I-02 Projektový zámer (projektovy_zamer)

PROJEKTOVÝ ZÁMER

Identifikovanie požiadaviek na funkčnú časť riešenia

Identifikácia projektu

Schvaľovanie dokumentu

Obsah

1.      POPIS ZMIEN DOKUMENTU.. 3

1.1.   História zmien.. 3

2.      ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE. 3

2.1.   Použité skratky (príklady). 3

2.1.1.         Konvencie – pravidlá názvoslovia, číslovania a verzionovania - požiadaviek. 3

2.1.2.         Použité skratky. 3

3.      DEFINOVANIE PROJEKTU.. 4

3.1.   Manažérske zhrnutie. 4

3.2.   Motivácia a rozsah projektu.. 4

3.3.   Zainteresované strany/Stakeholderi. 4

3.4.   Ciele projektu a merateľné ukazovatele. 4

3.5.   Špecifikácia potrieb koncového používateľa. 5

3.6.   Riziká a závislosti. 5

3.7.   Alternatívy a Multikriteriálna analýza. 5

3.7.1.         Stanovenie alternatív pomocou biznisovej vrstvy architektúry. 8

3.7.2.         Multikriteriálna analýza. 8

3.7.3.         Stanovenie alternatív pomocou aplikačnej vrstvy architektúry. 9

3.7.4.         Stanovenie alternatív pomocou technologickej vrstvy architektúry. 9

4.      POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU). 10

5.      NÁHĽAD ARCHITEKTÚRY. 11

6.      LEGISLATÍVA. 11

7.      ROZPOČET A PRÍNOSY. 12

8.      HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA. 13

9.      PROJEKTOVÝ TÍM.. 14

10.    PRACOVNÉ NÁPLNE. 14

11.    ODKAZY. 15

12.    PRÍLOHY. 15

1. POPIS ZMIEN DOKUMENTU
   1. História zmien

1. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou č. 85/2020 Z. z. o riadení projektov - je dokument Projektový zámer pre prípravnú fázu určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do iniciačnej fázy.

1. 
   
   1. Použité skratky (príklady)
      1. Konvencie – pravidlá názvoslovia, číslovania a verzionovania - požiadaviek

1. 
   
   1. 
      
      1. Použité skratky

1. DEFINOVANIE PROJEKTU
   1. Manažérske zhrnutie

Zriadenie Centrálneho registra účtov upravuje zákon č. 123/2022 Z. z. o centrálnom registri účtov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o CRÚ“) vrátane práv a povinností súvisiacich so zriadením a prevádzkou centrálneho registra účtov (ďalej ako „CRÚ“). Povinnosť vybudovať CRÚ vyplýva z transponovaných predpisov európskeho parlamentu a Rady (EÚ), z ktorých vyplynula pre SR požiadavka na zriadenie centralizovaného automatizovaného mechanizmu, ktorý umožní oprávneným orgánom verejnej moci včasnú identifikáciu majiteľov a disponentov bankových účtov alebo platobných účtov, vrátane bezpečnostných schránok, čo je nevyhnutným predpokladom  zvýšenia efektivity pri predchádzaní, odhaľovaní, vyšetrovaní alebo stíhaní páchateľov závažných trestných činov, resp. následného zaistenia majetku a výnosov z trestnej činnosti.

Vytvorenie CRÚ, dostupného pre finančnú spravodajskú jednotku a orgány činné v trestnom konaní, bolo zadefinované ako prioritné opatrenie na odstránenie zistených nedostatkov v rámci národného mechanizmu boja proti legalizácii výnosov z trestnej činnosti a financovaniu terorizmu a ďalšej ekonomickej kriminalite (napr. boj proti podvodom), zneužívaniu schém právnických osôb, korupcie a proti iným nezákonným operáciám. Efektivita činnosti najmä OČTK a daňových orgánov je totiž v značnej miere závislá na tom, ako rýchlo dokážu získať informácie od finančných inštitúcií (ďalej ako „FI“).

1. 
   
   1. Motivácia a rozsah projektu

Súčasný systém vyžadovania informácií znamená dopytovať všetky FI listinnou formou (okrem finančnej spravodajskej jednotky, ktorá využíva dátové schránky). FI sú následne povinné vypracovať odpoveď, a to aj v prípade negatívneho výsledku. Dochádza pri tom k zdržaniu tak pri vypracovaní a rozosielaní žiadosti, ako i pri spracovaní odpovedí, takže požadované informácie často obdrží žiadateľ v lehote viac ako 30 dní. Nehľadiac na nadbytočné vecné a osobné náklady spojené s "negatívnymi" odpoveďami na oboch stranách, takýmto spôsobom často dochádza k nenávratnému úniku finančných prostriedkov, ktoré mali byť zaistené pre príslušné konanie.

Z registra sa budú poskytovať oprávneným orgánom verejnej moci (napr. finančná spravodajská jednotka, OČTK, súdy v trestnom konaní, spravodajské služby, Finančná správa SR a pod.) údaje v elektronickej podobe priamym, nepretržitým a diaľkovým spôsobom na základe zadania jedinečného identifikátora používateľa patriaceho konkrétnej fyzickej osobe. Tieto údaje spolu s údajmi o výsledku vyhľadávania tvoria tzv. logy, ktoré slúžia na účely monitorovania ochrany osobných údajov, vrátane kontroly prípustnosti žiadosti a zákonnosti spracúvania osobných údajov a na zaistenie bezpečnosti osobných údajov.

CRÚ bude uchovávať a priamo sprístupňovať vybraným zástupcom obranných a finančných zložiek SR - informácie o bankových účtoch, majetkových účtoch a bezpečnostných stránkach, čím skráti dobu potrebnú na získanie týchto informácií. Doteraz bolo potrebné vždy žiadať o informácie relevantnú FI. História vyhľadávaní v CRÚ tiež zjednoduší kontrolu prístupov a vyhľadávaných informácií.

1. 
   
   1. Zainteresované strany/Stakeholderi

1. 
   
   1. Ciele projektu a merateľné ukazovatele

Cieľom projektu je zriadenie CRÚ, ktorý bude obsahovať informácie o platobných a bankových účtoch vedených slovenskými úverovými a platobnými inštitúciami a o účtoch majiteľov cenných papierov vedených slovenskými obchodníkmi s cennými papiermi. Register umožní oprávneným orgánom verejnej moci prístup k informáciám o majiteľoch, disponentoch bankových účtov alebo platobných účtov, nájomcoch a disponentoch bezpečnostných schránok, ako aj o konečných užívateľoch výhod. Zriadenie registra je nevyhnutným predpokladom zvýšenia efektivity pri predchádzaní, odhaľovaní, vyšetrovaní alebo stíhaní páchateľov závažných trestných činov, resp. pri následnom zaistení majetku a výnosov z trestnej činnosti. Dôvodom zriadenia registra je skutočnosť, že v súčasnosti pri komplikovanom a neefektívnom listinnom spôsobe získavania informácií od FI dochádza často k zmareniu účelu jednotlivých konaní či procesov, ktoré vedú príslušné štátne orgány. Povinnosť zriadenie CRÚ zároveň vyplýva z európskej legislatívy - čl. 32a smernice Európskeho parlamentu a Rady (EÚ) 2018/843 z 30. mája 2018, ktorou sa mení smernica (EÚ) 2015/849 o predchádzaní využívaniu finančného systému na účely prania špinavých peňazí alebo financovania terorizmu a smernice 2009/138/ES a 2013/36/EÚ.

Zriadením CRÚ je cieľ efektívnejšie sprístupniť vybraným zástupcom obranných a finančných zložiek SR, ako je kriminálna a finančná polícia, policajná inšpekcia, kriminalisti z finančnej správy, Slovenská informačná služba, vojenskí spravodajcovia, súdy a ministerstvo financií SR - informácie o bankových alebo majetkových účtoch a bezpečnostných schránkach, čím urýchli predchádzanie, odhaľovanie, vyšetrovanie alebo stíhanie páchateľov trestných činov ekonomickej kriminality.

Odhadované zrýchlenie procesu po zavedení CRÚ do prevádzky je pri určitých typoch dopytov z úrovne aspoň 30 dní na úroveň niekoľkých minút. História vyhľadávaní v CRÚ tiež zjednotí kontrolu prístupov a vyhľadávaných informácií.

Hlavným cieľom projektu je:

• Efektívne sprístupnené informácie o bankových alebo majetkových účtoch a bezpečnostných schránkach.

Merateľným ukazovateľom projektu je:

• Počet zaslaných dotazov a uskutočnených vyhľadávaní pomocou CRÚ.

Ciele/Merateľné ukazovatele

1. 
   
   1. Špecifikácia potrieb koncového používateľa

Z registra sa budú poskytovať oprávneným orgánom verejnej moci (napr. finančná spravodajská jednotka, OČTK, súdy v trestnom konaní, spravodajské služby, Finančná správa SR a pod.) údaje v elektronickej podobe priamym, nepretržitým a diaľkovým spôsobom na základe zadania jedinečného identifikátora používateľa patriaceho konkrétnej fyzickej osobe. Tieto údaje spolu s údajmi o výsledku vyhľadávania tvoria tzv. logy, ktoré slúžia na účely monitorovania ochrany osobných údajov, vrátane kontroly prípustnosti žiadosti a zákonnosti spracúvania osobných údajov a na zaistenie bezpečnosti osobných údajov. 

Vybraní zástupcovia obranných a finančných zložiek SR, ako je kriminálna a finančná polícia, policajná inšpekcia, kriminalisti z finančnej správy, Slovenská informačná služba, vojenskí spravodajcovia, súdy a ministerstvo financií SR budú mať sprístupnené informácie o bankových alebo majetkových účtoch a bezpečnostných schránkach, čím urýchli predchádzanie, odhaľovanie, vyšetrovanie alebo stíhanie páchateľov trestných činov ekonomickej kriminality.

Odhadované zrýchlenie procesu po zavedení CRÚ do prevádzky je pri určitých typoch dopytov z úrovne aspoň 30 dní na úroveň niekoľkých minút.

História vyhľadávaní v CRÚ tiež zjednotí kontrolu prístupov a vyhľadávaných informácií.

1. 
   
   1. Riziká a závislosti

Zoznam rizík a závislostí je uvedený v kapitole č. 12 ako Príloha tohto dokumentu.

1. 
   
   1. Alternatívy a Multikriteriálna analýza

Alternatíva A) Využitie existujúceho automatizovaného elektronického komunikačného systému prevádzkovaného spoločnosťou CRIF - Slovak Credit Bureau, s.r.o. (ďalej len „elektronický systém CRIF“).

Z analýzy funkcionality elektronického systému CRIF vyplynulo, že tento v súčasnosti nie je schopný poskytovať informácie oprávneným orgánom okamžite a nefiltrovane (údaje sa poskytujú iba cez pracovné dni v čase od 8:00 do 17:00), ako aj v rozsahu požadovanom V. AML smernicou (napr. údaje o konečnom užívateľovi výhod, majiteľovi bezpečnostnej schránky, údaje o majiteľovi/disponentovi platobných účtov). Výhodou tohto systému je, že na základe žiadosti oznamuje zostatok, t. j. stav na účte k aktuálnemu dňu, stav na bežnom účte, vkladovom účte, účte stavebného sporenia, ako aj stav na účte k staršiemu dátumu.

Aby uvedený systém spĺňal požiadavky V. AML smernice bude podľa vyjadrenia Slovenskej bankovej asociácie potrebné zabezpečiť rozsiahle rozšírenie existujúceho technického riešenia tohto elektronického systému. V tejto súvislosti boli identifikované negatívne vplyvy na štátny rozpočet, pričom podľa vyjadrenia CRIF s. r. o. hrubý odhad nákladov na vývoj technického riešenia by predstavoval cca. 586 000 eur bez DPH/jeden subjekt – finančná spravodajská jednotka (spolu vo výške 703 200 eur s DPH). Po spustení elektronickej komunikácie ročné náklady na jeho ďalšiu prevádzku predstavujú približne 86 000 eur bez DPH/jeden subjekt – finančná spravodajská jednotka (spolu vo výške 103 200 eur s DPH). Je potrebné vziať do pozornosti, že uvedená suma bola vyčíslená iba vo vzťahu k finančnej spravodajskej jednotke, ktorá predpokladala cca 40 užívateľov a 200 000 dopytov ročne. Na ilustráciu – podľa dodatku k Zmluve uzatvorenej medzi FR SR a CRIF s.r.o. zo 17. mája 2018, zverejnenej v centrálnom registri zmlúv, vyplýva, že za služby vo forme vývoja a implementácie rozhrania pre elektronickú komunikáciu zaplatí FR SR cenu 1 vo výške 274 400 eur bez DPH, cenu 2 vo výške 148 000 eur bez DPH, cenu 3 vo výške 75 000 eur bez DPH/ročne a cenu 4 vo výške 37 800 eur bez DPH (spolu vo výške 642 040 eur s DPH). Vzhľadom k tomu, že príslušnými orgánmi oprávnenými žiadať informácie by mali byť okrem finančnej spravodajskej jednotky napr. aj OČTK, súdy, Slovenská informačná služba, Vojenské spravodajstvo alebo FR SR, je evidentné, že náklady budú predstavovať podstatne vyššiu sumu, ktorá sa odvíja od počtu subjektov, počtu jednotlivých užívateľov, ako aj počtu dopytov, ktoré napr. úrad kriminálnej polície Prezídia PZ predpokladá v počte cca 5 mil. ročne.

Negatívom alternatívy A) sú teda aj rastúce náklady na strane štátu, pričom značná časť z nich môže byť nahradená CRÚ prevádzkovaným MF SR. Nevýhodou elektronického systému CRIF je, že pracuje na princípe plošného rozosielania dotazov do všetkých FI, ktoré vo väčších bankách spracuje automatizovane príslušný software, v menších bankách sú dotazy spracovávané manuálne. Z uvedených dôvodov bolo identifikované významné riziko pre činnosť finančnej spravodajskej jednotky, spravodajských služieb, ako aj OČTK spôsobené týmto plošným šírením osobných údajov a možným únikom informácií o subjektoch, voči ktorým by viedli tieto orgány vyšetrovanie, resp. ktoré sú v záujme príslušných spravodajských služieb. Plošné rozosielanie dotazov na všetky FI obsahuje kompletné identifikačné údaje záujmového subjektu, pričom nie je vylúčené, že sa dostanú aj k zamestnancovi FI, ktorý spracúva žiadosť a môže mať k tomuto záujmovému subjektu blízky vzťah, a preto by mohlo dôjsť k zneužitiu a manipulácii s týmito informáciami (nie je naplnená požiadavka V. AML smernice, že žiadna sprostredkovateľská inštitúcia nesmie zasahovať do požadovaných údajov). FI sú schopné poskytnúť informácie spravidla do jedného pracovného dňa, najneskôr do piatich pracovných dní od prijatia žiadosti. Plánovaná doba, počas ktorej vyhľadávací systém spracúva požiadavky závisí od dostupnosti spracovania na strane jednotlivých FI, t. j. len cez pracovné dni a počas bežnej pracovnej doby zamestnancov (nie je naplnená požiadavka V. AML smernice na okamžitý a nefiltrovaný prístup finančnej spravodajskej jednotky k informáciám).

Elektronický systém CRIF obsahuje viaceré nedostatky, ktoré sa nedajú odstrániť: dotaz, ktorý obsahuje osobné údaje osoby, je rozposlaný do všetkých FI, ktoré sú tak informované aj v prípade, že táto osoba nie je ich klientom (neproporciálne šírenie osobných údajov) a zároveň tým dostanú informáciu, že o túto osobu sa zaujíma určitý štátny orgán. Táto dekonšpirácia je z hľadiska činnosti OČTK a spravodajských služieb neprijateľná. Nevýhodou tohto systému je aj skutočnosť, že žiadateľ musí sledovať, či obdržal odpoveď od všetkých dotazovaných inštitúcií, resp. čakať na poslednú odpoveď; dovtedy nemá istotu komplexnosti. Elektronický systém CRIF neumožňuje plnú automatizáciu pri vybavovaní žiadosti a záporné odpovede (že klient nemá u dotazovanej inštitúcii produkt) predstavujú oveľa väčší počet, ako odpovede kladné. V praxi by tak naďalej dochádzalo k významnému zaťažovaniu FI (nárast finančných nákladov) v súvislosti s osobnými nákladmi na spracovanie vysokého počtu dotazov a následné vyhodnocovanie i negatívnych odpovedí, pričom značná časť z nich môže byť nahradená efektívnejším riešením CRÚ. Zo všetkých vyššie uvedených skutočností vyplýva, že elektronický systém CRIF nie je schopný spoľahlivo pokryť požiadavky oprávnených užívateľov, ako aj požiadavky príslušných smerníc. Systém CRIF bol v minulosti prakticky testovaný finančnou spravodajskou jednotkou a bol vyhodnotený ako absolútne nevyhovujúci pre činnosť finančnej spravodajskej jednotky.

Alternatíva B) CRÚ

Zriadenie CRÚ sa navrhuje po vzore viacerých štátov, ako aj na základe odporúčaní Európskej komisie. Do CRÚ by banky a platobné inštitúcie poskytovali na báze denných dátových balíkov aktuálne informácie v rozsahu V. AML. Z CRÚ by tak príslušné orgány (užívatelia) na vyžiadanie obdržali uvedené informácie v priebehu niekoľkých minút.

Informačná smernica vyžaduje okamžitý, nefiltrovaný, bezprostredný a priamy prístup k informáciám z centralizovaných registrov bankových účtov, pričom priamy prístup je najbezprostrednejším typom prístupu k informáciám z centralizovaných registrov bankových účtov.

Zo správy Európskej komisie k plánovanému prepojeniu registrov v rámci EÚ vyplýva, že by sa malo uprednostniť technické riešenie CRÚ z dôvodu, že CRÚ má alebo bude mať 18 členských štátov, iba 9 členských štátov oznámilo, že má alebo plánuje centrálny systém vyhľadávania údajov s možnosťou okamžitého a nefiltrovaného vyhľadávania. Podľa správy Európskej komisie centralizované registre majú Belgicko, Bulharsko, Česko, Nemecko, Grécko, Španielsko, Francúzsko, Chorvátsko, Taliansko, Lotyšsko, Litva, Rakúsko, Portugalsko, Rumunsko, Slovinsko. Fínsko sa započítava do oboch skupín, keďže sa chystá zaviesť systém, v ktorom sa využívajú obe riešenia. Maďarsko oznámilo, že plánuje CRÚ.

CRÚ v sebe kumuluje niekoľko výhod. Ide predovšetkým o rýchlosť získania informácií, jednoduchosť zasielania dotazov, nie je potrebné formou plošného dotazu oslovovať všetky FI, ktoré tak nie sú nútené prijímať nákladné personálne a technické opatrenia, ktoré zaručia aspoň čiastočne prijateľné časové limity pre vybavenie dotazu. Z uvedeného vyplýva, že nezanedbateľným prínosom je úspora nákladov spojených s „plošným“ dotazovaním na strane žiadateľov, ale i na strane FI v súvislosti s nákladmi spojenými s „negatívnymi“ odpoveďami. Zníženie počtu rozosielaných dotazov a odpovedí sa prejaví aj v nižšej zaťaženosti systému dátových schránok.

CRÚ je dátovo konzistentnejšie riešenie, spravované jedným správcom a z pohľadu prevádzky sú jednoduchšie ošetriteľné incidenty voči poskytovateľom (ak neprebehne aktualizácia, prevádzkovateľ dokáže situáciu riešiť okamžite, nie až v čase kedy používateľ potrebuje údaje a tie mu neprichádzajú). Z pohľadu bezpečnosti je zaistená ochrana používateľov (prevádzkovateľ nemusí vedieť kto lustroval), manažment logov sa dá lepšie ošetriť voči každému používateľovi, je zabezpečená lepšia správa rolí a ich oprávnení, v registrovom systéme sa dajú vytvárať nové procesy bez toho, aby sa zaťažovali banky zmenou rozhraní, dajú sa lepšie riešiť používateľské rozhrania, prepojenie na registre môže byť realizované ako na GUI, tak aj na volanie služieb či API. Taktiež prípadný budúci rozvoj je v prípade CRÚ oveľa jednoduchší.

Pri registrovom systéme môže dostať používateľ odpoveď okamžite, pri „systéme dotazovaní“ nebude odpoveď zaslaná okamžite, ale až v rozmedzí niekoľkých hodín, dní alebo vôbec,  v prípade ak banka neodpovie. Plánovaná doba dostupnosti CRÚ je tak reálne 24/7.

Významným efektom je nielen podstatne rýchlejšie získanie informácií a tak aj dosiahnutie vyššej pravdepodobnosti uplatniť prípadné zaisťovacie opatrenia, spravidla v trestnom či daňovom konaní, ale súčasne dochádza aj k obmedzeniu šírenia informácií spojených so žiadosťou. Je tak chránený záujem štátneho orgánu na nevyzradení informácie z príslušného konania, ako aj záujem dotknutej osoby na ochrane jej osobných údajov CRÚ predstavuje dlhodobé, komplexné a systémové riešenie aj s ohľadom na predpokladané zvyšovanie počtu žiadostí príslušných orgánov členských štátov EÚ z dôvodu vzájomného prepojenia registrov v rámci EÚ.

Alternatíva C) Nulový variant (súčasný stav)

Všetky orgány, s výnimkou OLAF, spadajú do kategórie orgánov, ktoré sú oprávnené vyžadovať si pri svojej činnosti informácie od FI spravidla za účelom zaistenia obrany a bezpečnosti štátu, ako aj významného hospodárskeho alebo finančného záujmu SR alebo EÚ, vrátane boja proti organizovanej trestnej činnosti, korupcii, legalizácii príjmov z trestnej činnosti a financovaniu terorizmu alebo daňovým únikom. Tento záujem je jednoznačne vymedzený príslušnými právnymi predpismi pre oblasť trestného či daňového konania, činnosť finančnej spravodajskej jednotky alebo spravodajských služieb, teda jednoznačne na účely, ktoré predstavujú významný záujem štátu. Predloženým návrhom sa teda nemení súčasné postavenie žiadateľov o informácie od FI, vytvára sa len nový nástroj, ktorý predstavuje podstatne modernejší a rýchlejší technologický postup získavania údajov.

Spôsob, akým v súčasnosti tieto orgány získavajú informácie, je buď listinnou formou, alebo prostredníctvom dátových schránok (napr. finančná spravodajská jednotka). Oprávnení žiadatelia musia pre získanie potrebnej informácie, či osoba je ich klientom, osloviť jednotlivo všetky FI a následne samostatne spracovať došlé odpovede. K veľkému časovému sklzu dochádza z dôvodu potreby čakať na poslednú odpoveď, inak žiadateľ nemá komplexnú informáciu. Náklady na žiadosti nie sú vynaložené efektívne, nakoľko žiadosť na jednu osobu musí žiadateľ zaslať v takom počte, aký je počet FI na trhu. Najväčším nedostatkom takejto formy získavania informácií je však jednoznačne dĺžka čakania na odpoveď, nakoľko nie je ničím výnimočným, ak žiadateľ obdrží odpoveď v lehote 30 a viac dní. Dĺžka čakania na odpoveď je tak absolútne nevyhovujúca a veľmi zásadným spôsobom negatívne ovplyvňuje efektivitu prebiehajúcich konaní (či už trestných, daňových, atď.).

Značné riziko pri takomto spôsobe získavania potrebných informácií predstavuje práve plošné šírenie osobných údajov subjektov, vo vzťahu ku ktorým vedú príslušné orgány konanie, prípadne ktoré majú v rozpracovaní.

Na strane FI dochádza zároveň k neefektívnemu vynakladaniu finančných prostriedkov spojených so spracovaním žiadostí. Tieto náklady sa dajú rozdeliť do viacerých skupín, a to náklady spojené s prijímaním a následným spracovaním žiadostí, náklady spojené so zasielaním odpovedí (rozdelené na náklady spojené so zasielaním kladných odpovedí a záporných odpovedí) a náklady personálne, softwarové, hardwarové a materiálne (tonery, obálky, papiere, poštovné, náklady spojené so zasielaním prostredníctvom dátových schránok). Výška týchto nákladov je priamo úmerná počtu doručených žiadostí. Počet doručených žiadostí má však vplyv nie len na výšku nákladov, ale aj na dobu potrebnú na vybavenie žiadosti.

1. 
   
   1. 
      
      1. Stanovenie alternatív pomocou biznisovej vrstvy architektúry

1. 
   
   1. 
      
      1. Multikriteriálna analýza

V zmysle vyhodnotenia MCA bude ďalej riešená a posudzovaná alternatíva 2.

1. 
   
   1. 
      
      1. Stanovenie alternatív pomocou aplikačnej vrstvy architektúry

V rámci porovnávania alternatív pomocou aplikačnej vrstvy architektúry boli v rámci porovnania alternatív aplikačnej vrstvy architektúry porovnávané alternatívy, ktoré popisovali v alternatíve č.1 vytvorenie špeciálnej prístupovej aplikačnej infraštruktúry pre systém IS CRU, vytvorenie frontendovej aplikačnej časti, backendovej aplikačnej časti ako i vytvorenie API  a v alternatíve č.2 prepoužiti  RRP ako prístupovej aplikačnej infraštruktúry pre systém IS CRU, vytvorenie frontendovej aplikačnej časti, backendovej aplikačnej časti ako i vytvorenie API.

Na základe porovnania oboch alternatív aplikačnej vrstvy architektúry bolo na základe naplnenie podmienok súvisiacich s bezpečnosťou riešenia, s naplnením biznis služieb, s efektivitou a hospodárnosťou ako i zabezpečením požadovaného integračného prepojenia vybrané riešenie s využitím prepoužitia RRP.

1. 
   
   1. 
      
      1. Stanovenie alternatív pomocou technologickej vrstvy architektúry

Alternatívy na úrovni technologickej architektúry boli zvažované alternatívy vypracované na základe „nadradenej“ architektonickej aplikačnej vrstvy, pričom sa prioritne uvažovalo o využití vládneho cloudu.

Nakoľko v našom prípade nie je možné z dôvodu naplnenia bezpečnostných požiadaviek na systém, hlavne z pohľadu citlivosti informácii súvisiacich s ochranou bankového tajomstva , nie je vhodné využiť vládny cloud v plnom rozsahu projektu, uvažovanie MF SR bolo presmerované na ďalších alternatívy riešenia: hybridnej (časť aplikácií využíva vládny cloud a časť vlastný HW žiadateľa, resp. časť aplikácii využíva komerčný cloud), nasadenie v prostredí komerčného cloudu alebo sú všetky aplikácie nasadené v prostredí vlastného HW žiadateľa (prípady zohľadnenia bezpečnosti alebo iných povinností).

Na základe zohľadnenia bezpečnostných povinností ako i povinnosti súvisiacej s ochranou bankového tajomstva budú všetky aplikácie nasadené v prostredí vlastného HW žiadateľa, pričom sa využije existujúca infraštruktúra DataCentra s prihliadnutím na efektívnosť a hospodárnosť.

1. POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

                  Požadovaným výstupom je vytvorenie, nasadenie a prevádzkovanie CRÚ dostupného pre finančnú spravodajskú jednotku a OČTK ako prioritné opatrenie na odstránenie zistených nedostatkov v rámci národného mechanizmu boja proti legalizácii výnosov z trestnej činnosti a financovaniu terorizmu a ďalšej ekonomickej kriminalite (napr. boj proti podvodom), zneužívaniu schém právnických osôb, korupcie a proti iným nezákonným operáciám.

Zhotoviteľ sa zaviaže zhotoviť Softvérové dielo v nasledovnom rozsahu a jednotlivých plneniach:

1. zhotovenie Softvérového diela v súlade so špecifikáciou vrátane súvisiacej dokumentácie DFŠ vypracovanej Objednávateľom,
2. podrobný Návrh riešenia Softvérového diela vypracovaný Zhotoviteľom na základe Objednávateľom predloženej DFŠ
3. programovanie, vývoj softvéru Softvérového diela,
4. realizácia riešenia, vrátane implementácie a testovania, ktorá zahŕňa:
   1. vývoj, zabezpečenie a poskytnutie súčinnosti Objednávateľovi pri implementácii Softvérového diela a pri uvedení Softvérového diela do prevádzky na produkčnom pracovisku Objednávateľa,
   2. vyhotovenie podporných prostriedkov,
   3. inštalácia, nastavenie parametrov a užívateľského nastavenia Softvérového diela a ich integrácia a ich uvedenie do prevádzky na testovacom pracovisku Objednávateľa. Pre vylúčenie pochybností, Zhotoviteľ dodá Objednávateľovi v rámci Návrhu riešenia aj návrh jednotnej integračnej platformy. Objednávateľ zabezpečí súčinnosť tretích strán na integráciu tretích strán na schválenú jednotnú integračnú platformu,
   4. overenie funkčnosti a úplnosti Softvérového diela a jeho jednotlivých častí,
   5. vyhotovenie dokumentácie o Softvérovom diele,
   6. vytvorenie viacerých variantov návrhov používateľského rozhrania (UI), testovanie návrhov (UI) a vyhotovenie kompletnej podkladovej dokumentácie k používateľskému rozhraniu (UI) Softvérového diela,
5. dodanie Softvérového diela podľa tejto Zmluvy a v zmysle Návrhu riešenia schváleného Objednávateľom.

Zhotoviteľ je povinný odovzdať Objednávateľovi súčasne s odovzdaním Softvérového diela dokumentáciu k Softvérovému dielu minimálne v súlade a v rozsahu prílohy č. 1 Vyhlášky č. 85/2020:

1. Vytvorené zdrojové kódy spôsobom ako je dohodnuté v Článku 9 tejto Zmluvy,
2. technickú dokumentáciu v slovenskom jazyku, ktorá bude obsahovať: postup skompilovania aplikácie, dátový model Softvérového diela v prípade vzniku, popis integračnej, aplikačnej a technickej architektúry, väzby na iné systémy, popis tokov dát, procesné modely elektronických služieb,
3. prevádzkovú dokumentáciu v slovenskom jazyku, ktorá bude obsahovať: inštalačný postup aplikácie, konfiguráciu systémového softvéru serverov a pracovných staníc, chybové stavy a postup ich riešenia, popis mechanizmu riadenia prístupu užívateľov k dátam a k funkciám aplikácie, popis procedúr pre zálohovanie a obnovu dát, popis použitých a navrhovaných technických číselníkov, ich naplnenie pri inicializácii,
4. užívateľskú dokumentáciu v slovenskom jazyku v písomnej forme v počte 2 (dvoch) kusov, ktorá bude obsahovať: popis počítačového programu a jeho funkcií, postupy a úkony potrebné pre riadne užívanie počítačového programu, chybové a neštandardné stavy a dostupné spôsoby ich riešenia.

1. NÁHĽAD ARCHITEKTÚRY

Popis náhľadu architektúry.

Náhľad architektúry zachytáva základné funkcionality aplikácie CRÚ. Všetka komunikácia bude realizovaná cez sieť KTI2. „Užívateľ“ bude prostredníctvom služby „Požadované dáta“ interaktívne zadávať kritéria dotazu, pre získanie požadovanej informácie cez „CRÚ frontend“ (modul CRÚ). „Vlastník dát“ bude prostredníctvom služby „Denný dátový balík“ doručovať dáta o ním spravovaných účtoch.

Pre autorizáciu používateľov systému CRÚ bude využitý modul RRP s využitím 2-faktorovej autentifikácie.

Pre naplnenie požiadavky na vysokú dostupnosť (HA) budú využité 2 lokality, v ktorých bude technická infraštruktúra zrkadlená. Predpoklad je, že budú nasadené minimálne servre uvedené v náhľade (aplikačný SRV, databázový SRV, SRV pre šifrovacie kľúče, repozitárový SRV, logovací SRV).

1. LEGISLATÍVA

1. čl. 32a smernice Európskeho parlamentu a Rady (EÚ) 2018/843 z 30. mája 2018, ktorou sa mení smernica (EÚ) 2015/849 o predchádzaní využívaniu finančného systému na účely prania špinavých peňazí alebo financovania terorizmu a smernice 2009/138/ES a 2013/36/EÚ (ďalej len „V. AML smernica“),
2. smernica Európskeho parlamentu a Rady (EÚ) 2019/1153 z 20. júna 2019, ktorou sa stanovujú pravidlá uľahčovania využívania finančných a iných informácií na predchádzanie určitým trestným činom, ich odhaľovanie, vyšetrovanie alebo stíhanie a ktorou sa zrušuje rozhodnutie Rady 2000/642/SVV (ďalej len „informačná smernica“),
3. zákon č. 123/2022 Z. z. o centrálnom registri účtov a o zmene a doplnení niektorých zákonov,
4. nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
5. zákon č. 95/2019 Z. z., o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
6. zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, v znení neskorších predpisov,
7. zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
8. č. 185/2015 Z. z. Autorský zákon v znení neskorších predpisov,
9. zákon č. 305/2013 Z. z., o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) v znení neskorších predpisov,
10. zákon č. 315/2016 Z. z. o registri partnerov verejného sektora a o zmene a doplnení niektorých zákonov,
11. zákon č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov,
12. zákon č. 45/2011 Z. z. o kritickej infraštruktúre,
13. vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 85/2020 Z. z. o riadení projektov v znení neskorších predpisov,
14. vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. v znení neskorších predpisov,
15. vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa upravuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy,
16. vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení,
17. vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov.

1. ROZPOČET A PRÍNOSY

Odhad jednotlivých aktivít a počet celkových človekodní (MD) na dodanie softvérového diela:

Pôvodný rozpočet Plánu obnovy a odolnosti (oprávnené výdavky):

Dodatkom č. 1 k Zmluve o poskytnutí prostriedkov mechanizmu na podporu obnovy a odolnosť bol rozpočet zmenený nasledovne:

Sumarizácia nákladov a prínosov

Predmetné sme neuplatnili, keďže vybudovanie  IS CRÚ je legislatívnou povinnosť priamo vyplývajúcou z európskej legislatívy - čl. 32a smernice Európskeho parlamentu a Rady (EÚ) 2018/843 z 30. mája 2018, ktorou sa mení smernica (EÚ) 2015/849 o predchádzaní využívaniu finančného systému na účely prania špinavých peňazí alebo financovania terorizmu a smernice 2009/138/ES a 2013/36/EÚ. Efektívnejšie sprístupňovanie informácií o bankových alebo majetkových účtoch a bezpečnostných schránkach vybraným zástupcom obranných a finančných zložiek SR, ako je kriminálna a finančná polícia, policajná inšpekcia, kriminalisti z finančnej správy, Slovenská informačná služba, vojenskí spravodajcovia, súdy a ministerstvo financií, urýchli predchádzanie, odhaľovanie, vyšetrovanie alebo stíhanie páchateľov trestných činov ekonomickej kriminality. Dôvodom zriadenia a prevádzky registra je skutočnosť, že pri komplikovanom a neefektívnom listinnom spôsobe získavania informácií od FI dochádza často k zmareniu účelu jednotlivých konaní či procesov, ktoré vedú príslušné štátne orgány.

1. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Zhotoviteľ softvérového diela (IS CRÚ) bude povinný odovzdať Objednávateľovi súčasne s odovzdaním Softvérového diela dokumentáciu k Softvérovému dielu minimálne v súlade a v rozsahu prílohy č. 1 Vyhlášky č. 85/2020:

1. Vytvorené zdrojové kódy spôsobom ako je dohodnuté v Článku 9 tejto Zmluvy,
2. technickú dokumentáciu v slovenskom jazyku, ktorá bude obsahovať: postup skompilovania aplikácie, dátový model Softvérového diela v prípade vzniku, popis integračnej, aplikačnej a technickej architektúry, väzby na iné systémy, popis tokov dát, procesné modely elektronických služieb,
3. prevádzkovú dokumentáciu v slovenskom jazyku, ktorá bude obsahovať: inštalačný postup aplikácie, konfiguráciu systémového softvéru serverov a pracovných staníc, chybové stavy a postup ich riešenia, popis mechanizmu riadenia prístupu užívateľov k dátam a k funkciám aplikácie, popis procedúr pre zálohovanie a obnovu dát, popis použitých a navrhovaných technických číselníkov, ich naplnenie pri inicializácii,
4. užívateľskú dokumentáciu v slovenskom jazyku v písomnej forme v počte 2 (dvoch) kusov, ktorá bude obsahovať: popis počítačového programu a jeho funkcií, postupy a úkony potrebné pre riadne užívanie počítačového programu, chybové a neštandardné stavy a dostupné spôsoby ich riešenia.

Pričom povinnou prílohou k faktúre mali byť:

1. podpísaný Akceptačný protokol, pričom môže ísť aj o Akceptačný protokol s výhradou, vzťahujúci sa k fakturovanej časti Softvérového diela (čiastkovému plneniu), a
2. schválené výkazy práce vzťahujúce sa k fakturovanej časti Softvérového diela (čiastkovému plneniu).

1. PROJEKTOVÝ TÍM

Členmi riadiaceho výboru sú:

• generálny riaditeľ sekcie finančného trhu, MF SR,
• generálny riaditeľ sekcie informačných technológií,  MF SR,
• riaditeľ centra projektového riadenia Kancelárie ministra vnútra SR ,
• riaditeľ odboru bankovníctva, Sekcia finančného trhu,  MF SR,
• riaditeľ DataCentra,

Riadiaci výbor je riadený predsedom, ktorým je riaditeľ odboru bankovníctva, sekcie finančného trhu Ministerstva financií SR. V prípade neprítomnosti predsedu na zasadnutí riadiaceho výboru, zastupuje jeho funkciu v rozsahu svojich práv a povinností generálny riaditeľ sekcie finančného trhu MF SR.

Projektového manažéra navrhuje a menuje predseda riadiaceho výboru. Projektový manažér nemá hlasovacie právo a nie je členom riadiaceho výboru. Projektový manažér sa bude zúčastňovať na zasadnutiach riadiaceho výboru za účelom administratívnych potrieb, zvolávania zasadnutí, zapisovania a iných pomocných úkonov.

Projektový tím:

1. PRACOVNÉ NÁPLNE

Projektový manažér zodpovedá za administratívu a prípravu všetkých dokumentov a podkladov k projektovému riadeniu, operatívne riadenie projektu, ktorého súčasťou je plánovanie aktivít, rozdeľovanie úloh projektovému tímu a kontrola ich splnenia a kvality. Rovnako tak projektový manažér kontroluje a za asistencie IT konzultanta hodnotí obsah dodávateľských výstupov.

Projektový manažér by potreboval projektového asistenta na zabezpečovanie administratívnych úkonov, nakoľko popri riadení projektov na to projektový manažér nemá dostatok času.

Rovnako tak na niektoré projektové dokumenty by bolo treba zabezpečiť samostatného manažéra na QA keďže opäť ide o prácu, ktorá je nad rámec časových možností projektového manažéra.

Náplňou práce IT konzultanta je predovšetkým podrobná kontrola vývoja samotného IS CRÚ po technickej stránke. Konkrétneho sa zaoberá technickými otázkami, synchronizačnými protokolmi, API, importom dát a i. (teda predovšetkým back-end softvéru). Na základe expertízy asistuje projektovému manažérovi pri hodnotení dodávateľských výstupov.

Súčasťou jadra projektového tímu je aj analytička, ktorej úloha spočíva v systémovej architektúre, tvorbe procesných a stavových diagramov, analýze procesov a systémových riešení IS CRÚ na business úrovni, teda pri tvorbe projektovej dokumentácie, ako DFŠ a i. (po technickej stránke tieto aspekty rieši predovšetkým dodávateľ).

Podporu projektovému tímu poskytuje interný tím testerov, ktorý realizuje používateľské testovanie pilotného riešenia IS CRÚ. Ich výstupy a zistenia sa dokumentujú a následne prostredníctvom aplikácie Trello, prostredníctvom ktorého riešime opravu zistených vád na systéme. Za opravu vád zodpovedá dodávateľ, ktorý ma do Trella rovnako prístup, vďaka čomu je možné akékoľvek zistené vady flexibilne prediskutovať a v najkratšom možnom čase vyriešiť.

Do projektového tímu boli začlenení aj odborníci MF SR pre oblasť informačnej a kybernetickej bezpečnosti, ktorí predovšetkým dohliadajú na zabezpečenie všetkých bezpečnostných požiadaviek kladených na informačný systém s ohľadom na povahu údajov, ktoré sa budú v systéme budú uchovávať (osobné údaje a údaje, ktoré sú predmetom bankového tajomstva).

V roly business vlastníkov vystupuje sekcia finančných trhov MF SR, ktorá zabezpečuje komunikáciu s FI a OČTK. Zabezpečujú prípravu legislatívnych materiálov, právnu podporu a tvorbu vyhlášky, ktorou sa upravuje zákon o CRÚ.

1. ODKAZY

Odkaz na projekt v MetaIS: https://metais.vicepremier.gov.sk/detail/ISVS/fbf01275-72b7-4702-b76c-afed72ec882d/cimaster?tab=basicForm 

1. PRÍLOHY

Príloha č. 1: Zoznam rizík a závislostí  (aktualizovaný počas realizačnej fázy projektu)