VÝSTUPNÍ MATERIÁL PROJEKTU CRP DEPO 2022 Výsledný text je platný k datu 29. 12. 2022 a materiál byl konzultován s ROWAN LEGAL, OHA, NAKIT, CESNET. 3 Výstupní materiál projektu CRP DEPO 2022 Cíle tohoto materiálu Tento materiál shrnuje obsahové výsledky projektu CRP DEPO za rok 2022. V roce 2023 bude projekt pokračovat, a proto bude docházet k úpravám a rozšíření zde uvedených tvrzení a informací. Elektronická a aktuální verze tohoto materiálu je dostupná na odkaze uvedeném v kapitole 8. Je strukturován následujícím způsobem: 1 Úvod, poskytující kontext projektu a jeho výstupů 2 Analýza OVM z pohledu VVŠ dle ZVŠ 3 Právní analýza možného postupu práce s údaji z ISZR a jinými AIS 4 Analýza interní legislativy 5 Dopad na procesy VVŠ 6 Podmínky pro připojení a úspěšné získání dat z ISZR a AIS 7 Otázky od účastníků projektu a odpovědi 8 Appendix • Odkazy na další materiály vzniklé v průběhu projektu 4 1 Kontext a úvod Z dosavadních právních analýz postavení VVŠ a dopadů DEPO (podrobněji dále v tomto materiálu) se zdá být relativně bezrozporné, že VVŠ vystupují v některých situacích jako OVM (např. vůči uchazečům o studium, studentům, absolventům a dalším osobám) a v dalších situacích VVŠ jako OVM nevystupují (např. uzavírání soukromoprávních smluv, zadávání veřejných zakázek, poskytování ubytování na kolejích, provozování knihoven apod.). Tam, kde jsou VVŠ OVM, mají nárok přistupovat ke službám eGovernmentu a jsou na ně kladeny také povinnosti z tohoto vyplývající, mj. dle zákona o právu na digitální služby. To konkrétně znamená, že pro vybrané úkony (zápis do studia, vydání rozhodnutí o ne/poskytnutí sociálního stipendia, vydání diplomu atd.), mají VVŠ právo získat potřebné údaje z registru obyvatel (ROB), ale i z konkrétních agendových informačních systémů (například ČSSZ – potvrzení o údajích potřebných pro rozhodnutí o sociálním stipendiu apod.). Podrobný popis, o jaké jde údaje, z jakého systému, a pro jakou činnost jsou potřeba, je uveden v kapitole 6. tohoto materiálu. 5 2 Analýza postavení OVM a zákonu o právu na digitální službu Následující text připravil Mgr. Martin Prokeš z JAMU (5512@post.jamu.cz). Jedná se shrnutí rozsáhlejší analýzy, která je dostupná na odkazu uvedeném v kapitole 8. tohoto dokumentu. Veřejná moc  Veřejná moc je taková moc, která autoritativně (vrchnostensky) rozhoduje o právech a povinnostech osob, které přitom nejsou v rovnoprávném postavení s orgánem veřejné moci (dále jen „OVM“) a obsah rozhodnutí OVM nezávisí na jejich vůli. Veřejná moc zahrnuje moc státní a zbytkovou veřejnou moc. Ojediněle se vyskytuje názor, že o jednání veřejné moci mající veřejnoprávní povahu může jít i mimo vrchnostenské rozhodování, případně že tomu tak je pro účely určitých předpisů.  Veřejná správa  Správa je činnost vedená trvalým účelem obstarávat určité záležitosti. Veřejná správa je správa veřejných záležitostí vykonávaná ve veřejném zájmu. Na veřejnou správu lze hledět jako na činnost (spravování, které je součástí moci výkonné), nebo jako na soustavu úřadů (vykonavatelů veřejné správy). Veřejnou správu lze podle vykonávané veřejné moci dělit na státní správu (výkon státní moci) a samosprávu (výkon zbytkové veřejné moci). Veřejnou správu lze podle používaných prostředků rozdělit na:  1. vrchnostenskou (výkon veřejné moci prostředky veřejného práva)  2. fiskální (péče o majetek vč. veřejných zakázek; prostředky soukromého práva)  3. pečovatelskou (služba veřejnosti; prostředky soukromého i veřejného práva)  VŠ vykonávají veřejnou správu vrchnostenskou i nevrchnostenskou. VŠ jsou subjekty veřejné správy a jsou, resp. jejich orgány jsou vykonavateli veřejné správy. VŠ vykonávají zásadně samosprávu, jen v případech stanovených zákonem tzv. přenesenou státní správu (matrika studentů a nostrifikace).  Orgán veřejné moci (OVM)  Pro celý český právní řád platná legální definice pojmu OVM neexistuje. Některé právní předpisy obsahují pro určitý okruh entit legislativní zkratku OVM, případně pro své účely tento pojem vymezují, přičemž vymezení nejsou totožná. Jiné předpisy pro obdobný okruh entit používají jiné označení (např. veřejnoprávní podepisující či původce).  OVM je osoba nebo orgán, které vykonávají veřejnou moc. VŠ je OVM tam, kde vystupuje jako bezsubjektní orgán (vykonává své pravomoci), tj. při výkonu státní moci, která na ni byla zákonem přenesena (matrika studentů a nostrifikace) a při výkonu zbytkové veřejné moci (samospráva VŠ). VŠ není OVM tam, kde vystupuje jako právnická osoba, kde má subjektivní práva a povinnosti, tj. jako ostatním rovný subjekt v soukromoprávních vztazích. Pojem OVM je v tomto pojetí pojmem relativním: VŠ, resp. její orgány jsou v postavení OVM tehdy, když vykonávají veřejnou moc.  Lze se však setkat i s použitím pojmu OVM v jiném kontextu: např. OVM má zřízenu a přístupnou datovou schránku orgánu veřejné moci, a to i v době, kdy autoritativně nerozhoduje, postačuje, že může (má k tomu kompetenci). Pojem OVM je v tomto pojetí pojmem absolutním (VŠ je takto OVM bez ohledu na výkon veřejné moci).  Lze uzavřít, že obsah pojmu OVM není jednotný a v různých předpisech, resp. kontextech je různý.  6 OVM v ZPDS  Zákon o právu na digitální služby (dále jen „ZPDS“) upravuje mj. právo osob na poskytnutí digitálních služeb OVM při výkonu jejich působnosti.  ZPDS pojem OVM nevymezuje. Důvodová zpráva k ZPDS, která není pramenem práva, odkazuje na vymezení OVM v zákoně o základních registrech (dále jen „ZZR“) a stejně činí i dostupná literatura. ZZR pro své účely vymezuje OVM tak, že se jím rozumí mj. právnická osoba, byla-li jí svěřena působnost v oblasti veřejné správy (mj. VŠ). Soudy při výkladu správního řádu vyložili, že v případě „výkonu působnosti v oblasti veřejné správy“ má jít o výkon veřejné moci.  Pokud do ZPDS doplníme definici OVM ze ZZR, získáme ve vztahu k VŠ text: ZPDS upravuje právo osob na poskytnutí digitálních služeb právnickou osobou, byla-li jí svěřena působnost v oblasti veřejné správy, při výkonu její působnosti. Působnost tedy figuruje v textu dvakrát: 1) jako aktivační kritérium (svěření výkonu veřejné moci VŠ), 2) jako limitující kritérium (při výkonu její působnosti).   V případě aktivačního kritéria postačuje svěření působnosti v oblasti veřejné správy (absolutní pojetí pojmu OVM). Na VŠ tedy ZPDS jednoznačně dopadá. V případě limitačního kritéria se hovoří již jen o působnosti, nikoli působnosti v oblasti veřejné správy. Samotný pojem působnost soudy, např. v zákoně o svobodném přístupu k informacím, vyložily jako činnost (i takovou, která není výkonem veřejné moci). Obecně lze působnost vymezit jako okruh úkolů k řešení (např. přijímaní uchazečů ke studiu na dané VŠ), zatímco pravomoc jako právní nástroje k výkonu veřejné moci (např. možnost vydat rozhodnutí nebo předpis).   Limitační kritérium proto omezuje povinnost VŠ poskytovat digitální služby na ty situace, kdy:   1. VŠ vykonává veřejnou moc ve smyslu autoritativního rozhodování o právech a povinnostech osob na základě zákona (např. „odebírání diplomů“, přijímací řízení, rozhodování o právech a povinnostech studentů, habilitační řízení, řízení ke jmenování profesorem, „odebírání docentur“, nostrifikace, odmítnutí poskytnutí informace podle „106“) nebo na základě vnitřního předpisu ve smyslu ZVŠ (např. uznání omluvy z termínu zkoušky).  2. VŠ postupuje na základě právní normy vztahující se k ní jako nositelce veřejné moci právě pro tuto její vlastnost (např. příjem žádostí podle „106“, zápis do studia, vydávání dokladů o studiu, zanechání studia).  Povinnost poskytovat digitální služby se na VŠ nevztahuje tam, kde vystupuje jako subjekt a smluvní strana, např. uzavírání smluv a jejich plnění (např. smlouvy o dílo, kupní smlouvy, uskutečňování CŽV vč. U3V, akreditované kurzy, …), a to ani při výběru smluvní strany podle zvláštní úpravy (např. zadávání veřejných zakázek, výběrové řízení na obsazování míst akademických pracovníků). 7 3 Práce s údaji z ISZR a jinými AIS Následující text připravila Mgr. Barbora Janková (jankova@rect.muni.cz) a JUDr. Kateřina Kvítková (kvitkova@rect.muni.cz) z Masarykovy univerzity. Shrnuje mj. výsledky analýz, jakým způsobem mají VVŠ dále pracovat s informacemi, které získají jako OVM. AGENDA VYSOKÝCH ŠKOL Obecný pohled na možnosti přístupu a práci s údaji ze základních registrů a případně jinými agendovými informačními systémy je tento: I. Přístup k údajům má VVŠ pouze v situaci, kdy je OVM vůči dané fyzické osobě (FO1 ). V naprosté většině situací jde o „základní údaje“ (tedy kontaktní a identifikační údaje, a to dle § 88 zákona o vysokých školách), ve vybraných situacích o něco navíc (informace o maturitním vysvědčení, o příjmu rozhodném pro nárok na sociální stipendium apod.). II. Tyto údaje OVM získá přes referenční rozhraní veřejné správy (https://archi.gov.cz/nap:referencni_rozhrani). Volá se pomocí „svaté čtveřice”, tzn. kód agendy, kód AIS, kód činnostní role a kód OVM, dále je potřeba uvést také účel/důvod použití dat. Tento účel uvidí daná FO v pravidelném výpise, který je doručován do datové schránky nebo je dostupný na Portále občana. III. Tam, kde VVŠ nevystupuje jako OVM, nemůže použít toto rozhraní, a tedy nemůže příslušné údaje získat ze ZR. IV. VVŠ, která v rámci výkonu agendy OVM získá určité údaje o FO, může tyto údaje použít i v jiných činnostech, kde není OVM, dle následujícího:  Jiné, než kontaktní údaje se nesmí nikdy využít mimo činnost, pro kterou byly získány.  Kontaktní údaje lze využít, a to dle: a) Souhlasu protistrany – student například vybere možnost „Prosím předvyplňte smlouvu údaji o mé osobě ze studijního systému“. V textu samotné smlouvy pak může být například souhlas, že VVŠ aktualizuje kontaktní údaje pro plnění dané smlouvy na základě denních aktualizací pro potřeby vedení matriky studentů. b) Čl. 5 odst. 1 písm. d) obecného nařízení o ochraně osobních údajů („GDPR“)  osobní údaje musí být: přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“) c) Čl. 6 odst. 4 obecného nařízení o ochraně osobních údajů – Slučitelnost účelu zpracování osobních údajů s původním účelem, při kterém byly osobní údaje získány 1 Právnické osoby, jakožto protistrany pro VVŠ, v tomto textu vůbec neřešíme 8  „Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné: — jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;“  lze využít např. pro získání přístupu do knihovny, ovšem pro oslovení absolventů pro účely sbírky již údaje použít nelze V. S předchozím bodem pak úzce souvisí i možnost získat aktualizace údajů o dané FO  Získané údaje smíme aktualizovat na denní bázi. Technicky jde o princip pull (nikoliv push) – tedy VVŠ se aktivně musí zeptat, zda došlo k nějakým změnám v daném seznamu osob. Z ROB dojde informace, u kterých osob ke změnám došlo, a poté je možné si opětovně zažádat o všechny konkrétní změny.  Fyzická osoba se ve svém výpise dozví až to, kdy dojde ke stáhnutí aktuálních informací, nikoliv denní dotaz na změny. Toto bude prováděno na základě registrované činnosti např. „správa matriky studentů“, kde je zákonem2 definováno, které údaje v matrice studentů VVŠ vede.  Je nutné specifikovat, u kterých osob budou tyto aktualizace prováděny. Ze současných debat a analýz vyplynulo, že okruh osob pro pravidelné aktualizace by se měl pravděpodobně sestávat pouze z: a) aktivních studentů, tj. s alespoň 1 neukončeným studiem, b) osob, kterým bylo studium přerušeno, c) uchazečů o přijetí ke studiu ode dne ztotožnění. VI. Praktické důsledky  VVŠ si drží jednu sadu základních údajů o dané FO — Při výkonu agendy nonOVM se smí kontaktní údaje omezeně použít, na základě kompatibility dle GDPR — Nutné vždy předem posoudit, zda je princip GDPR naplněn a na základě toho postupovat v dalších agendách — možnost je problematická a výrazně nedoporučujeme s ohledem na povinnost mít možnost souhlas odvolat a tím pádem může dojít k odlišným stavům mezi stejným typem osob – náročné na sledování a dodržování  Kontaktní údaje se aktualizují denně. Lze samozřejmě aktualizovat při výkonu činností jako OVM (nutné pro jiné než kontaktní údaje, protože takové údaje ani nelze aktualizovat – žádáme o ně vždy a pouze pro danou činnost OVM). Ke zvážení, zda denní aktualizace nestačí, a je nutná i aktualizace v okamžiku tvorby rozhodnutí OVM – typicky by nemělo být potřeba (výjimka: jmenný rejstřík) 2 § 88 zákona o vysokých školách 9 AGENDA SPISOVÉ SLUŽBY V rámci této agendy je spravován jmenný rejstřík určený pro automatické zpracovávání údajů o odesílatelích a adresátech dokumentů evidovaných v evidenční pomůcce a případně i o jiných osobách, jichž se dokumenty evidované v evidenční pomůcce týkají (§ 64 odst. 4 zákona o archivnictví a spisové službě). Zjednodušeně, osobu, která nám doručila jakýkoliv dokument anebo které jakýkoliv dokument odesíláme si smíme ověřit a máme povinnost ji vést ve jmenném rejstříku. U této osoby by měl být příznak, zda budeme pravidelně zjišťovat, zda došlo ke změnám kontaktních údajů (v souladu s bodem V. předchozí podkapitoly), a to dle § 25 vyhlášky č. 259/2012 Sb., o podrobnostech výkonu spisové služby. Je ale pravděpodobné, že spousta adresátů a odesílatelů bude ve jmenném rejstříku vedena, ovšem nikdy nedojde k jejich ověření, jelikož nebudeme mít dostatečné údaje nebo budou uvedeny chybně. Údaje o fyzické osobě smíme ve jmenném rejstříku vést po dobu tří let ode dne předání dokumentů a spisů, ke kterým se údaje o fyzické osobě vztahovaly, archivu nebo jejich zničení (§ 64 odst. 7 zákona č. 499/2004 Sb., o archivnictví a spisové službě). Povinnosti VVŠ jakožto OVM Je potřeba mít na paměti, že díky ZPDS a DEPO nezískávají VVŠ pouze právo k přístupu k údajům o FO, ale je na ně uvalena i řada povinností. Ty zahrnují např.: y Registrovat příslušné systémy jakožto agendové informační systémy (AIS), k čemuž je nutné i jejich registrace jakožto ISVS y Dodržovat příslušné technické i jiné požadavky, například logování všech dotazů y Certifikovat systém spisové služby y Registrovat osoby, které pracují s daným AIS VVŠ, a které mohou ze své aktivity vyvolávat požadavky na ISZR y Poskytovat vybrané údaje: — Není v tuto chvíli jasná role MŠMT a případného Klientského identifikátoru – KIFO — VVŠ by nejspíše měly poskytovat sadu údajů do systému MŠMT, obdoba SIMS, odkud by je čerpaly ostatní ISVS a např. ČSSZ by se ptala tohoto systému, nikoliv všech VVŠ postupně. Pokud víme, tak tento systém není připraven ani koncepčně. y Některé požadavky, zejména technické, jsou uvedeny v těchto zdrojích — Podmínky pro připojení: — Návod pro připojení: 10 — Informace pro správce a vývojáře — Katalog eGon služeb 11 4 Analýza vnitřních předpisů Analýzu potřebných změn vnitřních předpisů v důsledku zákona o právu na digitální služby a novely DEPO musí provést každá VVŠ sama. Mgr. Barbora Janková z Masarykovy univerzity provedla analýzu vnitřních předpisů MU, co se týče jednotlivých úkonů osob vůči MU, kde MU vystupuje jako OVM. Níže je uvedeno krátké shrnutí. Mimo povinné služby a úkony, které plynou přímo ze zákona o vysokých školách a budou registrovány také v RPP si může každá VVŠ upravit další úkony ve svých vnitřních předpisech. Domníváme se, že by se analogicky mělo uplatnit právo činit digitální úkony i na tyto úkony, tedy mít možnost jakýkoliv úkon stanovený vnitřním předpisem činit také digitálně (přes IS, datovou zprávou apod.). Z analýzy vnitřních předpisů MU vyplynuly mj. následující úkony, které vnitřní předpisy MU předvídají a předpokládají a bude je tak MU také poskytovat digitálně, pokud tak již nečiní. y Disciplinární řád MU — podnět k projednání disciplinárního přestupku — omluva z disciplinárního řízení — odvolání proti rozhodnutí y Studijní a zkušební řád MU — žádost o změnu studijního plánu — žádost o vydání výkazu o studiu — omluva neúčasti na povinné výuce — zápis do studia — výběr předmětů — zápis do dalšího semestru — žádost o náhradní termín zápisu do dalšího semestru — žádost o přerušení studia — žádost o uznání předmětů — přihláška ke státní závěrečné zkoušce (Bc., Mgr., doktorské) — omluvení neúčasti na státní závěrečné zkoušce — přihláška k obhajobě disertační práce — přihláška k rigorózní zkoušce — žádost o možnost předložit jako rigorózní práci teze disertační práce — žádost o revizi hodnocení — žádost o výjimku y Stipendijní řád — potvrzení podmínek a vyjádření zájmu s udělením stipendia na podporu ubytování — žádost o stipendium na podporu mobility — žádost o přiznání stipendia na podporu v tíživé situaci — žádost o mimořádné stipendium — žádost o stipendium na podporu tvůrčí činnosti — odvolání proti rozhodnutí — žádost o způsobu výplaty stipendia odlišně, než je stanoveno řádem 12  Řád habilitačního řízení a řízení ke jmenování profesorem na MU — návrh na zahájení habilitačního řízení — vzetí zpět návrhu na zahájení habilitačního řízení — návrh na zahájení řízení ke jmenování profesorem — písemný nesouhlas uchazeče se zahájením řízení — vzetí zpět návrhu na zahájení řízení ke jmenování profesorem — námitky proti postupu při habilitačním řízení — námitky proti postupu při řízení ke jmenování profesorem y Statut MU — podání přihlášky ke studiu — odvolání proti rozhodnutí — žádost absolventa zahraniční vysoké školy o vydání osvědčení o uznání vysokoškolského vzdělání nebo jeho části v ČR — odvolání proti rozhodnutí, kdy bylo rozhodnuto o právech a povinnostech studenta, která jsou taxativně vymezena v ZVŠ (§ 68) Zároveň je třeba upozornit na situace, kdy je dle vnitřních předpisů požadován některý úkon pouze osobně – opět by mělo platit, že takový úkon, pokud to nevyžaduje povaha úkonu, by měl být možný provést také digitálně. V případě Masarykovy univerzity se jedná například o zápis ke studiu, kdy je ve vnitřním předpisu uvedeno, že se zápis do studia provádí osobně na fakultě. Bude tedy zřejmě třeba najít alternativy k tomuto, aby měl uživatel služby možnost provést úkon také digitálně, pokud je to možné. 13 5 Dopad na procesy VVŠ V roce 2022 došlo k vydefinování základních principů dopadů na procesy VVŠ, které se prolínají celým tímto materiálem. S ohledem na rozsáhlost tohoto tématu se nebylo možné věnovat samostatně jednotlivým procesům, ale bylo potřeba si řádně stanovit základní otázky a hledat odpovědi na ně a na základě těchto principů bude probíhat analýza právě jednotlivých procesů VVŠ v průběhu příštího roku. 14 6 Podmínky pro připojení a úspěšné získání dat z ISZR a AIS Následující text připravil Ing. Tomáš Kotouč (kotouc@civ.zcu.cz) ze Západočeské univerzity v Plzni. Co u jednotlivých úkonů z agendy A3791 „Vysoké školy“ potřebujeme z jiných agend za data y U15225 Podání přihlášky na vysokou školu — NIA – ověření a získání ověřených údajů o adrese, datové schránce atd., — Registr studentů a absolventů středních škol MŠMT – rok absolvování maturity, ISO absolvované střední školy, kód absolvovaného studijního oboru, — SIMS MŠMT – údaje o předchozím studiu na VŠ — Registr Nostrifikací MŠMT – údaje o předchozích studiích v zahraničí y U15201 Podání žádosti o studijní úlevy — OSSZ – doba mateřské dovolené — ÚP – doba rodičovské dovolené y U15207 Žádost o úpravu průběhu studia sportovního reprezentanta — ??? MŠMT – údaje o reprezentaci y U16334 Oznámení změn kontaktních údajů — ROB – údaje o adrese a datové schránce y U22054 Oznámení ztráty zdravotní způsobilosti — ??? y U15250 Žádost o přiznání stipendia — Sociální stipendium – OSSZ – údaj, zda příjem rodiny zjišťovaný pro účely přídavku na dítě za třetí kalendářní čtvrtletí roku nepřevýšil součin částky životního minima rodiny a koeficientu 1,5 dle §91 odst. 3 zákona č. 111/1998 Sb. — Ubytovací stipendium – SIMS MŠMT – údaj o předchozích a souběžných studiích studenta — Doktorské stipendium – SIMS MŠMT y U16675 a U16648 žádost o uznání zahraničního vysokoškolského vzdělání a kvalifikace — Registr Nostrifikací MŠMT – údaje o předchozích studiích v zahraničí Chybějící agendy VŠ: y VŠ za studenty měsíčně předává přehledy o nástupech a ukončení studentů na VZP za účelem platby státu zdravotním pojišťovnám za studenty. — Tyto údaje může stát získat z registru MŠMT – SIMS y Vyměření poplatku spojeného se studiem podle § 58 odst. 3 a 4 – §68/1/f — SIMS MŠMT – údaje o předchozích studiích na VŠ 15 Požadavky na změnu procesu: y U16343 Žádost o potvrzení o studiu — Mnohé OVM (FÚ, OSSZ, ÚP, Cizinecká policie) po studentech chtějí potvrzení o studiu, ale mohou je získat z registru MŠMT – SIMS y Odevzdávání dat na ÚZIS: — Data by se dala odevzdávat na SIMS a odtud by si to ÚZIS převzal y U15250 Žádost o přiznání stipendia — Nejde o službu požadovanou z SDG – tam je požadován příspěvek na studium pro někoho, kdo student ještě není. Agenda A3791 – co potřebujeme, aby bylo za údaje nabízeno AIS 6938 SIMS y Ti, kteří data potřebují, potřebují zejména vědět od–do kdy student studoval (bez doby přerušení) a zda bylo studium úspěšné. Také je potřeba vědět, zda studium bylo plnohodnotné, či zda jde jen např. o nějaký CŽV kurz. y Data bude smět čerpat: — VŠ – pro posouzení přijímacího řízení na vyšší stupně terciálního vzdělávání, pro určení poplatku za delší studium, pro určení poplatku za další studium (sice zákon již zrušil, ale NSS vyžaduje), pro posouzení ubytovacího stipendia, — VZP – pro platbu za studenta od státu, — FÚ – sleva na dani studenta, — ÚP – pro posuzování práce studenta, — OSSZ – pro důchodové zabezpečení studenta, — Cizinecká policie – informace o cizincích, — ÚZIS – absolvent zdravotních oborů. y Co potřebují za data: — identifikace osoby, — identifikace studia, způsob financování studia, studium od–do, zda bylo studium úspěšné, — přerušení studia od–do, tj. kdy student nestudoval. y Osoba: — 3791-7-1 .. JMENO — 3791-7-2 .. PRIJMENI — 3791-7-3 .. TITUL_PRED_JMENEM — 3791-7-4 .. TITUL_ZA_JMENEM — 3791-7-5 .. DATUM_NAROZENI — 3791-7-6 .. MISTO_NAROZENI — 3791-7-7 .. STAT_NAROZENI — 3791-7-8 .. STAT_OBCANSTVI — 3791-7-9 .. STAT_BYDLISTE — 3791-7-10 .. ULICE — 3791-7-11 .. CISLO_DOMOVNI — 3791-7-12 .. OBEC — 3791-7-13 .. PSC — 3791-7-14 .. STREDNI_SKOLA 16 — 3791-7-15 .. ROK_MATURITNI_ZKOUSKY — 3791-7-16 .. OBOR_STREDNI_SKOLA — 3791-7-19 .. DATUM_POSLEDNI_AKTUALIZACE y Studia: — 3791-7-17-1 .. FAKULTA_STUDIA — 3791-7-17-2 .. STUDIJNI_PROGRAM_KOD — 3791-7-17-3 .. TYP_STUDIA — 3791-7-17-4 .. FORMA_STUDIA — 3791-7-17-5 .. DATUM_ZAPISU — 3791-7-17-6 .. DATUM_UKONCENI — 3791-7-17-7 .. FINANCOVANI — 3791-7-17-8 .. ZPUSOB_UKONCENI_STUDIA — 3791-7-17-9 .. ZISKANY_TITUL — 3791-7-17-10 .. DIPLOM_ID — 3791-7-17-11 .. Zdravotní obor pro ÚZIS y Přerušení: — 3791-7-18-1 .. PRERUSENI_OD — 3791-7-18-2 .. PRERUSENI_DO 3791-8 Maturanti y Smí čerpat: — VVŠ – ověření dosažení předchozího stupně vzdělání y Maturant: — 3791-8-1 .. JMENO — 3791-8-2 .. PRIJMENI — 3791-8-3 .. DATUM_NAROZENI — 3791-8-4 .. MISTO_NAROZENI — 3791-8-5 .. STAT_NAROZENI — 3791-8-6 .. STAT_OBCANSTVI — 3791-8-7 .. STAT_BYDLISTE — 3791-8-8 .. ULICE — 3791-8-9 .. CISLO_DOMOVNI — 3791-8-10 .. OBEC — 3791-8-11 .. PSC — 3791-8-12 .. STREDNI_SKOLA — 3791-8-13 .. ROK_MATURITNI_ZKOUSKY — 3791-8-14 .. OBOR_STREDNI_SKOLA — 3791-8-15 .. DATUM_POSLEDNI_AKTUALIZACE 17 3791-9 Nostrifikace y Smí čerpat: — VVŠ – ověření dosažení předchozího stupně vzdělání y Osoba: — 3791-9-1 .. JMENO — 3791-9-2 .. PRIJMENI — 3791-9-3 .. TITUL_PRED_JMENEM — 3791-9-4 .. TITUL_ZA_JMENEM — 3791-9-5 .. DATUM_NAROZENI — 3791-9-6 .. MISTO_NAROZENI — 3791-9-7 .. STAT_NAROZENI — 3791-9-8 .. STAT_OBCANSTVI — 3791-9-9 .. STAT_BYDLISTE — 3791-9-10 .. ULICE — 3791-9-11 .. CISLO_DOMOVNI — 3791-9-12 .. OBEC — 3791-9-13 .. PSC — 3791-9-14 .. STREDNI_SKOLA — 3791-9-15 .. ROK_MATURITNI_ZKOUSKY — 3791-9-16 .. OBOR_STREDNI_SKOLA y Studia: — 3791-9-17-1 .. FAKULTA_STUDIA — 3791-9-17-2 .. STUDIJNI_PROGRAM — 3791-9-17-3 .. STUPEN_TERCIALNIHO_STUDIA — 3791-9-17-4 .. FORMA_STUDIA — 3791-9-17-5 .. DATUM_ZAPISU — 3791-9-17-6 .. DATUM_UKONCENI — 3791-9-17-7 .. FINANCOVANI — 3791-9-17-8 .. ZPUSOB_UKONCENI_STUDIA — 3791-9-17-9 .. ZISKANY_TITUL — 3791-9-17-10 .. DIPLOM_ID 18 7 Otázky od účastníků projektu a odpovědi Níže uvedené odpovědi vychází ze současné legislativy a dle jejího vývoje budou dále zpřesňovány a upravovány. Ve chvíli vydání tohoto materiálu je naplánovaná novelizace zákoníku práce, která by měla zásadně ovlivnit elektronické podepisování a doručování v této oblasti a dále také novela zákona o vysokých školách, která by měla zasáhnout mj. do doručování. Je podání přihlášky v elektronické podobě digitálním úkonem ve smyslu digitální ústavy? Pokud ne, proč? Ano je, dle § 2 odst. 3 zákona č. 12/2020 Sb. „Každý úkon vůči orgánu veřejné moci lze činit jako digitální úkon, pokud zákon nestanoví výslovně jinak.“ Podáním přihlášky se zahajuje správní řízení, v rámci kterého VVŠ vystupuje jako OVM. Pokud podání přihlášky v elektronické podobně je digitální úkonem ve smyslu digitální ústavy, vztahuje se na tento úkon požadavek na prostředek pro elektronickou identifikaci nejméně v úrovni značná? Pokud ano, není tedy možné elektronické přihlášky realizovat s jiným způsobem ověřování? Jaká úroveň důvěry bude zvolena je na každém kvalifikovaném poskytovateli služeb. Nastavení úrovně důvěry je tedy na každé VVŠ (pokud se zaregistruje k NIA každá samostatně). NIA má v současné době prostředky na úrovni značná a vysoká, bankovní identita má úroveň záruky značná. Minimální úroveň elektronické identifikace by tak měla být značná. V případě, že uživatel použije prostředek elektronické identifikace, údaje, které jsou vedeny v základních registrech se do přihlášky automaticky vloží a uživatel je nebude moci změnit. Zároveň tímto dojde ke ztotožnění uchazeče. Ovšem uživatel nemá povinnost využít možnosti elektronické identifikace a stále může zadat všechny povinné údaje ručně. V tomto případě je potom možné pomocí nějaké minimální sady údajů (např. jméno, příjmení, datum narození, číslo dokladu) tohoto uživatele ověřit v ROB a tím dojde také ke ztotožnění. Pokud uživatel nebude ověřen z důvodu chybného zadání údajů, bude obratem informován, aby zadal správné údaje. V další a podrobnější analýze budeme pokračovat také v příštím roce. Zahraniční osoby, tedy osoby nevedené v ROB není možné v současné době nijak ztotožnit vůči registrům. K tomuto by měla v rámci EU napomoct SDG, která by měla fungovat koncem roku 2023. Pokud podání přihlášky v elektronické podobně je digitální úkonem ve smyslu digitální ústavy, má VVŠ povinnost zveřejňovat prostřednictvím MV elektronický formulář? Ano, dle § 4 odst. 3 zákona č. 12/2020 Sb. – „Orgány veřejné moci zveřejňují prostřednictvím Ministerstva vnitra (dále jen „ministerstvo“) elektronické formuláře, které po prokázání totožnosti uživatele služby s využitím elektronické identifikace zajistí automatizované doplnění údajů nezbytných pro poskytnutí digitální služby vedených v základním registru nebo agendovém informačním systému, které jsou orgánu veřejné moci zpřístupněné pro výkon agendy, nebo využívaných orgánem veřejné moci na základě souhlasu uživatele služby. Formát, strukturu a obsah formuláře stanoví orgán veřejné moci zveřejněním. Nezveřejní-li orgán veřejné moci elektronický formulář, má uživatel služby právo učinit digitální úkon podle své volby v jakémkoli výstupním datovém formátu podle zákona upravujícího archivnictví a spisovou službu.“; zároveň § 54 o zákl. registrech – ohlášení agendy obsahuje mj. formuláře v el. podobě pro podání a jiné úkony (formát, vlastnosti a strukturu zveřejní MV). MV nemá v současné době žádné předpisy na formuláře, tedy ani typ ani formát a každá VVŠ si tvoří vlastní formulář. Uživatel má nicméně stále na výběr, jakým způsobem úkon učiní, ovšem má právo jej učinit digitálně, právě prostřednictvím zveřejněného formuláře. 19 Pokud podání přihlášky v elektronické podobně je digitální úkonem ve smyslu digitální ústavy, má VVŠ povinnost po jeho učinění digitálního úkonu poskytnout osvědčení o digitálním úkonu? Ano, dle § 5 odst. 1 zákona č. 12/2020 Sb.; veřejnoprávní původci (dle § 3 odst. 1 ArchZ – tedy i VŠ) poskytují osvědčení bezodkladně po učinění úkonu. Zde se tedy předpokládá automatizace vyhotovování, nikoliv ruční práce. Náležitosti a další podmínky osvědčení jsou uvedeny v § 5 zákona č. 12/2020 Sb. Pokud má VVŠ povinnost po učinění digitálního úkonu poskytnout osvědčení o digitálním úkonu, musí být osvědčení vedeno ve spisové službě? Přímo ze zákona tato povinnost zřejmě nevyplývá, nicméně z opatrnosti a z důkazního hlediska se domníváme, že je vhodné osvědčení ve spisové službě evidovat, tak jako ostatní dokumenty týkající se dané věci. Je studijní IS agendovým informačním systémem? Agendovým informačním systémem je informační systém veřejné správy, který slouží k výkonu agendy, využívání elektronických formulářů nebo elektronické identifikaci, a to dle § 2 písm. f) zákona č. 111/2009 Sb., o základních registrech. Informační systémy veřejných vysokých škol, prostřednictvím kterých VVŠ vykonává agendy orgánu veřejné moci tak jsou agendovými informačními systémy. Je studijní IS informačním systémem veřejné správy? Ano, agendový informační systém je zároveň i ISVS, a to dle § 2 písm. f) zákona č. 111/2009 Sb., o základních registrech. Je možno vést pracovněprávní dokumentaci (smlouvy se zaměstnanci, změny smluv a jejich ukončování, DPP a DPČ) pouze v elektronické formě? Pokud ano, jaká omezení by z tohoto postupu vyplývala? Oblast pracovního práva obecně nespadá pod zákon o digitálních službách, vzhledem k tomu, že VŠ nikdy nebude v postavení OVM ve vztahu zaměstnanec-zaměstnavatel. Nad rámec tohoto projektu se ale domníváme, že platí následující. Prostřednictvím sítě nebo služby elektronických komunikací může zaměstnavatel písemnost doručit výlučně tehdy, jestliže zaměstnanec s tímto způsobem doručování vyslovil písemný souhlas a poskytl zaměstnavateli elektronickou adresu pro doručování. V případě, že zaměstnanec s tímto nesouhlasí a adresu neposkytne, je možné veškeré smlouvy a dokumentaci zkonvertovat a vést elektronicky. Zároveň je ale nutné ponechat také originál po stanovenou dobu. Jaký typ ověření (elektronického podpisu) by vyžadoval elektronický pracovněprávní dokument, pokud by byl veden výhradně v elektronické podobě? Oblast pracovního práva obecně nespadá pod zákon o digitálních službách, vzhledem k tomu, že VŠ nikdy nebude v postavení OVM ve vztahu zaměstnanec-zaměstnavatel. Nad rámec tohoto projektu se ale domníváme, že dle současné legislativy platí následující. Pro pracovní smlouvu platí dle zákona povinnost, aby byla písemná (§ 34 odst. 2 zákoníku práce), nikoliv však listinná. Dle § 335 odst. 2 zákoníku práce platí, že pokud jedná zaměstnavatel vůči zaměstnanci, tak „Písemnost doručovaná prostřednictvím sítě nebo služby elektronických komunikací musí být podepsána uznávaným elektronickým podpisem.“ A dle § 337 odst. 2 zákoníku práce v případě jednání zaměstnance vůči zaměstnavateli platí „... písemnost určená zaměstnavateli musí být podepsána uznávaným elektronickým podpisem zaměstnance.“. 20 Zároveň je nutno myslet také na povinnosti doručovat do vlastních rukou všechny dokumenty, týkající se vzniku, změn a skončení pracovního poměru nebo dohod o pracích konaných mimo pracovní poměr, odvolání z pracovního místa vedoucího zaměstnance, důležité písemnosti týkající se odměňování, jimiž jsou mzdový výměr nebo platový výměr a záznam o porušení režimu dočasně práce neschopného pojištěnce. Zde je nutné jednat alespoň s uznávaným el. podpisem (zaručený el. podpis založený na kvalifikovaném certifikátu). Zákoník práce dále vyžaduje, aby zaměstnanec s doručováním pracovněprávní dokumentace prostřednictvím e-mailu nebo datové schránky udělil předem písemný souhlas. (doručování upraveno § 334 a násl. v zákoně č. 262/2006 Sb., zákoník práce). Pokud by byl elektronický (nejen) pracovněprávní dokument dlouhodobě uchováván, jakým způsobem nakládat s časově omezenými ověřovacími prvky typu časové razítko? Má docházet k periodickému přerazítkovávání? Mají být v rámci přerazítkování k dokumentu přikládány další informace, např. v dané době platné CRL apod.? Domníváme se, že platí, že po podpisu dokumentu má být uložen ve spise a do dokumentu nemá být zasahováno – k tomu slouží mj. časové razítko, které potvrzuje existenci dokumentu v čase a poté je možné doložit uložení a nemanipulaci s dokumentem právě historií, protokoly a záznamy ve spise. Druhou možností je automatické přerazítkovávání dokumentů – když se blíží doba vypršení platnosti časového razítka a požadujeme prodloužení platnosti, je nutné ještě před vypršením platnosti provést přerazítkování. Jedná se v podstatě o stejnou proceduru jako u prvotního razítkování. Nebo lze použít archivní kvalifikované časové razítko – klient odebírá od certifikační autority „klasická časová razítka“ a certifikační autorita před vypršením platnosti daného časového razítka sama provede ve svých systémech přerazítkování, čímž zajistí posloupnost platnosti časových razítek. Jakým způsobem bude v případě elektronického prvopisu rozhodnutí vyhotovena doložka právní moci a vykonatelnosti? Co musí obsahovat? Bude nutné vyhotovení doložky právní moci a vykonatelnosti opatřovat elektronickým podpisem oprávněné úřední osoby? Pokud ano, jakým? Dle § 75 odst. 1 platí „Správní orgán, který rozhodl v posledním stupni, vyznačí na písemném vyhotovení rozhodnutí, které zůstává součástí spisu, právní moc nebo vykonatelnost rozhodnutí. Zároveň vyznačí den vyhlášení tohoto rozhodnutí nebo den, kdy byla písemnost předána k doručení.“ Zákon nijak formu neupravuje a nevyplývá, že by měla být doložka jakkoliv jinak vyznačena, než v případě listinného vyhotovení. Analogicky by šlo nejspíš postupovat dle instrukce ministerstva spravedlnosti č. 505/2001-Org., a to dle § 19a odst. 4 „Doložku právní moci a vykonatelnosti připojí soud na elektronický opis (stejnopis) rozhodnutí podle stejných pravidel jako u listinné podoby, a to a) na předloženém výstupu z konverze podle zvláštního právního předpisu, b) zašle prostřednictvím datové schránky elektronický stejnopis, ke kterému za doložku „Shodu s prvopisem potvrzuje“ připojí doložku právní moci a vykonatelnosti formou textu (např. „Tento rozsudek nabyl právní moci dne 30. července 2009 a vykonatelnosti dne 4. srpna 2009. Připojení doložky provedl J. Novák dne 10. srpna 2009.“), a podepíše jej uznávaným elektronickým podpisem nebo jej označí uznávanou elektronickou značkou; nelze-li vyhotovit elektronický stejnopis s doložkou právní moci, provede se konverze listinného stejnopisu s doložkou právní moci, která se zašle účastníkovi do datové schránky.“ Je povinností VVŠ aktivně zjišťovat datovou schránku studenta a doručovat do ní přednostně (dle § 17 odst. 1 a 2 zákona č. 300/2008 Sb.), nebo je povinností VVŠ do datové schránky studenta doručovat pouze pokud student adresu své datové schránky VVŠ nahlásí (dle § 63 odst. 3 písm. b) zákona č. 111/1998 Sb.)? VVŠ se o datové schránce v agendách OVM dozví a dle toho by tedy měla do datovky doručovat. Vnímáme rozpor se zákonem o VŠ, konkrétně § 63 odst. 3 písm. b) zákona o vysokých školách „Student je dále 21 povinen b) hlásit vysoké škole nebo její součásti, na které je zapsán, adresu určenou pro doručování nebo adresu svojí datové schránky.“ V rámci novelizace zákona o vysokých školách, byla vznesena připomínka na úpravu, která nebyla akceptována a bylo sděleno následující „Úprava povinnosti v § 63 odst. 3 písm. b) ZVŠ by mohla být i nadále potřebná, neboť např. v registru obyvatel by nemuseli být uvedeni všichni studenti – a to (s ohledem na § 17 zákona č. 111/2009 Sb., o základních registrech, ve znění pozdějších předpisů) cizinci, kteří by nezískali povolení pobývat na území ČR.“ Domníváme se tedy, že student má povinnost nahlásit adresu svojí datové schránky, ovšem pokud se v rámci činností VVŠ informaci o existenci a adresu datové schránky dozvíme, do datové schránky doručujeme bez dalšího. Zároveň již nyní je možné doručovat prostřednictvím elektronického informačního systému VŠ a také je snaha o větší rozšíření možností v rámci novelizace ZVŠ. Je povinností VVŠ zajistit si přístupy do základních registrů vč. AIS RPP Působnostní a tyto aktivně používat? Jaké sankce stíhají neplnění této povinnosti? Jaká práva a povinnosti z přihlášení k základním registrům pro VVŠ plynou? Je povinnost orgánu veřejné moci poskytovat digitální službu – jednotlivec se tedy může domáhat toho, aby mu byla služba poskytnuta, zároveň není povinen sdělit údaje, které jsou OVM známy ze základních registrů. Uživatel služby tedy může, s poukazem na ustanovení § 7 zákona o digi. službách, poskytnutí údajů odmítnout, aniž by to mohlo být na újmu jeho práv. Zákon o digitálních službách zároveň ale neobsahuje prostředky, jimiž lze zjednat efektivně a rychle nápravu nebo sankce za nedodržení. Nápravy by se tak mohl uživatel domáhat zejména v rámci opravných prostředků proti rozhodnutí vydanému na základě údajů, které si orgán veřejné moci sám neopatřil, vyloučit nelze ani žalobu na náhradu škody za nesprávný úřední postup, např. pokud by tím došlo k nepřiměřené délce řízení a uživatel digitální služby tím utrpěl škodu či jinou újmu. Totéž platí pro situaci při realizaci práva na prokázání skutečnosti (§ 9 odst. 2 zákona o digi. službách), kdy nemusí uživatel služby pro uplatnění práva, splnění povinnosti nebo doložení právní skutečnosti předkládat rozhodnutí, doklad, identifikační průkaz, osvědčení nebo poskytnout jiný údaj (jestliže prokázal svou totožnost a údaje jsou vedeny v příslušném základním registru nebo AIS). Lze tedy očekávat, že se zákon o digi. službách stane „soudcovským zákonem“, protože jeho obsah bude závislý na budoucí správní praxi a judikatuře. Je VVŠ editorem některého ze základních registrů nebo agendového informačního systému? Pokud ano, jakých? V agendách OVM máme prostřednictvím AIS přístup do základních registrů (ZR) státu pro údaje potřebné v dané agendě. Údaje o titulu, studiu atd. nejsou součástí základních registrů. Registry jsou čtyři3 a nejvíce relevantní je asi registr obyvatel,4 který tituly aktuálně neobsahuje. 3 https://www.mvcr.cz/clanek/zakladni-registry-a-sprava-zakladnich-registru.aspx 4 https://www.szrcr.cz/cs/registr-obyvatel 22 8 Appendix – seznam dalších výstupů Rozsáhlá analýza OVM z pohledu VVŠ (Mgr. Martin Prokeš) Následující text je soubor úryvků a citací z různých zdrojů k tomuto tématu. Na základě tohoto bylo vytvořeno shrnutí dostupné v tomto materiálu v kapitole 2. Video „Právo na digitální služby na VVŠ – manažerské shrnutí“ (Ing. Tomáš Kotouč) Manažerské shrnutí týkající se práva na digitální služby na VVŠ. Je zde uvedeno, co se musí udělat a především co se stane, pokud se to na VVŠ neudělá. Video „Právo na digitální služby na VVŠ“ (Ing. Tomáš Kotouč) Manažerské shrnutí manažerského shrnutí v předchozím odkaze. Prezentace „Právo na digitální služby na VVŠ“ (Ing. Tomáš Kotouč) Manažerské shrnutí manažerského shrnutí v předchozím odkaze. Jaké činnosti a údaje potřebujeme z jiných AIS (Ing. Tomáš Kotouč) Zde je přehledně uvedeno, co potřebujeme za činnosti (služby a jejich úkony) a údaje z jiných AIS a na základě jakého zákona. Přehled potřebných údajů pro jednotlivé životní situace na VVŠ (Ing. Tomáš Kotouč) Tento materiál uvádí, jaké údaje potřebují VVŠ pro jednotlivé životní situace ze základních registrů nebo agentových systémů, aby naplnily heslo digitalizace. Aktuální verze tohoto materiálu v elektronické podobě 23 Příloha 1 Kompetentní osoby na straně VVŠ 2 Postup napojení AIS do CMS 3 Seznam formulářů a kontaktů 4 Slovník pojmů eGovernmentu 24 1 Kompetentní osoby na straně VVŠ Následující text připravil Mgr. Michal Zámečník (michal.zamecnik@uhk.cz) z Univerzity Hradec Králové. Shrnuje mj. výsledky analýz, jakým způsobem mají VVŠ konkrétně postupovat pro naplnění zákonných povinností jako OVM. y oprávněná osoba JIP-KAAS (analytik, právník, pověřená osoba v organizaci) — JIP je zkratka pro Jednotný identitní prostor – zabezpečený adresář orgánů veřejné moci a uživatelských účtů úředník, který je součástí systému Czech POINT. — KAAS je zkratka pro Katalog autentizačních a autorizačních služeb – rozhraní webových služeb, které umožňují jednak autentizaci uživatelů přistupujících do AIS pomocí přihlašovacích údajů v JIP, jednak umožňují editaci údajů subjektů a uživatelských účtů v JIP. y statutární zástupce y osoba s přístupem k datové schránce y oprávněná osoba AISP — Agendový informační systém RPP působnostní je určený k ohlášení agend a oznámení působností ve smyslu zákona č. 111/2009 a 192/2016 Sb., o základních registrech. y síťový specialista, administrátor pro konfiguraci nastavení síťového provozu do internetu y aplikační specialista se znalostí neveřejných sítí, resp. návrhu aplikace se schopností prostupu do více síťových prostředí 25 2 Postup napojení AIS do CMS 2.1 Zřízení účtu oprávněné osoby v JIS-KAAS (https://www.czechpoint.cz/spravadat/) y Prostřednictvím datové schránky (DS) je nutné odeslat formulář https://www.czechpoint.cz/data/ formulare/files/sprava_lokalnich_administratoru.zfo — zaškrtne se, že žádáte o informace, kdo je vaším lokálním administrátorem — vrátí se jiný zfo formulář se seznamem (prázdným), který doplníte o identifikaci osob — doplněný formulář pošlete DS nazpátek y do DS se vrátí aktivační údaje (ID virtuální obálky a uživatelské jméno) a zároveň uvedeným osobám přijde z aktivacniportal@czechpoint.cz odkaz na dokončení aktivace — po kliknutí na odkaz je třeba zadat ID virtuální obálky a uživatelské jméno a zároveň ztotožnit osobu (např. přes číslo OP, nebo datum a místo narození) — poté se zobrazí heslo pro přístup 2.2 V administraci nastavíte uživateli tzv. přístupovou roli a agendovou činnostní roli. y Přístup do informačních systémů: „RPP AIS Působnostní – A113 (Ministerstvo vnitra) – Ohlašovatel působnosti v agendě“ y Agendová činnostní role: „A113 – Registrace agend a orgánů veřejné moci pro výkon agendy – CR1011 – Oznámení o vykonávání agendy a změna výkonu agendy OVM“ 2.3 Může následovat i paralelní dějová linie – kvůli nenahlášené agendě povinnost autorizace informace o OVM. y Jde o kolečko přes zfo formulář https://www.czechpoint.cz/data/formulare/files/aktualizace_ udaju_OVM.zfo Přijde vám formulář s informacemi, co si o vás CzechPoint myslí, že ví, a vy mu to vrátíte aktualizované přes DS. y Tím se jako OVM „autorizujete“ a začne vám fungovat přihlašování do AIS-RPP 2.4 Do AIS-RPP je možné přihlášení Máme ověřené přihlášení přes NIA nebo přes jméno, heslo a komerční certifikát. 26 2.5 Správa katalogů y Detailní popisy se zobrazují na Portálu veřejné správy – jedná se tedy o texty, které jsou veřejně přístupné. Z toho důvodu se u nich klade důraz především na to, aby byly srozumitelné a pochopitelné pro běžného občana. Obsahují především základní popis služby, ale také to, kde a kdy ji vyřizovat, koho se týká, zda-li se lze odvolávat, kde najít více informací a podobně. y Samotné vytváření popisů se pak provádí v systému s názvem Správa katalogů. y Bližší informace k detailním popisům služeb Metodika včetně příloh. 2.6 Realizace připojení organizace do CMS Ze zákona č. 365/2000 Sb., o informačních systémech veřejné správy vyplývá povinnost orgánů veřejné moci při komunikaci se službami eGovernmentu výhradně používat infrastrukturu KIVS/CMS. Zabezpečeného připojení je realizováno na základě SMLOUVY O PŘIPOJENÍ K CENTRÁLNÍMU MÍSTU SLUŽEB mezi Českou republikou – Ministerstvem vnitra a CESNET, zájmovým sdružením právnických osob. Pro připojení do prostředí KIVS/CMS je potřeba se seznámit s provozními podmínkami CMS v doku­ mentu Provozní podmínky a žádost o přístup do CMS (verze 2.1.2). Na poslední straně dokumentu naleznete „Žádost o zřízení přístupu do prostředí CMS“, kterou je potřeba vyplnit a zaslat do datové schránky MVČR (6bnaawp) (není potřebný podpis statutárního zástupce). 2.7 Dále je potřeba, abyste si určili váš IP LAN segment(y) např. 10.xxx.x.x/24, ze kterého budete chtít přistupovat do CMS. Měl by to být segment, ve kterém máte PC či servery, které budou komunikovat přes CMS. Zaslaný IP segment Vám bude nakonfigurován na virtuální firewall v CMS (služba CMS2-12-1 Propojovací bod Subjektu) a jedině z něj budete moci komunikovat skrz KIVS/CMS. LAN segmenty mohou být všechny neveřejné IP adresy kromě rozsahu CMS 10.240.0.0/12. Způsob připojení a IP LAN segment („přes CESNET“) a IP rozsahy zašlete na e-mail pozadavky.cms@nakit.cz. Již při podání žádosti je nutné zohlednit případné vnitřní nastavení a případné ohlášené IP segmenty pro komunikaci do CMS. Například pro oddělení přístupu produkčního a testovacího prostředí). Zároveň je nutné zohlednit politiku přístupu externích dodavatelů pouze do testovacího prostředí a metodiku nasazování informačních systémů do produkčního prostředí. Následně obdržíte následující informace, které je nutné sdělit sdružení CESNET na adresu sluzby@cesnet.cz. Následně budete (nebo vámi jmenován síťový specialista) kontaktován síťovým specialistou CESNET pro domluvení technické realizace připojení. Operátor Název VPN VLAN Propoj L1 (IPK) Propoj L2 (IPK) CESNET mvcr_xxx xxx 10.240.xxx.xxx/30 10.240.xxx.xxx/30 Po připojení organizace do CMS jsou následně zřízeny následující služby. Přehled všech služeb CMS je popsán na webových stránkách https://www.mvcr.cz/soubor/prehled-sluzeb-cms.aspx. 27 BGP BGP Vlan 100 10.240.116.X/30 Vlan 100 192.168.X.X/31 Vlan 100 192.168.X.X/31 Vlan 200 Vlan 200 Vlan 200 Vlan 100 10.240.224.X/30 Vlan 200 Customer 1 VRF Customer 2 VRF CMS byly zřízeny Subjektu XXX (níže je stav na UHK) následující služby s jejich identifikátory GOV: CMS2-01-1 Akceptace provozních podmínek CMS – GOV003426 CMS2-08-1 Přístup do CMS přes KIVS/KK – GOV003437 CMS2-12-1 Propojovací bod Subjektu (VFW) – GOV003438 Nastavení na straně operátora připojované VPN do CMS: y Operátor – CESNET y Název VPN pro Subjekt – uhk_a y IP segmenty Subjektu směrované do CMS - xxx.xx.x.x/23, xxx.xx.xx.x/24 y Připojení operátora na Interconnect (KK) v CMS – VLANxxxx — propoj V1 – 10.xxx.xxx.xxx/30, — propoj V2 – 10.xxx.xxx.xxx/30 — Na propojovací VLAN je první adresa v síti určena pro CMS, druhá IP adresa je určena pro ope­ rátora y Směrování do CMS – vše z IP rozsahu 10.240.0.0 – 10.255.255.255 (10.240.0.0/12) Po nastavení VPN od svého operátora Subjekt provede kontrolu připojení do CMS. y Nastavení IP adresy testujícího počítače z rozsahu definovaného ve službě CMS2-12-1 - xxx. xx.x.x/23, xxx.xx.xx.x/24 y Nastavené směrování komunikace na 10.240.0.0/12 do VPN uhk_a y Nastavení IP adresy DNS - 10.254.8.10, zóna „.cms2.cz“ y Test dostupnosti virtuálního firewallu (VFW) Subjektu v CMS (ping na IP adresu) — DC1 - 10.250.142.254 — DC2 - 10.250.206.254 — V případě nefunkčnosti je nutné udělat Traceroute na uvedené IP adresy a poslat na pozadavky. CMS@nakit.cz. y Test DNS serveru v CMS2 — www.cms2.cz – 10.254.8.26 28 Korektní nastavení systému DNS je nutnou prerekvizizou pro zajištění funkčností napojení AIS skrze CMS. Po úspěšném připojení do prostředí CMS je možné přistoupit na portál www.cms2.cz, kde je zobrazen jiný obsah, než v režimu přístupu přes veřejný Internet (přesměrování na stránky mvcr.cz). Po otestování síťové konektivity požádejte svého administrátora JIP/KAAS o přidělení potřebných rolí pro přístup k Portálu CMS. Potřebné role zjistíte z návodu v příloze „Uživatelská příručka portálu CMS.pdf“. Dle tohoto návodu dále otestujte přihlášení do Portálu CMS. O úspěšném přihlášení do Portálu CMS a funkčních zřízených službách informujte na e-mail pozadavky.CMS@nakit.cz. Touto zpětnou informací přejdou zřízené služby ze stavu „Testovací režim“ do stavu „Bez problémů“ (stavová barva čtverečku u dané služby na Portále CMS bude zelená). Při migraci na komunikaci přes KIVS(CMS) doporučujeme začít testováním dostupnosti aplikací v CMS z jednoho zařízení se správně nastaveným DNS a směrováním v síti. Zvýšenou pozornost věnujte URL se stejným formátem v internetu, tak v KIVS. Výčet těchto zón naleznete na Portálu CMS > levé menu Aplikace > nahoře záložky DNS zóny a DNS záznamy. Některé aplikace mohou být s řízeným přístupem a je potřeba požádat o službu „CMS2-03-1 Přístup k aplikaci v síti CMS“, aby byla aplikace dostupná. Výčet aplikací s řízeným přístupem naleznete opět na Portálu CMS v menu Aplikace > nahoře záložka Řízené aplikace > Nabízené řízené aplikace. Vpravo u aplikace přes modré tlačítko můžete požádat o zřízení přístupové služby. Otázky a odpovědi k nastavení: Lze použít IPv6? Nelze. Lze použít pro testovací verze odlišný subnet? Existuje testovací instance ISZR, vůči němu musí AIS nejdříve otestovat své používání API. ISZR má testovací rozhraní – je na to jiný URL a nutný jiný certifikát (než do ostrého prostředí). Testovací rozhraní ISZR je již základní služba po připojení do CMS, tj. lze testovat dřív než vám je pak schválen přístup do ostrého ISZR. Pokud máte vnitřní prostředí (produkční a testovací) oddělené, tak vhodné je si vytvořit vlastní virtuální firewall s překladem do vnitřního prostředí, tak abyste si to mohli dynamicky řídit u vás. Může se připojit dodavatel AIS k testovací instanci ISZR? Jak studijní systém, tak i spisovou službu máme dodavatelsky. V případě dodavatelsky on-premise řešení: Praxe je taková, že organizace má produkční a testovací prostředí. Do testovacího prostředí „vpustí“ dodavatele pro nasazení/ověření funkčnosti. Následně si organizace nasadí na produkční prostředí, kde dodavatel již nemá přístup, nebo když je pod dohledem odpovědného pracovníka organizace. V případě dodavatelského řešení „v cloudu“ (např. existuje spisová služba postavené na MS Azure): – musí být dodavatel uveden v Katalogu cloud computingu eGovernmentu – https://www.mvcr.cz/ clanek/egovernment-cloud.aspx?q=Y2hudW09NQ%3D%3D 29 – způsob napojení je pak popsán v sekci „Provozování AIS OVM v eGC v souvislosti s komunikací pomocí CMS/KIVS“ na stránce https://archi.gov.cz/nap:egovernment_cloud?s[]=p%C5%99ipo­ jen%C3%AD%2A&s[]=ovm%2A Odpovědnost za bezpečnost (dodržování politik a pravidel) je však vždy na připojené organizaci, včetně případného smluvního ošetření (včetně garancí a sankcí) vůči dodavateli informačního systému. 30 2.8 Fyzické nastavení na směrovačích instituce, metropolitní sítě, Cesnetu a NAKITu. Co se muselo zajistit: y Definovat rozsah našich interních serverových IP pro přístup do CMS  y Přidělení páteřních subnetů NAKIT<>CESNET (žádal Cesnet) CESNET<>CESNET-HKROUTR (žádala VŠ), CESNET-HKROUTR<>UHK (domluva s Cesnetem) y Přidělení ASN pro UHK (pokud už dříve nebyl, ale nikdy se nepoužíval, naše VIP jsou schované za HKNET ASN) dostali jsme 65033, Cesnet má ASN 2852 y Vytvoření vlan CESNET-HK<>UHK přes HKNET (NAKIT vlan) y Konfigurace NAKIT GW (na UHK Cisco Nexus) y Zakončení BGP y Nastavení rout pro interní subnety y Nastavení prefix listů a access listů pro zabezpečení spojení y Konfigurace FW y Nastavení nových interface pro NAKIT y Nastavení FW pravidel y Nastavení rout do a z NAKIT konektivity y Nastavení DNS serverů – conditional forwardes pro cms2.cz Schéma zapojení na UHK: 31 Možností, kde vytvořit NAKIT GW, bylo víc: y Core router – muselo by se řešit v separátní VRF, znamenalo by zásadní změny ve stávající konfiguraci, které by nejspíš zasáhly i běžný provoz a nešly by udělat bezvýpadkově. y FW – sice nejlogičtější místo pro ukončení BGP, ale konfigurace je složitá. y Samostatný L3 switch – stačil by jakýkoli switch s L3 funkcionalitou a IPSERVICES licencí y Jiný cisco routr s BGP feature – oddělený provoz od zbytku komponent sítě nezávislý na výměnách core komponent sítě, jednoduše přenositelný (fyzicky) na jiné místo. 2.9 Napojení agendových informačních systémů na základní registry. y Vydávání digitálních dokladů o studiu, zajištění jejich ověřitelnosti, řešení požadavků kladených na studenty v souvislosti se studijní agendou a obsluhou studia, od zápisu do studia do doby ukončení studia, řešení realizovatelných změn směrem k digitalizaci agend, které jsou v pravomoci VŠ, a to jak z pohledu činnosti studentů, tak i souvisejících činností vysoké školy nebo digitalizace procesů, automatizovaná výměna dokumentů a informací, implementace principu „pouze jednou“ ve studijní agendě, vč. odpovídajícího rozvoje, úpravy formy a obsahu informačních a dalších podpůrných systémů. Abychom mohli komunikovat se základními registry, potřebujeme: 1. AIS připravený pro komunikaci s CMS. 2. Z hlediska sítě povolen prostup na server Základních registrů. 3. Zajistit aplikaci AIS přístup do Základních registrů (IP adresa a certifikát od NAKIT). Postup pro vytvoření žádosti o digitální certifikát (szrcr.cz) RAZR je webová aplikace, kterou orgány veřejné moci a další oprávněné subjekty používají k žádosti o přístup do základních registrů a ISSS pro své informační systémy. RAZR vyřizuje žádosti o přístup do produkčního i testovacího prostředí základních registrů a ISSS. Technická žádost ve formátu, který je tam popsán, je textový soubor, který se přikládá jako příloha do samotné žádosti v systému RAZR dle tohoto návodu: Správa základních registrů – Příručka RAZR pro správce AIS (szrcr.cz) 4. Definovat, kdo bude mít přístup k Základním registrům. 32 3 Seznam formulářů a kontaktů  formulář – Elektronická správa účtů lokálních administrátorů https://www.czechpoint.cz/data/ formulare/files/sprava_lokalnich_administratoru.zfo  e-mail pro odkaz na dokončení aktivace – aktivacniportal@czechpoint.cz  formulář – Aktualizace údajů podle § 5 zákona č. 106/1999 Sb. https://www.czechpoint.cz/data/ formulare/files/aktualizace_udaju_OVM.zfo  správa katalogů https://rpp-ais.egon.gov.cz/AISK/katalogy/domu  formulář Provozní podmínky a žádost o přístup do CMS (verze 2.1.2)  žádost na e-mail pozadavky.cms@nakit.cz – způsob připojení a IP LAN segment  potvrzení žádosti na CESNET sluzby@cesnet.cz – specifikace připojení  objednávky a smlouvy s dodavateli AIS  postup pro vytvoření žádosti o digitální certifikát (szrcr.cz)  správa základních registrů – Příručka RAZR pro správce AIS (szrcr.cz) 4 Slovník pojmů eGovernmentu https://archi.gov.cz/slovnik_egov