Otázky a odpovědi

verze 1.0 z 29/9/2022

1. Je hosting, resp. housing aplikace (software) cloud computingem ve smyslu zákona č. 365/2000 Sb. a musí být poskytovatel a jeho služby být zapsány v katalogu cloud computingu?
 
2. Jsme město, které zajišťuje provoz námi nakoupených licencí SW na platformě externího poskytovatele, a to i pro naše přímo zřízené organizace. Jedná se o cloud computing ve smyslu Zákona a musíme být zapsáni v katalogu cloud computingu jako poskytovatelé?
 
3. Máme nakoupené softwarové licence. Můžeme takto zakoupený software provozovat pomocí služeb cloud computingu?

1. Je hosting, resp. housing aplikace (software) cloud computingem ve smyslu zákona č. 365/2000 Sb. a musí být poskytovatel a jeho služby být zapsány v katalogu cloud computingu?

Na Ministerstvo vnitra ČR došla v poslední době řada dotazů, zda se ustanovení zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů (dále jen „Zákon“), týkají tzv. „hostingu“ a „housingu“ informačního systému veřejné správy (dále jen „ISVS“), nebo zda Hlava VI Zákona se hostingem, resp. housingem^[1] provozovaných ISVS netýká.

Odpověď:

Definice^[2] cloud computingu v Zákonu zní takto: „Cloud computingem je způsob zajištění provozu informačního systému veřejné správy nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy.“

Vyhláška č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu (dále jen „Vyhláška“) pak dále cloud computing rozděluje do tří tříd (viz obrázek): „Třídou cloud computingu je cloud computing ve formě infrastruktury (IaaS), cloud computing ve formě platformy (PaaS) a cloud computing ve formě aplikačního programového vybavení (SaaS).“

Dalším možným přístupem k odlišení „on premise“ a „cloud computingu“ (kromě odlišení založeném na sdílení HW a SW prostředků poskytovatele) je odlišení podle přístupu ke zpracovávaným údajům:

Za komponenty ISVS, provozované v režimu „on premise“, považujeme takové komponenty, při jejichž provozu za účelem dosažení zákonného cíle nedochází ke zveřejnění zpracovávaných údajů, ani umožnění přístupu k těmto údajům, třetím stranám, pokud toto zveřejnění nevyžaduje přímo dosahovaný cíl, přičemž tuto skutečnost odpovědný správce ISVS je schopen doložit, monitorovat a rozhodovat o ní.

Za komponenty ISVS, provozované v režimu „cloud computing“, považujeme takové komponenty, u kterých správce ISVS nemůže samostatně rozhodovat, zda dojde ke zveřejnění zpracovávaných údajů, nebo umožnění přístupu k těmto údajům, a to na základě jejich smluvního poskytnutí třetím stranám v míře vyšší než vyžaduje naplnění přímo dosahovaného cíle, například kvůli poskytnut jejich údržby, rozvoje nebo sdílení.

Z výše uvedeného vyplývá:

1. pronajme-li si zákazník dedikované technické prostředky (tzn. prostředky sloužící výhradně tomuto zákazníkovi) umístěné v datovém centru poskytovatele (servery. disková pole atd.) a přístup k těmto prostředkům se realizuje privátním síťovým připojením, pak se jedná o využití klasického outsourcingu. Nejedná se tedy o cloud computing,
2. pronajme-li si zákazník službu sdílené infrastruktury (servery, disková pole atd.) a na ní umístí svůj platformní software (operační systém, databázový systém apod.) a na něm provozuje svůj ISVS, pak se jedná o cloud computing (třída IaaS),
3. pronajme-li si zákazník službu sdílené platformy (tj. hardwarové zdroje, vývojové, integrační a provozní prostředí aplikací (tj. včetně operačního systému, databázového systému, middleware apod.) a na ní provozuje svůj ISVS, pak se jedná o cloud computing (třída PaaS),
4. pronajme-li si zákazník službu sdílené aplikace (např. e-mail, spisovou službu, ERP, HR), tj. pronajatá aplikace realizuje ISVS, pak se jedná o cloud computing (třída SaaS).

V druhém až čtvrtém případě musí být poskytovatel cloud computingu a jeho služby zapsány v katalogu cloud computingu tak, jak stanoví Hlava VI Zákona. (Zápis poskytovatele a jeho služeb je dle zákona obligatorní podmínkou toho, aby orgán veřejné správy mohl tyto služby využívat.

Pojmy „hosting“ ani „housing“ Zákon ani Vyhláška nedefinují.

V oblasti IT se pojem „hosting“ obvykle používá pro situaci^[3], kdy zákazník uloží svoji aplikaci a data (např. web, tzv. “webhosting“) na platformu poskytovatele, která je sdílitelná více zákazníky, a sám si aplikaci spravuje (např. upravuje stránky webu pomocí redakčního systému, který je součástí platformy). V tomto případě je „hosting“ cloud computingem ve smyslu Zákona (třída PaaS).

Pojem „housing“ se obvykle používá pro situaci^[4], kdy zákazník přemístí IT technologie, které má ve svém vlastnictví (servery, disková pole apod.), do datového centra poskytovatele a sám si je dále prostřednictvím dálkového přístupu spravuje, tj. sám si spravuje vlastní vyhrazený a s dalšími organizacemi nesdílený hardware, základní software, aplikace a realizuje dohled nad takto realizovaným informačním systémem. V tomto případě se o cloud computing nejedná a ustanovení Hlavy VI se na takto provozovaný ISVS nevztahují.

Někteří poskytovatelé ale pojmy hosting a housing definují odlišně. Proto zákazník (orgán veřejné správy) musí vyhodnotit charakteristiky používané služby, a potom teprve rozhodnout, zda se jedná o cloud computing ve smyslu Zákona. Důležité je při hodnocení používané služby zohlednit všechny součásti provozovaného IT, tedy včetně služeb správy sítí, dohledu a monitoringu nebo jiných sdílených služeb, které může poskytovatel housingu do nabídky zahrnout.

Pro podrobnější vyjasnění dále uvádíme příklady částí smluv, které jsou uloženy v Registru smluv.

Příklad 1:

Zhotovitel bude Objednateli poskytovat hosting (tj. umožnění umístění na vzdálených serverech zajištěných Zhotovitelem, připojených k síti internet) pro online aplikaci xxx (dále jen „aplikace“).

Zhotovitel Objednateli zajišťuje:

• provoz aplikace
• zálohování dat
• monitorování serverů
• prostor pro statická data Objednatele o maximální velikosti 2 GB.

Odpověď: V tomto případě, se může jednat o tři různé situace:

1. je-li aplikace provozovaná na serverech a diskových polích, které jsou dedikovány pouze pro tohoto jediného zákazníka a nejsou ani nemohou být sdíleny více zákazníky, nejedná se tedy o cloud computing,
2. jsou-li servery sdílené více zákazníky a daná aplikace je v majetku a správě zákazníka, pak se jedná se o cloud computing třídy IaaS/PaaS. Poskytovatel a jeho služby IaaS/PaaS musí být zapsány v katalogu cloud computingu,
3. je-li i aplikace sdílená více zákazníky a spravuje ji poskytovatel, pak se jedná se o cloud computing třídy SaaS. Poskytovatel a jeho služba SaaS musí být zapsány v katalogu cloud computingu.

Příklad 2:

Předmětem smlouvy je poskytnutí nevýhradních užívacích práv k software dle uvedené specifikace. Softwarové produkty jsou autorskými díly, na něž se vztahují ustanovení autorského zákona. Uživatel získává právo užívat software v souladu se zněním této smlouvy a v uvedeném rozsahu, aniž by předmět smlouvy přešel do jeho vlastnictví.

V případě, že uživatel již využívá nebo se následně rozhodne pro hostingový způsob provozování software, dodavatel s ním uzavře v souladu s článkem 28, odstavec 3. Nařízení EU 2016/679 zpracovatelskou smlouvu, která bude specifikovat rozsah poskytovaných služeb a způsob jejich zpoplatnění v závislosti na objemu zpracovávaných dat.

Odpověď: V tomto případě se také může jednat o tři různé situace:

1. v případě, že uživatel provozuje předmětný software na své vlastní infrastruktuře (tuto variantu může zahrnovat situace popsaná v prvním odstavci), pak se o cloud computing nejedná,
2.  použije-li uživatel možnost uvedenou v druhém odstavci, pak se s vysokou pravděpodobností jedná o cloud computing třídy SaaS (zhotovitel zajišťuje provoz aplikace a zákazníkovi účtuje její používání podle objemu zpracovávaných dat; proto se s vysokou pravděpodobností jedná o sdílenou aplikaci). Poskytovatel a jeho služby musí být v tomto případě zapsány v katalogu cloud computingu,
3. v případě, že by aplikace byla provozována na platformě dedikované jen pro tohoto zákazníka, pak by se ani v druhém odstavci o cloud computing nejednalo. Avšak zmínka o roli dodavatele jako „zpracovatele“ podle nařízení GDPR a dále návrh zpoplatnění služby v závislosti na objemu zpracovávaných dat naznačují, že dodavatel bude zajišťovat správu a provoz aplikace s možností využití sdílené infrastruktury, což by pak vedlo k uplatnění pravidel pro využívání cloud computingu. Zadavatel musí takovou nabídku důkladně prověřit za účelem správného vyhodnocení rizik provozu daného ISVS.
    
    

2. Jsme město, které zajišťuje provoz námi nakoupených licencí SW na platformě externího poskytovatele, a to i pro naše přímo zřízené organizace. Jedná se o cloud computing ve smyslu Zákona a musíme být zapsáni v katalogu cloud computingu jako poskytovatelé?

Odpověď:

Otázce rozumíme takto: OVM (kraj nebo město), zajišťuje provoz svého ISVS tak, že vlastní licence SW provozuje v cloudu. Tento SW však OVM provozuje i pro své přímo zřizované organizace (ovládané osoby ve smyslu ZZVZ §11 a §189), řekněme Služby města. Služby města jsou jiným právním subjektem. Majitelem licencí i jeho provozovatelem stále zůstává město.

V tomto případě se jedná o cloud computing třídy SaaS, který musí splňovat požadavky Zákona specifikované v §6n, a to dle §6l (1), ale v katalogu cloud computingu musí být zapsán pouze poskytovatel platformy a jeho služby, na kterých je daný SW provozován. Město, resp. kraj v katalogu cloud computingu zapsaní být nemusí, protože se na ně vztahuje ustanovení zákona §6l odst. (1), písmeno b).

Město, resp. kraj a jeho služby cloud computingu ale v katalogu cloud computingu zapsány být musí v případě, že tyto služby poskytuje i jiným subjektům než ovládaným osobám ve smyslu ZZVZ §11 a §189.

 

3. Máme nakoupené softwarové licence. Můžeme takto zakoupený software provozovat pomocí služeb cloud computingu?

Odpověď:

Ano, možné to je. Zákazník přitom má dvě možnosti:

Zákazník si u poskytovatele cloud computingu pronajme službu(y) IaaS nebo PaaS (podle typu předmětného softwaru), které jsou nutné pro provoz dané aplikace. Na této platformě pak sám provozuje a spravuje aplikaci, na kterou si dříve zakoupil licenci. Tato aplikace je pak provozována v tzv. „single-tenant“ režimu, tj. v režimu využívání instance spuštěného licencovaného softwaru pouze pro daného zákazníka. V tomto případě nejsou předmětné softwarové licence cloudovými službami a není nutné je vést v katalogu cloud computingu.

Zákazník si u výrobce aplikace, ke které vlastní licenci, pronajme přístup k této aplikaci provozované jako služba (SaaS) externím dodavatelem. Tato aplikace je pak dodavatelem obvykle provozována v „multi-tenant“ režimu, tj. v režimu, kdy jedna aplikace obsluhuje více zákazníků. Navíc pak zákazník může obvykle uplatnit u poskytovatele slevu z cenových podmínek za poskytování aplikace formou služby (SaaS), která zohlední dříve nakoupené softwarové licence. Je však třeba vzít v úvahu, že cena poskytování aplikace formou služby (SaaS) zahrnuje též amortizaci a provozní náklady hardwaru v zabezpečeném datovém centru dodavatele, další související nadstandardní služby oproti provozu formou on-premise (např. zálohování, garance dostupnosti, zrcadlení v geograficky oddělených lokalitách atd.), a proto je její výpočet založen na jiných aspektech než prodej vlastní softwarové licence. V tomto případě jsou předmětné aplikace cloudovou službou kategorie SaaS, a tedy musí být registrovány v katalogu cloud computingu.

--------------------------------------------------------------------------------------------------------------------

[1] Pojmy „housing“ a „hosting“ jsou objasněny dále v textu odpovědi.

[2] V Souhrnné analytické zprávě projektu eGoverment cloud  je v kap. 4.1. uvedeno „IaaS služby (Infrastructure as a Service - Infrastruktura jako služba) je pronájmem/poskytováním virtuálních HW zdrojů. Samostatnou součástí IaaS služeb na nejnižší úrovni jsou služby housingu (pronájmu prostoru v datovém centru spolu s odběrem elektřiny a síťovou konektivitou) pro umístění vlastního HW - někdy hovoříme též o službách typu DCaaS (Data Center as a Service)“. Tento rozšířený výklad IaaS byl platnou novelou zákona ZoISVS opuštěn a nahrazen výkladem, který je uveden v této odpovědi.

[3] https://cs.wikipedia.org/wiki/Webhosting

[4] https://cs.wikipedia.org/wiki/Serverhosting#Housing_server%C5%AF

vytisknout  e-mailem  Twitter   Facebook