"Naše společnost poskytuje cloudové služby. Mezi zákazníky jsou i úřady a státní firmy. Zaslechl jsem, že od nového roku nebudeme moci veřejnoprávním zákazníkům naše cloudové služby prodávat, pokud na to nebudeme mít nějakou zvláštní licenci. Jak to přesně je a o co se jedná?"
Váš dotaz směřuje na katalog cloud computingu (KCC), který je upraven zákonem č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, v platném znění (ZISVS).
Nejprve mi dovolte krátký historický exkurz. KCC byl do ZISVS zaveden zákonem č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů (ZPDS), přičemž povinnost pro orgány veřejné správy (OVS) využívat pouze cloud computing poskytovaný tzv. státním poskytovatelem cloud computingu nebo cloud computing, jehož nabídka je zapsána do KCC, měla nabýt účinnosti od 1. února 2022.
Ještě před tímto rozhodným dnem však byl ZISVS novelizován zákonem č. 262/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci (elektronizační novela). Elektronizační novela se dotkla i úpravy KCC, přičemž (začneme od konce) je stanoveno přechodné období na využívání cloudových služeb, pokud nabídky na tyto cloudové služby nejsou zapsány do KCC (nevyhovující služby) ze strany OVS, a to tak, že do 31. ledna 2022 mohou OVS nevyhovující služby nakupovat a takto nakoupené nevyhovující služby pak mohou až do 31. prosince 2022 používat. Pokud byla nevyhovující služba ze strany OVS buď využívána ke dni, nebo nakoupena do dne 31. července 2021, a/nebo pokud byla zapsána do KCC podle předchozí právní úpravy (tedy dle ZPDS), může OVS takovouto nevyhovující službu využívat o rok déle, tedy až do 31. prosince 2023.
Z uvedeného plyne první závěr mé odpovědi: cloudové služby, které vaše společnost už prodala do 31. července 2021, může zákazník – OVS používat bez ohledu na stav zápisu v KCC až do 31. prosince 2023. Dále můžete bez ohledu na zápis v KCC cloudové služby OVS prodávat až do 31. ledna 2022, přičemž takto prodané cloudové služby může OVS používat až do 31. prosince 2022. Na to by už teď měli myslet jak poskytovatelé, tak OVS ve veřejných zakázkách a datum 31. prosince 2022, resp. 2023 ošetřit v tendrovaných smlouvách. Nejčastějším způsobem zřejmě bude opce pro OVS prodloužit trvání smlouvy v případě, že poskytovatel a nabídka budou zapsáni v KCC, u odvážnějších zadavatelů zřejmě nelze vyloučit ani sjednání možnosti smlouvu ukončit v případě nenaplnění podmínky zápisu v KCC do 31. prosince 2022, resp. 2023.
Pojďme se dále podívat na aktuální podobu právní úpravy KCC. Stále platí registrační princip, tudíž OVS mohou nakupovat jen takové cloudové služby, jejichž nabídka je zapsána v KCC. Nově přibyla zrcadlová povinnost pro poskytovatele prodávat OVS jen cloudové služby, jejichž nabídka je zapsána V KCC. Důvod je zřejmý – vyloučení, resp. dělení odpovědnosti mezi OVS a poskytovatele v případě porušení uvedené zákonné povinnosti; podle předchozí úpravy by totiž porušil svou povinnost pouze OVS.
Registrace je nově dvoufázová. V první fázi se registruje poskytovatel jako takový (zápis poskytovatele, ve druhé fázi se registrují konkrétní cloudové služby (zápis služby). Zápis poskytovatele je proaktivní ze strany poskytovatele, tedy poskytovatel zahajuje řízení o zápis svým návrhem podaným k Ministerstvu vnitra ČR (MV). O návrhu na zápis poskytovatele probíhá správní řízení před MV, které v případě vyhovění nevydává žádné formální rozhodnutí a pouze provede zápis do KCC. Případné zamítavé rozhodnutí je formalizováno, není proti němu přípustný opravný prostředek ve správním řízení, nicméně lze podat žalobu ve správním soudnictví.
V průběhu řízení o zápis poskytovatele se k žádosti vyjadřuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) z pohledu své působnosti. Na vyjádření má NÚKIB tři měsíce, MM pak na řízení 45 dní (lhůta NÚKIBu se nezapočítává). Při vyčerpání všech lhůt tak řízení o zápis poskytovatele může trvat cca čtyři a půl měsíce; lze pouze doufat, že NÚKIB svou lhůtu na vyjádření nebude využívat naplno, zejména s ohledem na skutečnost, že podle prováděcích předpisů k ZISVS v této fázi nic zásadního neověřuje (k tomu dále).
K žádosti o zápis poskytovatele je třeba doložit řadu dokladů, zejména pokud je poskytovatelem zahraniční společnost (výpis z obchodního rejstříku, výpis z registru skutečných majitelů, výpis z rejstříku trestů právnických osob). Některé z těchto dokladů lze nahradit čestným prohlášením, pokud se ve státu sídla poskytovatele nevydávají, některé si MV v rámci řízení zajistí samo, zejména pokud jde o české společnosti. Rád bych však upozornil na podklad, který bude nutné dokládat v případě, že poskytovatel zamýšlí uložení dat OVS v zahraničí. V tom případě bude muset doložit doklad o bezdlužnosti vůči všem orgánům z každé takové lokace nebo čestné prohlášení, že se v dané lokaci takový doklad nevydává (paradoxně už ZISVS nevyžaduje čestné prohlášení o bezdlužnosti v dané lokaci jako takové, lze to však jen doporučit).
Dalším významným dokladem, který se musí přikládat vždy, je seznam zkušeností poskytovatele s poskytováním cloud computingu za posledních pět let. Podrobnosti zákon ani prováděcí předpisy neuvádějí. Měly by tak stačit dvě zkušenosti, přičemž se zřejmě nemusí jednat jen o cloud computing poskytovaný OVS, ale měl by stačit i cloud computing poskytovaný zákazníkům ze soukromé sféry. Struktura ani rozsah požadovaných informací nejsou stanoveny, mělo by se nicméně jednat o srozumitelný popis, ze kterého si lze učinit představu o rozsahu a parametrech poskytnutého cloud computingu.
Zápis služby, tedy druhá fáze, se provádí reaktivně, kdy nejdřív by měla být v KCC zveřejněna poptávka OVS, na kterou bude poskytovatel (zapsaný v KCC) reagovat. Zaslechl jsem sice názor, že i zápis služby by mělo být možné provést proaktivně (tedy z iniciativy poskytovatele bez ohledu na neexistenci poptávky zapsané v KCC) s tím, že postačí, pokud OVS svou poptávku nechá do KCC zapsat později; v tom případě mi však zcela uniká smysl zápisu takové poptávky do KCC, když už bude zapsána nabídka a zákonnou podmínkou pro umožnění nákupu cloudové služby je zápis její nabídky do KCC. Nemám na to vyhraněný názor, nechme praxi nalézt životaschopný model. Celkově je zápis služby podstatně složitější, přičemž bude třeba doložit řadu příloh, z nichž nejdůležitější vyplývají z přílohy č. 2 vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu (vyhláška 316), což je dotazník rozsahem a složitostí přibližně odpovídající technickým dotazníkům u RFI/RFP. Nějakou práci jej vyplnit a zdokladovat to dá, ale viděl jsem horší.
Pokud poskytovatel využívá pro svoji službu další cloudovou službu (podpůrný cloud computing) a jeho poskytovatel či podpůrný cloud computingu (jeho nabídka) není zapsán v KCC, bude v rámci zápisu služby nutné dále doložit i smlouvu s poskytovatelem podpůrného cloud computingu. Může být celkem oříšek, zejména pokud je poskytovatel resellerem nějakého giganta, dotlačit jej k tomu, aby se zapsal do KCC někde v ČR nebo aby dal souhlas s poskytnutím smlouvy, které velmi pravděpodobně bude podléhat NDA.
Na závěr bych ještě rád uvedl, že omezení podmínkou zápisu v KCC se zdaleka netýká všech veřejnoprávních zákazníků. OVS ve smyslu ZISVS jsou pouze státní orgány a orgány územně samosprávných celků, typicky všechny úřady, obce a kraje. Jsou stanoveny materiální výjimky pro silové resorty. Omezení se netýká státních a polostátních firem, u nichž je nákup cloudu přece jen poněkud častější než u úřadů a u nichž by omezení v souvislosti se zápisem do KCC bylo přece jen o poznání citelnější.
Na úplný závěr bych pak rád vyvrátil jeden velice optimistický názor, který jsem zaslechl, že podmínka zápisu do KCC se netýká HR a účetních systémů. Tento názor je nejspíše založen na ne zcela dostatečném rozlišování mezi pojmy „provozní systémy“ a „provozní informace“. Zatímco ZISVS stanoví obecnou výjimku ze své působnosti pro „provozní systémy“, přičemž dále stanoví výjimku z této výjimky pro HR systémy, spisovou službu, účetní systémy a e-mailové systémy (které tak do působnosti ZISVS spadají), „provozní informace“, pro které je stanovena výjimka zápisu v KCC (pokud jde o cloudové služby pro provozní informace), jsou dle mého názoru jen a pouze tzv. logy z provozu jiných informačních systémů. Pokud bychom totiž akceptovali argumentaci, že je stanovena paušální výjimka pro „provozní informace“ ve smyslu „provozních systémů“, pak bychom mimo rozsah ZISVS dostali, kromě HR a účetních systémů, i celou spisovou službu a e-mailové služby, pokud by je OSV chtěl nakoupit jako cloud, což zcela určitě nebylo záměrem zákonodárce.
