| Slovensko. Digital (Slovensko. Digital) | Podporujeme zámer MIRRI rozpracovať koncepty a právne inštitúty týkajúce sa riadenia a správy údajov verejnej správy. K jednotlivým konceptom: 1x a dosť: Zosúladenie režimov 1x a dosť - Zásada “1x a dosť”, podľa ktorej dokumenty a údaje v správe alebo vydávané určitým OVM, ktoré sú potrebné v konaní pred iným OVM, nemajú byť medzi týmito OVM sprostredkované účastníkom konania, ale majú si ich získať priamo, je v súčasnosti ukotvená vo viacerých právnych predpisoch: - ZoEG, §17 ods. 5-7 - Zákon č.177/2018 proti byrokracii - Zákon č.71/1967 správny poriadok, §32 ods.2 Uvedené ustanovenia, ktoré všetky majú všeobecnú povahu, sa z veľkej časti prekrývajú a v niektorých témach sú dokonca protirečiace, čo vyvoláva neistotu tak na strane OVM, ako aj u účastníkov konaní. Preto je vhodné tieto režimy zlúčiť, minimálne zrušením §1 zákona č.177/2018 a začleniť v ňom uvedené ustanovenia do ZoEG, keďže ide o výkon verejnej moci elektronicky a ZoEG obsahuje aj kontrolné a sankčné mechanizmy. Zoznam IS, na údaje ktorých sa vzťahuje režim 1x a dosť je vzhľadom na frekvenciu zmien vhodné vyčleniť zo zákona do vykonávacieho predpisu vydávaného MIRRI. Výkon v tejto oblasti súčasnými technickými riešeniami považujeme za natoľko osvedčený, že odporúčame zrušiť výnimku na základe “technických dôvodov” uvedenú v §1 ods.7 zákona č.177/2018. Pri používaní údajov v rámci verejnej správy je potrebné vytvoriť mechanizmus, ktorý umožní v rámci určitého konania zachovať preskúmateľnosť rozhodnutia aj ak nebudú v rámci príslušného spisu uchovávané dokumenty slúžiaca iba na preukázanie určitých údajov spravovaných iným OVM (napr. rôzne potvrdenia, odpisy, výpisy), ale bude postačovať deklarácia z akého registra/evidencie boli údaje získané a referencia umožňujúca v tejto originálnej evidencii príslušné údaje dohľadať. 1x a dosť na žiadosť používateľa - Stále množstvo osobitných predpisov obsahuje ustanovenia, podľa ktorých má účastník konania predložiť určité dokumenty vydávané inými OVM, alebo dokladovať údaje, ktoré sú vedené v evidencii iného OVM. Vtedy spravidla konajúci OVM neumožní použiť inštitút 1x a dosť, na základe aplikácia pravidla, podľa ktorého požiadavka lex specialis má prednosť. Navrhujeme teda rozšíriť inštitút 1x a dosť tak, aby pokrýval aj túto situáciu. V takomto prípade bude môcť účastník konania preniesť povinnosť získať príslušný dokument alebo údaje na konajúci OVM. Má ísť teda o nové právo účastníka konania, ktorého využitie musí tento výslovne a slobodne deklarovať, a to napríklad aj v rámci právneho aktu, ktorého takéto dokumenty, alebo údaje majú byť súčasťou, čo technicky môže byť zabezpečené voliteľnou možnosťou v príslušnom elektronickom formulári tohto podania. Pripomíname, že ak príprava podania prebieha elektronicky na špecializovanom portáli OVM, je spravidla možné a vhodné ešte pred autorizáciou podania automatizovane vyhodnotiť, či určité povinne vyžadované dokumenty alebo údaje sú súčasťou podania (najmä ako príloha) a v prípade ak tomu tak nie je, aktívne používateľovi odporučiť možnosť využitia inštitútu 1x a dosť na žiadosť. Následne po obdržaní požiadavky na zaistenie výkonu 1x a dosť na žiadosť si konajúci OVM vyžiada príslušné dokumenty a údaje od iného OVM. Máme za to, že súčasná právna úprava §17 ods.6 pokrýva aj povinnosť tohto iného OVM dožiadané dokumenty a údaje bezodplatne a bezodkladne poskytnúť na účel príslušného konania. Rovnaký princíp je zakotvený aj v Nariadení EÚ č.1024/2012 o zriadení JDB, najmä v čl.14 a 15, viď. napr. bod 14.7: “Príslušné orgány … na výslovnú slobodnú, konkrétnu, informovanú a jednoznačnú žiadosť dotknutého používateľa prostredníctvom technického systému požiadajú o dôkazy priamo príslušné orgány, ktoré vydávajú dôkazy v iných členských štátoch. Vydávajúce príslušné orgány … sprístupňujú takéto dôkazy prostredníctvom toho istého systému …”. --- Moje údaje: Koncept Moje údaje má systematicky ustanoviť nasledovné práva fyzických a právnických osôb: - právo na prístup k údajom, ktoré sa osoby týkajú - právo byť notifikovaný o zmenách v údajoch ktoré sa osoby týkajú - právo vedieť kto, kedy a za akým účelom použil údaje, ktoré sa osoby týkajú - právo na prístup k údajom o stave a detailoch prebiehajúcich konaní pred OVM, ktoré sa osoby týkajú - právo byť notifikovaný o zmenách v prebiehajúcich konaniach pred OVM, ktoré sa osoby týkajú Uvedené práva majú byť vykonateľné prostredníctvom listinnej aj elektronickej komunikácie, pri elektronickej komunikácii aj pomocou automatizovaného strojového spracovania (OpenAPI). Uvedené práva majú byť zavedené ako plošné pre celú verejnú správu. Výkon práv v rámci konceptu Moje údaje v žiadnom prípade nemá byť zúžený na iba prostredníctvom určitého centrálneho informačného systému, a taktiež ani zaistenie výkonu povinností OVM súvisiacich s realizáciou konceptu Moje údaje nemá byť viazané na určitý IS. Koncept Moje údaje je potrebné zaviesť do života tak na úrovni všeobecných právnych inštitútov, ako aj konkrétnou úpravou osobitných právnych predpisov tam, kde je to na realizáciu konceptu Moje údaje potrebné. Očakávame, že bude potrebné vykonať detailné zmeny v množstve osobitných právnych predpisov obdobne, ako to bolo potrebné pre reálne zavedenie do praxe konceptu 1x a dosť. Koncept Moje údaje považujeme za absolútne v súlade so zásadami ochrany súkromia fyzických osôb, keďže nezakladajú spracovanie žiadnych nových osobných údajov, ani oprávnenie na sprístupňovanie, poskytovanie alebo zverejňovanie osobných údajov iným osobám, ako ktorých sa údaje týkajú. Naopak, koncept Moje údaje posilňuje a rozvíja práva fyzických osôb vo vzťahu k spracovaniu ich sa týkajúcich údajov. --- Otvorené údaje: Keďže téma otvorených údajov patrí do gescie MIRRI, a taktiež vecne súvisí s deklarovaným zámerom pripravovaného Zákona o údajoch, považujeme za potrebné úpravu týkajúcu sa opakovaného použitia údajov preniesť zo zákona č.211/2000 do tohto zákona a povinnosti týkajúce sa transpozície smerníc EÚ o opakovanom použití údajov na MIRRI. Vzhľadom na žalostné výsledky SR v tejto oblasti - viď. posledné miesto v EÚ v príslušnom indikátore DESI 2022 - žiadame aj vytvoriť povinnosti a realizovať aktivity nad rámec daný smernicami EÚ, a to najmä v oblasti prioritných údajov. Tam, kde je to potrebné, žiadame vykonať aj úpravu osobitných predpisov s cieľom umožniť zverejnenie údajov spôsobom vhodným na automatizované spracovanie podľa pravidiel otvorených údajov. Očakávame, že bude potrebné vykonať detailné zmeny v množstve osobitných právnych predpisov. --- Referenčné údaje: Pre zaistenie napĺňania cieľov v oblasti referenčných údajov považujeme za potrebné rozpracovať a ukotviť aj nasledovné koncepty: Identifikátor fyzickej osoby pre účely G2G - určenie identifikátora fyzickej osoby a jeho systematické zavedenie do osobitných predpisov. Keďže všeobecne použiteľný identifikátor (rodné číslo) na tento účel nie je vhodný z dôvodu ochrany osobných údajov, jeho absenciu pre cudzincov a stále neodstránené prípady nespoľahlivosti, vhodné je použiť na tento účel identifikátor na účely medzisystémovej identifikácie. Evidovanie identifikátora pre stotožnené OE - Pre každý objekt evidencie stotožnený s referenčnými údajmi je registrátor registra, v ktorom sa tento OE eviduje, oprávnený a povinný evidovať aj ich identifikátor podľa referenčných údajov za účelom spoľahlivého a automatizovaného prepojenia informačných systémov verejnej správy. Na umožnenie splnenia tejto povinnosti je potrebné sprístupniť vyhľadávacie služby referenčných registrov, ktoré umožnia podľa zadaných údajov nájdenie príslušného objektu evidencie a jeho identifikátora. Obmedzenie povinnosti referencovania a stotožnenia - Napriek povinnosti správcov registrov referencovať údaje a stotožniť ich s referenčnými do jedného roka od ustanovenia registra za referenčný, viď. §52 ods.1 a §54a ods.2 z.č.205/2013, pre značnú časť registrov táto povinnosť nie je splnená pre už dávnejšie vyhlásené referenčné údaje . Špecifickou situáciou sú prípady, kedy ide o “historické” údaje v registroch, t.j. údaje, ktoré v minulosti boli do registra zapísané, avšak v súčasnosti nie sú aktívne používané na výkon verejnej moci, zverejňované, ani sprístupňované iným OVM na tento účel. Pritom práve vykonanie referencovania a stotožnenia takýchto historických údajov je spravidla mimoriadne náročná. Preto považujeme za účelné vypustiť povinnosť referencovať a stotožňovať historické údaje. Samozrejme možnosť tieto aktivity vykonať pre OVM zostáva a má byť podporená všade tam, kde je to účelné. Stotožnenie údajov pri ich vstupe - Stotožnenie údajov s referenčnými je kľúčové pre umožnenie ich rýchleho a bezchybného ďalšieho používania. V súčasnosti platí podľa §52 ods.7 z.č.305/2013 povinnosť pri “zisťovaní, alebo preukazovaní” referencovať referenčné údaje, navrhujeme túto povinnosť rozšíriť tak, aby stotožnenie bolo vykonané povinne už pri vstupe údajov. Uvedomujeme si, že vykonať stotožnenie môže byť náročné, najmä ak na vstupe sú nejednoznačné, alebo chybné údaje, avšak de-facto počas používania týchto údajov raz je tento krok potrebné aj tak vykonať a práve pri vstupe údajov je spravidla na to najväčší priestor. Ako príklad môžu poslúžiť údaje o fyzickej osobe, ktorá je účastníkom konania - najneskôr pri zasielaní EÚD je potrebné ju jednoznačne priradiť k elektronickej schránke, t.j. prakticky zaistiť jej stotožnenie. Zároveň aby sa vyhlo neprimeranému zaťaženiu OVM navrhujeme výnimku z povinnosti stotožniť údaje v prípade, ak nie je v rámci účelu ich evidencie potrebná jednoznačná identifikácia príslušného objektu evidencie. Zaistenie vykonateľnosti automatických opráv a zmien - Požiadavka podľa §52 ods.6 z.č.305/2013 na “automatické opravenie” údajov a podľa §52 ods.7 posledná veta “automatické zmeny” údajov, v absolútnej väčšine prípadov nie je vykonaná, pričom ako dôvod sú najčastejšie uvádzané požiadavky osobitných predpisov. Táto operácia je pritom jedna z kľúčových a bez jej vykonania je prínos z referencovania údajov zásadne znížený. Preto je nevyhnutné vykonať opatrenia pomocou ktorých sa uvedené prekážky odstránia, vrátane úpravy osobitných predpisov spôsobom ako bol použitý pri zavádzaní povinnosti 1x a dosť v z.177/2018. Podpora použitia RFO, RPO a RA - Údaje v registroch v súčasnosti stále v mnohých prípadoch nie sú referencované voči a stotožňované s údajmi RFO a RPO. Register adries skoro žiadna OVM v súčasnosti nepoužíva na referencovanie údajov a stotožňovanie údajov s RA, najmä priradenie identifikátora podľa referenčného registra, nevykonáva prakticky žiadna OVM. V oblasti referenčných údajov považujeme za prioritnú úlohu prijať účinné opatrenia, ktoré umožnia správcom registrov zaviesť do praxe referencovanie a stotožňovanie údajov s RFO, RPO a RA, ktoré sú najdôležitejšími referenčnými registrami. Prístup k referenčným údajom pre malé OVM - Menšie OVM prakticky nemajú prístup k údajom referenčných registrov, a tak nemôžu vykonávať referencovanie a stotožňovanie údajov. Považujeme za nevyhnutné zabezpečiť vytvorenie jednoducho použiteľných nástrojov na prístup k referenčným registrom pre všetky OVM. Podľa §52 ods.5 z.č.305/2013 sa má referencovanie vykonávať automatizovane, vzhľadom na skutočnosť, že v niektorých prípadoch to nie je efektívne odporúčame zmeniť túto povinnosť na “prednostne automatizovane”. Indikácia stotožnených údajov pri komunikácii G2G - Pri výmene údajov medzi OVM je vhodné indikovať, ktoré z prenášaných údajov už sú stotožnené s referenčnými údajmi. Na tento účel už existuje štandardizované riešenie založené na prenose jednotného referencovateľného identifikátora podľa §32 písm.g) štandardov pre ITVS. Zároveň ak OVM prijme už stotožnené údaje, odporúčame pre túto situáciu vytvoriť výnimku z povinnosti opätovného stotožňovania. Vada podania pri nesprávnom uvedení identifikačných údajov - Viaceré OVM deklarovali, že veľkým problémom pri automatizácii spracovania podaní sú chyby v podaniach, špecificky chyby v identifikačných údajoch, t.j. tam, kde sa v podaní iba identifikujú určité objekty, ktoré samotné sú predmetom evidencie tohto, alebo iných OVM. Preto navrhujeme zvážiť prijatie všeobecnej zásady, kedy podania v štruktúrovanej podobe, ak nie je možné automatizovane priradiť určené objekty evidencie na základe identifikačných údajov v podaní uvedených, môže OVM považovať za podania obsahujúce vadu. Vypustiť definíciu identifikátorov zo zákona č.305/2013 - Fyzické osoby sú evidované v Registri fyzických osôb (RFO) a právnické osoby sú evidované v Registri právnických osôb (RPO). V oboch týchto registroch sú aj zavedené identifikátory osôb. Pre fyzické osoby aj právnické osoby existujú registre, v ktorých sú evidované a v týchto registroch sú aj zavedené identifikátory. V RPO sú evidované aj orgány verejnej moci a zapísané organizačné zložky, viď. zákon č.272/2015 §2 ods.2. Časť údajov z týchto registrov, vrátane identifikátorov, je už dávnejšie vyhlásená za referenčné údaje, a takto sú všetky OVM povinné ich používať. Prakticky tak odlišná definícia identifikátorov osôv v ZoEG je v súčasnosti už iba mätúca a zbytočná. RPO a RFO zároveň obsahujú procesy pre evidovanie aj zahraničných FO a PO, vrátane určenia identifikátora použiteľného pre účely komunikácie medzi OVM. Na základe toho navrhujeme vypustiť zo ZoEG definície identifikátorov. Identifikátory používané v rámci ÚPVS je vhodné zosúladiť s identifikátormi podľa referenčných údajov, vo vhodnom časovom rámci. Vypustenie špecifickej povinnosti identifikácie osoby - Vypustiť povinnosť identifikácie osoby podľa identifikátora v zmysle ZoEG a povinnosť transformácie identifikátorov ak používajú OVM vlastný, t.j. vypustiť §20 z.č.305/2013. Kľúčová povinnosť v tejto oblasti je vyžadovanie autentifikácie pri prístupe k IS, prostriedkom a údajom prístupového miesta podľa §19 ods.8. Identita osoby sa preukazuje a jej vyjadrenie sa zriaďuje v rámci registračnej fázy zriaďovania autentifikácie. Preto špecifické ustanovenie týkajúce sa preukazovania identity nie sú potrebné. Zároveň mnohé OVM používajú na prístup k niektorým svojim ISVS alebo online službám autentifikačné schémy, v ktorých nie je nevyhnutná spoľahlivá identifikácia osoby, t.j. ani preukazovanie identity podľa referenčných registrov, postačuje napr. identifikácia “používateľského účtu” pomocou adresy schránky elektronickej pošty, ktorou disponuje používateľ. Podobne aj pre identifikáciu v úrovni zabezpečenia “nízka” podľa nariadenia eIDAS stanovené požiadavky umožňujú takýto postup. --- Taktiež považujeme za potrebné rozpracovať koncept oficiálnych údajov na webe - V súčasnosti je zaužívaný úzus, že údaje prezentované na webových stránkach OVM sú “iba na informatívne účely”, pokiaľ nie sú autorizované v zmysle ZoEG. Stále však pribúdajú situácie, kedy je tento stav nepraktický a OVM by mali záujem vedieť prezentovať na webe “oficiálne” údaje. Odporúčame pre túto možnosť vytvoriť jednotnú legislatívnu podporu. V súčasnosti sme neidentifikovali špecifické potreby upraviť práva, povinnosti, vzťahy a procesy súvisiace so zdieľaním údajov mimo verejnej správy nad rámec už existujúcich osobitných predpisov. Pre všetky koncepty týkajúce sa riadenia a správy údajov považujeme za potrebné vytvoriť silný rámec ich kontroly zabezpečovanej MIRRI, sankcií za porušovanie povinností OVM a možnosť vykonávať výklad zákona - obdobne ako sú tieto upravené pre oblasť správy ITVS v zákone č.95/2019. | Odoslaná | Detail |
