Detailní rozbor zákona o dalším postupu elektronizace postupů orgánů veřejné moci (DEPO)

Zákon o další elektronizaci postupů orgánů veřejné moci (tzv. DEPO) je nejrozsáhlejší a nejvýznamnější legislativní změnou k eGovernmentu od zavedení základních registrů. Úzce souvisí se zákonem o právu na digitální služby, mění veškeré agendové zákony i všechny EG zákony a to mnohdy dost zásadním způsobem. Protože je to materie velice rozsáhlá a složitá, připravili jsme jeho úplný rozbor, jak jsme udělali už u zákona o PDS.

EGdílna pro vás připravuje u klíčových změnových digitálních zákonů detailní rozbory a popisy všech změn. Dokumenty jsou určeny pro nelegislativce a normální smrtelníky a IT odborníky v úřadech. Vyznat se ve všech změnách legislativního rámce EG je prakticky nemožné a tato forma informací o zásadních změnách se ukázala jako velice vítaná. Děkujeme za všechny kladné ohlasy a díky a samozřejmě i za nápady na vylepšení. OBSAH DOKUMENTU

Detailní rozbor zákona 261/2021

Aktualizováno 13.05.2022

POZOR: Dne 27.4.2022 nabyl účinnosti zákon 89/2022, kterým se mění účinnosti změn ke spisové službě, podrobnosti na konci tohoto dokumentu.

Detailní rozbor zákona 261/2021

Detailní rozbor zákona 261/2021

Tento dokument obsahuje zhuštěné informace o všech změnách, které přinesl Zákon, kterým se mění některé zákony v souvislosti s dalším postupem digitalizace orgánů veřejné moci pod číslem 261/2021 SB. Jsou zde rozebrány obecné novinky, ale především jsou detailně rozebrány ty části, kterými se mění klíčové EG zákony i s obecným popisem změn. Pro lepší pochopení doporučujeme si prostudovat i materiál Detailní rozbor Zákona 12/2020 na nějž DEPO navazuje. U čtenářů tohoto dokumentu se předpokládá obecné povědomí o EG legislativě.

K DEPU obecně

Související zdroje

Co je vhodné si prostudovat pro pochopení zelená DEPO

Klíčové změny zavedené zákonem 12/2020

Samotný zákon v první části stanovuje práva klientských subjektů v souvislosti s eGovernmentem a digitálními službami. Také ale mění klíčové EG zákony tak, aby tato obecná práva mohla být v praxi uplatněna a také vynucování. To znamená změny povinností a technických řešení pro informační systémy ve veřejné správě.

Definuje obecná práva subjektům

Samotný zákon je výhradně o jednotlivých právech. Další části zákona pak mění jednotlivé EG zákony pro naplnění PDS.
- Právo na digitální službu
- Právo činit digitální úkon
- Právo na osvědčení digitálního úkonu
- Právo na nahrazení úředně ověřeného podpisu nebo uznávaného elektronického podpisu
- Právo na využívání údajů
- Právo na zápis práva, povinnosti nebo právní skutečnosti
- Právo na prokázání právní skutečnosti
- Právo na zápis kontaktního údaje
- Právo na informace v souvislosti s poskytováním digitálních služeb
- Právo na elektronickou identifikaci a autentizaci
- Právo na technologickou neutralitu
Zavádí technická řešení a povinnosti pro práva podle PDS
Změna paradigmatu, nepropojují se pouze referenční údaje, ale veškeré agendové údaje
- Principy ze základních registrů se nově aplikují na celý propojený datový fond
- Údaje z agendových informačních systémů jsou svojí důvěryhodností postaveny na roveň referenčním údajům ze základních registrů (a to včetně historických) a OVM mají stejné povinnosti je využívat
- Nové povinnosti správcům agendových systémů v souvislosti s propojováním a sdílením údajů mezi AIS
- Zavádí se možnost zápisu skutečnosti do Registru práv a povinností a povinnost veřejné správy takové údaje využívat i na základě pouhého sdělení subjektem údajů
Změny v souvislosti s informačními systémy
- Zavádí se nová kategorie Určené informační systémy, která rozšiřuje dosavadní ISVS/AIS
- Správcům se zpřísňují povinnosti požádat OHA o stanovisko k záměrům a projektům
- Zavádí se nová povinnost tzv kolaudace služeb informačního systému a stanovují se její podrobnosti
- Vůbec poprvé se upravuje cloud computing a jeho poskytování a využívání včetně povinností ohlašování do Katalogu cloud computingu
- Přímo se zakotvuje EGSB jako Informační systém sdílené služby a určuje se jako součást referenčního rozhraní
Změny ve Správním řádu umožňující a opravňující k propojenému datovém fondu a jeho využívání při řízeních

Klíčové změny zavedené zákonem 261/2021

Zákon, kterým se mění některé zákony v souvislosti s dalším postupem elektronizace orgánů veřejné moci – tedy takzvané Depo – je nejrozsáhlejší změnou zákonnů týkajících se eGovernmentu. Tímto zákonem se mění nejen všechny klíčové zákony k digitalizaci, ale také všechny jednotlivé agendové zákony. Změny u digitálních zákonů jsou natolik rozsáhlé a masivní, že to představuje nejsložitější změnu právního rámce pro digitalizaci a elektronizaci veřejné správy. Jedním z hlavních cílů zákona je technicky realizovat práva uvedená v zákoně o právu na digitální služby a paradigmata nastolená ve změnových zákonech které jsou součástí zákona 12/2000 Sb.

Nové či přepracované povinnosti pro ohlašovatele, OVM, správce ISVS/UIS

Rozšiřuje se okruh údajů jež se vedou o agendách v Registru práv a povinností a to včetně údajů o údajích. S tím se rozšiřují také související povinnosti pro ohlašovatele a nově se definují povinnosti registrace k působení také pro soukromoprávní subjekty.
Úprava možností a povinností využívání údajů i soukromoprávními uživateli

Soukromoprávní uživatelé mohou využívat údaje z propojeného datového fondu, pokud takovou možnost či povinnost mají stanovenou v příslušném agendovém zákoně. Narozdíl od OVM musí mít v zákoně i konkrétní výčet a rozsah údajů a stanovení, kterým informačním systémem mohou přistupovat k ISZR a EGSB. Musí plnit technické podmínky.
Realizace principu Sdílím všechno se všemi pro jejich působnost

Rozšíření paradigmatu propojeného datového fondu. Nyní se budou automaticky využívat a poskytovat veškeré potřebné údaje, tedy nejen ty referenční a nebo vyjmenované zákonem. Matice přístupů k údajům je vedena v rámci referenčních údajů o agendách v Registru práv a povinností. Agendové údaje se využívají a poskytují výhradně přes EGSB.
Větší a přísnější kontrola a pravomoci OHA

Mění a zpřesňují se ustanovení týkající se toho, kdy a kdo a s čím musí požádat OHA o stanovisko a také se výslovně zakazuje pořizovat či rozvíjet a nebo uvádět do provozu systémy bez souhlasného stanoviska OHA. Pravomocí se rozšiřují i v souvislosti s povinnostmi k informačním koncepcím úřadů.
Brutální změny pro UIS k realizaci sdílení údajů v propojeném datovém fondu

Správci informačních systémů je musí přebudovat tak, aby nejen vyhovovaly národní architektuře, ale aby umožňovaly fungování propojeného datového fondu. Přes EGSB musí být každý AIS schopen poskytovat údaje, využívat údaje, ale musí mít vytvořené a funkční služby pro notifikaci, aktualizaci, reklamaci, opravy údajů a logování jejich využívání.
Ruší se ustanovení k ZR v jednotlivých zákonech, místo toho obecná povinnost

Dosud i přes obecnou povinnost využívání referenčních údajů ze základních registru pro veřejnou správu platilo, že veřejná správa smí využívat ze ZR pouze údaje, jejichž výčet má v konkrétním agendovém zákoně. Toto paradigma se ukázalo jako problematické a ve své podstatě nesmyslné a protiprávní, neboť to neumožňovalo naplnit obecnou povinnost využívání referenčních údajů. Z tohoto důvodu se jednotlivá Zmocňovací ustanovení s výčtem jednotlivých údajů v agendových zákonech ruší a místo toho nastupuje úprava obecného ustanovení v zákoně o základních registrech, která se nově však nevztahuje pouze na referenční údaje, ale na údaje z celého propojeného datového fondu. Jednotlivé matice k přístupů údajům budou nově vycházet z údajů agend v Registru práv a povinností.
Sdílené služby pro UIS realizované v EGSB a ISZR

Řada dosud legislativně nepříliš pokrytých služeb se formalizuje a uvádí se, že veškeré společné služby sdílené pro všechny určené informační systémy budou realizovány buď přes ISZR pro základní registry a nebo přes EGSB pro všechny ostatní systémy. To souvisí s celou řadou nových povinností pro správce agendových informačních systémů, kteří musejí prostřednictvím centrálních služeb zajistit kupříkladu notifikaci, aktualizaci údajů U přihlášených subjektů, reklamaci a nebo centrálně řízené logování přístupu k údajům resp. využívání údajů v propojeném datovém fondu. Tyto služby tak také budou harmonizovány a standardizovány, jak je tomu u ostatních služeb pro samotnou výměnu údajů.
přepracována legislativa ke cloudu

Zákon 12/2020 novelizoval také zákon o informačních systémech veřejné správy, v němž byla první ucelená úprava cloud computingu v ČR. DEPO přináší zcela přepracovanou hlavu zákona o informačních systémech veřejné správy, která toto nově upravuje. Kupříkladu se odděluje ohlášení a registrace samotných poskytovatelů služeb od ohlášení a registrace jednotlivých služeb poskytovaných v rámci cloudu, stanovují se daleko přísnější podmínky pro samotné poskytovatele i jimi ohlášené služby a nabídky těchto služeb, zpřísňují se povinnosti pro orgány veřejné moci jak při využívání konkrétních služeb, tak ale třeba i v rámci zjišťování ekonomické výhodnosti, apod. Zavádí se také bezpečnostní kategorie pro cloudové systémy a související povinnosti.
Ohlášení údajů jež podle výjimky nejsou veřejné s odůvodněním
Změny v kompozici a možnostech správy UIS

Dosud bylo podle zákonného rámce nutností se k informačnímu systému chovat jako k celku, kde se neoddělitelně vykonávala jeho zpráva nad všemi jeho moduly a komponentami. Nově se zavádí možnost dekompozice informačního systému a tedy jeho rozdělení do menších logických a technických celků a možnosti jejich oddělené zprávy po těchto celcích. To pak souvisí také s novými možnostmi realizace zkušebního provozu informačního systému, což se také nově vztahuje nejen na systém jako celek ale i na jeho jednotlivé moduly.
Nahrazení klientského elektronického podpisu EID

Nově bude řádně realizovaná autentizace autorizace s využitím zaručené elektronické identifikace v rámci informačního systému veřejné správy ze strany klienta považována za jednu z rovnocenných forem vlastnoruční ho podpisu. Tím se umožní učinit podání přímo v rámci portálu a informačních systémů veřejné správy a to bez nutnosti je dále elektronicky podepsat a nebo přímého odeslání datovou schránkou.
Další možnosti při využívání EID

Nově se rozšiřuje možnosti využití zaručené elektronické identifikace a to také pro autentizaci v rámci portálů a informačních systémů veřejné správy a také možnosti ověření pravosti samotné identifikace a autentifikace na žádost klienta. Většinu technicky zajišťuje ministerstvo vnitra, zbytek pak příslušní s práci informačního systému veřejné správy ve kterém se autentizace provádí resp. ve kterém je činí úkon či poskytovaná služba.
Datové schránky ze zákona pro podnikatele a fyzické osoby

Od roku 2023 budou automaticky zřízeny datové schránky všem podnikatelům – tedy podnikajícím fyzickým osobám. Dále budou automaticky zřízeny datové schránky všem fyzickým osobám, které využijí zaručenou elektronickou identifikaci. Pochopitelně bude možné si zřízenou datovou schránku znepřístupnit, ale ve výchozím stavu budou schránky zřízeny ze zákona. Budou se také ze zákona zřizovat datové schránky orgánu veřejné moci pro insolvenční správce, kteří nyní datové schránky buď nemají a nebo je mají jako soukromoprávní subjekty.
Povinnost publikovat VŠE jako otevřená data

Zákon o svobodném přístupu k informacím nově zcela přepracovává publikaci otevřených dat. Vstupuje v obecnou platnost základní princip otevřenosti, který říká, že co není výslovně zákonem stanoveno jako neveřejné, se musí prezentovat jako veřejné a publikovat také ve formě otevřených dat. Zavádí se povinnost nikoliv výčtem, ale u všech údajů ze všech vedených rejstříků, registrů a seznamů, jež jsou přístupné veřejnosti, jejich publikaci jako otevřená data a mimojiné se zavádí také výslovná povinnost publikovat jako otevřená data také elektronickou úřední desku a společně s metadaty zapisovat datové sady do národního katalogu. Co se bude nově publikovat a zveřejňovat také ve formě otevřených dat již není na libovůli jednotlivých úřadů, ale výjimky z tohoto principu musí být ohlášeno v rámci Registru práv a povinností a odůvodněno konkrétním legislativním ustanovení.
Výhradně elektronická forma spisové služby bez výjimek

Někteří zejména menší původci měli možnost si dosud vybrat, zda spisovou službu povedou v listinné nebo elektronické podobě. Tato možnost končí a stanovuje se absolutní povinnost bez výjimek vykonávat spisovou službu v elektronické podobě a to vždy v plném rozsahu a výhradně prostřednictvím elektronického systému spisové služby. Stanovuje se také lhůta pro nápravu stávajícího stavu, která v obecné rovině činí pouhé dva roky.
přepracována úprava pořízení a využívání ESSL

Veřejnoprávním původcům, tedy těm, kteří musí vykonávat spisovou službu v elektronické podobě, se stanovují nové podmínky a povinnosti pro pořízení plně funkčního elektronického systému spisové služby a zároveň se nařizuje, aby všechny elektronické systémy spisové služby splňovaly veškeré požadavky. Stanovují se i lhůty jednoho roku pro nápravu stávajícího stavu, pokud původci již nějaký ESSL mají.
zavedena povinná atestace ESSL

Všechny elektronické systémy spisové služby určené veřejnoprávního původcům pro výkon spisové služby musí splňovat veškeré legislativní, byznysové a především technické požadavky. Protože to dodavatelé sice dlouhá léta deklarují, ale není to pravda, přistoupilo se k zavedení povinné atestace systémů. Atestace iniciuje dodavatel a provádí jí atestační středisko. Atestační středisko bude státem řízená nezávislá entita, kterou určí podle podmínek Ministerstvo vnitra a dokud nikdo takový nebude, tak to bude samo ministerstvo. Atestace bude na dva roky a bude existovat veřejný seznam atestací, ale i neúspěšných posouzení souladu.
Zákaz a sankce pro dodavatele ESSL nesplňující požadavky

Protože sami úřady a původci mnohdy nemají možnost si reálně ověřit, zda jim dodavatel jejich elektronického systému spisové služby mluví pravdu, když říká, že jeho ESSL splňuje požadavky, je v zákoně výslovný zákaz nabízet a dodávat ESSL řešení, která nebudou splňovat veškeré požadavky. Zároveň se poprvé v historii stanovuje sankce dodavateli za nesoulad jeho řešení se zákonem a to ve výši milion korun za každou implementaci. Takto striktní zodpovědnost dodavatele je stran ICT řešení ojedinělá, ale chystá se využití podobného principu i na samotné informační systémy ve veřejné správě, nejen na spisovky.
Odložení e-Sbírky a e-Legisltivy na rok 2023

Rozbor zákona

ČÁST 48: Změna zákona o svobodném přístupu k informacím (zákon 106/1999)

Rozšiřuje se povinnost publikovat postupy a životní situace i pro subjekty, které vykonávají veřejnoprávní činnost, ale nejsou sami v postavení orgánů veřejné moci.
Nová úprava publikování otevřených dat
- Povinnost publikovat veškerá data z rejstříků a evidencí, jež jsou veřejně přístupné či přístupné způsobem umožňujícím dálkový přístup, také jako otevřená data.
- Pro publikování dat o fyzických osobách se nezveřejní osobní údaje, s výjimkou situace, kdy jde o podnikání či jinou výdělečnou činnost, členství ve statutárním orgánu anebo evidence skutečných majitelů.
- Obsahuje-li daná evidence také Sbírku listin, listiny ve sbírce se nepublikují jako otevřená data, ale z datové sady na ně vedou odkazy. To se ale netýká úředních desek.
- Povinnost publikovat metadata o datových sadách v Národním katalogu otevřených dat a také na elektronické úřední desce
- Povinnost publikovat metadata datové sady o úřední desce, včetně obsahu zveřejňovaných informací na úřední desce
Publikování otevřených dat v plném rozsahu nejpozději k 31.12.2023

ČÁST 74: Změna zákona o informačních systémech veřejné správy (zákon 365/2000)

Změny v definicích a významech obecně používaných pojmů
- Rozšiřuje se definice pro informační činnosti a informační systémy, obsahuje nově i zahrnutí tzv. veřejnoprávních korporací.
- Zavádí se pojmy: Rozvoj informačního systému, Bezpečnostní úroveň v cloud computingu, Cloud computing, Poptávka cloud computingu a Nabídka cloud computingu.
Nové a upravené povinnosti k informačním systémům
- Vláda je eskalačním orgánem v případě nesouhlasného stanoviska OHA k projektům UIS/ISVS
- Ministerstvo vnitra nebude stanovovat pravidla referenčního rozhraní vyhláškou, ale vyhlásí je pouze ve Věstníku.
- Rozšiřuje se předmět pořízení a rozvoje informačního systému odstraněním podmínky výlučnosti jeho účelu, je tedy širší, než doposud.
- Rozšiřuje se povinnost a pravomoc OHA k posuzování souladu IS i o soulad s dalšími předpisy týkajícími se ICT, včetně předpisů OVM.
- Rozšiřuje se pravomoc OHA také na posouzení IK a předpisů ICT u správců.
- Zákaz uskutečňovat programy ICT a rozvoj či pořízení IS bez souhlasného stanoviska OHA, respektive je realizovat až po souhlasném stanovisku OHA nebo vlády
- Zákaz spustit UIS a jeho služby bez souhlasného stanoviska OHA (kolaudace)
- Nová povinnost zpracovávat TCO a zhodnocení ekonomické výhodnosti spravování a rozvoje IS
- Nová povinnost zpracovat TCO a zhodnocení ekonomické výhodnosti před pořízením IS
- Umožňuje se dekompozice řešení informačního systému a realizace povinností pro každou dekomponovanou část zvlášť
- Zkušební provoz informačního systému
  - Umožňuje se realizovat tzv. zkušební provoz IS, stanovují se k tomu určité podmínky,
  - Stanovují se povinnosti nahlásit zkušební provoz na OHA a pořízení záznamu o zkušebním provozu a jeho poskytnutí OHA
  - Pro zkušební provoz IS se umožňuje využívat v určitém rozsahu ostré evidenční údaje
Oblasti informační koncepce a řízení ICT/IS
- Rozšiřuje se působnost zákona v oblasti dlouhodobého řízení u úřadu
- Rozšiřuje se záběr Informační koncepce ČR a tedy i národní architektury i o oblasti technického zhodnocení a rozvoje systémů, včetně povinnosti souladu s IKČR
- Pro orgány téhož samosprávního celku na úrovni nepřímé korporace se vytváří pouze jedna jediná IK.
- Všichni nově zasílají/předkládají svoji informační koncepci na OHA.
- Rozšiřuje a upřesňuje se obsah a zmocnění k vydání novelizace vyhlášky o dlouhodobém řízení o další oblasti, jako je struktura IS a dekompozice, pravidla pro správu údajů, technické a bezpečnostní požadavky, apod.
- Kontrola informační koncepce úřadu a souladu úřadu s EG předpisy a s IKČR a národní architekturou ze strany ministerstva, včetně úprav termínů pro odstranění nedostatků
K Centrálnímu místu služeb a KIVS
- CMS se využije i pro systémy a služby soukromoprávních uživatelů při přístupu k propojenému datovému fondu na konci EGSB
- CMS se rozšiřuje i o povinné využívání (nejen poskytování) služeb určených informačních systémů
- Správce CMS vydá provozní dokumentaci CMS, kterou se všichni povinně řídí.
- Výslovně se stanovuje zákaz přistupovat k referenčnímu rozhraní jinudy, než přes CMS
Cloud computing (kompletně přepracovaná celá hlava 6)
- Zcela přepracovaná a přepsaná ustanovení týkající se cloudu. Smysl zůstává, ale notně se zpřesňují povinnosti a podrobnosti a zpřesňují se související postupy pro úřady i poskytovatele služeb cloudu.
- Definuje se pověřený subjekt tzv. Poskytovatel státního cloudu, což je právnická osoba či jiné uspořádání zřízené státem a pověřené vládou k poskytování státního cloudu.
- Vláda stanovuje a schvaluje poskytování státního cloudu, včetně jeho kapacity a rozpočtu na období pěti let.
- Ministerstvo vnitra koordinuje cloud a vydává metodické dokumenty, jež jsou pro obě strany závazné, zpracovává Plán kapacity zajištění cloudu a navrhuje opatření k zajištění dlouhodobě udržitelného financování cloudu.
- Ministerstvo vnitra kontroluje dodržování povinností v souvislosti s cloudem, včetně kontroly poskytování a kvality cloudu.
- Ministerstvo vnitra je regulačním orgánem stanovujícím cenovou regulaci služeb cloudu.
- NÚKIB kontroluje u cloudu kybernetickou bezpečnost poskytování cloudu a bezpečnost u v cloudu provozovaných IS.
- Definuje se Informační systém cloud computingu, skládá se z
  - Katalogu cloud computingu
  - Poptávek na cloud (úřady)
  - Poskytovatelích služeb cloud computingu (poskytovatelé)
  - Nabídek služeb cloudu (poskytovateli)
  - Využívání cloudu (úřad využívá služby poskytovatele)
- Informační systém cloud computingu je povinným elektronickým nástrojem zadávání veřejných zakázek pro služby cloudu a povinným DNS systémem
- Služby cloud computingu se pořizují formou dynamického nákupního systému a úkony zadavatele podle zákona o zadávání veřejných zakázek se činí v DNS v Informačním systému cloud computingu
- Úřad smí využívat výhradně cloud v souladu s tímto zákonem, zapsaný do katalogu jako využívaný cloud a poskytovaný dle nabídky cloudu od poskytovatele cloudu
- Služby cloud computingu pro nejvyšší úroveň bezpečnostní úrovně cloudu smí poskytovat pouze poskytovatelé státního cloudu
- Úřad smí cloud využívat také na základě vertikální nebo horizontální spolupráce, ale také jen v rámci intencích nabídky služeb poskytovatele a využívání služeb podle tohoto zákona
- Cloud poskytovaný na základě obecné výjimky podle zákona o zadávání veřejných zakázek se také musí zapsat do Katalogu cloud computingu jako využívaný cloud, a to podle nabídky cloudu poskytovatelem
- Poskytování služeb cloudu se vždy poskytuje na základě písemné smlouvy Smlouva o poskytování služeb cloud computingu podle náležitostí pro cloud computing
- Pokud nebude cloud splňovat podmínky podle zákona, nejpozději do 12 měsíců jej musí úřady přestat využívat
- Cloud lze využívat i mimo podmínky stanovené zákonem, a to pokud slouží výlučně
  - ke správě a řešení technických potíží nebo diagnostice programových anebo technických prostředků, případně k zabezpečení nebo přenosu s tím souvisejících signálů,
  - ke správě nebo využívání prostředků pro elektronickou identifikaci využívajících vícefaktorové autentizace,
  - k aktualizaci nebo opravě programového prostředku,
  - ke shromažďování nebo výměně provozních údajů,
  - ke zkušebnímu provozu informačního systému veřejné správy, pokud při něm nebudou využity údaje, které se v informačním systému veřejné správy vedou nebo povedou anebo, které jsou nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány.
- Jsou stanoveny Požadavky na poskytovatele cloudu. Poskytovatelé musí být subjekty, které jsou
  - způsobilé zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy,
  - bezúhonné v rozsahu bezúhonnosti požadované po kvalifikovaném správci kvalifikovaného systému elektronické identifikace,
  - způsobilé pro poskytnutí cloud computingu orgánu veřejné správy z hlediska veřejného pořádku, bezpečnosti a dodržování práv třetích osob.
- Jsou stanoveny Požadavky na poskytovaný cloud. Poskytovatel smí poskytovat a úřad smí využít pouze cloud computing,
  - který umožňuje splnění požadavků kladených na informační systém veřejné správy Informační koncepcí České republiky,
  - který umožňuje dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy,
  - který umožňuje orgánu veřejné správy postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost,
  - jehož bezpečnostní úroveň je stejná nebo vyšší, než bezpečnostní úroveň informačního systému veřejné správy nebo jeho části, k zajištění jehož provozu je využíván,
  - který v případě, že je jeho poskytování závislé na jiném cloud computingu, je poskytovaný s využitím cloud computingu splňujícího požadavky podle písmen b) až d) a poskytovaného poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v Katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c),
  - u něhož v případě, že je jeho poskytování závislé na více poskytovatelích cloud computingu, je každý poskytovatel cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v Katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c).
- Obecně se definuje proces a postupy pro zápis poptávky, nabídky a využívání cloudu do Katalogu cloud computingu a postupy ministerstva vnitra, orgánů veřejné správy využívajících či poptávajících a poskytovatel poskytující cloud computing
- Zájemce o zapsání jako poskytovatel cloudu k žádosti dodává také
  - doklad o svých zkušenostech s poskytováním cloud computingu za posledních 5 let,
  - doklad o tom, že splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost,
  - doklad o své bezúhonnosti, nelze-li bezúhonnost potvrdit postupem podle § 12 zákona o Rejstříku trestů; ustanovení právního předpisu upravujícího elektronickou identifikaci o dokladech prokazujících bezúhonnost kvalifikovaného správce kvalifikovaného systému elektronické identifikace se použijí obdobně,
  - doklad vydaný orgánem státu, v němž má sídlo, a doklad vydaný orgánem státu, na jehož území předpokládá dlouhodobé uložení informací orgánu veřejné správy, že nemá evidován nedoplatek vůči žádnému z orgánů těchto států; část věty před středníkem se ve vztahu k dokladu vydanému orgánem státu, v němž má poskytovatel cloud computingu sídlo, nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky.
  - závazné stanovisko Národního úřadu pro kybernetickou a informační bezpečnost
- Poskytovatel pro zápis jeho nabídky cloud computingu k žádosti dodává mimo jiné i
  - údaje o nabídce cloud computingu v rozsahu údajů, které se o nabídce cloud computingu vedou v Katalogu cloud computingu,
  - údaj, zda je poskytování nabízeného cloud computingu závislé na využití jiného cloud computingu, identifikaci tohoto cloud computingu a jeho poskytovatele a popis využití jiného cloud computingu, včetně rozsahu využití,
  - údaj, zda je poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu, identifikaci těchto poskytovatelů cloud computingu a popis jejich zapojení do poskytování nabízeného cloud computingu, včetně rozsahu zapojení.
  - seznam svých dodavatelů, u kterých předpokládá zpracovávání informací orgánu veřejné správy,
  - doklad o tom, že nabízený cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost,
  - dokumentaci nabízeného cloud computingu,
  - zprávu o provedení penetračního testu nabízeného cloud computingu, pokud je požadována právním předpisem upravujícím kybernetickou bezpečnost,
  - plán zajištění kontinuity provozu nabízeného cloud computingu a plán na obnovu poskytování nabízeného cloud computingu po havárii, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost; namísto plánů lze připojit auditní zprávu osvědčující jejich existenci,
  - doklad o zhodnocení zdrojů rizik nabízeného cloud computingu, pokud je požadován právním předpisem upravujícím kybernetickou bezpečnost,
  - podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací nabízeným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost.
- Pokud je poskytovaný cloud závislý na dalším cloudu, doplní poskytovatel pro zápis také smlouvu s poskytovatelem cloud computingu, který poskytuje cloud computing, na jehož využití je závislé poskytování nabízeného cloud computingu, (dále jen „podpůrný cloud computing“),
  - seznam dodavatelů poskytovatele podpůrného cloud computingu, u kterých poskytovatel podpůrného cloud computingu předpokládá zpracovávání informací orgánu veřejné správy,
  - doklad o tom, že podpůrný cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podpůrným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost,
  - dokumentaci podpůrného cloud computingu,
  - zprávu o provedení penetračního testu podpůrného cloud computingu, pokud je požadována právním předpisem upravujícím kybernetickou bezpečnost,
  - plán zajištění kontinuity provozu podpůrného cloud computingu a plán na obnovu poskytování podpůrného cloud computingu po havárii, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost; namísto plánů lze připojit auditní zprávu osvědčující jejich existenci,
  - doklad o zhodnocení zdrojů rizik podpůrného cloud computingu, pokud je požadován právním předpisem upravujícím kybernetickou bezpečnost,
  - podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podpůrným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost.
- Při aktualizaci služby nabízené poskytovatelem poskytovatel požádá o zápis aktualizace
  - Dodá údaje a dokumenty, ve kterých vyznačí změny související s aktualizací
- Aktualizace je přípustná jen tehdy, pokud nabízený cloud computing bude po aktualizaci nadále splňovat podmínky pro zápis do Katalogu cloud computingu,
- Aktualizace je přípustná jen tehdy, kdy se nedotýká údajů charakterizujících nabízený cloud computing s výjimkou objemu, rámcové ceny nebo názvu konkrétní cloudové služby.
- Pokud nejsou splněny podmínky pro aktualizaci, provede se zápis nové nabídky podle stanovených procesů pro zápis nabídky.
- Nabídka cloud computingu je platná nejdéle 3 roky, poskytovatel ale může potvrdit platnost nabídky ministerstvu na další období
- Jsou stanoveny podmínky výmazu nabídky cloudu, a to
  - požádá-li o výmaz poskytovatel cloud computingu, o jehož nabídku se jedná, a to do 15 dnů ode dne podání žádosti,
  - zjistí-li ministerstvo nebo NÚKIB, že nabízený cloud computing přestal splňovat požadavky podle § 6n a nezjednal-li poskytovatel cloud computingu nápravu ve lhůtě stanovené ministerstvem, která nesmí být kratší, než 15 dnů,
  - uplyne-li doba 3 let ode dne, kdy byla nabídka cloud computingu do Katalogu cloud computingu zapsána, pokud poskytovatel cloud computingu nepotvrdil ministerstvu, že nabídka cloud computingu je stále platná, nebo uplyne-li doba 3 let ode dne, kdy poskytovatel cloud computingu naposledy potvrdil ministerstvu, že nabídka cloud computingu je stále platná; ministerstvo vyzve prostřednictvím informačního systému cloud computingu poskytovatele cloud computingu, aby potvrdil platnost nabídky cloud computingu po uplynutí doby 30 měsíců ode dne, kdy byla nabídka cloud computingu do Katalogu cloud computingu zapsána, a dále vždy po uplynutí doby 30 měsíců ode dne, kdy mu poskytovatel cloud computingu potvrdil, že nabídka cloud computingu je stále platná,
  - o jejíž zápis do Katalogu cloud computingu požádal poskytovatel cloud computingu, u něhož došlo k výmazu z Katalogu cloud computingu, a to současně s výmazem poskytovatele cloud computingu; je-li poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu zapsaných do Katalogu cloud computingu, postačí výmaz kteréhokoliv z těchto poskytovatelů cloud computingu,
  - o jejíž zápis do Katalogu cloud computingu požádal poskytovatel cloud computingu, a u níž došlo k výmazu poskytovatele podpůrného cloud computingu z Katalogu cloud computingu, a to současně s výmazem poskytovatele podpůrného cloud computingu.
- Poskytovatel cloud computingu předkládá v intervalech stanovených prováděcím právním předpisem ministerstvu doklady o splnění požadavku pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací a zprávu o provedení penetračního testu.
Využití EID jako náhrady podpisu (nová hlava 8
- Využití elektronické identifikace, autentizace, autorizace a záznam v ISVS se považují za nezpochybnitelnou formu podpisu u úkonu s ekvivalencí vlastnoručního podpisu
Další změny nesouvisející přímo s ISVS
- Ruší se povinnost atestací všech napojení ISVS na referenční rozhraní
- Agrární komora ČR se stává subjektem realizujícím Čekpoint a autorizovanou konverzi na žádost
- Stanovuje se povinnost provozovatele Čekpointu a kontaktních míst likvidovat údaje podle zákona o kybernetické bezpečnosti
Nová a upravená zmocnění a prováděcí předpisy
- Ministerstvo vnitra vydá prováděcí předpisy pro
  - požadavky na strukturu a náležitosti hodnocení ekonomické výhodnosti způsobu provozu informačních systémů veřejné správy podle § 5 odst. 2 písm. i), hodnocení ekonomické výhodnosti provozu informačního systému veřejné správy podle § 5 odst. 2 písm. j) a hodnocení ekonomické výhodnosti využití poptávaného cloud computingu podle § 6o odst. 4 a postup při jejich provádění,
  - požadavky na strukturu a náležitosti informační koncepce orgánu veřejné správy, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování,
  - požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy, pravidla pro strukturování dat v informačních systémech veřejné správy a bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, podle § 5a odst. 2,)
  - požadavky na strukturu a náležitosti provozní dokumentace podle § 5a odst. 3 a na rozsah provozní dokumentace předkládané při atestaci podle § 5a odst. 4,
  - postupy atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy podle § 6d odst. 1 písm. b),
  - údaje o poptávkách cloud computingu, poskytovatelích cloud computingu, nabídkách cloud computingu a o cloud computingu využívaném orgány veřejné správy podle § 6k odst. 2,
  - požadavky na náležitosti smlouvy o poskytování cloud computingu orgánu veřejné správy podle § 6l odst. 3,
  - požadavky na náležitosti dokladu o zkušenostech poskytovatele cloud computingu s poskytováním cloud computingu podle § 6q odst. 5 písm. b),
  - požadavky na strukturu a náležitosti dokumentace nabízeného cloud computingu podle § 6t odst. 6 písm. c) a dokumentace podpůrného cloud computingu podle § 6t odst. 7 písm. d),
  - seznam obecních úřadů, úřadů městských částí nebo městských obvodů územně členěných statutárních měst a úřadů městských částí hlavního města Prahy podle § 8a odst. 2 písm. d).
- Národní úřad pro kybernetickou a informační bezpečnost stanoví vyhláškou
  - požadavky na zajištění základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) a § 6n písm. b),
  - seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c), doklady o jejich splnění a intervaly pro předkládání těchto dokladů podle § 6y odst. 2,
  - požadavky na strukturu a náležitosti zprávy o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) a intervaly pro její předkládání,
  - požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii podle § 6t odst. 6 písm. e) a § 6t odst. 7 písm. f),
  - požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik podle § 6t odst. 6 písm. f) a § 6t odst. 7 písm. g),
  - požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podle § 6t odst. 6 písm. g) a § 6t odst. 7 písm. h).“.
Přechodná ustanovení
- Státní orgán a orgán územního samosprávného celku (dále jen „orgán veřejné správy“) může využívat cloud computing, jehož využívání započal před prvním dnem druhého kalendářního měsíce po vyhlášení tohoto zákona a který nesplňuje požadavky podle zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění účinném od prvního dne druhého kalendářního měsíce po vyhlášení tohoto zákona, a cloud computing, který může využívat na základě smlouvy uzavřené před prvním dnem druhého kalendářního měsíce po vyhlášení tohoto zákona nebo smlouvy uzavřené na základě této smlouvy a který nesplňuje požadavky podle zákona č. 365/2000 Sb., ve znění účinném od prvního dne druhého kalendářního měsíce po vyhlášení tohoto zákona, do 31. prosince 2023.
- Orgán veřejné správy může využívat cloud computing, který je obsažený v nabídce cloud computingu zapsané do Katalogu cloud computingu pro orgány veřejné správy (dále jen „Katalog cloud computingu“) před prvním dnem druhého kalendářního měsíce po vyhlášení tohoto zákona nebo zapsané na základě řízení podle bodu 3 a který nesplňuje požadavky podle § 6n zákona č. 365/2000 Sb., ve znění účinném od prvního dne druhého kalendářního měsíce po vyhlášení tohoto zákona, do 31. prosince 2023.
- Řízení podle části první hlavy VI zákona č. 365/2000 Sb., ve znění účinném od prvního dne druhého kalendářního měsíce po vyhlášení tohoto zákona, zahájená před prvním dnem druhého kalendářního měsíce po vyhlášení tohoto zákona, se dokončí podle dosavadních předpisů.
- Orgán veřejné správy může v období od prvního dne druhého kalendářního měsíce po vyhlášení tohoto zákona do 31. ledna 2022 zahájit využívání cloud computingu, který nesplňuje požadavky podle § 6n zákona č. 365/2000 Sb., ve znění účinném od prvního dne druhého kalendářního měsíce po vyhlášení tohoto zákona a který je poskytovaný poskytovatelem cloud computingu, který nesplňuje požadavky podle § 6m zákona č. 365/2000 Sb., ve znění účinném od prvního dne druhého kalendářního měsíce po vyhlášení tohoto zákona. § 6l zákona č. 365/2000 Sb., ve znění účinném od prvního dne druhého kalendářního měsíce po vyhlášení tohoto zákona, se na využití cloud computingu podle věty první nepoužije. Orgán veřejné správy může využívat cloud computing podle věty první do 31. prosince 2022.

Část 113: Změna zákona o archivnictví a spisové službě (zákon 499/2004)

Výhradně elektronická forma spisové služby
- Ruší se možnost určitých původců si vybrat mezi listinnou a elektronickou spisovou službou
- Specifikuje se povinnost vykonávat vždy spisovou službu prostřednictvím ESSL a ISSD
- Povinnost využívat ESSL systémy pouze ty, které splňují veškeré požadavky zákona, vyhlášky a národního standardu
Atestace ESSL systémů
- Zavádí se obecná povinnost atestací řešení ESSL
- Definují se pojmy k atestacím
- Ministerstvo vnitra v souvislosti s atestacemi ESSL
  - stanoví a zveřejňuje ve Věstníku ministerstva postup atestačního střediska pro elektronické systémy spisové služby (dále jen „atestační středisko“) při provádění atestace elektronického systému spisové služby (dále jen „atestace“), podmínky provádění atestace a výši úplaty za provedení atestace,
  - vede seznam atestačních středisek a seznam platných atestů elektronického systému spisové služby (dále jen „atest“),
  - kontroluje atestační střediska.“.
- Povinnost původců využívat výhradně atestované ESSL systémy
- Atestaci provádí pouze atestační středisko. (Nejedná se o atestační střediska podle zákona o ISVS)
- Atestačním střediskem může být
  - osoba nebo jiné právní uspořádání určeni ministerstvem,
  - ministerstvo vnitra, nejsou-li žádná osoba nebo jiné právní uspořádání určeny
- Atestačním střediskem může být určen pouze subjekt/subjekty,
  - jejichž zřizovatelem nebo zakladatelem je stát,
  - u nichž lze předpokládat, že mají odbornou a technickou způsobilost k provádění atestace,
  - které se samy nezúčastní hospodářské soutěže v oblasti elektronických systémů spisových služeb a nemají žádný zájem na výsledku atestace.
- Podmínky a ceny atestací ESSL systémů stanovuje Ministerstvo vnitra.
- Atestační středisko provede atestaci do 3 měsíců od objednání.
- Atestace se vztahuje na elektronický systém spisové služby jako systém, nikoliv na jeho implementaci u původce.
- Atesty se zveřejňují také ve věstníku ministerstva a na webu Ministerstva vnitra. Každý atest musí atestační středisko zaslat Ministerstvu vnitra.
- Atestační středisko zasílá Ministerstvu vnitra také neúspěšné atesty i s důvody, proč nebyl atest vydán.
- Atest platí 2 roky. Pokud výrobce zásadním způsobem změní svůj ESSL systém, má povinnost nové atestace.
- Ministerstvo vnitra má právo v případě pochybností o souladu ESSL právo uložit atestačnímu středisku revizi atestu.
- Veřejnoprávní původce může vykonávat spisovou službu v elektronické podobě v elektronickém systému spisové služby, u kterého bylo revizí atestu zjištěno, že nesplňuje požadavky a nebo skončil atest, nejvýše 1 rok ode dne zveřejnění informace o revizi atestu nebo od konce atestu.
- Zakazuje se nabízet nebo dodávat veřejnoprávním původcům elektronický systém spisové služby, který nesplňuje požadavky národního standardu a u kterého není splnění těchto požadavků potvrzeno atestem.
Ke Jmennému rejstříku
- Upřesňuje se, za jakých situací původce eviduje subjekt ve jmenném rejstříku, pokud tento subjekt není odesílatelem či příjemcem dokumentu
- Stanoví se výslovná povinnost vést ve jmenném rejstříku vazbu na dokument podle jeho identifikátorů a tedy se zavádí povinnost obousměrné vazby
- V souvislosti s povinným výkonem spisové služby v elektronické podobě se vylučuje vedení jmenného rejstříku v listinné podobě
- Povinnost vždy vést ve jmenném rejstříku bezvýznamový identifikátor (pro OVM AIFO agendy a pro neOVM vlastní identifikátor)
- Povinnost vést ve jmenném rejstříku jako dvousměrnou vazbu nejen odkaz na dokument, ale i odkaz na spis
- Rozvolnění lhůty pro vedení údajů o subjektu ze striktních třech let na nejdéle tři roky
Další změny
- Elektronický podpis na replice archiválie se nahrazuje kvalifikovanou elektronickou pečetí archivu
- Zavádí se vyjasněná povinnost vykonávat spisovou službu, včetně správy metadat a transakčnosti nejen na dokumenty, ale i na spisy.
- Stanoví se v příloze 2 zákona, že transakční protokoly mají povinně skartační znak “V” a budou vždy předloženy archivu.
Sankce
- Doplňuje se sankce pro dodavatele ESSL při nesplnění požadavků či nezajištění atestu s pokutou ve výši 1 milion korun za každou implementaci u původce.
Přechodná ustanovení
- Veřejnoprávní původci podle § 3 odst. 1 písm. a) až e) zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění účinném ode dne 1. února 2022, jsou povinni uvést výkon spisové služby do souladu s požadavky zákona č. 499/2004 Sb., ve znění účinném ode dne 1. února 2022, do 31. prosince 2023.
- Veřejnoprávní původci podle § 3 odst. 1 písm. f) až m) zákona č. 499/2004 Sb., ve znění účinném ode dne 1. února 2022, jsou povinni uvést výkon spisové služby do souladu s požadavky zákona č. 499/2004 Sb., ve znění účinném ode dne 1. února 2022, do 31. prosince 2024.

ČÁST 120: Změna zákona o ověřování (zákon 21/2006)

Ministerstvu se upravuje povinnost metodického vedení a činností tak, aby sloužily všem subjektům oprávněným k vidimaci a legalizaci dokumentů
Zavádí se jako mechanismus legalizace také to, že osoba uzná elektronický podpis za vlastní (to není nutné u kvalifikovaného podpisu)
U legalizace dokumentu v elektronické podobě se stanovují povinnosti ověřovací osobě, včetně doložky a podpisu.

ČÁST 133: Změna zákona o elektronických úkonech a autorizované konverzi dokumentů (zákon 300/2008)

Automatické zřízení datové schránky fyzické osobě
- Fyzické osobě od roku 2023 se automaticky zřídí datová schránka při použití EID
- O zřízení datové schránky fyzickou osobu před prvním použitím EID informuje správce NIA
- Správce NIA umožní zadat e-mail, na který bude fyzická osoba vyrozuměna o zřízení datové schránky a bude jí sdělen identifikátor
Automatické zřízení datové schránky jiné osobě
- Insolvenční správci budou mít od roku 2023 nově zřízenu datovou schránku orgánu veřejné moci ze zákona
- Právnické osobě či podnikající fyzické osobě insolvenčního správce se její existující datová schránka k 1. březnu 2023 zruší a nahradí se datovou schránkou orgánu veřejné moci
- Podnikající fyzické osobě se od roku 2023 automaticky zřídí datová schránka ze zákona
Zřízení datové schránky je nově bezodkladné v reálném čase, včetně možnosti reálného předání přístupových údajů je-li to možné
Zasílání PDS nebo-li datových zpráv jiným osobám
- Povyšuje se zasílání poštovních datových zpráv
- Zasílání poštovních datových zpráv je nově obecně formou doručení se všemi důsledky
- Platí fikce doručení po 10 dnech nově i pro poštovní datové schránky
Autorizovaná konverze dokumentů
- U konverze z digitálního dokumentu se připouští ověření integrity dokumentu i jiným prostředkem, tedy zejména s využitím označení ISVS při využití ZEID
- Upravuje se možnost autorizované konverze legalizovaného elektronického dokumentu
- Doplňují se drobné technické úpravy při autorizované konverzi
- Upravuje se a upřesňuje se rozsah a podmínky odborné způsobilosti pro fyzické osoby provádějící autorizovanou konverzi na žádost jménem kontaktního místa
Přechodná ustanovení
- Automatické zřízení datové schránky fyzické osobě při prvním využití EID se provede od 1. ledna 2023.
- Zřízení datové schránky podnikající fyzické osobě ze zákona se provede nejpozději 31. března 2023
- Insolvenčnímu správci se zřídí datová schránka orgánu veřejné moci ze zákona, i se mu nahradí jeho dosavadní, nejpozději 31. března 2023
- Právní doručování poštovních datových zpráv bude realizováno nejpozději 1. března 2022
- Subjekty provádějící autorizovanou konverzi ponechají údaje ve své evidenci konverzí o provedených konverzích před červencem 2022 do července 2032
- Nejpozději do 31. prosince 2022 musí všechny fyzické osoby, jež provádějí autorizovanou konverzi na žádost, splňovat nové podmínky odborné způsobilosti

ČÁST 135: Změna zákona o základních registrech (zákon 111/2009)

Využívání propojeného datového fondu soukromoprávními uživateli údajů
- Definuje se okruh soukromoprávních uživatelů údajů, pokud tak stanoví agendový zákon
- Soukromoprávní uživatelé údajů mohou využívat referenční údaje a agendové údaje propojeného datového fondu, pokud jim tuto možnost výslovně stanoví agendový zákon
- Přistupují prostřednictvím agendového informačního systému OVM, jež jim přístup umožňuje a nebo svým informačním systémem SPÚ, který se definuje jako soukromoprávní systém pro využívání údajů
- Narozdíl od orgánů veřejné moci musí mít soukromoprávní uživatelé striktně v zákoně definované konkrétní údaje, jež mohou využívat
- Musí plnit povinnosti využívat referenční rozhraní a přistupovat k propojenému datovému fondu pouze prostřednictvím ISZR a EGSB
- Připojení soukromoprávních uživatelů podléhá stanovisku OHA a vztahují se na něj některé povinnosti stanovené zákonem o informačních systémech veřejné správy
- Za fungování soukromoprávních uživatelů zodpovídá vždy ohlašovatel dané agendy a OVM, který přístup umožní
- Soukromoprávním uživatelům údajů se ukládají povinnosti v souvislosti se zodpovědností za jejich činnosti v rámci sdílení údajů a se zodpovědností za konkrétní fyzické osoby, jež prostřednictvím systémů využívají údaje z propojeného datového fondu.
- Zavádí se postupy a povinnosti v souvislosti s využíváním autentizace konkrétních fyzických osob ze strany soukromoprávních uživatelů v jejich rolích povinně prostřednictvím JIP/KAAS.
- Ministerstvo vnitra má možnost a povinnost odpojit soukromoprávní systémy a AISy pro přístup soukromoprávních uživatelů, pokud porušují povinnosti a nebo ohrožují fungování systémů či ochranu osobních údajů.
- Soukromoprávní uživatel údajů, který byl zaregistrován pro výkon agendy, odpovídá za:
  - určení fyzických osob, které jsou nositeli rolí, a za provádění změn v těchto určeních,
  - uplatnění odpovídajících opatření, která zabrání neoprávněnému využívání údajů vedených v základních registrech nebo agendových informačních systémech v souvislosti s oprávněním soukromoprávního uživatele údajů k jejich využívání.
Za orgán veřejné moci pro účely povinností vůči propojenému datovému fondu se považuje také insolvenční správce (to je jen zpřesnění proti účelovým výkladům)
V pojmech se působnost nahrazuje termínem působení, který má vzhledem k obecné platnosti širší význam, tím se řeší i dosud výkladově nejasné situace
Definuje se EGSB, a to jako Informační systém sdílené služby, ten je součástí referenčního rozhraní a slouží ke sdílení údajů v propojeném datovém fondu
Sdílení a využívání údajů se realizuje takto:
- Referenční údaje ze základních registrů prostřednictvím ISZR
- Agendové údaje z agendových informačních systémů prostřednictvím EGSB
Zpřesňují se některé postupy a povinnosti pro editory referenčních údajů
Využívání údajů v rámci propojeného datového fondu
- Principy a mechanismy zavedené pro referenční údaje v základních registrech se aplikují na veškeré údaje vedené jako agendové údaje v agendových informačních systémech (tzv. Propojený datový fond)
- Údajům využívaným z agendových informačních systémů se dává stejná míra důvěrnosti a závažnosti jako referenčním údajům.
- Orgány veřejné moci mají povinnost využívat kromě referenčních údajů i agendové údaje z agendových informačních systémů.
- Správci agendových informačních systémů mají povinnost poskytovat údaje ostatním agendám.
- Správci agendových informačních systémů mají kromě poskytování i povinnosti:
  - Zajistit službu pro notifikaci a aktualizaci údajů na základě notifikace
  - Zajistit službu pro zpochybnění a reklamaci údajů
  - Spravovat údaje prostřednictvím jejich editorů
  - Zodpovídat za správnost a pravost údajů včetně údajů poskytovaných jiným agendám
  - Zajistit logování, využívání a změn údajů
  - Zajistit logování také pro sdělování údajů o využívání údajů prostřednictvím SZR
- Orgány veřejné moci nezpochybňují agendové údaje z jiných agend, ale primárně jim věří.
- Orgány veřejné moci mají povinnost reklamace údajů nejen pro referenční údaje, ale i pro údaje z agendových informačních systémů.
- Matici údajů poskytovaných jiným agendám a údajů využívaných z jiných agend stanoví ohlášení agendy v Registru práv a povinností.
Správě základních registrů se stanovují nové povinnosti zajistit některé společné sdílené služby včetně služeb notifikace a údajů o využívání údajů
Zavádí se centrální logování poskytování a využívání údajů přes EGSB, které zajišťuje Správa základních registrů. Log obsahuje v záznamu:
- označení agendového informačního systému nebo soukromoprávního systému pro využívání údajů, jejichž prostřednictvím byly údaje využity,
- kód agendy,
- uživatelské jméno fyzické osoby, která je nositelem role,
- označení subjektu, pro jehož účely se údaje využívají,
- roli podle § 51 odst. 6 písm. c), ve které fyzická osoba údaje využila,
- výčet údajů, které byly využity,
- datum a čas využití údajů,
  - důvod a konkrétní účel využití údajů.
Správa základních registrů poskytuje subjektu údajů nejen údaje o využívání referenčních údajů, ale i údaje o využívání údajů z agendových informačních systémů z centrálního logu EGSB
Správě základních registrů se rozšiřuje oznamovací povinnost při podezření z porušování ochrany osobních údajů i na jakékoliv jiné případy, než je využití referenčních údajů orgánem veřejné moci.
K Registru obyvatel a údajům o fyzických osobách
- Zavádí se personalizované AIFO pro soukromoprávní uživatele, kteří jej využívají v soukromoprávních systémech pro využívání údajů jako ekvivalent AIFO.
- Nově se v Registru obyvatel vedou také data potřebná pro elektronickou identifikaci subjektu.
- Zpřesňují a opravují se ustanovení, v nichž se zmiňují identifikační doklady, jejich význam se ale nemění.
V souvislosti s ostatními změnami v zákoně se upravují ustanovení o záznamech o využívání údajů a o výpisech subjektu údajů.
K Registru osob a údajům o právnických subjektech
- V Registru osob se nově evidují i kontaktní údaje
K Registru územní identifikace adres a nemovitostí
- Nově se vedou technicko-ekonomické údaje o stavbách
K Registru práv a povinností
- Český statistický úřad prostřednictvím RPP vede statistické číselníky
- V Registru práv a povinností se nově u agend vedou i soukromoprávní systémy pro využívání údajů
- Zpřesňují se informace, které se u agend vedou o úkonech a službách
- V Katalogu úkonů se nově vedou také úkony, jež přijímá a realizuje subjekt, který v daném úkonu není v postavení orgánu veřejné moci.
- Údaje se nově mimo jiné dělí na údaje, jež jsou přístupné veřejnosti a na údaje, jež nejsou přístupné veřejnosti.
- V agendách se u všech údajů vede nově informace, zda jsou přístupné veřejnosti a publikované jako otevřená data a pokud ne, tak se musí odůvodnit konkrétním ustanovením.
- Specifikuje se využívání číselníků pro údaje vedené v informačním systému, a to:
  - u číselníkových údajů, kde bude číselník veden v Registru práv a povinností ze strany ČSÚ, se využije hodnota či hodnoty tohoto číselníku
  - u číselníkových údajů, pro které dosud neexistuje číselník vedený v Registru práv a povinností, má nově ohlašovatel povinnost takový číselník vytvořit, ten se pak vede jako číselník v RPP a ostatní jej musí využívat.
- V Rejstříku informačních systémů se nově vedou i údaje o soukromoprávních systémech pro využívání údajů, definuje se jejich rozsah a související podrobnosti.
- Rozšiřují se povinnosti a postupy ohlášení působnosti a registrace k výkonu agendy jak pro orgány veřejné moci, tak ale nově pro soukromoprávní uživatele údajů a jejich systémy či přistupující AISy.
V celém zákoně se sjednocuje terminologie, kupříkladu místo “přístupu k údajům“ se sjednocuje na “využívání údajů“.
Ministerstvo vnitra nově vykonává kontrolní a dozorovou činnost pro celý rámec zákona o základních registrech, a to u všech dotčených subjektů.

ČÁST 153: Změna zákona o kybernetické bezpečnosti (zákon 181/2014)

Do zákona o kybernetické bezpečnosti se pouze přidávají ustanovení o zařazování cloudu do bezpečnostních kategorií.
Za nesplnění povinnosti zařazování cloudu do bezpečnostních kategorií se orgánům veřejné moci stanovují sankce.

ČÁST 157: Změna zákona o Sbírce zákonů a mezinárodních smluv (zákon 222/2016)

Bez jakéhokoliv zdůvodnění či analýzy se Sbírka a Legislativa posouvá o rok na rok 2023.

ČÁST 160: Změna zákona o službách vytvářejících důvěru pro elektronické transakce (297/2016)

Kvalifikovanému poskytovateli se umožňuje přístup k údajům z propojeného datového fondu pro plnění jeho povinnosti tyto údaje využívat a stanoví se jejich konkrétní rozsah a zdroj.
Stanoví se povinnost poskytovatelům kvalifikovaných služeb v jejich informačních systémech umožnit nepřetržité logování a vyhodnocování využívání údajů za účelem evidenční ochrany a ochrany osobních údajů a účelu využívání.
Provádí se zpřesnění a úklid ustanovení k elektronickému podpisu a elektronické pečeti
Zpřesňuje se ustanovení k povinnosti veřejnoprávního podepisujícího opatřit dokument elektronickou pečetí při výkonu působnosti.

ČÁST 162: Změna zákona č. 424/2010 Sb.

Opravují se určité lhůty přechodných ustanovení a povinností, aby byly v souladu s novelizovanými předpisy.

ČÁST 163: Změna zákona o elektronické identifikaci (zákon 250/2017)

Správa základních registrů je ze zákona bez nutnosti registrace kvalifikovaným správcem vydávajícím kvalifikované prostředky.
Zpřesňuje se rozsah využívaných údajů pro kvalifikované správce a kvalifikované poskytovatele při plnění povinností podle tohoto zákona.

ČÁST 164: Změna zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o Sbírce zákonů a mezinárodních smluv (zákon 277/2019)

Posouvá se termín Sbírky a Legislativy o rok na rok 2023.

ČÁST 165: Změna zákona o právu na digitální služby (zákon 12/2020)

Rozšiřuje a mění se ustanovení k právu na elektronickou identifikaci a autentizaci
- Uživatel služby má právo, aby před osobním provedením úkonu, pro který je v Katalogu služeb uvedena možnost doplnění fyzického prokázání totožnosti autentizací s využitím dat potřebných pro elektronickou identifikaci a autentizaci, orgán veřejné moci vyžadoval autentizaci jako podmínku provedení digitálního úkonu.
- Orgán veřejné moci vystaví na žádost uživatele služby, který provedl autentizaci, potvrzení o autentizaci.
- Uživatel služby uplatní požadavek na vyžadování autentizace podle tohoto práva u Ministerstva vnitra.
- Ministerstvo vnitra zveřejní elektronický formulář k uplatnění požadavku na Portálu veřejné správy.
- Ministerstvo vnitra spravuje elektronickou aplikaci pro autentizaci podle tohoto práva.
- Ministerstvo vnitra umožní využít aplikaci i při fyzickém prokazování totožnosti pomocí identifikačního dokladu vůči fyzické osobě nebo právnické osobě.
- Umožní-li fyzická osoba nebo právnická osoba doplnění fyzického prokázání totožnosti pomocí identifikačního dokladu autentizací s využitím dat potřebných pro elektronickou identifikaci a autentizaci spojených s identifikačním dokladem, vystaví na žádost toho, kdo provedl autentizaci, potvrzení o autentizaci.
V rámci práva na elektronickou identifikaci a autentizaci se rozšiřuje právo uživatele a související povinnosti k souladu vedených údajů a k souladu identifikace uživatele.

Změny v oblasti spisové služby provedené Zákonem 89/2022

Změnový zákon 89/2022 Sb odkládá o rok účinnost ustanovení změn Zákona 499/2004 Sb., o archivnictví a spisové službě a to

Atestace až od července 2023
Kontrola splnění podle atestace od roku 2024
Povinně elektronická spisová služba dle atestovaného ESSL od roku 2026
K atestacím před červencem 2023 se nesmí přihlížet.