I. Prípravná fáza

Reforma VS

Pozitívne vnímame prínosy, ktoré by projekt mal mať pre prioritu NKIVS “Moje údaje” (MyData), ako aj zosúladenie fungovania MV SR s GDPR. Negatívom je, že ako tento, tak aj iné projekty vo výzve “Lepšie využívanie údajov”, sa v terminológii aj obsahu odkláňajú od pojmu “moje údaje” a zamieňajú ho za príbuzné, ale nie totožné koncepty “GDPR” a “digitálne doklady” (EDIW): GDPR je komplexná legislatíva, ktorej cieľom je ochrana súkromia občanov. Z pohľadu občana pre štátne IT nepotrebujeme prioritu NKVIS v znení “treba dodržiavať platnú legislatívu”. Preto priorita “Moje údaje” cieli špecificky na implementáciu efektívnych riešení pre uplatnenie časti práv, ktoré občania vďaka GDPR majú, typicky napr. “právo na prístup k osobným údajom” a to aj v strojovo-čitateľnej forme či cez API, naprieč celým e-governmentom. “Digitálny doklad” predstavuje pre občanov len jeden z možných spôsobov ako zobraziť či použiť časť údajov o sebe, keďže údaje v dokladoch sú osobné, sú dôležité, ale nie sú to všetky osobné údaje o občanovi, ktoré štát spracúva. Preto “digitálny doklad” nepovažujeme za úplné riešenie pre napr. už spomenuté “právo na prístup k osobným údajom”. A prípadné zúženie rozsahu IS MOU z “moje údaje” na “digitálnu peňaženku” by sme teda vnímali ako rozpor s NKIVS a znehodnotenie už zrealizovaných investícií v priorite “moje údaje”. Uvítame preto, ak sa tieto témy a pojmy nebudú zamieňať.

Zároveň treba konštatovať, že EDIW síce mohol byť, ale nie je medzi prioritami NKIVS: ostatná revízia NKIVS je z roku 2021, EDIW v tom čase už bol známy a bol súčasťou revízie eIDAS. Formáne vzaté teda digitálna peňaženka nie je súčasťou aktuálnych priorít. Bolo by vhodné po 4 rokoch pristúpiť k vyhodnoteniu toho, ako sa NKIVS z roku 2021 napĺňa, čo nové sa medzičasom udialo a podľa zistení vypracovať aktualizáciu NKIVS. Pomohlo by tiež, ak by projekt napr. dokumentoval, ktoré tzv. “životné situácie” budú benefitovať z nových údajov, ktoré projekt poskytne do IS MOU či “Doklady v Mobile” (DvM).

Ak odhliadneme od (možno) sémantických argumentov, tak vzťah MV SR voči IS MOU vnímame negatívne: V projektovej dokumentácii je spomenutá delimitácia (presun) IS MOU z MIRRI do MV SR, pričom jediným argumentom je to, že MV SR spracúva najväčší objem osobných údajov spomedzi všetkých OVM. Nie je však vysvetlené, ako je plánované vysporiadať sa napr. s § 10, odsek 11, písmeno j ZZ/2013/305, podľa ktorého za služby IS MOU zodpovedá MIRRI. Projektová dokumentácia tiež deklaruje, že IS MOU bude v budúcnosti podmnožinou systému DvM. Ako už bolo spomenuté, tému “digitálnych dokladov” nepovažujeme za ekvivalent témy “moje údaje”. A preto navrhovanú zmenu v IT architektúre vnímame ako veľkú, zásadnú, nedostatočne vysvetlenú a nedostatočne zdôvodnenú.

Situáciu okolo IS MOU, DvM, “Moje údaje”, eIDAS/EDIW a pod. projektová dokumentácia nepopisuje dostatočne jasne a zrozumiteľne a keďže možné dopady na prioritu “moje údaje” považujeme za podstatné, tak tomuto projektu udeľujeme za túto časť red flag.

Merateľné ciele (KPI)

Projekt žiaľ deklaruje mnoho ukazovateľov typu “zrealizujeme informačný systém”, “zrealizujeme integráciu” či “zmodernizujeme informačný systém”, ktoré vnímame ako nevhodné, keďže nijako nekvantifikujú plánované biznisové či iné prínosy.

Napr. namiesto ukazovateľa “Sprístupňovanie údajov na platformu IS MOU: 5 kusov” by sme odporúčali ukazovateľ typu “podiel osobných údajov dostupných v IS MOU vs. celkové množstvo osobných údajov” a nejaké zmysluplné číslo v intervale aspoň 50-90%. Pričom pojem “celkové” by mal byť kalkulovaný minimálne v kontexte množiny všetkých osobných údajov spracúvaných MV SR. S ohľadom na ukončený projekt “Rozvoj platformy integrácie údajov (centrálna integračná platforma) a Manažment osobných údajov” je legitímne požadovať dokonca aj KPI vyčíslené voči všetkým osobným údajom spracúvaným štátom. Pre občanov a firmy totiž nie je dôležitá informácia o tom, z koľkých informačných systémov sa údaje čerpajú, ale či v IS MOU vidia všetky svoje osobné údaje. Resp. ak nevidia všetky, tak aký objem a prečo chýba.

Ďalšími vhodnými KPI by mali byť aj počty vydaných dokladov (fyzických aj digitálnych resp. ich pomer) či čas strávený občanmi vybavovaním týchto dokladov, keďže sa s týmito veličinami v CBA zdôvodňujú prínosy projektu.

Nejasný je napríklad aj ukazovateľ “Monitorovanie a vyhodnocovanie účinnosť zmien dátovej kvality v dlhodobom horizonte”, ktorý je definovaný ako percento, ale nie je jasné “percento z čoho”, preto žiadame tento ukazovateľ upresniť. (Poznámka na okraj: Taký istý ukazovateľ uvádza aj “fáza 1” na úrovni 90%, pričom fáza 2 deklaruje 100%, čo je ďalšia nejasnosť.)

Postup dosiahnutia cieľov

Pozitívne hodnotíme to, že MV SR vcelku jasne oddeľuje fázu 1 a fázu 2 konkrétnym a vcelku podrobným výčtom údajov, ktoré tá ktorá fáza poskytne ďalej (či už do IS MOU alebo ďalším OVM). Tým sme však vyčerpali pomenovanie tých zásadných vecí, ktoré sú jasné. Zbytok je nejasný:

Vzťah s IS MOU: Ako už je spomenuté vyššie, projekt počíta sa s tým, že IS MOU je už v rutinnej produkčnej prevádzke, čo však nezodpovedá skutočnosti. Zároveň projekt počíta s presunom IS MOU z MIRRI pod MV SR a jeho začlenenie do systému “Doklady v Mobile” (DvM), čo považujeme za vcelku závažné zmeny ku ktorým ale nateraz nemáme dostatočné verejne dostupné informácie. Východiská tohto projektu vo vzťahu k IS MOU preto považujeme za nejednoznačné a postup za nejasný a rizikový. Odporúčame upresniť v akom stave IS MOU reálne je a s akými zmenami sa v ňom počíta. Odporúčame tiež presnejšie popísať aj to, ktoré existujúce funkcionality IS MOU súvisia s údajmi vymedzenými v tomto projekte tak, aby sa pred realizáciou dalo jednoznačne demonštrovať, čo presne dnes nefunguje kvôli chýbajúcim údajom a čo po skončení tohto projektu už fungovať bude. Resp. ukotvenie pomocou konkrétnych tzv. “životných situácií”.

Nejasný je tiež vzťah s projektom “Centrálny informačný systém matrík a agendy” (CISMA), ktorý v budúcnosti má manažovať niektoré súvisiace údaje (z rodného, sobášneho či úmrtného listu), čo si má vyžiadať o.i. aj legislatívne zmeny. O IS CISMA vieme niečo z popisu fázy 1, vo fáze 2 však nie je spomenuté takmer nič. Bez jasného vymedzenia súvislostí a závislostí hrozí, že túto časť tento projekt síce deklaruje, ale nezrealizuje. (Viď potom aj hodnotenie fázy 1, toť aby sme neopakovali to isté aj tu.)

A nejasný je tiež vzťah 1. a 2. fázy projektov “Lepšie využívanie údajov MV SR”: Obe sú deklarované ako nezávislé a izolované komponenty, avšak obe plánujú realizáciu podobných až totožných komplexných výstupov či aktivít (“vytvorenie rezortnej integračnej platformy ...”, “Modul MyData”, “zavedenie manažmentu osobných údajov”, “analýza legislatívnych podmienok sprístupňovania údajov”, či zavedenie “systematického manažmentu údajov”), pričom sú k týmto aktivitám priradené signifikantné náklady (v miliónoch eur) a obe fázy majú byť realizované naraz. Toto vnímame ako rozpor a riziko: nie je jasné, kto a ako zabezpečí, aby bol výsledok ucelený, zmysluplný a “systematický”, ako budú tieto aktivity koordinované, aké riziká vyplývajú z paralelnej realizácie úzko previazaných činností, či aký je plán manažovania týchto rizík. (Čo následne vyvoláva o.i. aj otázky ohľadom toho, ako prebehne napr. obstarávanie: Čo ak VO pre každú fázu vyhrá iný subjekt? To ešte viac skomplikuje koordináciu implementácie. => Dá sa prípadne zabezpečiť, aby obe VO vyhral ten istý dodávateľ? Či zlúčiť dva samostatné projekty do jedného VO?)

Rovnako ako pre “fázu 1” hodnotíme negatívne to, že medzi projektovými aktivitami je aj “právna analýza osobitných právnych predpisov”, ktorá “sa zameriava na identifikáciu právnych základov a právnych účelov spracúvania údajov”, keďže nariadenie GDPR je účinné už 7 rokov (od 25.5.2018) a teda toto je indikácia, že celý tento čas MV SR (a zrejme aj iné OVM) danú reguláciu nereflektovalo dostatočne a MIRRI ani ÚOOÚ problematiku neustrážili. Plán zrealizovať tieto aktivity aspoň dodatočne hodnotíme pozitívne. Vyzývame však, aby MIRRI a ÚOOÚ boli pri aktivitách nápomocné a aj obozretné a pomohli predísť duplicitám, keďže tento nedostatok konštatujeme zatiaľ pre všetky projekty z výzvy “Lepšie využívanie údajov”, ktoré sme v Red Flags hodnotili.

Pochybnosti o postupe vyvoláva aj to, že je v projektovej dokumentácii ponechané veľké množstvo obsahu zo šablón, keď sa napr. v dokumentoch spomína “správa číselníkov MF SR” (MF, nie MV) a daná kapitola je takmer totožná s obdobnou kapitolou v projektoch PPA aj MV SR.

Súlad s KRIT (nie je zatiaľ vyhodnotený)

Súlad s KRIS zatiaľ nebol vyhodnotený.

Biznis prínos

V prvom rade treba konštatovať, že hlavné prínosy v kontexte “moje údaje” mal priniesť už projekt “Rozvoj platformy integrácie údajov (centrálna integračná platforma) a Manažment osobných údajov”, ktorého výsledkom je IS MOU. V tomto projekte MIRRI počítalo s údajmi od MV SR ako kľúčovými, nakoniec však údaje zabezpečené neboli aj keď projekt preinvestoval 16,3M€ z plánovaných 17,2M€ a výsledkom je teda “prázdna krabica”, ktorá občanom ani firmám aktuálne stále nie je dostupná.

MV SR teraz plánuje vynaložiť ďalšie takmer 2M€ v tejto 2. fáze na dodatočné zrealizovanie časti tých istých biznis prínosov (cca 2M€ = modul MyData, ktorý má poskytovať údaje MV SR do IS MOU). A takmer rovnakú sumu opäť na časť tých istých biznis prínosov aj v 1. fáze (aj tam je modul MyData za cca 2M€). Jednotlivé fázy sa síce snažia vymedziť výčtom konkrétnych údajov, avšak nie je známy podiel osobných údajov, ktoré vďaka týmto fázam projektov MV SR do IS MOU pribudnú vs. aký je celkový objem osobných údajov spracúvaných štátom. Tento a aj iné projekty teda opakovane deklarujú “umožnenie občanom a podnikateľom prístup k údajom zo štátnych systémov prostredníctvom Informačného systému Manažment osobných údajov (IS MOU)” ako prínos bez toho, aby bolo jasné, či a kedy bude IS MOU kompletný resp. kedy prestane byť “prázdnou krabicou” a začne byť občanom a firmám reálne užitočný. Z témy “moje údaje” sa takto stáva čosi ako nekonečný príbeh s nejasnou celkovou sumou nákladov na túto prioritu. Zároveň prestáva byť jasné, kto zodpovedá za daný prínos, keďže IS MOU realizovalo MIRRI, ale MV SR presúva tento systém k sebe a plánuje ho začleniť do systému “Doklady v Mobile”.

Biznis prínos by sme v úzkom kontexte len tohto projektu hodnotili ako potencionálne dobrý, avšak v kontexte oboch fáz “Lepšie využívanie údajov MV SR” a nejasného stavu IS MOU hodnotíme celkový prínos ako nedostatočný.

Príspevok v informatizácii

Projekt je úzko vymedzený konkrétnymi údajmi, digitálnou peňaženkou a zlepšovaním manažmentu údajov. Veľmi nejasne však popisuje vzťah s celkovou architektúrou štátnych IT systémov a to málo, čo popisuje, vyvoláva veľa otázok či pochybností, čo hodnotíme negatívne.

Prenositeľnosť / Modulárnosť

Projekt deklaruje modularitu (napr. Modul MyData, Transformačný modul, Modul kvality a čistenia údajov, Modul riadenia údajov) avšak nevysvetľuje, ako resp. či vôbec budú využité podobné už hotové moduly z CPDI alebo podobné budúce moduly z 1. fázy. Zároveň je modularita nedostatočná, keďže sú moduly (vraj) previazané až do takej miery, že ministerstvo deklaruje nemožnosť zverejniť akékoľvek zdrojové kódy (viď nižšie).

Vendor Lock-in a autorské práva

Mimo otázky zverejnenia zdrojových kódov (viď nižšie) projektová dokumentácia otázku autorských práv a vendor-lock nerieši.

Zdrojový kód/ Open Source

Odvolávajúc sa na výnimku v paragrafe 15 (odsek 2, písmeno d, bod 1, 95/2019 Z. z.) ministerstvo neplánuje zverejniť žiadne zdrojové kódy: “Zverejnenie zdrojových kódov pre realizované riešenie nie je možné z dôvodu špecifických charakteristík projektu a jeho implementácie …” (kapitola “Zdrojové kódy” v dokumente “I-03 Prístup k projektu”). Máme za to, že výnimka sa nemá uplatňovať paušálne na celé informačné systémy, ale iba na ich konkrétne moduly.

Príklad 1: V kontexte tohto projektu plánuje ministerstvo investovať napr. cca 2M€ na modul MyData či cca 1M€ na “Integračný komponent”, pričom zrejme veľká časť týchto modulov bude o všeobecnej práci s dátami a API (tzv. ETL) a len malú časť bude predstavovať kód kritický z pohľadu bezpečnosti. Pri paušálnom aplikovaní výnimky bude teda uzatvorený kompletný zdrojový kód za milióny eur. Naopak, pri lepšom rozdelení na menšie moduly a podmoduly by veľká časť zdrojových kódov mohla byť zverejnená a uzavretá by ostala len malá časť.

Príklad 2: Aplikácia “Doklady v Mobile” je tiež modul. V kontexte EDIW/eIDAS aj iniciatíva EÚ predpokladá Open Source implementáciu tohto modulu.

Príklad 3: Lokálny katalóg Open Data (LKOD) je tiež modul. Mali by v ňom byť údaje o osobných údajoch (t.j. iba tzv. metaúdaje, nie samotné osobné údaje), ale pri aktuálnej argumentácii ministerstva nebude k dispozícii ani zdrojový kód tohto modulu.

Pripomíname, že účelom zverejňovania zdrojových kódov je o.i. aj snaha vyhnúť sa tzv. vendor lock, zlepšenie kvality dodávaných riešení či pozitívne ekonomické a prevádzkové dopady (toť z dôvodovej správy k novele zákona). Ak sa teda výnimka uplatní paušálne na celý projekt, tak sa tým úplne popiera účel daných ustanovení zákona. A tiež dávame do pozornosti návody z UK, konkrétne Making source code open and reusable: When it’s acceptable for code to be closed source a When code should be open or closed.

Prototyp GUI a navigácie

Danú časť nehodnotíme, keďže projekt je čisto o tzv. ETL a integráciách. GUI je vecou IS MOU a teda mimo tento projekt.

Elektronické služby/ funkcionalita/ formuláre

Danú časť nehodnotíme, keďže projekt neplánuje priamo poskytovať služby či formuláre.

OpenAPI

Danú časť nehodnotíme, keďže projekt neplánuje priamo poskytovať OpenAPI, pričom v danom kontexte je to zodpovednosť najmä na IS MOU (a teda mimo tento projekt).

Riadenie/migrácia údajov

Jedným z hlavných cieľov projektu je zavedenie systematického manažmentu údajov, čo hodnotíme pozitívne. Chýbajú však detaily najmä o tom, ako toto bude koordinované naprieč celým MV SR či s inými OVM. A hlavne delenie týchto prierezových a komplexných aktivít na samotnom MV SR medzi viaceré fázy projektu “Lepšie využívanie údajov MV SR” považujeme za nesprávne a rizikové.

1x a dosť

Projekt má k tejto priorite prispieť tým, že poskytne konkrétne nové údaje iným OVM cez CPDI, čo by malo znamenať, že iné OVM prestanú dané informácie požadovať od občanov. To hodnotíme pozitívne. Tieto prínosy sú však v projekte popísané len veľmi obšírne a teda nie sú zrejmé konkrétne príklady (životné situácie), ktorých sa to bude týkať.

MyData

Táto priorita NKIVS je hlavnou podstatou tohto projektu. Zároveň je v pláne riešiť aj súvisiacu problematiku “digitálnej peňaženky” (eWallet), čo hodnotíme pozitívne. V projekte je však veľa nejasností ohľadom IS MOU konkrétne, alebo všeobecne vo vzťahu tém “moje údaje” a “digitálna peňaženka”. V tom vidíme riziko vzniku chaosu v implementácii tejto priority NKIVS.

OpenData

Rovnako ako 1. fáza, aj táto 2. fáza deklaruje zavedenie lokálneho katalógu Open Data (LKOD). Nie je však jasné, ako budú fázy koordinované a ako presne ministerstvo plánuje otvárať a zverejňovať osobné údaje vymedzené pre túto fázu, najmä ak deklaruje, že sú údaje až také citlivé, že nezverejní ani len zdrojové kódy systémov, ktoré s danými údajmi pracujú.

Dokumentácia

Projekt deklaruje, že k projektu bude dokumentácia. To je dosť málo. Upresnenie existuje len k časti týkajúcej sa čistenia údajov, kde je v pláne o.i. vytvoriť dokumentáciu k všetkým údajom vo všetkých IS, čo chápeme ako logický a nevyhnutný základ riadenia údajov.

Testovanie

Projekt popisuje testovanie v zásade len do tej miery, ako bolo testovanie popísané v šablónach. Chýbajú detaily, ktoré by boli špecifické k údajom vymedzeným pre tento konkrétny projekt.

Kalkulácia efektívnosti

Kalkuláciu efektívnosti vnímame ako nie-uveriteľnú resp. pomýlenú, keďže CBA počíta ekonomické prínosy projektu len na základe ušetreného času občanov pri vybavovaní dokladov. Projekt nejasne popisuje aktuálny a budúci stav procesov a teda nie je zrejmé, či správne počíta s tým, že v budúcom projekte bude napr. zredukovaný počet návštev úradu z dvoch na jednu. Odporúčame preto o.i. upresniť popis procesov a prínosy spomenuté v kalkulácii zahrnúť aj medzi KPI.

Negatívne vnímame plán budovať vlastnú rezortnú integračnú platformu, keďže toto sa dnes dá realizovať už existujúcimi službami a riešeniami CPDI (tzv. centrálne komponenty, voľakedy CSRÚ), najmä ak projekt tak či tak plánuje integrácie na CPDI. Hodnotenie alternatív porovnáva “minimalistickú”, “čiastkovú” a “maximalistickú” alternatívu, avšak berie do úvahy iba existujúce komponenty prevádzkované v MV SR, ignoruje resp. nespomína centrálne komponenty MIRRI/NASES. Do centrálnych komponentov už boli za ostanú dekádu investované rádovo desiatky miliónov eur a tento projekt v CBA deklaruje náklady v objeme ďalších miliónov eur (resp. tisícov “človeko-dní”, MD) na obdobnú funkcionalitu (čistenie údajov, ich transformácia, atď.). Považujeme preto za dôležité vysvetliť, či sa bude jednať o nasadenie už hotových centrálnych komponentov a riešení. Výhrada je o to vážnejšia, že obdobné aktivity a tiež vysoké náklady deklaruje už aj fáza 1. Bez vysvetlenia pôsobia deklarované náklady ako neúmerne vysoké a duplicitné k predchádzajúcim investíciám a aj voči fáze 1:

• Transformačný modul: 278 MD fáza 2 vs. 379 MD fáza 1

• Modul kvality a čistenia údajov: 532 MD fáza 2 vs. 842 MD fáza 1

• Integračný komponent: 1211 fáza 2 vs. 998 MD fáza 1

• Modul riadenia údajov: 807 fáza 2 vs. 679 MD

Zvlášť, ak porovnáme náklady na podobné moduly v IS MOU, Modul MyData:

• 2512 MD vo fáze 2

• 2352 MD vo fáze 1

• 3056 MD v projekte IS MOU (Modul správy osobných údajov)

Zároveň náklady vnímame ako neúmerne vysoké aj preto, že sa v konečnom dôsledku jedná len o zabezpečenie dátových integrácií medzi systémami MV SR a IS MOU (žiadne GUI, žiadne aplikácie, a pod.), pričom celková cena je “tesne pod limit” výzvy.

Ilustrácia: Odhad nákladov na podobné resp. totožné “aplikácie” resp. moduly pre fázu 1 a fázu 2:

Transparentnosť a participácia

Evidujeme snahu MV SR o participáciu minimálne v podobe zverejnenia dokumentov a informovaní o projekte a možnosti ho pripomienkovať na svojom webovom sídle. V MetaIS však chýba dokument, ktorý by obsahoval zozbierané pripomienky a dokumentoval spôsob, akým boli vysporiadané, preto nevieme participáciu posúdiť hlbšie.

Neevidujeme však otvorenú komunikáciu ohľadom presunu IS MOU z MIRRI na MV SR. A evidujeme neochotu komunikovať resp. utajovanie informácií o systéme “Doklady v Mobile”. Zároveň vnímame informáciu o zahrnutí IS MOU pod systém “Doklady v Mobile” v rámci tohto projektu vo výzve “Lepšie využívanie údajov” ako “príklepok”, t.j. že podľa nás podstatná zmena princípov a architektúry eGov je “ukrytá” do projektu vo výzve zameranej na iné špecifické ciele. Odporúčame preto túto zmenu komunikovať výrazne lepšie.

Dokumenty

• Projektový zámer: I-02 Projektový zámer.pdf (online)

• Prístup k projektu: I-03 Prístup k projektu.odt (online)

• CBA: 02_I_02_BC_CBA_PRILOHA_Projekt_MV_SR_II_ver_FIN.xlsx (online)

• Register rizík: P_01_a_I_01_a_M_02_1_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI_MV_I_ver_1.1xlsx.xlsx (online)

• Výzva “Lepšie využívanie údajov” (online)

Aktivity

• 20.11.2024 súhlasné stanovisko MIRRI