Byrokraté, Comment administrators, editoha
29
editací
Změny
Založena nová stránka s textem „Identifikace, autentizace a autorizace účastníků procesů nejen ve VS Zásadním požadavkem bezpečnosti a transparentnosti pro informační syst…“
Identifikace, autentizace a autorizace účastníků procesů nejen ve VS
Zásadním požadavkem bezpečnosti a transparentnosti pro informační systémy veřejné správy je požadavek na jednotnou elektronickou identifikaci interních i externích uživatelů. Pro každou operaci je nutná znalost osoby, která tuto operaci provádí zvláště z hlediska nepopiratelné zodpovědnosti osoby.
Externí uživatelé (klienti) informačních systémů veřejné správy musí být jednoznačně identifikováni zvláště z důvodů ochrany osobních údajů a dále z procesního hlediska, jak předpokládá správní řád (jednoznačné prokázání totožnosti účastníků řízení).
Pro interní uživatele, pracující v informačním systému veřejné správy je nutnou podmínkou jednoznačná a nepopiratelná identifikace uživatele tak, aby bylo možné jednoznačně vyhodnotit oprávnění této osoby v rámci přístupu k údajům a službám informačních systémů a současně zpětně vyhodnotit činnost těchto osob dle záznamů v auditních systémech (logy).
Úloha správy přístupů se pro každý informační systém veřejné správy skládá z následujících kroků:
•Identifikace – jednoznačné a nepopiratelné určení fyzické osoby, která přistupuje k informačnímu systému veřejné správy
•Autentizace – prokázání, že přistupující osoba je tou osobou, za kterou se vydává. Autentizace probíhá předložením autentizačních prostředků (například uživatelské jméno a heslo, autentizační certifikát), které osobě přidělil správce informačního systému
•Autorizace – na základě údajů o identifikované a autentizované osobě a dalších údajů o této osobě (například zařazení na pracovní pozici) zařazení osoby do odpovídající role a z toho vyplývající vyhodnocení oprávnění na úkony a data v rámci informačního systému.
IKČR v této oblasti vyžaduje naplnění následujících principů pro všechny informační systémy veřejné správy:
1.Při tvorbě identitního prostoru si prvně udělat analýzu, zda nepostačuje již některý z federovaných identit v rámci NIA
2.Jakýkoliv nový identitní prostor musí být budován tak, aby byl federovaný v rámci NIA
3.Prostředky pro identifikaci a autentizaci jsou vždy vydány bezpečnou a jednoznačnou cestou identifikované osobě tak, aby byla zajištěna minimálně úroveň důvěry značná. O tomto vydání prostředků existuje trvalý záznam spolu s údaji, jak byla ověřena identita osoby
4.Osoba, jíž byly prostředky vydány, nedílně zodpovídá za ochranu těchto prostředků před odcizením a zneužitím
5.Osoba, jíž byly prostředky vydány, nese nedílnou zodpovědnost za všechny úkony, které byly v informačním systému provedeny při použití těchto prostředků
6.Věcný správce agend, které jsou vykonávány v rámci informačního systému, zodpovídá za obsazení osob do rolí (technicky vykonává technický správce informačního systému, vždy však na základě podkladů o věcných správců). Tuto svoji zodpovědnost může delegovat v rámci organizační struktury na více zodpovědných osob.
Jednotná elektronická identifikace klientů VS
Pro jednoznačnou identifikaci a autentizaci klientů veřejné správy byl vytvořen technický a právní rámec, který umožňuje všem správcům informačních systémů veřejné správy tuto činnost vykonávat v souladu s IKČR a výše uvedenými požadavky bez nutnosti vytváření nákladných řešení a zvyšování administrativní zátěže.
Zákon 250/2017 Sb. o elektronické identifikaci zavádí v §2 povinnost provádět prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace. Tento paragraf nabývá účinnosti 1. července 2020. Po tomto datu nebude možné pokračovat v praxi vydávání přístupových údajů klientů veřejné správy mimo systémy kvalifikovaného systému elektronické identifikace, pokud jiný zákon tuto cestu neumožnuje.
Podporu celého procesu elektronické identifikace prostřednictvím kvalifikovaného systému elektronické identifikace je vytvořena platforma Národní identitní autority (NIA), která vykonává činnosti Národního bodu dle §20 a následujících a národního uzlu eIDAS pro spolupráci s oznámenými systémy elektronické identifikace dle nařízení Evropské parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
NIA zajistí státem garantované služby identifikace a autentizace včetně federace údajů o subjektu práva ze základních registrů a možnost předávání přihlašovací identity dle principy Single Sign-On. Žádné OVS si tedy již nemusí řešit přihlašovací identity pro své klienty samo! Toto platí pouze pro osoby uvedené v ROB nebo přihlašující se identitou v rámci eIDAS z členských států EU. V současném stavu ROB (stav As-Is) tedy pouze pro občany ČR a cizince s trvalým pobytem. V budoucím stavu (stav To-Be) pro občany ČR, cizince s trvalým pobytem a jiné fyzické osoby (EjFO), které mají k ČR právní či majetkový vztah (zahraniční vlastník nemovitosti, zahraniční lékař, zahraniční student, apod.).
Národní identitní autorita vytváří federativní systém, který se skládá z následujících komponent:
•Národní bod jako centrální bod federativního systému, který zajišťuje komunikaci a registraci účastníků federace. Tato komponenta zajišťuje současně vždy jednoznačné ztotožnění osoby, která prokazuje svoji totožnost předložením autentizačních prostředků
•Kvalifikovaný správce, který vydává jednoznačně identifikovaným fyzickým osobám prostředky pro vzdálenou autentizaci (prokázání totožnosti) a provádí veškeré činnosti spojené se správou těchto prostředků a prokazováním totožnosti fyzické osoby
•Základní registry, které poskytují jednoznačnou identifikaci osoby a zajištění vazeb této osoby vůči referenčním údajům o osobě
•Národní uzel eIDAS, který zajišťuje přijímání vzdáleného prokázání totožnosti z ohlášených systémů dle nařízení eIDAS a předávání vzdálené identifikace a autentizace z České republiky ostatním státům EU
Kvalifikovaný poskytovatel elektronických služeb bude nadále zodpovědný za řízení oprávnění (autorizaci) fyzické osoby, která prokázala takto svoji totožnost. Nadále tedy musí provádět správu oprávnění na základě údajů o osobě, které získá z propojeného datového fondu veřejné správy a vlastních údajů vedených v agendě.
Jednotný identitní prostor úředníků, autentizační informační systém
Jednotní identitní prostor (JIP) informačních systémů veřejné správy a Katalog autentizačních a autorizačních služeb (KAAS) je autentizační informační systém podle §56a zákona 111/2009 Sb. o základních registrech a jeho správcem je Ministerstvo vnitra. Na základě znění zákona zavedení jakékoli osoby do tohoto autentizačního informačního systému vyžaduje její jednoznačné ztotožnění oproti základnímu registru obyvatel. Ministerstvo dále spravuje prostředky pro autentizaci, které vydává.
V rámci současného stavu (As-Is 2018) se předpokládá co nejširší používání autentizačního informačního systému JIP/KAAS pro splnění zásadních podmínek pro identifikaci a autentizaci interních uživatelů informačních systémů veřejné správy v roli úředník. Pro ty informační systémy, kde interní uživatelé informačního systému jsou zaváděni úřady, které nejsou správci tohoto informačního systému, je použití autentizačního informačního systému JIP/KAAS povinností.
V rámci budoucího stavu (To-Be 2020) bude využití systému JIP/KAAS možné pouze v případě, že se stane jedním z poskytovatelů identity v rámci NIA (minimálně v úrovni značná) nebo se sám stane kvalifikovaným systém dle zákona 250/2017 Sb. Pokud nenastane ani jedna z podmínek výše, je potřeba zajistit identitní prostor úředníků jiným způsobem, například:
•Sekce pro státní službu na MV zajistí jednotný prostředek identity úředníka v rámci NIA.
•Jiný orgán veřejné moci zajistí vydávání profesních identit v rámci NIA z nichž požadavky na úřední identitu (včetně zajištění finančních prostředků) sdělí Sekce pro státní službu na MV.
•Úředníkům bude uloženo využívat předem vybraný soubor federovaných identit v rámci NIA (například elektronický občanský průkaz).
Datové fondy a druhy údajů při výkonu veřejné správy
Datové fondy ve veřejné správě se rozdělují na 2 hlavní katagorie dle způsobu jejich využití a publikace: 1) Propojený datový fond 2) Veřejný datový fond. Každý z těchto fondů má svá vlastní pravidla, právní předpisy a i smysl kdy a jak je využívat.
Propojený datový fond a jeho služby
IK ČR zavádí do architektury VS ČR pojem propojeného datového fondu (PPDF). Propojený datový fond je tvořen datovými fondy (zejména datovými kmeny a transakčními daty) jednotlivých ISVS, propojených referenčním rozhraním VS s datovými fondy jiných ISVS pomocí odkazů (referenčních vazeb) na referenční údaje o subjektech práva (fyzických osobách, právnických osobách a OVM) a referenční údaje o objektech práva - územních prvcích, vedených v základních registrech. Pro referenční vazby údajů o fyzických osobách se využívá Agendový identifikátor Fyzické osoby ( AIFO), pro referenční vazby právnických osob Identifikační číslo osoby (IČO), pro referenční vazby územních prvků jejich příslušné identifikátory přidělené RUIAN.
Referenční rozhraní VS, pomocí něhož je PPDF zpřístupněn, je tvořeno Informačním systémem základních registrů a sběrnicí eGovernmentu, která je součástí CMS (eGSB).
Cílem rozvoje PPDF je publikovat jeho prostřednictvím nejen referenční údaje ze ZR a autoritativní (ze zákona vedené a spravované) údaje editorů ZR, ale také autoritativní údaje dalších agendových centralizovaně vedených ISVS.
Základními službami PPDF pro ISVS - čtenáře a uživatele údajů v PPDF jsou a budou:
•Ztotožnění (přidělení identifikátoru) subjektu resp. objektu práva v ISVS vedeném
•Výdej propojených údajů o subjektu/objektu práva v rozsahu oprávnění vedených v RPP pro příslušnou agendu podporovanou ISVS
•Notifikace o změnách referenčních a autoritativních údajů pro údaje v ISVS vedené
•Podpora reklamace chybných údajů
•Podpora pseudonymizace údajů o subjektech práva
Pro OVM a subjekty údajů to budou služby:
•Podpora vytváření výstupů z ISVS pro subjekty údajů
•Podpora vytváření autorizovaných výpisů z ISVS
•Podpora reklamace chybných údajů
PPDF je základním předpokladem pro naplnění principu Only Once a eliminace místní příslušnosti.
PPDF se skládá z následujících prvků eGovernmentu:
a) Základní registry (dále také ZR), publikované službami ISZR
Základní registry tvoří Základní registr obyvatel (též ROB), Základní registr osob (též ROS), Základní registr územní identifikace a nemovitostí (též RUIAN), Základní registr práv a povinností (též RPP), registr ORG a informační systém základních registrů (též ISZR).
b) Údaje editorů ZR publikované kompozitními službami ISZR
Kompozitními službami se rozumí služby ISZR, které poskytují údaje vedené v editorských systémech ZR s vazbou na referenční údaje vedené v ZR
c) Autoritativní zdroje publikované na eGSB
ISVS vedoucí evidence údajů ze zákona (autoritativní zdroj) publikují údaje pro potřeby jiných OVS nebo pro klienty VS prostřednictvím CMS – eGSB.
ISZR a eGSB tvoří referenční rozhraní VS ve smyslu zákona 365/2000 Sb.
Veřejný datový fond
Veřejným datovým fondem (dále jen VDF) se rozumí celek datového fondu ČR, obsahující údaje zveřejňované orgány veřejné správy jako veřejné rejstříky a údaje zveřejňované jako otevřená data s podporou centrálního nástroje, kterým je Národní katalog otevřených dat (NKOD).
Veřejné rejstříky (VDF-VR)
Veřejnými rejstříky právnických a fyzických osob podle zákona č. 304/2013 Sb., Zákon o veřejných rejstřících právnických a fyzických osob (dále jen „veřejný rejstřík"), se rozumí:
•spolkový rejstřík,
•nadační rejstřík,
•rejstřík ústavů,
•rejstřík společenství vlastníků jednotek,
•obchodní rejstřík a
•rejstřík obecně prospěšných společností.
Do veřejného rejstříku se zapisují zákonem stanovené údaje o právnických a fyzických osobách (dále jen „zapsaná osoba"). Veřejný rejstřík je informačním systémem veřejné správy. Veřejný rejstřík je veden v elektronické podobě. Veřejný rejstřík vede soud (dále jen „rejstříkový soud").
Ministerstvo financí uveřejňuje způsobem umožňujícím dálkový přístup informace o osobách zapsaných v České republice a údaje o tom, ve kterém veřejném rejstříku jsou tyto osoby zapsány. Ministerstvo financí umožňuje získat o údajích vedených ve veřejných rejstřících elektronický opis.
Údaje z Obchodního rejstříku společně s údaji z Registru živnostenského podnikání (RŽP) a Registru ekonomických subjektů (RES), Registru plátců spotřební daně (SD) a dalších zdrojů publikuje Ministerstvo financí prostřednictvím Administrativního registru ekonomických subjektů (ARES). ARES je IS, který zpřístupňuje veřejné údaje o ekonomických subjektech z informačních systémů (zdrojů) veřejné správy. Obsahuje údaje ze základních (majoritních) zdrojů, které jsou formou odkazů doplněny údaji z dalších zdrojů. Při zpracování se používají též kontrolní zdroje.
Veřejné rejstříky a vzdálený přístup k jejich údajům prostřednictvím ARES předcházely Základním registrům a musí být s nimi sladěny a integrálně nově zařazeny do celkové koncepce eGovernmentu. Koncepce rozvoje veřejných rejstříků a jejich IS musí tedy naplňovat přinejmenším následující požadavky:
1.Všechny rejstříky musí obsahovat ztotožněné údaje FO a PO, pokud je bylo proti čemu ztotožnit (u rezidentů).
2.Všechny rejstříky vedle toho, že jsou publikovány na internetu, musí být dostupné jako otevřená data. A to přímo, nebo prostřednictvím OD k ARES.
3.Všechny rejstříky musí být pro potřeby agend OVS dostupné přes eGSB, a to buď sdruženě, prostřednictvím ARES, nebo přímo, pokud jejich veřejné údaje nejsou v ARES zahrnuty.
4.ARES, jako klíčový veřejný rejstřík s velkým hospodářským dopadem, musí být být průběžně rozvíjen a inovován tak, aby odpovídal aktuálním potřebám občanské i podnikové veřejnosti ČR.
Otevřená data (VDF-OD)
Otevřenými daty se v rámci veřejného datového fondu se rozumí celek obsahující údaje zveřejňované orgány veřejné správy jako otevřená data a Národní katalog otevřených dat (NKOD).
NKOD je nástroj, ve kterém jednotlivé orgány veřejné správy katalogizují jimi zveřejňovaná otevřená data a jiné orgány veřejné správy a veřejnost v něm otevřená data vyhledávají a získávají k nim přístup.
Existence NKOD a povinnost jednotlivých orgánů veřejné správy v něm katalogizovat svá otevřená data je dána zákonem č. 106/1999 Sb., o svobodném přístupu k informacím, který zavádí definici otevřených dat, NKOD a zmocňuje vládu vydat nařízení o seznamech, evidencích či registrech, jejichž veřejný obsah je povinně zveřejňován jako otevřená data, § 5 odst. 7 tohoto zákona pak zmocňuje orgány veřejné správy zveřejňovat i další informace jako otevřená data.
Nařízení vlády č. 425/2016 Sb. o seznamu informací zveřejňovaných jako otevřená data stanovuje, jaké informace mají být zveřejňovány orgány veřejné správy jako otevřená data povinně.
Pro naplnění závazků, které vyplývají ze strategických dokumentů, bude zveřejňování otevřených dat povinné pro všechny správce ISVS. Pro zamezení vytváření duplicitních informací ve veřejné správě, které mohou být zveřejňovány, bude zavedena povinnost orgánů veřejné správy je sdílet jako otevřená data.
Průběžná změna legislativního prostředí musí vést k postupnému rozšiřování povinností orgánů veřejné správy zveřejňovat informace reprezentované jako údaje evidované v ISVS, jejichž zveřejnění je možné, nebo jejich anonymizovanou podobu, souhrn či statistiku jako otevřená data s cílem dosáhnout plošné povinnosti. Je nutné výslovně zanést možnost zveřejňovat informace jako otevřená data do zvláštních předpisů upravujících zveřejňování údajů, v jejichž případě se postup podle zákona o svobodném přístupu k informacím nepoužije, např. do zákona o právu na informace o životním prostředí.
Je též nutné legislativně ukotvit povinnost orgánů veřejné správy využívat při výkonu svých agend otevřená data poskytovaná jinými orgány veřejné správy. To se týká především číselníků, kdy jsou stejné číselníky vytvářeny různými orgány veřejné správy.
Veřejný datový fond v současnosti tvoří otevřená data několika orgánů veřejné správy a NKOD. Různá kvalita otevřených dat komplikuje jejich opakovatelnou použitelnost. Je též téměř nemožné sdílet veřejné údaje mezi orgány veřejné správy jako otevřená data, neboť neexistují žádné garance dostupnosti. Pro zlepšení současného stavu se VDF stane virtuálním distribuovaným datovým prostorem, ve kterém orgány veřejné správy sdílí s veřejností i mezi sebou navzájem veřejné údaje evidované v jimi spravovaných ISVS v podobě kvalitních otevřených dat. VDF-OD bude mít následující součásti:
•Sdílený veřejný datový fond (SVDF) – bude podmnožinou otevřených dat, která je určena nejenom veřejnosti, ale slouží i ke sdílení veřejných údajů mezi orgány veřejné správy. Pro otevřená data v SVDF musí být zajištěna a garantována jejich dostupnost pro orgány veřejné správy, které je pro výkon svých agend využívají.
•Národní katalog otevřených dat (NKOD) – bude zvýšena jeho uživatelská přívětivost i na bázi sémantického slovníku pojmů. Bude podporovat standard DCAT-AP[1].
•Nástroj pro správu sémantického slovníku pojmů (NSSSP) – umožní správu sémantického slovníku pojmů všemi orgány veřejné správy a popisovat jejich otevřená data za účelem sémantické harmonizace otevřených dat.
•Katalog uživatelů otevřených dat (KUOD) – bude evidovat, jaké orgány veřejné správy využívají jaká otevřená data v SVDF.
•Portál otevřených dat (POD) – bude jednotný přístupový bod do VDF veřejně přístupný na adrese https://data.gov.cz.
•5* (pětihvězdičkový) veřejný datový fond (5VDF) – bude podmnožinou otevřených dat, které jsou zveřejněny jako propojená otevřená data. Jeho součástí bude index datových entit, který pro každou datovou entitu reprezentovanou v 5VDF poskytuje základní údaje z 5VDF a odkazy na různé její reprezentace v otevřených datech jednotlivých orgánů veřejné správy v 5VDF.
Budou zajištěny kapacity pro vytvoření nových komponent VDF-OD. Softwarové nástroje pro realizaci VDF budou vytvořeny jako open-source s maximálním využitím existujících open-source komponent.
SVDF bude naplňován postupně. Nejprve zde budou zveřejněny kompletní údaje evidované v základních registrech ROS, RÚIAN a RPP, statistiky vytvořené z údajů evidovaných v základním registru ROB a veškeré sdílené číselníky spravované orgány veřejné správy. Postupně pak budou v SVDF zveřejňovány i další sdílené veřejné údaje dle připravovaných projektů tvorby či zhodnocování jednotlivých ISVS tak, aby bylo dosaženo cílového stavu zveřejnění všech sdílených veřejných údajů v SVDF. V 5VDF budou zveřejněny údaje ze základních registrů a vybrané číselníky vybraných orgánů veřejné moci, které jsou potřebné pro propojování dat. V případě rozšiřování základních registrů budou též i v nich vedené údaje zveřejněny jako otevřená data ve SVDF a jako propojená otevřená data v 5VDF.
Bude vytvořeno HW a SW prostředí pro provoz komponent VDF-OD. Pro potřeby orgánů veřejné správy, které budou zveřejňovat otevřená data v SVDF bude vybudováno sdílené úložiště SVDF, které umožní zajistit a garantovat dostupnost pro ostatní orgány veřejné správy.
HW a SW prostředí pro VDF-OD bude zajištěno v NDC nebo eGovernment Cloudu. HW a SW prostředí sdíleného úložiště SVDF bude zajištěno v NDC nebo eGovernment Cloudu. Správcem vytvořených prostředí bude Ministerstvo vnitra.
[1] https://joinup.ec.europa.eu/solution/dcat-application-profile-data-portals-europe
Zásadním požadavkem bezpečnosti a transparentnosti pro informační systémy veřejné správy je požadavek na jednotnou elektronickou identifikaci interních i externích uživatelů. Pro každou operaci je nutná znalost osoby, která tuto operaci provádí zvláště z hlediska nepopiratelné zodpovědnosti osoby.
Externí uživatelé (klienti) informačních systémů veřejné správy musí být jednoznačně identifikováni zvláště z důvodů ochrany osobních údajů a dále z procesního hlediska, jak předpokládá správní řád (jednoznačné prokázání totožnosti účastníků řízení).
Pro interní uživatele, pracující v informačním systému veřejné správy je nutnou podmínkou jednoznačná a nepopiratelná identifikace uživatele tak, aby bylo možné jednoznačně vyhodnotit oprávnění této osoby v rámci přístupu k údajům a službám informačních systémů a současně zpětně vyhodnotit činnost těchto osob dle záznamů v auditních systémech (logy).
Úloha správy přístupů se pro každý informační systém veřejné správy skládá z následujících kroků:
•Identifikace – jednoznačné a nepopiratelné určení fyzické osoby, která přistupuje k informačnímu systému veřejné správy
•Autentizace – prokázání, že přistupující osoba je tou osobou, za kterou se vydává. Autentizace probíhá předložením autentizačních prostředků (například uživatelské jméno a heslo, autentizační certifikát), které osobě přidělil správce informačního systému
•Autorizace – na základě údajů o identifikované a autentizované osobě a dalších údajů o této osobě (například zařazení na pracovní pozici) zařazení osoby do odpovídající role a z toho vyplývající vyhodnocení oprávnění na úkony a data v rámci informačního systému.
IKČR v této oblasti vyžaduje naplnění následujících principů pro všechny informační systémy veřejné správy:
1.Při tvorbě identitního prostoru si prvně udělat analýzu, zda nepostačuje již některý z federovaných identit v rámci NIA
2.Jakýkoliv nový identitní prostor musí být budován tak, aby byl federovaný v rámci NIA
3.Prostředky pro identifikaci a autentizaci jsou vždy vydány bezpečnou a jednoznačnou cestou identifikované osobě tak, aby byla zajištěna minimálně úroveň důvěry značná. O tomto vydání prostředků existuje trvalý záznam spolu s údaji, jak byla ověřena identita osoby
4.Osoba, jíž byly prostředky vydány, nedílně zodpovídá za ochranu těchto prostředků před odcizením a zneužitím
5.Osoba, jíž byly prostředky vydány, nese nedílnou zodpovědnost za všechny úkony, které byly v informačním systému provedeny při použití těchto prostředků
6.Věcný správce agend, které jsou vykonávány v rámci informačního systému, zodpovídá za obsazení osob do rolí (technicky vykonává technický správce informačního systému, vždy však na základě podkladů o věcných správců). Tuto svoji zodpovědnost může delegovat v rámci organizační struktury na více zodpovědných osob.
Jednotná elektronická identifikace klientů VS
Pro jednoznačnou identifikaci a autentizaci klientů veřejné správy byl vytvořen technický a právní rámec, který umožňuje všem správcům informačních systémů veřejné správy tuto činnost vykonávat v souladu s IKČR a výše uvedenými požadavky bez nutnosti vytváření nákladných řešení a zvyšování administrativní zátěže.
Zákon 250/2017 Sb. o elektronické identifikaci zavádí v §2 povinnost provádět prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace. Tento paragraf nabývá účinnosti 1. července 2020. Po tomto datu nebude možné pokračovat v praxi vydávání přístupových údajů klientů veřejné správy mimo systémy kvalifikovaného systému elektronické identifikace, pokud jiný zákon tuto cestu neumožnuje.
Podporu celého procesu elektronické identifikace prostřednictvím kvalifikovaného systému elektronické identifikace je vytvořena platforma Národní identitní autority (NIA), která vykonává činnosti Národního bodu dle §20 a následujících a národního uzlu eIDAS pro spolupráci s oznámenými systémy elektronické identifikace dle nařízení Evropské parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
NIA zajistí státem garantované služby identifikace a autentizace včetně federace údajů o subjektu práva ze základních registrů a možnost předávání přihlašovací identity dle principy Single Sign-On. Žádné OVS si tedy již nemusí řešit přihlašovací identity pro své klienty samo! Toto platí pouze pro osoby uvedené v ROB nebo přihlašující se identitou v rámci eIDAS z členských států EU. V současném stavu ROB (stav As-Is) tedy pouze pro občany ČR a cizince s trvalým pobytem. V budoucím stavu (stav To-Be) pro občany ČR, cizince s trvalým pobytem a jiné fyzické osoby (EjFO), které mají k ČR právní či majetkový vztah (zahraniční vlastník nemovitosti, zahraniční lékař, zahraniční student, apod.).
Národní identitní autorita vytváří federativní systém, který se skládá z následujících komponent:
•Národní bod jako centrální bod federativního systému, který zajišťuje komunikaci a registraci účastníků federace. Tato komponenta zajišťuje současně vždy jednoznačné ztotožnění osoby, která prokazuje svoji totožnost předložením autentizačních prostředků
•Kvalifikovaný správce, který vydává jednoznačně identifikovaným fyzickým osobám prostředky pro vzdálenou autentizaci (prokázání totožnosti) a provádí veškeré činnosti spojené se správou těchto prostředků a prokazováním totožnosti fyzické osoby
•Základní registry, které poskytují jednoznačnou identifikaci osoby a zajištění vazeb této osoby vůči referenčním údajům o osobě
•Národní uzel eIDAS, který zajišťuje přijímání vzdáleného prokázání totožnosti z ohlášených systémů dle nařízení eIDAS a předávání vzdálené identifikace a autentizace z České republiky ostatním státům EU
Kvalifikovaný poskytovatel elektronických služeb bude nadále zodpovědný za řízení oprávnění (autorizaci) fyzické osoby, která prokázala takto svoji totožnost. Nadále tedy musí provádět správu oprávnění na základě údajů o osobě, které získá z propojeného datového fondu veřejné správy a vlastních údajů vedených v agendě.
Jednotný identitní prostor úředníků, autentizační informační systém
Jednotní identitní prostor (JIP) informačních systémů veřejné správy a Katalog autentizačních a autorizačních služeb (KAAS) je autentizační informační systém podle §56a zákona 111/2009 Sb. o základních registrech a jeho správcem je Ministerstvo vnitra. Na základě znění zákona zavedení jakékoli osoby do tohoto autentizačního informačního systému vyžaduje její jednoznačné ztotožnění oproti základnímu registru obyvatel. Ministerstvo dále spravuje prostředky pro autentizaci, které vydává.
V rámci současného stavu (As-Is 2018) se předpokládá co nejširší používání autentizačního informačního systému JIP/KAAS pro splnění zásadních podmínek pro identifikaci a autentizaci interních uživatelů informačních systémů veřejné správy v roli úředník. Pro ty informační systémy, kde interní uživatelé informačního systému jsou zaváděni úřady, které nejsou správci tohoto informačního systému, je použití autentizačního informačního systému JIP/KAAS povinností.
V rámci budoucího stavu (To-Be 2020) bude využití systému JIP/KAAS možné pouze v případě, že se stane jedním z poskytovatelů identity v rámci NIA (minimálně v úrovni značná) nebo se sám stane kvalifikovaným systém dle zákona 250/2017 Sb. Pokud nenastane ani jedna z podmínek výše, je potřeba zajistit identitní prostor úředníků jiným způsobem, například:
•Sekce pro státní službu na MV zajistí jednotný prostředek identity úředníka v rámci NIA.
•Jiný orgán veřejné moci zajistí vydávání profesních identit v rámci NIA z nichž požadavky na úřední identitu (včetně zajištění finančních prostředků) sdělí Sekce pro státní službu na MV.
•Úředníkům bude uloženo využívat předem vybraný soubor federovaných identit v rámci NIA (například elektronický občanský průkaz).
Datové fondy a druhy údajů při výkonu veřejné správy
Datové fondy ve veřejné správě se rozdělují na 2 hlavní katagorie dle způsobu jejich využití a publikace: 1) Propojený datový fond 2) Veřejný datový fond. Každý z těchto fondů má svá vlastní pravidla, právní předpisy a i smysl kdy a jak je využívat.
Propojený datový fond a jeho služby
IK ČR zavádí do architektury VS ČR pojem propojeného datového fondu (PPDF). Propojený datový fond je tvořen datovými fondy (zejména datovými kmeny a transakčními daty) jednotlivých ISVS, propojených referenčním rozhraním VS s datovými fondy jiných ISVS pomocí odkazů (referenčních vazeb) na referenční údaje o subjektech práva (fyzických osobách, právnických osobách a OVM) a referenční údaje o objektech práva - územních prvcích, vedených v základních registrech. Pro referenční vazby údajů o fyzických osobách se využívá Agendový identifikátor Fyzické osoby ( AIFO), pro referenční vazby právnických osob Identifikační číslo osoby (IČO), pro referenční vazby územních prvků jejich příslušné identifikátory přidělené RUIAN.
Referenční rozhraní VS, pomocí něhož je PPDF zpřístupněn, je tvořeno Informačním systémem základních registrů a sběrnicí eGovernmentu, která je součástí CMS (eGSB).
Cílem rozvoje PPDF je publikovat jeho prostřednictvím nejen referenční údaje ze ZR a autoritativní (ze zákona vedené a spravované) údaje editorů ZR, ale také autoritativní údaje dalších agendových centralizovaně vedených ISVS.
Základními službami PPDF pro ISVS - čtenáře a uživatele údajů v PPDF jsou a budou:
•Ztotožnění (přidělení identifikátoru) subjektu resp. objektu práva v ISVS vedeném
•Výdej propojených údajů o subjektu/objektu práva v rozsahu oprávnění vedených v RPP pro příslušnou agendu podporovanou ISVS
•Notifikace o změnách referenčních a autoritativních údajů pro údaje v ISVS vedené
•Podpora reklamace chybných údajů
•Podpora pseudonymizace údajů o subjektech práva
Pro OVM a subjekty údajů to budou služby:
•Podpora vytváření výstupů z ISVS pro subjekty údajů
•Podpora vytváření autorizovaných výpisů z ISVS
•Podpora reklamace chybných údajů
PPDF je základním předpokladem pro naplnění principu Only Once a eliminace místní příslušnosti.
PPDF se skládá z následujících prvků eGovernmentu:
a) Základní registry (dále také ZR), publikované službami ISZR
Základní registry tvoří Základní registr obyvatel (též ROB), Základní registr osob (též ROS), Základní registr územní identifikace a nemovitostí (též RUIAN), Základní registr práv a povinností (též RPP), registr ORG a informační systém základních registrů (též ISZR).
b) Údaje editorů ZR publikované kompozitními službami ISZR
Kompozitními službami se rozumí služby ISZR, které poskytují údaje vedené v editorských systémech ZR s vazbou na referenční údaje vedené v ZR
c) Autoritativní zdroje publikované na eGSB
ISVS vedoucí evidence údajů ze zákona (autoritativní zdroj) publikují údaje pro potřeby jiných OVS nebo pro klienty VS prostřednictvím CMS – eGSB.
ISZR a eGSB tvoří referenční rozhraní VS ve smyslu zákona 365/2000 Sb.
Veřejný datový fond
Veřejným datovým fondem (dále jen VDF) se rozumí celek datového fondu ČR, obsahující údaje zveřejňované orgány veřejné správy jako veřejné rejstříky a údaje zveřejňované jako otevřená data s podporou centrálního nástroje, kterým je Národní katalog otevřených dat (NKOD).
Veřejné rejstříky (VDF-VR)
Veřejnými rejstříky právnických a fyzických osob podle zákona č. 304/2013 Sb., Zákon o veřejných rejstřících právnických a fyzických osob (dále jen „veřejný rejstřík"), se rozumí:
•spolkový rejstřík,
•nadační rejstřík,
•rejstřík ústavů,
•rejstřík společenství vlastníků jednotek,
•obchodní rejstřík a
•rejstřík obecně prospěšných společností.
Do veřejného rejstříku se zapisují zákonem stanovené údaje o právnických a fyzických osobách (dále jen „zapsaná osoba"). Veřejný rejstřík je informačním systémem veřejné správy. Veřejný rejstřík je veden v elektronické podobě. Veřejný rejstřík vede soud (dále jen „rejstříkový soud").
Ministerstvo financí uveřejňuje způsobem umožňujícím dálkový přístup informace o osobách zapsaných v České republice a údaje o tom, ve kterém veřejném rejstříku jsou tyto osoby zapsány. Ministerstvo financí umožňuje získat o údajích vedených ve veřejných rejstřících elektronický opis.
Údaje z Obchodního rejstříku společně s údaji z Registru živnostenského podnikání (RŽP) a Registru ekonomických subjektů (RES), Registru plátců spotřební daně (SD) a dalších zdrojů publikuje Ministerstvo financí prostřednictvím Administrativního registru ekonomických subjektů (ARES). ARES je IS, který zpřístupňuje veřejné údaje o ekonomických subjektech z informačních systémů (zdrojů) veřejné správy. Obsahuje údaje ze základních (majoritních) zdrojů, které jsou formou odkazů doplněny údaji z dalších zdrojů. Při zpracování se používají též kontrolní zdroje.
Veřejné rejstříky a vzdálený přístup k jejich údajům prostřednictvím ARES předcházely Základním registrům a musí být s nimi sladěny a integrálně nově zařazeny do celkové koncepce eGovernmentu. Koncepce rozvoje veřejných rejstříků a jejich IS musí tedy naplňovat přinejmenším následující požadavky:
1.Všechny rejstříky musí obsahovat ztotožněné údaje FO a PO, pokud je bylo proti čemu ztotožnit (u rezidentů).
2.Všechny rejstříky vedle toho, že jsou publikovány na internetu, musí být dostupné jako otevřená data. A to přímo, nebo prostřednictvím OD k ARES.
3.Všechny rejstříky musí být pro potřeby agend OVS dostupné přes eGSB, a to buď sdruženě, prostřednictvím ARES, nebo přímo, pokud jejich veřejné údaje nejsou v ARES zahrnuty.
4.ARES, jako klíčový veřejný rejstřík s velkým hospodářským dopadem, musí být být průběžně rozvíjen a inovován tak, aby odpovídal aktuálním potřebám občanské i podnikové veřejnosti ČR.
Otevřená data (VDF-OD)
Otevřenými daty se v rámci veřejného datového fondu se rozumí celek obsahující údaje zveřejňované orgány veřejné správy jako otevřená data a Národní katalog otevřených dat (NKOD).
NKOD je nástroj, ve kterém jednotlivé orgány veřejné správy katalogizují jimi zveřejňovaná otevřená data a jiné orgány veřejné správy a veřejnost v něm otevřená data vyhledávají a získávají k nim přístup.
Existence NKOD a povinnost jednotlivých orgánů veřejné správy v něm katalogizovat svá otevřená data je dána zákonem č. 106/1999 Sb., o svobodném přístupu k informacím, který zavádí definici otevřených dat, NKOD a zmocňuje vládu vydat nařízení o seznamech, evidencích či registrech, jejichž veřejný obsah je povinně zveřejňován jako otevřená data, § 5 odst. 7 tohoto zákona pak zmocňuje orgány veřejné správy zveřejňovat i další informace jako otevřená data.
Nařízení vlády č. 425/2016 Sb. o seznamu informací zveřejňovaných jako otevřená data stanovuje, jaké informace mají být zveřejňovány orgány veřejné správy jako otevřená data povinně.
Pro naplnění závazků, které vyplývají ze strategických dokumentů, bude zveřejňování otevřených dat povinné pro všechny správce ISVS. Pro zamezení vytváření duplicitních informací ve veřejné správě, které mohou být zveřejňovány, bude zavedena povinnost orgánů veřejné správy je sdílet jako otevřená data.
Průběžná změna legislativního prostředí musí vést k postupnému rozšiřování povinností orgánů veřejné správy zveřejňovat informace reprezentované jako údaje evidované v ISVS, jejichž zveřejnění je možné, nebo jejich anonymizovanou podobu, souhrn či statistiku jako otevřená data s cílem dosáhnout plošné povinnosti. Je nutné výslovně zanést možnost zveřejňovat informace jako otevřená data do zvláštních předpisů upravujících zveřejňování údajů, v jejichž případě se postup podle zákona o svobodném přístupu k informacím nepoužije, např. do zákona o právu na informace o životním prostředí.
Je též nutné legislativně ukotvit povinnost orgánů veřejné správy využívat při výkonu svých agend otevřená data poskytovaná jinými orgány veřejné správy. To se týká především číselníků, kdy jsou stejné číselníky vytvářeny různými orgány veřejné správy.
Veřejný datový fond v současnosti tvoří otevřená data několika orgánů veřejné správy a NKOD. Různá kvalita otevřených dat komplikuje jejich opakovatelnou použitelnost. Je též téměř nemožné sdílet veřejné údaje mezi orgány veřejné správy jako otevřená data, neboť neexistují žádné garance dostupnosti. Pro zlepšení současného stavu se VDF stane virtuálním distribuovaným datovým prostorem, ve kterém orgány veřejné správy sdílí s veřejností i mezi sebou navzájem veřejné údaje evidované v jimi spravovaných ISVS v podobě kvalitních otevřených dat. VDF-OD bude mít následující součásti:
•Sdílený veřejný datový fond (SVDF) – bude podmnožinou otevřených dat, která je určena nejenom veřejnosti, ale slouží i ke sdílení veřejných údajů mezi orgány veřejné správy. Pro otevřená data v SVDF musí být zajištěna a garantována jejich dostupnost pro orgány veřejné správy, které je pro výkon svých agend využívají.
•Národní katalog otevřených dat (NKOD) – bude zvýšena jeho uživatelská přívětivost i na bázi sémantického slovníku pojmů. Bude podporovat standard DCAT-AP[1].
•Nástroj pro správu sémantického slovníku pojmů (NSSSP) – umožní správu sémantického slovníku pojmů všemi orgány veřejné správy a popisovat jejich otevřená data za účelem sémantické harmonizace otevřených dat.
•Katalog uživatelů otevřených dat (KUOD) – bude evidovat, jaké orgány veřejné správy využívají jaká otevřená data v SVDF.
•Portál otevřených dat (POD) – bude jednotný přístupový bod do VDF veřejně přístupný na adrese https://data.gov.cz.
•5* (pětihvězdičkový) veřejný datový fond (5VDF) – bude podmnožinou otevřených dat, které jsou zveřejněny jako propojená otevřená data. Jeho součástí bude index datových entit, který pro každou datovou entitu reprezentovanou v 5VDF poskytuje základní údaje z 5VDF a odkazy na různé její reprezentace v otevřených datech jednotlivých orgánů veřejné správy v 5VDF.
Budou zajištěny kapacity pro vytvoření nových komponent VDF-OD. Softwarové nástroje pro realizaci VDF budou vytvořeny jako open-source s maximálním využitím existujících open-source komponent.
SVDF bude naplňován postupně. Nejprve zde budou zveřejněny kompletní údaje evidované v základních registrech ROS, RÚIAN a RPP, statistiky vytvořené z údajů evidovaných v základním registru ROB a veškeré sdílené číselníky spravované orgány veřejné správy. Postupně pak budou v SVDF zveřejňovány i další sdílené veřejné údaje dle připravovaných projektů tvorby či zhodnocování jednotlivých ISVS tak, aby bylo dosaženo cílového stavu zveřejnění všech sdílených veřejných údajů v SVDF. V 5VDF budou zveřejněny údaje ze základních registrů a vybrané číselníky vybraných orgánů veřejné moci, které jsou potřebné pro propojování dat. V případě rozšiřování základních registrů budou též i v nich vedené údaje zveřejněny jako otevřená data ve SVDF a jako propojená otevřená data v 5VDF.
Bude vytvořeno HW a SW prostředí pro provoz komponent VDF-OD. Pro potřeby orgánů veřejné správy, které budou zveřejňovat otevřená data v SVDF bude vybudováno sdílené úložiště SVDF, které umožní zajistit a garantovat dostupnost pro ostatní orgány veřejné správy.
HW a SW prostředí pro VDF-OD bude zajištěno v NDC nebo eGovernment Cloudu. HW a SW prostředí sdíleného úložiště SVDF bude zajištěno v NDC nebo eGovernment Cloudu. Správcem vytvořených prostředí bude Ministerstvo vnitra.
[1] https://joinup.ec.europa.eu/solution/dcat-application-profile-data-portals-europe