440

OPATRENIE

Štatistického úradu Slovenskej republiky

z 13. decembra 2019,

ktorým sa ustanovujú podrobnosti o technickom zabezpečení poskytovania údajov z administratívnych zdrojov

Štatistický úrad Slovenskej republiky (ďalej len „úrad“) podľa § 23 ods. 1 zákona č. 223/2019 Z. z. o sčítaní obyvateľov, domov a bytov v roku 2021 a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) ustanovuje:


§ 1

Elektronické prostriedky na poskytovanie údajov z administratívnych zdrojov

(1) Elektronickými prostriedkami sú na účely tohto opatrenia elektronické nástroje a elektronické zariadenia podľa odseku 2 alebo podľa odseku 3, ktorými disponuje subjekt verejnej správy a osoba, ktorá je správcom alebo prevádzkovateľom informačného systému verejnej správy (ďalej len „správca administratívneho zdroja“), a ktoré umožňujú prenos, prijímanie, digitálnu kompresiu, uchovávanie a ďalšie spracovanie údajov, informácií, metaúdajov, ukazovateľov o obyvateľovi vrátane rodného čísla obyvateľa použitého úradom pre integráciu údajov z informačných systémov verejnej správy a z iných administratívnych zdrojov, ktoré spravujú alebo prevádzkujú (ďalej len „údaje z administratívnych zdrojov“), poskytnutých úradu na základe jeho žiadosti podľa § 21 ods. 1 zákona (ďalej len „žiadosť“) v rámci sčítania obyvateľov, domov a bytov v roku 2021 (ďalej len „sčítanie“) a postcenzu podľa § 20 ods. 1 písm. c) zákona.

(2) Údaje z administratívnych zdrojov sa poskytujú úradu priamou integráciou, ktorou sa na účely tohto opatrenia rozumie prenos

a) údajov z administratívnych zdrojov prostredníctvom informačného systému Centrálnej správy referenčných údajov, modulu procesnej integrácie a integrácie údajov alebo

b) zabezpečených elektronických správ medzi úradom a správcom administratívneho zdroja prostredníctvom webových služieb Representational State Transfer (REST), Simple Object Access Protocol (SOAP) minimálne vo verzii 1.2 alebo REST, s implementáciou kryptografického protokolu Transport Layer Security (TLS) so zabezpečením prístupových práv.

(3) Údaje z administratívnych zdrojov možno poskytovať úradu aj nepriamou integráciou, ktorou sa na účely tohto opatrenia rozumie prenos súborov prostredníctvom

a) externých pamäťových médií USB, CD alebo DVD alebo

b) počítačovej siete pomocou Secure File Transfer Protocol (SFTP).

(4) Súbory prenášané nepriamou integráciou musia mať formát podľa štandardov platných pre informačné systémy verejnej správy.1) Súbory obsahujúce údaje z administratívnych zdrojov Úradu geodézie, kartografie a katastra Slovenskej republiky prenášané nepriamou integráciou môžu mať formát ESRI File Geodatabase (.gdb).

§ 2

Dohoda o podmienkach technického zabezpečenia poskytovania údajov z administratívnych zdrojov

(1) Dohoda podľa § 23 ods. 2 zákona obsahuje

a) používaný elektronický prostriedok,

b) štruktúru poskytovaných údajov z administratívnych zdrojov,

c) termíny alebo časové intervaly poskytovania údajov z administratívnych zdrojov podľa žiadosti,

d) presne určený formát požadovaných údajov z administratívnych zdrojov, napríklad pri použití formátu Extensible Markup Language (XML) sa vytvoria detailné schémy XML Schema Definition (.xsd),

e) určenie kontaktných osôb za úrad a za správcu administratívneho zdroja.

(2) Pri poskytovaní údajov z administratívnych zdrojov priamou integráciou dohoda podľa odseku 1 obsahuje

a) dohodu o integračnom zámere a

b) dohodu o úrovni poskytovaných služieb a manažmente zmien (SLA).

(3) Pri poskytovaní údajov z administratívnych zdrojov priamou integráciou podľa § 1 ods. 2 písm. b) je účastníkom dohody o integračnom zámere aj správca informačného systému Centrálnej správy referenčných údajov, modulu procesnej integrácie a integrácie údajov.

(4) Dohoda podľa odseku 2 písm. a) obsahuje

a) požadovanú dokumentáciu, najmä integračný manuál,

b) spôsob monitorovania rozhraní (Heart Beat alebo Ready to serve),

c) rozsah integrácie vrátane definície služieb požadovaných jednotlivými stranami,

d) operácie služieb,

e) komunikačný plán, najmä rozdelenie zodpovedností, definovanie rolí a ich pridelenie konkrétnym osobám projektového tímu za úrad a za správcu administratívneho zdroja,

f) komunikačné procesy,

g) harmonogram pripojenia, testovania a prechodu na produkčnú prevádzku, ak ide o nové pripojenie,

h) nevyhnutné podmienky na realizáciu prepojení.

(5) Dohoda podľa odseku 2 písm. b) obsahuje

a) spôsob a čas dostupnosti kontaktných osôb,

b) dostupnosť produkčných rozhraní (maximálne ročné výpadky),

c) dostupnosť testovacích rozhraní, pričom testovacie rozhrania musia byť technicky zhodné s produkčnými rozhraniami,

d) spôsob oznamovania odstávok,

e) spôsob oznamovania kvalitatívnych zmien softvéru (upgradov), opráv (fixov) a plánovaných prechodov na iné verzie,

f) spôsob upozornení na skutočnosti, ktoré by mohli ovplyvniť prevádzku administratívneho zdroja.

(6) Pri poskytovaní údajov z administratívnych zdrojov nepriamou integráciou dohoda podľa odseku 1 obsahuje aj určenie používaných externých pamäťových médií a určenie povinnosti kryptologicky chrániť poskytované údaje z administratívnych zdrojov počas ich prenosu a likvidácie.

(7) V dohode podľa odseku 1 možno určiť viacero kryptologicky zabezpečených elektronických prostriedkov, ktorých prostredníctvom bude správca administratívneho zdroja poskytovať údaje z administratívnych zdrojov, ak je používaný elektronický prostriedok dočasne nefunkčný, kapacitne nepostačujúci alebo ho nemožno z objektívnych dôvodov ďalej používať.

(8) Ak dohodnutý elektronický prostriedok nemožno počas sčítania z objektívnych dôvodov ďalej používať a nebolo dohodnuté používanie viacerých elektronických prostriedkov podľa odseku 7, uzavrie sa k dohode podľa odseku 1 dodatok, ktorým sa určí jeden elektronický prostriedok alebo viac elektronických prostriedkov.

§ 3

Podmienky použitia elektronických prostriedkov správcu administratívneho zdroja

(1) Pri poskytovaní údajov z administratívnych zdrojov nepriamou integráciou správca administratívneho zdroja zabezpečí, aby prenášané súbory boli

a) v čase doručenia nepoškodené a čitateľné,

b) pri umiestnení na externom pamäťovom médiu vždy kryptologicky chránené.

(2) Pri poskytnutí informácie úradu potrebnej na dešifrovanie zasielaných údajov z administratívnych zdrojov sa musí použiť zásadne rozdielny spôsob a forma doručenia, ako bola použitá na poskytnutie údajov z administratívnych zdrojov.

(3) Údaje z administratívnych zdrojov poskytnuté elektronickými prostriedkami úrad ukladá a spracúva buď do vládneho cloudu, alebo na vlastný server.

(4) Externé pamäťové médiá, na ktorých sa úradu poskytli údaje z administratívnych zdrojov, sa po spracovaní všetkých výsledkov zo sčítania najneskôr 31. decembra 2024 fyzicky zničia alebo bezpečne neobnoviteľne vymažú, o čom sa vyhotoví písomný záznam.

(5) Údaje z administratívnych zdrojov, ktoré sa zasielajú správcom administratívneho zdroja na SFTP server úradu alebo ktoré sú preberané úradom zo SFTP servera správcu administratívneho zdroja pomocou Secure File Transfer Protocol (SFTP) so zabezpečením prístupových práv, sa stiahnu po kontrole na server úradu do 48 hodín od ich uloženia a následne sa bezodkladne zo SFTP servera bezpečne vymažú v súlade s technickými bezpečnostnými opatreniami prijatými úradom podľa § 4 ods. 3, o čom sa vyhotoví písomný záznam.

(6) Ak sa zasielajú alebo preberajú údaje z administratívnych zdrojov pomocou Secure File Transfer Protocol (SFTP), pri prvotnom pripojení na SFTP server sa zabezpečí verifikácia odtlačku jeho verejného kľúča porovnaním s odtlačkom verejného kľúča, ktorý druhá strana vopred bezpečným spôsobom doručila.

(7) Údaje z administratívnych zdrojov poskytnuté priamou integráciou sa spracujú vlastnými elektronickými prostriedkami úradu v závislosti od dohodnutého elektronického prostriedku.

§ 4

Bezpečnosť informačných systémov

(1) Bezpečnosť všetkých informačných systémov úradu, v ktorých sa spracúvajú údaje z administratívnych zdrojov vrátane ich prenosu, prijímania, digitálnej kompresie a uchovávania v súlade s osobitnými predpismi2), sa zaistí kombináciou primeraných organizačných, personálnych, fyzických, technických a metodických bezpečnostných opatrení s ohľadom na možné riziká.

(2) Pri určovaní klasifikačných stupňov informácií podľa osobitných predpisov3) pochádzajúcich z administratívnych zdrojov sa zohľadňuje ich pôvodný klasifikačný stupeň v zdrojovom systéme tak, že novourčený klasifikačný stupeň je rovný alebo vyšší v porovnaní s pôvodne určeným klasifikačným stupňom.

(3) Opatrenia podľa odseku 1 sa prijímajú v rámci schválenej politiky kybernetickej a informačnej bezpečnosti úradu a v rámci zmlúv s dodávateľmi a subdodávateľmi informačných systémov vytvorených a prevádzkovaných na účel prípravy a realizácie sčítania.

(4) Správcovia administratívnych zdrojov sú oboznamovaní s prijatými opatreniami podľa odseku 1 v rámci výkonu ich oprávnenia podľa § 22 ods. 3 zákona.

§ 5

Prechodné ustanovenia

(1) Úrad a správca administratívneho zdroja uzavrú bezodkladne po nadobudnutí účinnosti tohto opatrenia dodatok k dohode uzavretej do 31. augusta 2019, ktorej predmetom je technické zabezpečenie poskytovania údajov z administratívnych zdrojov na účely sčítania podľa § 39 ods. 2 zákona, alebo uzavrú novú dohodu, ak dohoda uzavretá do 31. augusta 2019 nespĺňa náležitosti podľa § 2 v závislosti od dohodnutého elektronického prostriedku.

(2) Úrad a správca administratívneho zdroja uzavrú bezodkladne po odpadnutí technických prekážok použitia elektronických prostriedkov priamej integrácie podľa § 1 ods. 2 do 31. decembra 2021 dohodu o podmienkach technického zabezpečenia poskytovania údajov z administratívnych zdrojov, v ktorej určia za elektronický prostriedok niektorý z elektronických prostriedkov podľa § 1 ods. 2. Správca administratívneho zdroja môže poskytovať úradu údaje z administratívnych zdrojov určené v žiadosti od 1. januára 2022 elektronickým prostriedkom nepriamej integrácie podľa § 1 ods. 3, len ak dohodnutý elektronický prostriedok podľa § 1 ods. 2 je dočasne nefunkčný alebo ho nemožno z objektívnych dôvodov naďalej používať. Úrad a správca administratívneho zdroja sa vzájomne a včas písomne informujú o odpadnutí technických prekážok použitia elektronických prostriedkov priamej integrácie na účel dosiahnutia dohody o podmienkach technického zabezpečenia poskytovania údajov z administratívnych zdrojov.


§ 6

Účinnosť

Toto opatrenie nadobúda účinnosť 1. januára 2020.


Alexander Ballek v. r.

Poznámky pod čiarou

1) § 24 zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

2) Čl. 20 až 26 nariadenia Európskeho parlamentu a Rady (ES) č. 223/2009 z 11. marca 2009 o európskej štatistike a o zrušení nariadenia (ES, Euratom) č. 1101/2008 o prenose dôverných štatistických údajov Štatistickému úradu Európskych spoločenstiev, nariadenia Rady (ES) č. 322/97 o štatistike Spoločenstva a rozhodnutia Rady 89/382/EHS, Euratom o založení Výboru pre štatistické programy Európskych spoločenstiev (Ú. v. EÚ L 87, 31. 3. 2009) v platnom znení.
Čl. 24 ods. 2 a čl. 28 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4. 5. 2016).
§ 29 až 30a zákona č. 540/2001 Z. z. o štátnej štatistike v znení neskorších predpisov.
§ 31 a 34 zákona č. 18/2018 Z. z. ochrane osobných údajov a o zmene a doplnení niektorých zákonov
§ 10 ods. 1 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.
§ 18 zákona č. 95/2019 Z. z.

3) § 20 ods. 2 zákona č. 69/2018 Z. z.
§ 11 ods. 4 zákona č. 95/2019 Z. z.