesprávného údaje a zajistit službu vyrozumívání o změně údaje. To je dáno tím, že jejich informační systém přísně vzato nebude databázový systém jako většina agendových informačních systémů (minimálně z hlediska regulace zákonem o základních registrech), nýbrž toliko nosič, který zajistí transfer údajů ze sféry orgánu veřejné moci do sféry soukromoprávního uživatele údajů.

K čl. CXXIX bodům 19 a 21 (§ 9 odst. 1 a § 10 odst. 1)

Protože soukromoprávní uživatelé údajů působící v agendě představují méně homogenní skupinu než orgány veřejné moci a jejich agendy nejsou hierarchicky uspořádány jako agendy orgánů veřejné moci a sjednocovány nějakým vrcholovým orgánem (fakticky mohou být vykonávány různými metodami), platí u nich vyšší potřeba odlišení jednotlivých fyzických osob, které jsou objektem agendy. V agendách soukromoprávních uživatelů údajů nadto ani neexistuje společný „agendový“ informační systém, v němž by byly o těchto fyzických osobách vedeny příslušné údaje. Proto se v případě agend soukromoprávních uživatelů údajů, na rozdíl od agend orgánů veřejné moci, vyžaduje při tvorbě agendového identifikátoru fyzické osoby i identifikátor soukromoprávního uživatele údajů.

K čl. CXXIX bodu 20 (§ 9 odst. 3)

Kromě legislativně-technického promítnutí zaváděné možnosti soukromoprávních uživatelů údajů využívat při sdílení údajů z informačních systémů veřejné správy vlastních informačních systémů v příslušných ustanoveních, kdy se na soukromoprávního uživatele údajů vztahují v zásadě stejná pravidla jako na orgán veřejné moci, se napravuje, podobně jako v případě § 7 odst. 4 až 7, nejednotnost formulací.

K čl. CXXIX bodům 22 až 25 [§ 10 odst. 6 a 7 a § 11 odst. 1 písm. b)]

Jedná se o legislativně-technické promítnutí zaváděné možnosti soukromoprávních uživatelů údajů využívat při sdílení údajů z informačních systémů veřejné správy vlastních informačních systémů v příslušných ustanoveních.

K čl. CXXIX bodu 26 (nadpis § 14)

V nadpisu se zohledňuje, že paragraf neupravuje toliko ověřené výstupy.

K čl. CXXIX bodům 27 až 29 (§ 14 odst. 2 až 4)

Jedná se o legislativně-technické sjednocení formulací užívaných v zákonu o základních registrech. Dochází rovněž k odstranění možnosti alternativního zužujícího výkladu, že by záznam obsahoval pouze vnitřní operace s údaji (§ 14 odst. 4).

K čl. CXXIX bodu 30 (§ 14 odst. 5 a 6)

Vzhledem k obsahu definice referenčního údaje v § 2 písm. b) je sousloví „v základním registru“ v odstavci 5 a 6 nadbytečné (to, že je referenční údaj veden v základním registru, je definiční znak), dochází proto k jeho odstranění.

K čl. CXXIX bodu 31 [§ 18 odst. 1 úvodní části ustanovení a § 26 odst. 2 úvodní část ustanovení]

Jedná se o legislativně-technickou formulační úpravu.

K čl. CXXIX bodům 32 a 33 [§ 18 odst. 1 písm. j), § 18 odst. 3, § 21, § 56a odst. 3 písm. a) bod 3, § 58 odst. 4 písm. c), § 58 odst. 5, § 58a odst. 3 písm. c) a § 59 odst. 2 písm. d) bod 3]

V základním registru obyvatel se nově povedou identifikační údaje i těch identifikačních dokladů, které nejsou strojově čitelné (typicky „dočasný“ občanský průkaz). Tím bude zajištěna vyšší komplexnost údajů o těchto dokladech.

K čl. CXXIX bodům 34, 35, 38 a 39 [§ 18 odst. 5 písm. a) a b) a § 19 odst. 5 písm. b) a e)]

Jedná se o legislativně-technické sjednocení formulací, eventuálně i zohlednění zaváděné možnosti soukromoprávních uživatelů údajů využívat při sdílení údajů z informačních systémů veřejné správy vlastních informačních systémů.

K čl. CXXIX bodům 36 a 40 [§ 19 odst. 3 a 6 a § 23 odst. 2]

Jedná se o legislativně-technickou změnu reflektující fakt, že slovo „agendového“ není součástí názvu daného informačního systému veřejné správy.

K čl. CXXIX bodu 37 [§ 19 odst. 5 písm. a)]

Jedná se o legislativně-technickou změnu související se zaváděnou možností soukromoprávních uživatelů údajů využívat při sdílení údajů z informačních systémů veřejné správy vlastních informačních systémů nebo se sjednocováním formulací (preference formulací hovořících o „využívaných“ údajích, nikoli „poskytovaných“ údajích).

K čl. CXXIX bodům 41 a 42 [§ 38 odst. 1 písm. d) a e)]

Navrhuje se zařazení technickoekonomických atributů stavebních objektů mezi referenční údaje vedené v registru územní identifikace, adres a nemovitostí. Zařazení těchto atributů mezi referenční údaje povede ke zvýšení kvality datového fondu registru a zároveň bude sloužit jako spolehlivý administrativní zdroj dat pro sčítání lidu, domů a bytů, pro vytváření průřezových statistik o kvalitě domovního fondu či jako podklad pro daňová přiznání. Údaj o měsíci a roku dokončení bude veden o všech stavebních objektech, ostatní údaje se nadále povedou pouze o stavebních objektech, kterým bylo přiděleno číslo popisné nebo evidenční.

K čl. CXXIX bodu 43 [§ 39 odst. 1]

Jedná se o legislativně-technickou úpravu, neboť každý agendový informační systém je z povahy věci informačním systémem veřejné správy. Sousloví „veřejné správy“ je tak nadbytečné.

K čl. CXXIX bodu 44 [§ 48 písm. b)]

V definici „role“ se reflektuje skutečnost, že v základních registrech se nevedou pouze referenční údaje, ale také údaje nereferenční. Z legislativně-technického hlediska dále dochází ke sjednocení formulací užívaných v zákonu o základních registrech, kdy je namísto termínu „přístup“ preferován převládající termín „využití“.

K čl. CXXIX bodům 45 až 50 [§ 51 odst. 1 písm. b), e) a h) a § 51 odst. 3 písm. b), d) a g)]

Jedná se o legislativně-technické úpravu spočívající v tom, že ne každý orgán veřejné moci nebo soukromoprávní uživatel údajů je vedený v registru obyvatel nebo registru osob. V tomto smyslu se předmětná ustanovení zpřesňují.

K čl. CXXIX bodu 51 [§ 51 odst. 3 písm. k)]

Doplnění nového písmena k) souvisí se zaváděnou možností soukromoprávních uživatelů údajů využívat svých informačních systémů k čerpání údajů ze základních registrů. Podobně jako v případě orgánů veřejné moci, u nichž se vedou údaje o jimi spravovaných informačních systémech veřejné správy, se předpokládá – ve stejném rozsahu a s podrobnostmi specifikovanými ve vyhlášce Ministerstva vnitra – i vedení údajů o informačních systémech soukromoprávních uživatelů údajů, jejichž prostřednictvím budou tito využívat údaje ze základních registrů.

K čl. CXXIX bodu 52 [§ 51 odst. 6 písm. b)]

Jedná se o legislativně-technické sjednocení formulací, kdy v zákoně o základních registrech převažuje formulace „údaje vedené v základních registrech/agendových informačních systémech“.

K čl. CXXIX bodu 53 [§ 51 odst. 6 písm. i)]

Úprava souvisí se zaváděnou možností soukromoprávních uživatelů údajů využívat svých informačních systémů k čerpání údajů ze základních registrů, zejména s rozšířením aplikace institutu registrace pro výkon agendy i na soukromoprávní uživatele údajů (§ 55 a 56).

K čl. CXXIX bodům 54, 56, 64, 75, 76 a 81 [§ 51 odst. 6 písm. k) a l), § 52 odst. 1 písm. h), § 54 odst. 1 písm. c), § 54 odst. 2, § 54a odst. 5, § 56 odst. 3 písm. b) a c) a § 56a odst. 4]

Jedná se o legislativně-technické sjednocení formulací, kdy v zákonu o základních registrech a v jiných relevantních právních předpisech převažuje termín „využití“ než „přístup“.

K čl. CXXIX bodům 55, 57 a 58 [§ 51 odst. 10 písm. a), § 52a odst. 1 a § 52b odst. 4]

Upravuje se editor údaje „identifikátor kategorie soukromoprávní uživatele údajů“ a údaje „výčet a popis soukromoprávních systémů pro využívání údajů“. Editorem bude v obou případech Ministerstvo vnitra. Výčet a popis soukromoprávních systémů pro využívání údajů bude Ministerstvo vnitra do registru práv a povinností zapisovat prostřednictvím rejstříku informačních systémů veřejné správy a soukromoprávních systémů pro využívání údajů.

Zápis nových údajů je potřeba zohlednit též v úpravě informačního systému registru práv a povinností, který je obecným editačním systémem pro registr práv a povinností.

K čl. CXXIX bodu 59 až 63 (§ 52c)

Navrhované vedení údajů o tzv. soukromoprávních systémech pro využívání údajů v registru práv a povinností je nutno promítnout i v obsahu a názvu komplementární databáze údajů (i historických) o informačních systémech využívaných při výkonu agend, kterým je rejstřík informačních systémů veřejné správy. Stát tak bude mít k dispozici jednotnou ucelenou evidenci všech informačních systémů participujících na realizaci agend (informačních systémů veřejné správy i informačních systémů soukromoprávních uživatelů údajů).

K čl. CXXIX bodu 65 (§ 54 odst. 4)

Jedná se o legislativně-technickou úpravu zohledňující fakt, že přístup je požadován vždy ke konkrétnímu údaji, nikoliv do základního registru či agendového informačního systému jako celku.

K čl. CXXIX bodu 66 (§ 54 odst. 6)

Legislativně-technická úprava spočívající v opravě chybného odkazu.

K čl. CXXIX bodu 67 (§ 54a odst. 3 a 4)

Jedná se o legislativně-technické sjednocení terminologie, kdy v dosavadním textu zákona v souvislosti s ohlášením agendy převažuje formulace „zpřístupnění údajů“.

K čl. CXXIX bodům 68 až 74, 76, 77, 79, 80 a 82 [§ 55 včetně skupinového nadpisu, § 56 odst. 1 a 2, § 56 odst. 3 písm. c), § 56 odst. 4 a 6 a § 56a odst. 1 a 5]

Na soukromoprávní uživatele údajů se nově bude aplikovat institut registrace výkonu agendy, který se nyní aplikuje na orgány veřejné moci. Důvodem je možnost soukromoprávních uživatelů údajů využít k čerpání údajů z informačních systémů veřejné správy vlastních informačních systémů. Tím budou v situaci obdobné orgánům veřejné moci, a proto je potřeba, aby došlo k aplikaci stejných pravidel.

S ohledem na fakt, že se nově připouští dvojí způsob využití údajů soukromoprávními uživateli údajů – dosavadní cestou určeného agendového informačního systému a novou cestou vlastního soukromoprávního systému pro využívání údajů – je v případě § 56 odst. 3 písm. c) nově stanoveno, že povinnost orgánů veřejné moci uplatnit opatření bránící neoprávněnému využívání údajů vedených v informačních systémech veřejné správy soukromoprávními uživateli údajů se „omezuje“ toliko na případy, kdy soukromoprávní uživatelé údajů využijí agendového informačního systému. V případě využití vlastního informačního systému musí odpovědnost z povahy věci ležet na soukromoprávním uživateli údajů, a tomu se proto ukládají (v § 56 odst. 4) stejné povinnosti, jaké nyní mají orgány veřejné moci.

K čl. CXXIX bodu 78 (§ 56 odst. 5)

V ustanovení se reflektuje skutečnost, že v základních registrech se nevedou pouze referenční údaje, ale také údaje nereferenční.

K čl. CXXIX bodům 81 a 83 až 86 [§ 56a odst. 4, § 57]

Jedná se o legislativně-technickou změnu související se zaváděnou možností soukromoprávních uživatelů údajů využívat při sdílení údajů z informačních systémů veřejné správy vlastních informačních systémů, zejména se vztažením institutu registrace výkonu agendy i na soukromoprávní uživatele údajů, nebo se sjednocováním formulací (preference formulací hovořících o „využívaných“ údajích, nikoli „poskytovaných“ údajích). Autentizační informační systém bude využíván i při využívání údajů z agendových informačních systémů.

Z věcného hlediska se rozšiřuje oprávnění Ministerstva vnitra požadovat záznamy o využívání údajů vedených v základních registrech nebo agendových informačních systémech nejen v souvislosti se zajišťováním bezpečnosti informačního systému základních registrů a základních registrů, ale i v souvislosti se zajišťováním bezpečnosti informačního systému sdílené služby (který zavádí novela zákona o základních registrech obsažená v zákonu o právu na digitální služby) a agendových informačních systémů nebo při výkonu kontroly. Důvodem je jednak modifikace pravidel sdílení údajů, do něhož se více zapojují i agendové informační systémy (a informační systém sdílené služby). Dále je navrhovanou úpravou sledována vyšší efektivita kontroly, neboť záznamy obsahují informace kruciální pro posuzování toho, zda kontrolovaný orgán veřejné moci postupuje v oblasti využívání údajů z informačních systémů veřejné správy korektně.

K čl. CXXIX bodům 87 a 88 (§ 60 odst. 1 a 2)

Jedná se o legislativně-technické zpřesnění, neboť v ustanoveních se hovoří o více záznamech, nikoli pouze o „záznamu o poskytnutí údajů“ či „záznamu o využití údajů“.

K čl. CXXIX bodu 89 (§ 61 odst. 2)

Legislativně-technická změna zohledňující fakt, že údaje vedené v registru osob mohou využívat i soukromoprávní uživatelé údajů.

K čl. CXXIX bodu 90 (§ 61 odst. 3)

Legislativně-technická změna korigující nepřesnost vnesenou zákonem č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů.

K čl. CXXIX bodu 91 (§ 62a)

Legislativně-technická změna zohledňující fakt, že údaje vedené v základních registrech nejsou pouze údaje referenční.

K čl. CXXIX bodu 92 (§ 62d)

Ministerstvo vnitra na základě § 4 odst. 2 písm. a) zákona o informačních systémech veřejné správy kontroluje dodržování povinností orgánů veřejné správy stanovených právě uvedeným zákonem. Zákon o základních registrech jako lex specialis vůči zákonu o informačních systémech veřejné správy přináší v oblasti informačních systémů veřejné správy a dalších informačních systémů některé povinnosti, které však kontrole dosud nepodléhají. Protože stav, kdy plnění části povinností v oblasti informačních systémů veřejné správy kontrolovatelná je a část nikoliv, je krajně nežádoucí, navrhuje se mezeru v kontrolní kompetenci vyplnit. S ohledem na participaci soukromoprávních uživatelů údajů na využívání údajů z informačních systémů veřejné správy je logické vztažení kontrolních kompetencí i na tyto uživatele. S ohledem na fakt, že soukromoprávními uživateli údajů jsou de lege lata toliko pojišťovny a banky, u nichž kontrolu Ministerstva vnitra předpokládá aktuální novela zákona o bankách a zákona o pojišťovnictví (sněmovní tisk 554), nejde v jejich případě o změnu stavu, nýbrž toliko o zobecnění.

Ministerstvo vnitra při kontrole bude postupovat podle zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů. Na základě výsledků kontroly, při které budou zjištěny nedostatky, Ministerstvo vnitra vyzve orgán veřejné moci nebo soukromoprávního uživatele údajů k nápravě těchto nedostatků. K tomu stanoví přiměřenou lhůtu, nejvýše však v délce 6 měsíců. Smyslem výzvy je oznámit dotčené osobě, že Ministerstvo vnitra spatřuje v jejím jednání pochybení nebo nedostatky, a poskytnout jí prostor k nápravě. Výzva jako úkon následující po provedené kontrole nebude součástí kontrolního protokolu.

V zájmu právní jistoty se v § 62d odst. 3 deklaruje oprávnění Ministerstva vnitra dočasně pozastavit soukromoprávnímu uživateli údajů využívání údajů z informačních systémů veřejné správy, a to v nejzávažnějších případech ohrožení referenčního rozhraní, základního registru nebo agendového informačního systému ze strany soukromoprávního systému pro využívání údajů.

K čl. CXXIX bodu 93 (§ 66 odst. 4)

V souvislosti s rekvalifikací technickoekonomických atributů stavebních objektů na

refereční údaje se doplňuje kompetence správce základního registru územní identifikace, adres a nemovitostí k doplnění či opravě těchto údajů na základě spolehlivých zdrojů, a to za účelem zkvalitnění obsahu základního registru územní identifikace, adres a nemovitostí.

K čl. CXXIX bodu 94 (§ 69 odst. 3)

S ohledem na předpokládané vedení nových údajů o soukromoprávních systémech pro využívání údajů v rozsahu výčtu a popisu v registru práv a povinností [§ 53 odst. 3 písm. k)] a současně pro fakt, že náležitosti popisu agendových informačních systémů (které jsou „protějšky“ soukromoprávních systémů pro využívání údajů) má stanovit vyhláška Ministerstva vnitra, je žádoucí totéž učinit i ve vztahu k popisu soukromoprávních systémů pro využívání údajů (v opačném případě by nebylo zcela zřejmé, jaký je konkrétní obsah popisu). Proto se adekvátním způsobem modifikuje zmocnění pro vydání vyhlášky.

K části sto dvacáté deváté – změna zákona o pojišťovnictví

K čl. CXXX [§ 129 odst. 4 písm. f) a § 129 odst. 9, 10, 12 a 14 až 17]

S ohledem na obecnou úpravu, kterou se umožňuje využívání údajů z informačních systémů veřejné správy soukromoprávními uživateli údajů prostřednictvím vlastního informačního systému, se navrhuje vypustit duplicitní ustanovení ze zákona o pojišťovnictví. Úprava obsažená ve zrušovaném § 129 odst. 9 bude obecně pro všechny soukromoprávní uživatele údajů obsažena v navrhovaném § 5a odst. 5 ve spojení s § 5 odst. 3 zákona o základních registrech, úprava obsažená ve zrušovaném § 129 odst. 10 pak v § 5a odst. 1 zákona o základních registrech. Úprava obsažená ve zrušovaném § 129 odst. 12 bude obecně pro všechny soukromoprávní uživatele údajů obsažena v navrhovaném § 5a odst. 3 zákona o základních registrech, úprava obsažená ve zrušovaném § 129 odst. 14 a 15 v navrhovaném § 62d zákona o základních registrech, úprava obsažená ve zrušovaném § 129 odst. 16 v navrhovaném § 9 odst. 1 a § 10 odst. 1 zákona o základních registrech a konečně úprava obsažená ve zrušovaném § 129 odst. 17 v navrhovaných změnách § 54 až 57 zákona o základních registrech.

K části sto třicáté šesté – změna zákona o doplňkovém penzijním spoření

K čl. CXXXVII (§ 17)

Navrhovaná změna souvisí se změnou dosavadní koncepce legislativního zakotvení právního titulu pro využívání údajů informačních systémů veřejné správy.

Pokud jde o registr pojištěnců, Všeobecná zdravotní pojišťovna České republiky je z titulu právnické osoby vykonávající působnost v oblasti veřejné správy orgánem veřejné moci ve smyslu zákona o základních registrech. Přestože jí spravovaný registr pojištěnců nepodléhá režimu zákona o informačních systémech veřejné správy, je informačním systémem veřejné správy a současně agendovým informačním systémem ve smyslu zákona o základních registrech. Proto by na něj měla být aplikována ustanovení předmětného návrhu a aranžmá, které předmětný návrh přináší, včetně vypuštění čerpacích ustanovení. Prostřednictvím přechodných ustanovení zákona o právu na digitální služby zůstane do doby, než ohlašovatel agendy, tedy Ministerstvo financí, identifikuje nutnost změny rozsahu využívaných údajů ze základních registrů a dalších informačních systémů veřejné správy a iniciuje změnu registrace agendy, zachován stávající rozsah i podmínky přístupu. Změnu rozsahu údajů je kompetentní navrhnout toliko ohlašovatel agendy.

K části sto čtyřicáté třetí – změna zákona o mezinárodní justiční spolupráci ve věcech trestních

K čl. CXLIV bodu 1 (§ 9 odst. 3 a 4)

Navrhovaná změna souvisí s novou koncepcí legislativního zakotvení právního titulu pro využívání údajů z informačních systémů veřejné správy.

K čl. CXLIV bodům 2 a 3 (§ 29 odst. 3 a 4)

Vzhledem ke specifickému postavení národního člena Eurojustu se v souvislosti s celkovou změnou koncepce legislativního zakotvení právního titulu pro využívání údajů orgány veřejné moci upravuje získávání údajů ze základních registrů a agendových informačních systémů tak, že se pro účely plnění úkolů národního člena Eurojustu zakládá oprávnění získávat informace ze základních registrů a agendových informačních systémů ve stejném rozsahu a stejným způsobem, jako je získává státní zástupce pro účely trestního řízení.

K části sto čtyřicáté šesté – změna zákona o kybernetické bezpečnosti

K čl. CXLVII bodu 1 (§ 4 odst. 5)

V souvislosti se zavedením povinnosti orgánů veřejné správy při využívání cloud computingu postupovat podle bezpečnostních pravidel pro využívání cloud computingu orgány veřejné moci, která mají být vydána podle § 6 písm. e) zákona o kybernetické bezpečnosti, se navrhuje rozšířit povinnosti dopadající původně pouze na orgány veřejné moci, které jsou zároveň povinnými osobami podle zákona o kybernetické bezpečnosti, na všechny orgány veřejné moci. Tohoto rozšíření je dosaženo odstraněním části odstavce omezující jeho dosah pouze na povinné osoby podle zákona o kybernetické bezpečnosti. Návrh vychází z toho předpokladu, že množina orgánů veřejné moci je širší a zcela obsahuje množinu orgánů veřejné správy. Tedy, že každý orgán veřejné správy je i orgánem veřejné moci.

Bez provedení uvedené úpravy by bylo stanoveno zmocnění pro vydání pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu [§ 6 písm. e) zákona o kybernetické bezpečnosti], ale nebylo by stanoveno odpovídající povinnostní ustanovení v zákoně o kybernetické bezpečnosti, které by všechny orgány veřejné moci odkazovalo do těchto pravidel. Z toho důvodu by mohly vzniknout pochyby, zda jsou pravidla závazná i pro orgány veřejné moci, které nejsou povinnými osobami podle zákona o kybernetické bezpečnosti.

Návrh dále počítá se stanovením povinnosti orgánu veřejné moci zařadit poptávaný cloud computing do bezpečnostní úrovně poptávaného cloud computingu s ohledem na povahu informačního nebo komunikačního systému, ve vztahu ke kterému je cloud computing poptáván. S ohledem na možnost poptávat v rámci poptávky cloud computingu i jednotlivé části informačního nebo komunikačního systému (a tedy ne jen informační nebo komunikační systém jako celek), je nutno zachovat určení bezpečnostních úrovní těchto částí s ohledem na celkovou povahu informačního nebo komunikačního systému, jehož část je poptávána, aby nedocházelo k případnému podhodnocování bezpečnostní úrovně. V praxi by tak mohlo dojít k situaci, kdy část informačního nebo komunikačního systému by sama o sobě naplňovala nižší bezpečnostní úroveň, než jak tomu bude v případě hodnocení této části s ohledem na to, že tato část je součástí informačního nebo komunikačního systému např. kritické informační infrastruktury. Kritéria pro hodnocení bezpečnostní úrovně stanoví prováděcí právní předpis podle § 6 písm. e) zákona o kybernetické bezpečnosti.

Zákon stanoví povinnost zajistit ve smlouvě s poskytovatelem služeb cloud computingu, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu. Dále zákon hovoří o dalších nezbytných náležitostech smlouvy. Tyto další náležitosti jsou vůči povinným orgánům a osobám ze zákona o kybernetické bezpečnosti svým obsahem již jedním z bezpečnostních opatření podle zákona o kybernetické bezpečnosti a nadto budou pro všechny orgány veřejné moci obsažena v pravidlech pro poskytování služeb cloud computingu v rámci připravovaného prováděcího právního předpisu. Z toho důvodu se jeví jejich další úprava v zákoně o kybernetické bezpečnosti jako nadbytečná a navrhuje se jejich odstranění.

K čl. CXLVII bodu 2 (§ 4 odst. 6)

Přemístění dat do cloud computingu má přinést úsporu financí a zajistit vyšší efektivitu než řešení on premise, na druhou stranu cloud computingu přináší z pohledu kybernetické bezpečnosti hrozby, na které je třeba reagovat. Při umisťování dat k poskytovateli cloud computingu se data dostávají mimo sféru moci správce systému, nemůže je již fyzicky odstranit nebo obnovit ze zálohy. Proto se navrhuje, aby prováděcí právní předpis vymezil, které informace a data orgánů veřejné moci mohou být zpracovávány toliko v rámci cloud computingu poskytovaném státním poskytovatelem. Státního poskytovatele cloud computingu pověřuje jeho činností vláda, a lze tedy předpokládat, že při tomto pověření budou zohledněny podstatné bezpečnostní nároky. Dále ze Souhrnné analytické zprávy k projektu Příprava vybudování eGovernment cloudu vyplývá, že státní cloud computing bude provozován v datových centrech a na hardware a software platformách v majetku státu a provozován organizacemi řízenými státem (státní podniky). V takovém případě lze zaručit, že data, ač nebudou v moci konkrétního orgánu veřejné moci, budou stále v rukou České republiky a ta bude moci rozhodovat, jak s nimi bude nakládáno.

V případě ostatních informačních nebo komunikačních systémů se navrhuje stanovit prováděcím právním předpisem, že mohou být data a informace zpracovávány toliko na území členských států Evropské unie. V tomto případě se vychází z toho, že v takových systémech jsou ukládána a zpracovávána data a informace s nižším dopadem při narušení informační bezpečnosti. Omezení na území Evropské unie vyplývá z předpokladu obdobné společné ochrany dat a přístupu ke kybernetické bezpečnosti dané společně harmonizující legislativou Evropské unie. V případě dat a informací s nejnižším dopadem při narušení informační bezpečnosti pak nebude nezbytné stanovovat jakákoli územní omezení.

Prováděcí právní předpis může také stanovit, že některé informace a data musí být zálohovány u státního poskytovatele cloud computingu.

K čl. CXLVII bodu 3 (§ 4 odst. 7)

V souvislosti s rozšířením povinností pro orgány veřejné moci v § 4 odst. 5 (vizte výše) se odpovídajícím způsobem mění i toto související ustanovení o dohodě o úhradě nákladů.

K čl. CXLVII bodu 4 (§ 22b)

Ustanovení se zrušuje s ohledem na novu koncepci využívání údajů z informačních systémů veřejné správy.

K čl. CXLVII bodu 5 [§ 25 odst. 3 písm. c), § 25 odst. 4 písm. c), § 25 odst. 5 písm. c), § 25 odst. 6 písm. c), § 25 odst. 7 písm. c), § 25 odst. 8 písm. c) a § 25 odst. 9 písm. a)]

Legislativně-technická úprava související s vložením nového odstavce do § 4 zákona o kybernetické bezpečnosti.

K čl. CXLVII bodům 6 až 8 (§ 30)

Lhůty ke splnění povinností správců a provozovatelů informačních systémů základní služby oznámit kontaktní údaje a hlásit kybernetické bezpečnostní incidenty jsou stanoveny analogicky se lhůtami v tomto ustanovení již uvedenými pro správce a provozovatele informačních nebo komunikačních systémů kritické informační infrastruktury. Rozhodným dnem pro počátek běhu lhůty je stejně jako v uvedeném případě den, kdy byl příslušný informační systém nebo síť elektronických komunikací orgánu nebo osoby určen informačním systémem základní služby, respektive takový orgán nebo osoba byla určena jako provozovatel základní služby postupem podle § 22a zákona. U těchto typů orgánů a osob, jichž se týká toto ustanovení, lze očekávat, že již bezpečnostními opatřeními na úrovni zákonného standardu, respektive technického standardu stanoveného prováděcím předpisem vzhledem k důležitosti příslušné informační nebo komunikační infrastruktury disponují, a proto je v jejich případě roční lhůta stanovena s dostatečnou časovou rezervou. Dané lhůty se v předchozí praxi ukázaly jako přiměřené a reflektující náročnost zavedení pro některé ze subjektů nových bezpečnostních opatření. V případě informačních systémů základní služby jsou navíc správcům a provozovatelům těchto systémů uloženy stejně povinnosti vyplývající z vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), jako je tomu u správců a provozovatelů informačních a komunikačních systémů kritické informační infrastruktury, a tudíž zde neexistuje racionální důvod upravovat lhůty pro implementaci těchto povinností rozdílně.

K části sto čtyřicáté deváté – změna zákona o hazardních hrách

K čl. CL (§ 132)

V případě zákona o hazardních hrách bylo zvoleno legislativně-technicky stejné řešení využívání údajů z informačních systémů veřejné správy, jako je v současné době např. v zákoně o Finanční správě České republiky či zákoně o Celní správě České republiky, tj. výčtem informačních systémů veřejné správy. Důvodem je jednotnost zákonů upravujících finanční problematiku.

K části sto padesáté třetí – změna zákona o právu na digitální služby

K čl. CLIV

Vzhledem k tomu, že centrální služba pro vyrozumívání o změnách údajů, které se vedou v informačním systému veřejné správy o subjektu údajů vedeném v základním registru, se zavádí již s účinností od 1. února 2022, je třeba zrušit její duplicitní zavedení v § 22 bodu 31 zákona č. 12/2020 Sb. ovšem až s účinností od 1. ledna 2025. Tím bude z věcného hlediska dosaženo toho, že centrální služba vyrozumívání bude fungovat od 1. února 2022, zatímco mechanismus opravy nesprávného údaje a službu vyrozumění o změně údaje o osobě, která není vedena v základním registru, budou správci agendových informačních systémů zajišťovat až od 1. ledna 2025, tj. ve shodě s původním záměrem předkladatele zákona č. 12/2020 Sb.

K části sto padesáté páté – účinnost

K čl. CLVI

Účinnost se navrhuje s ohledem na provázanost s ustanoveními zákona o právu na digitální služby, která nabydou účinnosti 1. února 2022, k tomuto datu s výjimkou novely zákona o informačních systémech veřejné správy, ustanovení, kterým se rozšiřuje množina údajů využívaných ze základního registru obyvatel Ministerstvem obrany v agendě branné povinnosti, ustanovení o přístupu do centrálního registru zbraní a ustanovení modifikujících pravidla vedení jmenných rejstříků, která nabydou z důvodu časové naléhavosti účinnosti 1. ledna 2021, a dále ustanovení zákona o základních registrech, dle kterých správce agendového informačního systému zavede mechanismus opravy nesprávného údaje v něm vedeném a zajistí vyrozumívání o změně údaje s využitím vlastní služby pro vyrozumívání, jež nabydou účinnosti 1. ledna 2025.

V Praze dne 27. ledna 2020

Předseda vlády: Ing. Andrej Babiš v.r.

1. místopředseda vlády a ministr vnitra: Jan Hamáček v.r.