Cloud computing ve veřejné správě
Zdroj: Systemonline.cz
Autoři: Mgr. et Mgr. Ing. Jan Tomíšek, Ph.D., Mgr. David Sláma
Cloudové služby nejsou žádnou novinkou, naopak dlouhodobě představují atraktivní alternativu k on-premise řešením. Zákazníkům šetří náklady na infrastrukturu, dodavatelům umožňuje nabízet flexibilní škálovatelné služby a z ekonomického hlediska zajímavé subskripční modely. Situace je však komplikovanější, jakmile je zákazníkem orgán veřejné správy. V ten moment na poskytování cloudových služeb dopadá komplexní zákonná regulace a dodavatel se musí vypořádat s širokou škálou povinností.
Regulace využívání cloudových služeb – tzv. cloud computingu – ve veřejné správě je ukotvena v hlavě VI zákona č. 365/2000 Sb., o informačních systémech veřejné správy („ZISVS“). Jejím cílem je, zjednodušeně řečeno, zajistit, aby data ve správě veřejných institucí byly v bezpečí i v případech, kdy jsou uložena na vzdálené infrastruktuře poskytovatelů cloudových služeb. Proto ZISVS a jeho prováděcí vyhlášky ukládají jak orgánům veřejné správy, tak poskytovatelům cloud computingu řadu povinností.
Kdy se uplatní regulace
Regulace cloud computingu ve veřejné správě se uplatní v celé šíři případů, ale ne neomezeně. Vždy je nutné individuálně zkoumat, zda jsou naplněny všechny podmínky pro aplikaci ZISVS.
První krok uskuteční zákazník, když si odpoví na otázku, zda je orgánem veřejné správy („OVS“) ve smyslu ZISVS; zjednodušeně lze říct, že definičně se OVS z větší části kryje s definicí veřejných zadavatelů podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, jakkoli existují výjimky.
Také další krok je na OVS, a to identifikace, zda poptávané řešení je cloud computingem. Podle ZISVS je cloud computing způsob zajištění provozu informačního systému veřejné správy („ISVS“) nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy.
Cloud computing mimo ZISVS: Kdo a kdy může využít?
Přesto existují informační systémy, které mohou být provozovány jako cloudové služby mimo regulaci ZISVS. Týká se to např. informačních systémů souvisejících s utajovanými informacemi nebo informačních systémů provozovaných zpravodajskými službami, obranou státu, bezpečnostními sbory nebo například Českou národní bankou. V některých se týká také systémů provozovaných Finančním analytickým úřadem, ministerstvem vnitra, financí či spravedlnosti.
ZISVS nedopadá ani na tzv. provozní informační systémy, tedy informační systémy zajišťující informační činnosti nutné pro vnitřní provoz příslušného orgánu. Platí to s výjimkou informačních systémů pro řízení a rozvoj lidských zdrojů a odměňování, elektronických systémů spisové služby, informačních systémů pro vedení účetnictví nebo řízení finančních zdrojů a systémů elektronické pošty – v případě ústředních orgánů státní správy na tyto systémy regulace dopadá, byť jde o provozní informační systémy.
Přestože OVS musí provést uvedená zhodnocení například před vyhlášením veřejné zakázky, dodavatelé by měli znát regulaci. Díky tomu mohou OVS pomoci vyhodnotit, zda poptávané řešení spadá pod regulaci cloud computingu. Ještě významnější je návrh samotného cloudového řešení a vyhodnocení, zda jde o cloud computing podle ZISVS.
Co je cloud computing
Výše uvedená právnická definice cloud computingu vyjadřuje snahu zákonodárce specifikovat obecně širokou škálu cloudových služeb. Současně se snaží z regulace vyloučit služby, které nemají sdílený charakter.
Úvaha za cloudovou regulací je postavena na rozčlenění technologického stacku na vrstvy a jejich rozdělení podle toho, zda je kontroluje poskytovatel nebo OVS. Rozdělení kontroly je přirozeně odlišné podle typu cloudové služby (IaaS, PaaS, SaaS). Jakmile je kontrola určité vrstvy na straně poskytovatele, může jít o cloudové služby.
Důležité však je, že definičně existuje požadavek na sdílení prostředku (vrstvy), což v omezuje dopad cloudové regulace na služby hostingu či housingu nebo obecně outsourcingu. Pokud OVS sice chce využívat vzdálený prostředek pod kontrolou poskytovatele, ale tento prostředek je privátní pouze pro dané OVS, přičemž toto je dále technicky zajištěno, zpravidla nepůjde o cloud computing. V případě sdílení některých prostředků ve však může jednat o cloud computing ve smyslu ZISVS i v případě hostingu či housingu.
Katalog cloud computingu a zápisy
Jakmile se OVS rozhodne opatřit si cloudové řešení, musí vyhodnotit, zda spadá do regulace cloud computingu podle ZISVS. Pokud ano, OVS vyhodnotí, zda řešení je ISVS a zda na něj dopadá regulace. OVS také zjistí, zda poptávané řešení bude cloud computingem. Jsou-li všechny předpoklady splněny, OVS zařadí poptávané řešení do bezpečnostní úrovně a zhodnotí ekonomickou výhodnost. Tyto procesy pomáhají zapsat poptávku do katalogu cloud computingu. Vedle využití existující poptávky je to nezbytný krok pro pořízení cloud computingu pro OVS.
Katalog cloud computingu je seznam, ve kterém se vedou údaje o poptávkách, nabídkách a poskytovatelích cloud computingu a o cloud computingu využívaném OVS. Pro dodavatele je katalog klíčový, protože OVS může zásadně využívat jen takový cloud computing, který je poskytovaný poskytovatelem zapsaným v katalogu a na základě nabídky zapsané v katalogu.
Jinými slovy subjekt, který chce OVS poskytovat cloud computing, musí zapsat svou službu do katalogu. Stejně tak musí zapsat nabízenou cloudovou službu jako nabídku v katalogu. Současně je nutné myslet na to, že cloudová řešení využívají služby třetích stran. Tyto služby jsou obvykle považovány za podpůrný cloud computing. Poskytovatel těchto služeb musí rovněž zapsat svůj produkt v katalogu.
Pro zápis nabídky je nezbytné, aby dodavatel již byl zapsán jako poskytovatel. Oba zápisy jsou poměrně komplikované procesy, které v současné době trvají až několik měsíců, byť zákonné lhůty počítají s výrazně kratší dobou. Přestože zápisy vyžadují doložení zejména technických informací, z našich zkušeností je vhodné na nich spolupracovat s právními poradci, kteří mohou dodavateli proces usnadnit a pomoci mu předejít formálním nedostatkům v žádostech či alespoň zjednodušit jejich odstranění.
Protože zdlouhavé zápisy poskytovatele a nabídky jsou nezbytným předpokladem pro poskytování cloudových řešení OVS, každý dodavatel, který takové služby chce nabízet, by neměl se zápisy otálet.
Požadavky v rámci veřejných zakázek
OVS obvykle coby veřejní zadavatelé poptávají cloud computing v rámci veřejné zakázky. Vzhledem k povinnostem, které jim ZISVS ohledně cloud computingu ukládá, očekáváme, že poskytovatelé musejí být zapsáni v katalogu. OVS si kvůli délce procesu nebudou moci dovolit situaci, kdy neuzavřou smlouvu s vybraným dodavatelem, pokud není zapsán v katalogu.
Poněkud odlišná je však situace se zápisem nabídky – obvykle ji totiž není nutné vyžadovat už pro účast ve veřejné zakázce. Postačuje, když se vybraný dodavatel zaváže k tomu, že příslušná nabídka bude zapsána v katalogu ke dni uzavření smlouvy. To dává dodavatelům prostor vyřešit zápis sebe coby poskytovatele, přičemž nabídky lze řešit do jisté míry ad hoc podle situace na trhu.
V některých případech je dokonce možné požadavek na zápis nabídky do katalogu odložit na pozdější okamžik, než je uzavření smlouvy. Tento postup obvykle nepovažujeme z hlediska zadavatele za vhodný, ale v praxi se objevuje. Oporou pro něj je, že požadavek na zápisy poskytovatele a nabídky se neuplatní pro zkušební provoz řešení bez ostrých dat. Lze tedy uzavřít smlouvu s dodavatelem, který zajistí zápis nabídky vztahující se k dodávanému řešení až ke dni spuštění ostrého provozu, tedy například po migraci ostrých dat do nového řešení. Teoreticky by uvedený postup byl aplikovatelný i na zápis samotného poskytovatele, ale s ohledem na zmíněné dlouhé doby potřebné pro řízení o zápisu je taková situace v praxi těžko představitelná.
Pozor na katalog cloud computingu
Řada dodavatelů cloudových služeb není zapsána v katalogu cloud computingu a nemají zde zapsány své nabídky. Zákazníci pak často opomíjí svou povinnost z katalogu vybírat. Doporučujeme proto jak veřejným zadavatelům, tak dodavatelům věnovat regulaci cloud computingu ve veřejné správě bedlivou pozornost.