INZERCE

Ne všechna data ve veřejném prostoru jsou veřejná. Spíš se jedná o výjimky. Foto: Pixabay

Státní orgány spolu nekomunikují, data veřejného sektoru jsou roztříštěná, říká odborník na počítačovou bezpečnost

V České republice neexistuje zastřešující zákonný rámec, který by komplexně upravoval problematiku dat ve veřejném sektoru. Existuje pouze řada dílčích právních úprav, které se věnují specifickým oblastem. Státní orgány spolu údaje nesdílejí, což vede k větší byrokracii a zbytečným nákladům. Proto připravilo ministerstvo vnitra věcný záměr zákona o datech ve veřejném prostoru, který legislativně upraví a zastřeší přenos dat mezi veřejnými institucemi.

Tak vidí situaci ve státní sféře odborník na počítačovou bezpečnost Petr Přibyl, který v současnosti působí na postu ředitele úseku architektury softwaru ve společnosti CCA Group. Situaci popisuje v rozhovoru pro Ekonomický deník.

Vysvětlete prosím běžnému občanovi, na co jsou sdílená data ve veřejném prostoru důležitá?

Důvod, proč potřebujeme využívat data veřejné správy je asi zřejmý, ale zkusím uvést příklad. Vybavuji si situaci před třiceti lety – tvořili jsme rozsáhlý systém, jehož součástí byla evidence osob.

Pokud úřad obdržel podání k osobě Jan Novák, uživatel osobu zapsal. Sice v lepším případě mohl vyžádat číslo občanského průkazu nebo rodné číslo, ovšem toto nebylo podmínkou. Pokud tyto údaje nebyly k dispozici, stejně úředník osobu zapsal. Musel, nařizoval mu to předpis.

Umíte si představit, v jakém stavu byla brzy data. Obsahovala spoustu duplicit, nepřesností a chyb. Nebylo možné je rozumně využít pro zjištění informací typu „na jakých podání pan Jan Novák figuruje?“. Jakkoli byli uživatelé zodpovědní a snažili se data pořizovat úplná, nebylo jasné, jestli je to ten pan Novák nebo ten druhý.

Takže připravované legislativní změny vítáte.

Jednoznačně. Vnímáme to jako příležitost dalšího rozvoje elektronizace a jako šanci na  zkvalitnění a širšího využití informací. Samotná data jsou sice důležitá, ale skutečné informace a užitek z nich získáme teprve, když jsou v souvislosti s jinými daty.

Co jako odborník říkáte na věcný záměr zákona o správě dat?

Je zřejmé, že vzájemná výměna dat mezi resorty je důležitá. Zároveň taková výměna musí být podmíněna právní úpravou. Současná legislativa je roztříštěná, vždy stanovuje pravidla pouze v rámci konkrétního zákona. Chybí ucelený legislativní rámec, který by zjednodušil využití dat mezi resorty. A také chybí ucelený koncept, který by zajistil synergii dat a služeb napříč všemi oblastmi veřejné správy.

A z jakého důvodu mezi sebou státní orgány nekomunikují a data vzájemně nesdílejí?

Je naivní se domnívat, že organizace veřejné správy budou z vlastní vůle a z altruismu ochotně poskytovat elektronické služby ostatním orgánům nebo veřejnosti. Zřízení a provoz takové služby jsou velmi nákladné a pracné. Musí existovat legislativní rámec, který dovoluje poskytování dat. Dále je nutné důkladně analyzovat, jestli je služba vůbec pro někoho užitečná. Výroba podpůrného software trvá řádově měsíce až roky. Pro výrobu a následný provoz je nutné zřídit hardwarové prostředí a sehnat lidské zdroje.

To, že neexistuje žádný ucelený rámec pro data ve veřejném prostoru je hlavním důvodem nového zákona. Jak to dosud v praxi vypadalo?

Data veřejného sektoru neleží v jednom místě, odkud by k nim měli všichni přístup. Každý resort spravuje a ukládá z titulu své funkce informace pro vlastní potřebu. Sám nemá důvod se o data dělit s někým jiným. Proč by to dělal – poskytování dat jiným subjektům přináší řadu problémů a rizik, ze kterých vyplývají značné vícenáklady. Aby něco takového udělal, musí k tomu mít právní důvod.

Co byste doporučoval, aby situace v oblasti veřejných dat byla ideální?

Podle mě by měl existovat jeden centrální orgán, který bude koordinovat klíčové systémy veřejné správy. Jeho úkolem by bylo identifikovat příležitosti sdílení dat v rámci veřejné správy a vytvářet legislativní podmínky pro umožnění sdílení dat. Může zařizovat přístup do komunikační struktury veřejné správy a začlenění služeb do CMS (Centrální místo služeb).

Podobnou funkci již dnes provádí Odbor hlavního architekta (OHA), zřízeným na Ministerstvu vnitra. Mimo jiné do jeho působnosti spadá „Řízení rozvoje sdílených služeb eGovernmentu a jejich efektivního využívání“. Podle mého názoru by právě OHA mohlo být oním centrálním orgánem, který by předávání dat veřejného sektoru koordinoval.

Ing. Petr Přibyl, odborník na počítačovou bezpečnost. V současnosti působí na postu ředitele úseku architektury softwaru ve společnosti CCA Group. Foto: Archiv Petra Přibyla
Ta roztříštěnost, či mozaiková úprava, trvala časově poměrně dlouho a dosud není vyřešena. Proč se to neřešilo dříve?

V případě dat o fyzických osobách nastal výrazný posun se zavedením Základních registrů v roce 2010. Najednou jsme měli k dispozici spolehlivý soubor dat o osobách i s legislativní podporou v zákoně o základních registrech a v souvisejících prováděcích předpisech.

Například zákon 111/2006 Sb. o pomoci v hmotné nouzi, který upravuje poskytování sociálních dávek, ukládá v Ministerstvu práce a sociálních věcí povinnost vést Informační systém pomoci v hmotné nouzi. Zároveň zákon určuje, kterým jiným orgánům státní správy jsou tyto údaje poskytovány, mimo jiné „Ministerstvu financí pro vedení rejstříku osob vyloučených z účasti na hazardních hrách“.  

Z druhé strany zákon 186/2016 Sb. o hazardních hrách ukládá Ministerstvu financí vést Informační systém provozování hazardních her a stanovuje, že „využívá z rejstříku vedeného Ministerstvem práce a sociálních věcí údaje o dávkách sociálních věcí“.

Příklad ukazuje užitečné spojení dat vedených v různých sektorech veřejné správy. Jistě dává smysl nenechat člověka pobírajícího sociální dávky, aby je prohrál v hazardních hrách. V tomto případě se výměny dat účastní kromě Ministerstva financí a Ministerstva práce a sociálních věcí ještě Ministerstvo vnitra jako správce Základních registrů, zejména Registru osob – bez něj by nebylo možné spolehlivě spojit osobu hráče s osobou pobírající státní dávky.

Motivačním faktorem pro orgán veřejné moci, aby poskytoval data, je tedy v tuto chvíli legislativa. Tento faktor ovšem může zavedení výměny dat zdržet. Změna legislativy je zdlouhavý proces. Vyžaduje důkladnou přípravu – pokud v okamžiku implementace systému, který danou komunikaci používá, zjistíme, že by bylo užitečné přenášet ještě další informace, znamená to novou legislativní úpravu.

V této souvislosti mě napadá, jak jsou taková citlivá osobní data ve veřejném prostoru ochráněna.

Zdaleka ve všechna data veřejného sektoru jsou skutečně veřejná, myšleno přístupná široké veřejnosti. Ani v rámci organizací veřejné správy neplatí, že by jedna organizace měla automaticky přístup k datům jiné. Vlastně jde spíše o výjimky.

Přístupy k datům a službám jsou ovšem jen částí bezpečnostních opatření. Nejprve je nutné data a služby vyhodnotit z pohledu bezpečnosti. Tedy určit, nakolik jsou důvěrná a důležitá. A to nemůže udělat nikdo jiný než ten, komu data patří – jejich současný správce, organizace veřejné správy, která je pořizuje a spravuje.

Na základně takového hodnocení aktiv a následného hodnocení rizik jsou efektivně zvolena a implementována bezpečnostní opatření pro jejich ochranu. To je další důvod, proč by správa dat veřejné správy měla zůstat decentralizovaná.

Jana Bartošová