II. Fáza produkt

Reforma VS

Projekt mal napomôcť zásadnej zmene procesov vo verejnej správe v rámci konceptu “1x a dosť” a zvýšenia kontroly nad vlastnými údajmi subjektu pomocou služby My Data a pomocou riešení v tomto projekte malo dôjsť k principiálnemu otvoreniu prístupu k údajom subjektu (FO/PO) zo strany subjektov mimo verejnú správu SR. Projekt bol zasadený do konceptu reformného zámeru “Koncepčné budovanie digitálnej a inovatívnej VS” od ÚPVII (dnes MIRRI). Štúdia uskutočniteľnosti je založená na cieľoch a postupoch NKIVS časť Manažment údajov a výstupoch pre príslušnú strategickú prioritu informatizácie.

S ohľadom na projektom vykázané merateľné ukazovatele možno konštatovať, že došlo len k čiastkovému naplneniu reformných zámerov, keďže osun v prioritách “1x a dosť” a “životné situácia” je malý a posun v téme “moje údaje” nie je. Toto hodnotenie je založené najmä na tom, že v prípravných fázach projekt nastavil veľké očakávania, najmä menej jasným popisom, ale vysokými nákladmi.

Merateľné ciele (KPI)

Projekt sa pôvodne odvolával na merateľné ukazovatele definované v NKIVS, dokumente SP Manažment údajov a jemu príslušného reformného zámeru. Projekt však na začiatku podrobne riešil iba vybudovanie nových centrálnych komponentov a problematiku "manažment osobných údajov” (MOU) nedefinoval jasne, pričom neskôr (v realizačnej fáze) ešte pribudla silná závislosť MOU na projekte “Dátová integrácia”. A na konci projektu konštatujeme veľký nesúlad medzi deklarovanými a vykázanými ukazovateľmi, najma v kontexte MOU:

• časť merateľných ukazovateľov deklarovaná v štúdii uskutočniteľnosti: Ukazovatele “podiel dát o občanovi / podnikateľskom subjekte … 90% z evidovaných objektov evidencie” považujeme pre časť MOU za prioritné.

• ukazovatele zdokumentované v závere projektu: Zelenou farbou sme zvýraznili deklarované údaje či funkcionality, napr. “udelenie súhlasu” či “vizualizácia datasetu potvrdenia z evidencie uchádzačov o zamestnanie” a pod. Červenou farbou sme zvýraznili funkcionality, ktoré sú síce deklarované, ale verejnosti dostupné v čase ukončenia projektu neboli a k dnešku zrejme naďalej nie sú.

Pre časť “rozvoj platformy integrácie údajov” je zdokumentovaný príspevok k niektorým životným situáciám a niekoľko nových služieb.

Pre časť "manažment osobných údajov” je efektívne vykázané “nič”, keďže aplikácia síce existuje, ale verejnosť k nej nemá prístup. Ak aj opomenieme nedostupnosť aplikácie, tak aj tak nie je zrejmé, akú časť ukazovateľov “podiel dát o občanovi / podnikateľskom subjekte … 90% z evidovaných objektov evidencie” (z NKIVS) by projekt naplnil.

Je teda ťažké tieto merateľné ukazovatele zhodnotiť celkovo. Keďže sa však projekt v štúdii uskutočniteľnosti prihlásil k plneniu konkrétnych KPI z NKIVS a do projektu zahrnul aj “Zavedenie služby pre Manažment osobných údajov” a teda o.i. aj, že “na jednom mieste sa zabezpečí dostupnosť relevantných údajov každej fyzickej a právnickej osoby” (viď napr. aj článok na webe MIRRI), tak konštatujeme, že tieto ciele projekt nenaplnil a dávame redflag za časť merateľné ukazovatele.

Postup dosiahnutia cieľov

Úspech projektu bol silne závislý od spolupráce mnohých OVM už v čase prípravy. Na začiatku fázy realizácie ešte pribudla silná závislosť na projekte “Dátová integrácia”, žiaľ bez jasného vymedzenia “zodpovedností” (napr. tým, že by oba projekty zdokumentovali, aké dátové zdroje plánujú zabezpečiť a aké reálne zabezpečili). Zároveň nie je jasné, prečo časť “rozvoj platformy integrácie údajov” (CIP) bola spojená do jedného projektu s časťou "manažment osobných údajov” (MOU), keďže iné súvisiace projekty boli samostatné (napr. už spomenutý projekt “Dátová integrácia”) a aj dokumentácia z realizačnej fázy opakovane deklaruje, že tieto dva komponenty (CIP a MOU) síce súvisia, ale sú to separátne projekty.

Projekt už v úvodných fázach implementácie identifikoval riziko tzv. “prázdnej krabice” (t.j. nenaplnenie zmyslu MOU kvôli chýbajúcim rezortným vstupom). A riziku sa žiaľ nepodarilo predísť, keďže úloha “Získanie kľúčových datasetov do MOU” bola v závere projektu vyhodnotená ako nedokončená a aplikácia MOU je verejnosti nedostupná. V priebehu projektu tiež boli zdokumentované nedostatočné kapacity na strane MIRRI a nedostatočná súčinnosť OVM (napr. MV SR) či SKIT, čo zrejme s neúspechom v získavaní datasetov aj úzko súvisí. Dôverou nenapĺňa ani informácia, že pre projekt pracujúci s osobnými údajmi neboli riadne dokončené bezpečnostné aktivity a dokumentácia.

Celkovo teda postup dosiahnutia cieľov hodnotíme ako veľmi nedostatočný.

Súlad s KRIT (nie je zatiaľ vyhodnotený)

Súlad s KRIS zatiaľ nebol vyhodnotený.

Biznis prínos

Projekt mal napomôcť realizácii konceptu 1x a dosť, podporiť riadenie kvality údajov a ich G2G sprístupnenie. Túto časť hodnotíme tak, že v tomto smere projekt zlepšenie priniesol.

Projekt mal tiež napomôcť prístupnosti údajov subjektu pomocou služby My Data. Konštatujeme však, že časť "manažment osobných údajov” (resp. jej primárny výstup pre občanov vo forme “aplikácia MOU”) nie je dostupná a teda, že účel neplní. Rovnako nie je dostupný a neplní účel ani podporný “Web GDPR”. A teda najmä za časť "manažment osobných údajov” hodnotíme biznis prínos veľmi negatívne.

Príspevok v informatizácii

Realizácia cieľov tohto projektu (tak v časti “rozvoj platformy integrácie údajov” ako aj v časti "manažment osobných údajov”) je v zmysle NKIVS aj Akčného plánu jednou z najvyšších priorít informatizácie verejnej správy. Keďže však časti relevantné k My Data neboli uvedené do riadnej prevádzky, tak možno konštatovať len čiastkový príspevok pre priority NKIVS “1x a dosť” a “životné situácie”.

Kalkulácia efektívnosti

Celková cena za projekt (plánovaných viac ako 17M € a vynaložených viac ako 16M €) sa aj po dokončení projektu javí ako neodôvodnene vysoká:

Pre časť “rozvoj platformy integrácie údajov” bolo plánovaných 9M €. Vynaložená investícia je síce nižšia (8,3M €), keďže však ide iba o realizáciu centrálnych komponentov a väčšina deklarovaných cieľov už mala byť implementovaná projektom CSRÚ, tak náklady hodnotíme ako neodôvodnene vysoké. (ISVS CSRÚ historicky figuruje v mnohých projektoch programov OPIS a OPII. A keďže chýba napríklad podrobnejší zoznam toho, aké nové ISVS a aké nové údaje či datasety boli integrované práve v tomto projekte, tak sa nedá zhodnotiť prínos a efektívnosť práve tohto projektu.) V štúdii je tiež uvedený zámer dosiahnuť zníženie “prevádzkových nákladov [integrácií] približne o 20% a nákladov na prístup k údajom o 20%”. Dosiahnutie tohto prínosu v realizačnej fáze nie je zdokumentované.

Pre časť "manažment osobných údajov” bol plán investícií na úrovni 7,7M €, ktorý by bol aj uveriteľný, ak by predstavoval náklady na kompletnú implementácie plného centrálneho riešenia MyData, vrátane všetkých potrebných “nových” údajov. Reálne čerpanie bolo síce nižšie (6,2M €), ale v kontexte toho, že riešenie vlastne nefunguje a že svoju podstatnú časť presunulo na iný projekt (“Dátová integrácia”), považujemie tieto náklady taktiež za neodôvodnene vysoké.

Projekt ďalej vynaložil investície vo výške 1,6M € na tzv. “PoC Asistent”, ktorý primárne cieli nie na prioritu “moje údaje”, ale na “životné situácie” (a teda skôr to hodnotíme tak, že do tohto projektu patriť nemal). S ohľadom na odbočenie od témy MyData a s ohľadom na dodávku v rozsahu tzv. “proof of concept” považujeme aj tento náklad za neodôvodnene vysoký.

Z dokumentácie tiež nie je jasné, aké náklady boli vynaložené na tzv. “PoC Digitálne doklady”. Porovnanie úvodnej a finálnej CBA naznačuje ale nevysvetľuje presun niektorých plánovaných položiek pod iné záverečné položky: zhruba 3M € plánované na "helpdesk" presunuté pod "poplatky za udržanie funkčnosti ..." a cca 2.6M € z plánovanej položky "personálne náklady spojené s prevádzkou SW produktu a aplikácie (mzdové výdavky)” presunuté pod "rozvoj - doplnenie funkcionality aplikácie / upgrade (softvér)”.

Transparentnosť a participácia

Štúdia uskutočniteľnosti bola zverejnená v skorej fáze prípravy a bolo k nej možné zaslať pripomienky. MIRRI usporiadalo verejnú prezentáciu zámeru/štúdie. Pozitívne hodnotíme, že projektová dokumentácie priebežne pribúdala v MetaIS a niektoré informácie o projekte boli prezentované aj na pracovných skupinách MIRRI.

Vytknúť môžeme to, že nie sú jasne oddelené projekty, ktoré súvisia, ale sú oddelené, alebo síce súvisia, ale oddelené nie sú, a tiež nejasné delenie fáz projektu CSRÚ, ktorého rozvoj je realizovaný mnohými po sebe nasledujúcimi, ale aj viacerými paralelne realizovanými projektami. V takýchto prípadoch je ťažké posúdiť, ktorému presne projektu treba priradiť zodpovednosť, prínosy či nedostatky a je teda pre odbornú verejnosť komplikované zmysluplne participovať.

Pozitívne hodnotíme, že k projektu pre tému MyData bol zrealizovaný hackathon: https://www.hacknime.to/moje-data/

Súlad s požiadavkami

V predchádzajúcich častiach už bolo spomenuté, že nie je zrejmé, prečo boli časti “rozvoj centrálnej platformy” a "manažment osobných údajov” spojené do jedného projektu. Taktiež bolo spomenuté, že nie je jasné, aký konkrétny výsledok bude týmto projektom dosiahnutý, resp. aká časť cieľov mala byť dosiahnutá už pomocou predchádzajúceho riešenia CSRÚ vs. aká časť cieľov je nová pre tento projekt. A tiež už bolo spomenuté, že za časť "manažment osobných údajov” bolo do reálnej prevádzky nasadené veľmi málo resp. “prázdna krabica”.

Máme za to, že minimálne z formálneho hľadiska projekt splnil mnohé technické a funkčné požiadavky. Zároveň však veľmi negatívne hodnotíme to, že podstatný výstup projektu v podobe aplikácie MOU a webu GDPR nie sú občanom dostupné (dokumentácia konštatuje “funkcionalita už v produkčnom prostredí – dostupná len cez whitelisting na základe RČ") a teda plnia požiadavky naozaj iba vo formálnej rovine. T.j. že štát síce funkcionalitu objednal, dodávateľ funkcionalitu zrejme dodal, ale občan výsledok použiť nemôže.

Negatívne hodnotíme, že počas realizácie pribudla do projektu problematika “digitálnych dokladov”, keďže s témou MyData síce súvisí, ale priamo ju nenapĺňa.

Taktiež nie je známe, či a ako bol implementovaný víťazný projekt z hackathonu MyData.

Elektronické služby

Pre časť “rozvoj platformy integrácie údajov” hodnotíme, že definované elektronické služby dávajú zmysel.

Pre časť "manažment osobných údajov” sú definované základné (typicky možnosť vidieť všetky svoje údaje) aj doplnkové služby (napr. správa súhlasov). Služby však boli realizované iba formou mobilnej aplikácie (dodanie webového riešenie z dokumentácie jasne nevyplýva a ak neexistuje, tak to hodnotíme ako vážny nedostatok) a chýba aj OpenAPI.

Identifikácia, autentifikácia, autorizácia (IAA)

Pre časť "manažment osobných údajov” je táto problematika riešená previazaním s aplikáciou “Slovensko v mobile”, čo považujeme za vhodné. IAA pre webové riešenie a OpenAPI nehodnotíme, keďže neboli implementované.

Pre časť “rozvoj platformy integrácie údajov” (čo je kontext G2G) zdokumentované postupy hodnotíme tiež ako dostatočné.

Riadenie údajov

V časti “rozvoj platformy integrácie údajov” sa projekt témou riadenia údajov zaoberá najmä v kontexte manažmentu údajov a ich kvality, kde je novinkou dodanie existujúcich CSRÚ riešení (Talend MDM, atd.) aj vo forme PaaS služby vo vládnom cloude. Reálne dopady tejto novej služby posúdiť nevieme, keďže projekt nedokladoval, či, ktoré OVM a na aký konkrétny účel danú funkcionalitu reálne využili, alebo aspoň testovali resp. sa k tomu neviažu žiadne zmysluplné KPI. Inak sa pre projekt nevyhlasujú žiadne referenčné registre, keďže jeho ťažiskom je len sprostredkúvanie prístupu k údajom v iných registroch. A ako naznačujú merateľné ukazovatele, projekt zrealizoval pripojenie niektorých nových údajov tak, že priniesol nové služby pre niektoré životné situácie.

Pre časť "manažment osobných údajov” projektové dokumenty konštatujú neúspech pokiaľ ide o získanie kľúčových datasetov, takže aplikácia MOU (ak by bola dostupná) zrejme zobrazuje len veľmi malú resp. menej dôležitú skupinu údajov o fyzických a právnických osobách.

OpenData

V časti “rozvoj platformy integrácie údajov” projekt implementoval niekoľko nových podporných služieb pre OVM, ktoré majú pomôcť pri manažovaní a zverejňovaní otvorených údajov. Reálne dopady tejto novej služby posúdiť nevieme, keďže projekt nedokladoval, či, ktoré OVM a na aký konkrétny účel danú funkcionalitu reálne využili, alebo aspoň testovali resp. sa k tomu neviažu žiadne zmysluplné KPI.

Pre časť "manažment osobných údajov” toto kritérium nehodnotíme, keďže “moje údaje” nie sú “otvorené údaje”.

MyData

Časť “rozvoj platformy integrácie údajov” zrejme zrealizovala potrebné technické nástroje a riešenia tak, aby časť "manažment osobných údajov” mohla fungovať. Zlyhalo však zabezpečenie kľúčových datasetov (MIRRI túto úlohu nakoniec naplánovalo primárne do svojho ďalšieho projektu “Dátová integrácia”) a tak treba konštatovať, že s ohľadom na cenu tohto a ďalších súvisiacich projektov je výsledok neadekvátne malý. Presné posúdenie nie je možné, keďže aplikácia MOU verejne dostupná nie je a projektové dokumenty neobsahujú ucelený zoznam všetkých plánovaných datasetov/údajov a stav ich zabezpečenia/integrácie.

Pre časť "manažment osobných údajov” ďalej konštatujeme, že zrejme nebolo dodané webové rozhranie a chýba Open API. A keďže aplikácia nie je dostupná, tak občania naďalej nemajú v kontexte MyData k dispozícii ucelenú sadu čo i len základných služieb (prehľad údajov o osobe/firme spracúvaných v ISVS, prehľad aktívnych konaní a možnosť zasielania notifikácií o zmenách v údajoch či konaniach), čo mal resp. mohol byť “vlajkový výstup” tohto projektu. Preto dávame redflag za časť MyData.

OpenAPI

Kým v prípravnej fáze (štúdia uskutočniteľnosti) sa s možnosťou prístupu k “mojim údajom” počítalo aj prostredníctvom OpenAPI, v realizačnej fáze bola táto funkcionalita žiaľ vypustená.

Zdrojový kód

Zníženie rizík tzv. vendor-lock a zvýšenie prepoužitia modulov inými subjektami v iných projektoch sú jedny z dôležitých cieľov NKIVS, pričom prostriedkom na ich dosiahnutie je o.i. dodanie a zverejňovanie tzv. zdrojových kódov (viď najmä § 15 zákona o ITVS). Oceňujeme, že ministerstvo na základe zmlúv zrejme disponuje všetkými potrebnými právami k dielu. Keďže však zdrojové kódy zverejnené nie sú a nie je k dispozícii ani dokument, ktorý by v súlade s legislatívou odôvodňoval, čo a prečo nie je zverejnené, tak dávame red flag za túto časť.

Dokumenty

• Projektový iniciálny dokument (PID) pre časť “rozvoj platformy integrácie údajov” (CIP): I 04 CIP PID.docx (online)

• Projektový iniciálny dokument (PID) pre časť "manažment osobných údajov” (MOU): I 04 MOU PID.docx (online)

• Zoznam rizík a závislostí: M 02 01 CIPMOU ZOZNAM RIZIK a ZAVISLOSTI.xlsx (online)

• Zápis z ostaného zasadnutia riadiaceho výboru: RV_CIP_MOU_ZAPIS_ZO_ZASADNUTIA_07_02_2024_Redigované.pdf (online)

Aktivity

• 15.12.2020: začiatok implementácie, prvé zasadnutie RV

• 7.5.2021: zmluva o dielo k CIP a zmluva o dielo k MOU

• 7.2.2024: ostatné zasadnutie RV, nasadzovanie do produkcie

• január až marec 2024: finalizácia zostávajúcich dokumentov a zverejnenie v MetaIS