I-03 Prístup k projektu (pristup_k_projektu)

PRÍSTUP K PROJEKTU

 Vzor pre manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1. História dokumentu

1. Účel dokumentu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky má obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie musí byť v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.

1. 
   
   1. Použité skratky a pojmy

1. 
   
   1. Konvencie pre typy požiadaviek (príklady)

Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:

FRxx

• U          – užívateľská požiadavka
• R          – označenie požiadavky
• xx         – číslo požiadavky

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

NRxx

• N          – nefunkčná požiadavka (NFR)
• R          – označenie požiadavky
• xx         – číslo požiadavky

Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.

1. Popis navrhovaného riešenia

Navrhované riešenie projektu Integrované informačného systému úradu (IIS ŠÚKL) je komplexným vylepšením, resp. nahradením súčasného informačného systému, ktorý podporuje činnosti ŠÚKL. Projekt sa zameriava na zvýšenie efektivity procesov a zabezpečenie interoperability s ďalšími informačnými systémami verejnej správy. Cieľom projektu je transformácia zastaraného prostredia ústavu, ktorý je nútený riešiť mnoho procesov, resp. krokov v rámci agendy ústav papierovo, prepisovaním dokumentov alebo zastaralých aplikácií, zámenou za modernú platformu, ktorá bude technologicky aktuálna a funkčne bohatá. Výsledkom implementácie projektu bude zjednodušenie a zrýchlenie procesov registrácie liekov, hlásení podozrení na nežiadúce reakcie liekov a zdravotníckych pomôcok, čo povedie k zvýšeniu efektivity a zníženiu času potrebného na vybavenie agendy. Zároveň nový IS poskytne aktuálne a presné informácie pre pracovníkov ŠÚKL, ako aj pre verejnosť, čím sa zlepší transparentnosť a zodpovednosť.

Hlavným cieľom projektu je implementácia Integrované informačného systému úradu (IIS ŠÚKL), ktorý podporí digitálnu transformáciu a zvýši efektivitu poskytovaných služieb. Projekt sa zameriava na modernizáciu a elektronizáciu kľúčových administratívnych procesov, čím sa zlepší používateľská prívetivosť pre občanov a podnikateľov. Nový systém integruje vybrané procesy ŠÚKL do jedného centralizovaného systému, ktorý umožní jednoduché a efektívne podávanie žiadostí o registráciu liekov, hlásení podozrení na nežiadúce reakcie liekov a procesy zdravotníckych pomôcok.

Projekt „Elektronizácia procesov Štátneho ústavu pre kontrolu liečiv“ vznikol ako odpoveď na potrebu komplexnej modernizácie ŠÚKL, aby sa zlepšila a ešte viac zefektívnila misia ŠÚKL dohliadať na bezpečnosť, účinnosť a kvalitu liekov a zdravotníckych pomôcok s dôrazom na záujmy pacientov.

Implementáciou informačného systému sa rovnako zefektívni prístup k dôležitým informáciám a dátam, ktoré sú nevyhnutné pre strategické rozhodovanie a efektívnu spoluprácu. Súčasný stav, ktorý sa vyznačuje absenciou integrovaného informačného systému, vedie k pomalému spracovaniu žiadostí, vysokému objemu administratívnej práce a nedostatočnej flexibilite v rámci agendy ŠÚKL.

Nový systém bude slúžiť ako jednotný prístupový bod pre všetky potrebné informácie a administratívne úkony, čím zlepší komunikáciu a zníži administratívnu záťaž. Systém tiež podporí interoperabilitu s modernými technológiami, čo umožní lepšie využitie digitálnych nástrojov a zvýšenie efektivity procesov. Týmto spôsobom projekt podporuje princípy digitálnej transformácie, znižuje byrokraciu a zvyšuje produktivitu ŠÚKL, čo prispeje k celkovému zlepšeniu kvality poskytovaných služieb.

Projekt je v súlade s cieľmi Národnej koncepcie informatizácie verejnej správy SR a Stratégie digitálnej transformácie Slovenska 2030, a prispieva k modernizácii verejnej správy prostredníctvom zavedenia princípu „1x a dosť“ a zlepšenia dostupnosti a kvality dát vo verejnej správe. Implementácia tohto projektu sa zvýši transparentnosť procesov a umožní lepšie využitie údajov pre strategické účely.

Očakávané Výsledky:

• Rýchlejšie vybavenie žiadostí o registráciu liekov a zdravotníckych pomôcok: skrátenie času potrebného na spracovanie a vydanie rozhodnutí, čo zvýši spokojnosť žiadateľov,
• Lepšia správa dát: zabezpečenie vysokej kvality, presnosti a bezpečnosti údajov,
• Zvýšená efektivita: efektívnejšie vytváranie informácií a reportov pre zainteresované strany, čím sa zvýši transparentnosť procesov a rozhodnutí.

1. Architektúra riešenia projektu

1. 
   
   1. Biznis vrstva

Základným poslaním Štátneho ústavu pre kontrolu liečiv (ďalej aj „ŠÚKL“) je, aby sa pacienti na Slovensku mohli spoľahnúť na to, že sa k nim dostanú bezpečné, účinné a kvalitné lieky či zdravotnícke pomôcky. Za uplynulé obdobie ŠÚKL vykonal množstvo inšpekčných činností a spracoval množstvo žiadostí o registráciu liekov. Laboratóriá ŠÚKL vykonali viac ako 800 analýz a spracovali tisícky hlásení podozrení na nežiadúce účinky liekov.

ŠÚKL v roku 2023

Registrácia liekov

• 372 vydaných rozhodnutí o registrácii nových liekov,
• 6 vedeckých hodnotení pre registráciu centralizovanou procedúrou (EMA),
• 6 017 rozhodnutí o predĺžení, zmenách a prevodoch registrovaných liekov,
• 8 zamietnutých žiadostí o registráciu lieku.

Klinické skúšania

• 134 rozhodnutí o klinickom skúšaní liekov,
• 9 národných inšpekcií správnej klinickej praxe (SKP).

Bezpečnosť liekov

• 2 514 prijatých hlásení podozrení na nežiadúce účinky liekov,
• 5 inšpekcií správnej farmakovigilančnej praxe,
• 13 vedeckých hodnotení bezpečnosti liekov EÚ trhu (EMA).

Zdravotníckej pomôcky

• 1 905 registrovaných a evidovaných zdravotníckych pomôcok,
• 1 850 spracovaných nehôd, porúch a zlyhaní zdravotníckych pomôcok,
• 10 inšpekcií na trhu so zdravotníckymi pomôckami.

Inšpekcia a kontrola kvality

• 540 inšpekcií správnej lekárskej praxe (SLP),
• 51 inšpekcií správnej veľkodistribučnej praxe (SDP),
• 28 inšpekcií správnej výrobnej praxe (SVP) v SR,
• 3 inšpekcie správnej výrobnej praxe v zahraničí,
• 131 vzoriek liekov, u ktorých boli vykonané kontroly kvality,
• 15 stiahnutí liekov alebo účinných látok z trhu.

Drogové prekurzory

• 104 vydaných osobitných povolení, povolení a registrácií s drogovými prekurzormi.

ŠÚKL dohliada na bezpečnosť, účinnosť a kvalitu liekov a zdravotníckych pomôcok s dôrazom na záujmy pacientov. Šíri osvetu a prispieva k zlepšovaniu verejného zdravia.

Víziou ŠÚKL je byť modernou a medzinárodnej uznávanou autoritou v oblasti regulácie liekov a zdravotníckych pomôcok, podporujúcou edukáciu odbornej aj laickej verejnosti.

Cieľom projektu je vybudovanie komplexného informačného systému úradu (KIS ŠÚKL), ktorý bude efektívne elektronicky podporovať procesy ŠÚKL. V záujme ŠÚKL nie je len možnosť elektronicky komunikovať s klientmi  cez elektronické schránky ale aj maximálne využiť IKT na podporu spracovania podaní na ŠÚKL, vypracovanie rozhodnutí, zber dát a podkladov, manažment pracovníkov a ich úloh, vyhľadávanie a reportingu nad registrami, čo bude viesť k lepšiemu využívaniu údajov a znalostí v rozhodovacích procesoch a k zlepšeniu kvality, a efektívnosti procesov. V záujme ŠÚKL je aby nosné agendy „registrácia lieku“, „hlásenie podozrení na nežiadúce účinky liekov“, „oznámenie / registrácia zdravotníckych pomôcok“ mohli byť kompletne vybavované elektronicky. Projekt prinesie ŠÚKL súlad s legislatívou a podporou automatizovaného a štandardizovaného výkonu verejnej moci v súlade s princípmi eGovernmentu.

Návrh architektúry riešenia bude optimalizovať procesy ústavu z organizačného, procesného a technologického hľadiska. V rámci celkovej optimalizácie procesov úradu je potrebné zamerať sa najmä na tie procesy, ktoré realizujú koncové služby pre občanov a podnikateľov a ktoré budú priamo podporené aplikačnými službami informačného systému (IS). Cieľom optimalizácie procesov spolu s poskytovaním koncových služieb je zvýšiť používanie služieb eGovernmentu. Toto bude dosiahnuté poskytovaním koncových služieb, ktoré umožnia občanom a podnikateľom plne vybaviť svoje záležitosti elektronickými prostriedkami, zameraním sa na zlepšovanie kvality života cez princípy ako „jedenkrát a dosť“, multikanálový prístup k službám, personalizovaný prístup pri riešení životných situácií a kvalitný digitálny obsah.

Neustále zlepšovanie služieb prostredníctvom moderných technológií bude umožnené implementáciou analytických modulov a funkcií pre tvorbu a zdieľanie znalostí. Zároveň sa vytvorí bezpečné prostredie pre občanov, podnikateľov a verejnú správu prostredníctvom analýzy nahlásených porušení ochrany údajov, nasadzovaním protiopatrení, vykonávaním kontrol a vedením konaní. Úrad sa priblíži k maximálnemu využívaniu dát v zákaznícky orientovaných procesoch, čo zahŕňa využívanie dát a informácií, ich transformáciu na znalosti a zdieľanie s občanmi a inými úradmi formou e-learningových nástrojov.

Predmetom projektu sú nasledovné (biznis) procesy ŠÚKL:

• Registrácia lieku,
• Hlásenia podozrení na nežiadúce reakcie liekov (vigilancia),
• Zdravotnícke pomôcky,
• Výkon štátneho dozoru na úseku farmácie, inšpekčná činnosť, kontrola činnosti držiteľov povolení na zaobchádzanie s liekmi a zdravotníckymi pomôckami

1. 
   
   1. 
      
      1. Registrácia lieku

Registrácia lieku je proces, vďaka ktorému môže liek vstúpiť na trh. Platnosť registrácie lieku trvá päť rokov. Po registrácii môže dôjsť k rôznym zmenám lieku, od administratívnych cez zmeny kvality až po klinické aktualizácie. Po piatich rokoch od platnosti registrácie lieku musí dôjsť k predĺženiu platnosti registrácie. Predĺženie sa môže schváliť na päť rokov alebo na neobmedzenú dobu. Ak registrovaný liek nie je na slovenskom trhu uvedený viac ako tri roky, dochádza k jeho zrušeniu prostredníctvom procesu „sunset clause“. Životný cyklus lieku sa môže ukončiť aj na základe podania žiadosti o zrušenie registrácie lieku zo strany držiteľa.

V rámci registrácie lieku existuje:

• Postup registrácie lieku národnou procedúrou,
• Postup vzájomného uznávania (Mutual recognition procedure - MRP),
• Decentralizovaný postup (DCP),
• Centralizovaný postup (CP).

Postup registrácie lieku národnou procedúrou

Princípom tohto postupu je podanie žiadosti o registráciu v národnej agentúre v jedinom členskom štáte. Národná agentúra vypracuje hodnotiace správy. V prípade schválenia registrácie vystaví agentúra národné rozhodnutie o povolení uvádzať liek na trh. Toto rozhodnutie je platné iba v danom štáte.

Postup vzájomného uznávania (Mutual recognition procedure - MRP)

Ak je liek už v niektorom z členských štátov EÚ registrovaný, pre registráciu lieku v ďalších štátoch platí postup vzájomného uznávania. Agentúra v členskom štáte, v ktorom je už liek zaregistrovaný, aktualizuje svoju hodnotiacu správu a predloží ju do členských štátov, v ktorých podal držiteľ žiadosť o registráciu lieku. Agentúry dotknutých členských štátov môžu návrh hodnotiacej správy komentovať a vyžiadať si doplňujúce informácie. Konečná hodnotiaca správa je podkladom pre vydanie národných rozhodnutí o registrácii v jednotlivých dotknutých štátoch.

Decentralizovaný postup (DCP)

Ak liek ešte nie je registrovaný v žiadnom zčlenských štátov EÚ, žiadateľ o registráciu lieku požiada jednu z agentúr členských štátov, v ktorom chce mať liek registrovaný o vypracovanie návrhu hodnotiacej správy. Oslovená agentúra návrh vypracuje a rozpošle ho do ostatných dotknutých členských štátov. Členské štáty môžu návrh správy komentovať a vyžiadať si ďalšie doplňujúce informácie. Konečná hodnotiaca správa je podkladom pre vydanie národných rozhodnutí o registrácii v jednotlivých dotknutých štátoch.

Centralizovaný postup (CP)

Centralizovaný postup je riadený Európskou liekovou agentúrou (EMA). Jednotlivé posudky ku kvalite, bezpečnosti a účinnosti sú vypracované "raportérom" a "koraportérom" a sú pridelené dvom národným liekovým agentúram z členských štátov EÚ. Komisia pre humánne lieky (CHMP) vypracuje záverečné stanovisko k registrácii lieku a predloží ho Európskej komisii (EK) sídliacej v Bruseli, ktorá vydá rozhodnutie platné pre všetky štáty EÚ. V prípadoch postupu vzájomného uznávania a decentralizovaného postupu registrácie lieku môže lieková agentúra vystupovať buď v úlohe hlavného referenčného členského štátu (Referencemember state – RMS) alebo v úlohe dotknutého členského štátu (Concernedmember state – CMS).

ŠÚKL v roku 2023 prijal celkovo 6 683 žiadostí (tabuľka č. 1) súvisiacich s registráciou nových liekov, ako aj s postregistračnými žiadosťami (zmeny, predĺženia, prevody a zrušenia) liekov, ktoré sú už v SR registrované. Celkovo z prijatých žiadostí bolo 6 360 prijatých na základe CESP podania, 45 žiadostí prijatých osobne v klientskom centre, 69 ich bolo doručených poštou alebo kuriérom a 209 elektronicky cez ÚPVS (slovensko.sk).

V grafe č.1 je porovnanie trendu podľa spôsobu predkladania žiadostí na ŠÚKL za rok 2020 až 2023

V roku 2023 bolo vybavených 6 608 žiadostí (tabuľka č. 2), pričom v listinnej podobe išlo o 10 žiadostí a elektronicky cez ÚPVS (slovensko.sk) sme odoslali 6 598 rozhodnutí alebo potvrdení o prijatí zmeny.

V grafe č. 2 je porovnanie trendu podľa spôsobu vydávania rozhodnutí a potvrdení za ŠUKL za rok 2020 až 2023.

Pracovníci oddelenia OPAP v priebehu roka 2023 vytvorili 857 identifikačných listov pre lieky a vydali 2 031 nových liekových kódov k registračným žiadostiam typu DCP/MRP/národný proces. ŠÚKL okrem toho vydal aj 351 kódov pre lieky centralizované. Na konci roka 2023 bolo v databáze ŠÚKL platných 51 673 ŠÚKL kódov liekov. Pracovníci príjmu zároveň vydali spolu 116 potvrdení o správnosti ŠÚKL kódu pre CPlieky a pre lieky DCP/MRP/NAR.

Registrácia liekov v roku 2023

• 51 673 registrovaných liekov podľa ŠÚKL kódov,
• 7 376 registrovaných liekov podľa registračných čísel,
• 6 683 prijatých žiadostí o registráciu, zmenu, predĺženie, prevod, zrušenie,
• 6 608 vybavených žiadostí o registráciu, zmenu, predĺženie, prevod, zrušenie,
• 279 novovydaných registračných čísel,
• 2 382 novovydaných ŠÚKL kódov.

Budovaný IIS ŠÚKL bude v rámci oblasti registrácie liekov pokrývať horeuvedené procesy. V rámci Centralizovaného postupu (CP) bude IIS ŠÚKL slúžiť ako databáza, nakoľko pri tomto postupe je proces registrácie realizovaný Európskou liekovou agentúrou (ďalej aj „EMA“).

Budovaný IIS ŠÚKL bude pokrývať jednotlivé procesy a kroky v rámci registrácie lieku.

IIS ŠÚKL umožní okrem iného:

• vyplniť vstupný formulár, vrátane všetkých príloh, pre účely registrácie lieku,
• zobraziť v detaile informácie o lieku,
• bude poskytovať nástroje pre editáciu lieku,
• bude poskytovať nástroje pre riadenie procesu registrácie lieku s rozdielnym postupom spracovania (NP, MRP, CP, DCP),
• bude poskytovať nástroje pre riadenie procesu registrácie lieku v súlade s procesom správneho konania (priebežné ustanovenia, rozhodnutia, sledovanie dodržiavania lehôt).

Popis funkcionalít IIS ŠÚKL je uvedený v kapitole 4.2 Aplikačná vrstva. Jednotlivé podrobné funkčné a nefunkčné požiadavky na IIS ŠÚKL sú uvedené v rámci dokumentu Cost-benefit analýza, v časti Katalóg požiadaviek.

1. 
   
   1. 
      
      1. Hlásenia podozrení na nežiadúce reakcie liekov

Kontinuálne zaznamenávanie a analýza hlásení podozrení na nežiaduce účinky liekov predstavuje nevyhnutnú aktivitu správne fungujúceho systému farmakovigilancie. Informácie zo spontánnych hlásení získané počas používania lieku v klinickej praxi môžu odhaliť doposiaľ nepopísané nežiaduce reakcie, ktoré nie je vždy možné zistiť vo fáze klinického skúšania. Klinické skúšanie predstavuje najrelevantnejší zdroj informácií o účinnosti a bezpečnosti liekov z pohľadu medicíny založenej na dôkazoch. Napriek tomu použitie lieku v klinickej praxi umožňuje získať informácie od väčšej skupiny pacientov i pacientov, ktorí majú rôzne pridružené ochorenia. Monitorovanie hlásení podozrení na nežiaduce účinky liekov tak významne prispieva k bezpečnému užívaniu liekov a minimalizácii prípadných rizík, s ktorými sa užívanie liekov prirodzene spája. Zdravotnícki pracovníci a držitelia rozhodnutia o registrácii lieku sú zo zákona povinní oznámiť akékoľvek podozrenie na nežiaduce účinky liekov, pričom takúto možnosť majú aj samotní pacienti. Každé prijaté hlásenie je evidované, spracované a posúdené národnou autoritou alebo držiteľom rozhodnutia o registrácii lieku a následne zaslané do európskej databázy EudraVigilance. V prípade zistenia nových signifikantných bezpečnostných informácií sa príjmu primerané opatrenia.

Celkový počet spontánnych hlásení prijatých na ŠÚKL predstavoval 874, z toho 240 (27,5 %) bolo závažných. Zdravotnícki pracovníci poslali 524 (60,0 %) hlásení a laici (pacienti, rodičia) 350 (40,0 %) hlásení. Z uvedeného počtu 524 hlásení, lekári zaslali 461, farmaceuti 53 a iní zdravotnícki pracovníci 10 hlásení. Tabuľka č. 6 uvádza počty prijatých hlásení od lekárov podľa ich špecializácie, pričom v 250 hláseniach špecializácia nebola uvedená. Z celkového počtu zaslaných hlásení sa 250 hlásení týkalo mužov, 442 žien a pri 182 nebolo udané pohlavie. Farmaceutické spoločnosti zaslali do EudraVigilance spolu 1640 hlásení (export údajov k 8. 2. 2024).

Budovaný IIS ŠÚKL v rámci hlásenia podozrení na nežiadúce reakcie liekov okrem iného:

• umožní vyplniť vstupný formulár, vrátane všetkých príloh, pre účely podania hlásenia o podozrení na nežiadúce účinky lieku,
• umožní nahlasovanie podozrení na nežiadúce účinky liekov pre externé systémy cez vopred definované API rozhranie,
• umožní automatizované odosielanie zozbieraných hlásení do evidenčných systémov EÚ,
• poskytne prehľadné zobrazenie zoznamu hlásení na rôznej úrovni detailu,
• umožní kategorizovať a vyhodnocovať hlásenia podľa závažnosti a pod.

Popis funkcionalít IIS ŠÚKL je uvedený v kapitole 4.2 Aplikačná vrstva. Jednotlivé podrobné funkčné a nefunkčné požiadavky na IIS ŠÚKL sú uvedené v rámci dokumentu Cost-benefit analýza, v časti Katalóg požiadaviek.

1. 
   
   1. 
      
      1. Zdravotnícke pomôcky

ŠÚKL plní úlohy podľa zákona č. 362/2011 Z.z. o liekoch a zdravotníckych pomôckach na úseku registrácie, evidencie, dohľadu nad trhom so zdravotníckymi pomôckami a diagnostickými zdravotníckymi pomôckami in vitro, rozhoduje o povolení klinického skúšania zdravotníckych pomôcok a štúdie výkonu diagnostických zdravotníckych pomôcok in vitro.

Ďalej plní úlohy členského štátu určené príslušnými Nariadeniami EP a R(EÚ) 2017/745 (MDR) a 2017/746 (IVDR) a spolupracuje s ostatnými členskými štátmi pri výmene informácií.

V rámci oblasti zdravotníckych pomôcok realizuje ŠÚKL nasledovné procesy:

• kvantitatívna a kvalitatívna kontrola predložených dokumentov od hospodárskych subjektov (výrobca, dovozca, distribútor, splnomocnený zástupca),
• prideľovanie a aktualizácia kódov zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro,
• vedenie, kontrola a aktualizácia databázy zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro sprístupnených na Slovensku,
• kontrola a overovanie údajov vložených počas registrácie výrobcov, splnomocnených zástupcov a dovozcov v databáze EUDAMED, úradné oznamovanie rozhodnutia MDCG (Medical Device Coordination Working Group) a EK (Európska komisia),
• vydávanie certifikátov o voľnom predaji zdravotníckej pomôcky alebo certifikátov o voľnom predaji diagnostickej zdravotníckej pomôcky in vitro,
• registrácia distribútorov zdravotníckych pomôcok a zverejňovanie ich zoznamu na webovej stránke,
• vykonáva štátny dohľad nad trhom so zdravotníckymi pomôckami a diagnostickými zdravotníckymi pomôckami in vitro,
• vykonáva inšpekčné kontroly zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro so zameraním na zhodu výrobkov v súlade s príslušnou legislatívou,
• spravuje systém vigilancie zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro a monitoruje výkon zodpovedajúcich nápravných opatrení,
• posudzuje dokumentáciu na klinické skúšanie zdravotníckych pomôcok a štúdiu výkonu diagnostických zdravotníckych pomôcok in vitro a vykonáva úlohy s tým spojené pre dotknutý členský štát,
• podľa potreby prijíma v oblasti zdravotníckych pomôcok opatrenia na ochranu zdravia obyvateľov Slovenskej republiky.

V roku 2023 bol počet vybavených žiadostí o registráciu alebo oznámenie zdravotníckych pomôcok 1905, čo je mierny pokles oproti roku 2022. Je to v dôsledku vykonávania kontroly dokumentov podľa prísnejších postupov Nariadení EP a R(EÚ) 2017/745 – MDR a 2017/746 –IVDR a aj Nariadenia EP a R(EÚ) 2023/607 o prechodnom období, účinného od 20. marca 2023. To sa prejavilo najmä z časového hľadiska a pri dodatočnom predkladaní dokumentácie na základe výziev žiadateľov.

Za rok 2023 sa zaregistrovalo 126 distribútorov, pričom celkovo ŠÚKL eviduje už 373 distribútorov zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro. ŠÚKL vydal pre slovenských výrobcov za rok 2023 dva certifikáty o voľnom predaji. Za Slovenskú republiku bolo vložených do európskej databázy EUDAMED v priebehu roka 2023 vložených 26 nových zdravotníckych pomôcok.

ŠÚKL spravuje databázu zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro, ktorej vyhľadávacia modifikácia je zverejnená na internetovej stránke štátneho ústavu a je dostupná širokej verejnosti.

Trhový dohľad a vigilancia

Informácie získané v rámci systému vigilancie zdravotníckych pomôcok sa využívajú pri spracovávaní hlásení o závažných nehodách zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro sprístupnených na trhu v SR. Slúžia ako zdroj informácií príslušným orgánom a zdravotníckym zariadeniam napr. Ministerstvu zdravotníctva Slovenskej republiky, zdravotným poisťovniam, lekárňam, výdajniam zdravotníckych pomôcok, zdravotníckym zariadeniam, prípadne priamo pacientom. Dochádza tiež k výmene informácií a vigilančných hlásení medzi členskými štátmi.

Počet všetkých hlásení o závažných nehodách v roku 2023 narástol o temer 50% oproti roku 2022 a dosiahol hodnotu 1850, z toho bolo 1388 hlásení o zdravotníckych pomôcok sprístupnených na trhu v Slovenskej republike, čo predstavuje nárast o 70% oproti roku 2022. Vzhľadom na to , že počet takto významne narástol, venovali sme týmto hláseniam zvýšenú pozornosť.

V priebehu roku 2023 bolo z hľadiska proaktívneho dohľadu nad trhom so zdravotníckymi pomôckami vykonaných 10 inšpekcií, v rámci ktorých bolo skontrolovaných 51 náhodne vybratých zdravotníckych pomôcok. Počas týchto inšpekcií boli zistené 4 nezhodné zdravotnícke pomôcky, čo predstavuje percentuálnu mieru nezhody 8 %. V rámci reaktívneho trhového dohľadu bolo spracovaných a vyhodnotených 15 podnetov.

V roku 2023 boli prijatých 12 žiadostí o povolenie klinického skúšania zdravotníckych pomôcok a štúdie výkonu diagnostických zdravotníckych pomôcok in vitro a celkovo ich bolo povolených 11. Okrem toho boli v roku 2023 posúdené dve podstatné zmeny klinického skúšania a štúdie výkonu. Do databázy EUDAMED bolo za SR vložených 11 prípadov klinického skúšania zdravotníckych pomôcok a štúdie výkonu diagnostických zdravotníckych pomôcok in vitro. V tejto dôležitej agende dochádza k značnému nárastu činnosti ( oproti roku 2022 sa počet zdvojnásobil), čo si bude vyžadovať zabezpečenie personálne aj materiálno-technické.

Inšpektori overili v uplynulom roku 20 hlásení z Finančnej správy, týkajúce sa dovozu zdravotníckych pomôcok z tretích krajín a poskytli stanovisko, či prepustiť/ neprepustiť výrobok do režimu voľného obehu. V prevažnej miere išlo o stanoviská k dovozu rôznych typov ZP/IVD ZP najmä z tretích krajín.

Budovaný IIS ŠÚKL bude v rámci zdravotnícky pomôcok okrem iného umožní:

• registráciu zdravotnícky pomôcok (ďalej aj „ZP“) / zdravotníckych pomôcok in vitro (ďalej aj „ZP IVD“), ich výrobcov a distribútorov, to zn. podanie žiadosti - systém umožní vyplniť vstupný formulár, vrátane všetkých príloh,
• registráciu slovenských aj zahraničných výrobcov,
• oznámenie sprístupnenia ZP/ZP IVD podľa zákona č. 362/2011 Z.z. o liekoch a zdravotníckych pomôckach a o zmene a doplnení niektorých zákonov,
• prideľovanie ŠÚKL kódov ZP/ZP IVD,
• hlásenia závažnej nehody / vigilancia ZP/IVD ZP,
• podporu trhového dohľadu po uvedení ZP/ZP IVD na trh,
• integráciu s európskou databázou EUDAMED, registratúrou ŠÚKL a ÚPVS a pod.

Popis funkcionalít IIS ŠÚKL je uvedený v kapitole 4.2 Aplikačná vrstva. Jednotlivé podrobné funkčné a nefunkčné požiadavky na IIS ŠÚKL sú uvedené v rámci dokumentu Cost-benefit analýza, v časti Katalóg požiadaviek.

1. 
   
   1. 
      
      1. Výkon štátneho dozoru na úseku farmácie, inšpekčná činnosť, kontrola činnosti držiteľov povolení na zaobchádzanie s liekmi a zdravotníckymi pomôckami

ŠÚKL realizuje výkon štátneho dozoru na úseku farmácie, inšpekčnu činnosť, kontrolu činnosti držiteľov povolení na zaobchádzanie s liekmi a zdravotníckymi pomôckami v súlade so Zákonom č. 362/2011 Z.z. o liekoch a zdravotníckych pomôckach a o zmene a doplnení niektorých zákonov, Zákonom č. 139/1998 Z.z. o omamných, psychotropných látkach a prípravkoch v znení neskorších predpisov a Zákonom č. 331/2005 Z. z. o orgánoch štátnej správy vo veciach drogových prekurzorov a o zmene a doplnení niektorých zákonov.

ŠÚKL ku koncu roka 2023 evidoval 3 282 poskytovateľov lekárenskej starostlivosti (verejné lekárne, nemocničné lekárne, výdajne a očné optiky), vykonal 50 inšpekcií u veľkodistribútorov, 556 inšpekcií v zariadeniach poskytujúcich lekárenskú starostlivosť, prijal 23 žiadostí o schválenie nových veľkodistribútorov a 243 nových subjektov poskytujúcich lekárenskú starostlivosť, vydal dva registračné formuláre dovozcov a distribútorov účinných látok, chválil štyroch sprostredkovateľov nákupu a predaja humánnych liekov, vydal 12 sublicenčných zmlúv umožňujúcich subjektom poskytujúcim lekárenskú starostlivosť vykonávať internetový výdaj, podal 69 návrhov na správne konanie na ŠÚKL, Ministerstvo zdravotníctva SR, vyššie územné celky (VÚC) a Ministerstvo hospodárstva SR.

Okrem toho v roku 2023 Štátny ústav pre kontrolu liečiv schválil 45 žiadostí o povolenie výnimky z uvádzania údajov v štátnom jazyku na vonkajšom aj vnútornom obale a v príbalovej informácií pre používateľa (PIL) a rovnako v žiadosti o povolenie výnimky z uvádzania údajov na vonkajšom aj vnútornom obale liekov. ŠÚKL prijal 19 žiadosti o korekčný plán pre odlišnosti v balení a v PIL.

Taktiež ŠÚKL minulý rok prijal 3 154 hlásení od držiteľov registrácie liekov o prerušení/obnovení/ skončení dodávania liekov. Z toho 320 hlásení sa týkalo prvého uvedenia liekov na trh, 1 291 hlásení sa týkalo prerušenia dodávania liekov na trh, 273 zrušenia dodávania liekov na trh a 1 270 hlásení sa týkalo obnovenia dodávok. V roku 2023 bolo prijatých a schválených 24 oznámení o realizovanom vývoze. Počet nahlásených vyvezených balení predstavoval 28 693.

Budovaný IIS ŠÚKL okrem iného umožní:

• spravovať nápravné opatrenia v prípade zistení v procese inšpekcie.
• prehľadné zobrazenie inšpekcií a informácie o realizovanej inšpekcii,
• plánovanie a vyhodnocovanie inšpekcií,
• systém bude poskytovať nástroje pre riadenie procesu inšpekcie v súlade s procesom správneho konania (priebežné ustanovenia, rozhodnutia, sledovanie dodržiavania lehôt),
• systém bude poskytovať nástroje pre automatizované sledovanie lehôt v procese správneho konania s odosielaním notifikačných správ zúčastneným stranám po uplynutí lehôt,
• systém bude v procese realizácie inšpekcie poskytovať sadzobníkové služby a pod.

Popis funkcionalít IIS ŠÚKL je uvedený v kapitole 4.2 Aplikačná vrstva. Jednotlivé podrobné funkčné a nefunkčné požiadavky na IIS ŠÚKL sú uvedené v rámci dokumentu Cost-benefit analýza, v časti Katalóg požiadaviek.

Obrázok 1 Model biznis architektúry

1. 
   
   1. 
      
      1. Prehľad koncových služieb – budúci stav:

1. 
   
   1. 
      
      1. Jazyková podpora a lokalizácia

Požiadavky na jazykovú lokalizáciu web riešenia v stave TO BE budú zabezpečené v SK a EN jazyku.

1. 
   
   1. Aplikačná vrstva

Obrázok č.2 Aplikačná architektúra – budúci stav

Táto kapitola popisuje budúci stav aplikačnej architektúry pre integrovaný systém ŠÚKL pozostávajúci z dvoch hlavných domén: Liečivá a Zdravotnícke pomôcky. Cieľom aplikácie je poskytovať moderné, efektívne a škálovateľné riešenie, ktoré zodpovedá princípom servisne orientovanej architektúry prispôsobenej na prevádzkovanie v cloude.

Hlavnou súčasťou systému je webová aplikácia (single page application), ktorá slúži ako používateľské rozhranie a komunikuje s aplikačnými a podpornými komponentmi prostredníctvom API Gateway. Dáta sú uložené v centralizovanej SQL databáze, ktorá slúži ako spoločné úložisko pre všetky komponenty.

1. 
   
   1. 
      
      1. Všeobecný popis aplikačnej architektúry

Architektúra je navrhnutá ako servisne orientovaná, pripravená na nasadenie v kontajnerizovanom prostredí vo vládnom cloude a pozostáva z nasledujúcich vrstiev:

• Prezentačná: Webová aplikácia poskytuje jednotné používateľské rozhranie pre všetkých užívateľov. Je implementovaná ako single page application (SPA) a komunikácia so službami je realizovaná prostredníctvom API Gateway.
• Aplikačné služby: Každý aplikačný komponent je samostatná služba (jedna alebo viac), ktorá rieši špecifickú funkcionalitu. Služby sú navrhnuté tak, aby boli nezávislé, škálovateľné a ľahko udržiavateľné. Medzi aplikačné služby patria aj podporné služby poskytujú infraštruktúrne a systémové funkcie, ako je bezpečnosť, logovanie, monitorovanie a konfigurácia.
• Dátová: Centrálnou zložkou je SQL databáza, ktorá slúži ako úložisko pre všetky dáta potrebné na chod systému.

1. 
   
   1. 
      
      1. Popis aplikačných komponentov

Aplikačné komponenty:

• 
  
  1. 
     
     1. 
        
        1. Webová aplikácia (SPA):
• Poskytuje používateľské rozhranie.
• Implementovaná v modernom JavaScript frameworku (napr. Angular).
• Stiahne sa do prehliadača z webového servera.
• Komunikácia so službami prebieha cez API Gateway.
  1. 
     
     1. 
        
        1. Lieky:

Rieši správu liekov vrátane evidencie, schvaľovania a monitorovania (podrobný popis funkcionality viď. dokument CBA – Katalóg požiadaviek).

1. 
   
   1. 
      
      1. 
         
         1. Zdravotnícke pomôcky:

Zabezpečuje evidenciu a správu zdravotníckych pomôcok (podrobný popis funkcionality viď. dokument CBA – Katalóg požiadaviek).

1. 
   
   1. 
      
      1. 
         
         1. Register Adries:

Služba na evidenciu a správu adries. je synchronizovaný s registrom CSRÚ RA (viď Integračný komponent).

1. 
   
   1. 
      
      1. 
         
         1. Register právnických osôb:

Evidencia právnických osôb zapojených do procesu liekov a zdravotníckych pomôcok. Je synchronizovaný s registrom CSRÚ RPO (viď Integračný komponent).

1. 
   
   1. 
      
      1. 
         
         1. Register fyzických osôb:

Služba na správu fyzických osôb, je synchronizovaný s registrom CSRÚ RFO (viď Integračný komponent).

1. 
   
   1. 
      
      1. 
         
         1. Bezpečnosť liekov:

Monitorovanie vedľajších účinkov a bezpečnosti liekov.

1. 
   
   1. 
      
      1. 
         
         1. Inšpekcia:

Modul na plánovanie, vykonávanie a správu inšpekcií.

1. 
   
   1. 
      
      1. 
         
         1. Integračný komponent na komunikáciu s externými systémami

Integračný komponent je navrhnutý na efektívnu výmenu údajov medzi systémom a externými partnermi, čím zabezpečuje hladkú integráciu s rôznorodými systémami tretích strán. Poskytuje štandardizované rozhrania, ako sú REST a SOAP API, ktoré umožňujú flexibilnú a bezpečnú komunikáciu. Komponent podporuje aj rôzne formáty dát, ako XML, JSON alebo CSV, čo umožňuje prispôsobiť sa technickým požiadavkám jednotlivých partnerov. Súčasťou riešenia je správa chybových stavov a monitorovanie výmeny dát, čo uľahčuje diagnostiku a riešenie problémov.

Plánované integrácie zahŕňajú napojenie na nasledovné externé systémy:

• Centrálne registre štátu: Na prístup k údajom o adresách, právnických a fyzických osobách (CSRU RFO, CSRU RPO, CSRU RA).
• Systémy zdravotníckych autorít: Pre výmenu informácií o schvaľovaní liekov a zdravotníckych pomôcok.
• Medzinárodné databázy a organizácie ako napr. EUDAMED, CTS, CR, PSUR)
• Interné systémy a iné

Kompletný zoznam integrácií viď diagram aplikačná kooperácia.

Komponent tiež podporuje implementáciu bezpečnostných protokolov, ako sú OAuth 2.0 a šifrovanie, na ochranu údajov počas prenosu.

1. 
   
   1. 
      
      1. 
         
         1. Integračný modul na publikovanie údajov

Integračný modul na publikovanie údajov je navrhnutý tak, aby efektívne poskytoval dáta zo zdrojových registrov pre externé systémy a aplikácie. Jeho hlavnou úlohou je publikovať údaje prostredníctvom zdokumentovaného a štandardizovaného REST API, ktoré umožňuje integrátorom ľahko získať potrebné informácie. Modul poskytuje podporu pre rôzne typy dátových dotazov a umožňuje dynamické filtrovanie údajov podľa špecifických potrieb odberateľov.

Kľúčovou vlastnosťou modulu je jeho schopnosť zabezpečiť konzistentnosť a aktuálnosť publikovaných dát. Modul je optimalizovaný na vysokú záťaž a umožňuje súčasný prístup viacerých integrátorov bez negatívneho vplyvu na výkon. Navyše obsahuje logovanie a monitorovanie všetkých operácií, čo zabezpečuje prehľadnosť pri publikovaní údajov a podporuje jednoduchšiu diagnostiku chýb. Bezpečnostné opatrenia, ako autentifikácia cez API kľúče a šifrovanie prenosu, zaručujú ochranu citlivých informácií pri komunikácii s externými systémami.

1. 
   
   1. 
      
      1. Podporné komponenty:
         1. IAM (Identity and Access Management):

IAM modul je zodpovedný za správu autentifikácie a autorizácie používateľov. Poskytuje integráciu s Active Directory (AD) a s jednotným modulom autentifikácie UPVS (IAM UPVS), čím zabezpečuje jednotnú identitu naprieč systémami. Podporuje viacfaktorovú autentifikáciu (MFA), čím zvyšuje bezpečnosť pri prístupe k aplikácii. IAM umožňuje detailné riadenie prístupových práv na úrovni služieb, komponentov a používateľských rolí. Navyše, modul obsahuje aj audítorské funkcie na zaznamenávanie prístupov a manipulácií s údajmi.

1. 
   
   1. 
      
      1. 
         
         1. BPMS (Business Process Management System):

BPMS slúži na riadenie obchodných procesov a orchestráciu služieb v rámci aplikácie. Umožňuje modelovanie, automatizáciu a monitorovanie pracovných postupov, ktoré prechádzajú medzi viacerými komponentmi. Tento modul umožňuje rýchle prispôsobenie procesov zmenám legislatívy alebo biznis požiadaviek bez zásahov do kódu jednotlivých služieb. Integrácia BPMS s aplikačnými komponentmi zaisťuje konzistenciu a prehľadnosť všetkých procesov.

1. 
   
   1. 
      
      1. 
         
         1. Všeobecné API (Core API, jadro):

Všeobecné API slúži ako základná infraštruktúra, ktorá poskytuje často používané služby, ako sú číselníky, zoznamy a pomocné funkcie. Tento modul umožňuje centralizovanú správu týchto údajov, aby sa zabránilo duplikácii v jednotlivých komponentoch. Poskytuje jednoduché rozhranie pre ostatné služby a webovú aplikáciu, čím znižuje zložitosť a zlepšuje konzistenciu dát. Okrem toho zabezpečuje podporu pre medzislužbovú komunikáciu a prenos dát. Je optimalizovaný pre vysokú dostupnosť a výkon pri práci s veľkým objemom údajov.

1. 
   
   1. 
      
      1. 
         
         1. API Gateway:

API Gateway je modul, ktorý sprostredkováva komunikáciu medzi webovou aplikáciou a jednotlivými službami. Riadi smerovanie požiadaviek, overovanie používateľov a transformáciu dát medzi klientom a službami. Tento modul umožňuje centralizovanú správu bezpečnosti vrátane šifrovania prenosu a ochrany proti útokom typu DDoS. API Gateway tiež poskytuje funkcie na vyrovnávanie záťaže a caching, čo zlepšuje výkon systému. Navyše podporuje monitorovanie a logovanie všetkých požiadaviek, čo umožňuje lepšiu diagnostiku a údržbu.

1. 
   
   1. 
      
      1. 
         
         1. Web server:

Web server hostuje webovú aplikáciu (single page application) a implementuje API Gateway pre jednotnú komunikáciu. Zabezpečuje rýchle a spoľahlivé poskytovanie statického obsahu (HTML, CSS, JavaScript) používateľskému rozhraniu. Web server je optimalizovaný na vysoký výkon a škálovateľnosť, aby zvládol veľký počet súčasných používateľov. Obsahuje aj funkcie na správu certifikátov a šifrovanie HTTPS pripojení na ochranu údajov počas prenosu.

1. 
   
   1. 
      
      1. 
         
         1. Modul logovania:

Modul logovania slúži na zaznamenávanie udalostí v rámci celého systému. Každý komponent odosiela svoje záznamy do centrálneho logovacieho modulu, čo umožňuje jednoduchú analýzu udalostí a identifikáciu problémov. Modul podporuje nastavenie rôznych úrovní logovania (chyby, varovania, info, debug) a umožňuje filtrovanie podľa komponentov, dátumu a typu udalostí. Súčasťou je aj možnosť integrácie s externými nástrojmi na analýzu logov, ako napríklad ELK stack. Tento modul je kritický pre diagnostiku, sledovanie prevádzky a audity bezpečnosti.

1. 
   
   1. 
      
      1. 
         
         1. Modul monitorovania:

Modul monitorovania zabezpečuje priebežné sledovanie výkonu a stavu jednotlivých komponentov systému. Poskytuje metriky ako dostupnosť, latencia, vyťaženie zdrojov a počet chýb, čím pomáha identifikovať a riešiť problémy skôr, ako ovplyvnia používateľov. Obsahuje funkcie na notifikácie a alerty v prípade výpadkov alebo prekročenia definovaných prahových hodnôt. Modul monitorovania môže byť integrovaný s nástrojmi ako Prometheus alebo Grafana na vizualizáciu a analýzu dát. Pomáha tiež plánovať kapacitu systému a zlepšovať celkovú prevádzkovú efektivitu.

1. 
   
   1. 
      
      1. 
         
         1. Modul konfigurácií:

Tento modul centralizuje správu konfigurácií pre všetky aplikačné komponenty. Umožňuje dynamické načítanie konfigurácií, čo znižuje potrebu manuálnych zásahov pri nasadzovaní alebo aktualizáciách. Modul podporuje verzovanie konfigurácií a možnosť okamžitého vrátenia zmien v prípade problémov. Obsahuje nástroje na zabezpečenie citlivých údajov, ako sú šifrované uloženie prihlasovacích údajov alebo API kľúčov. Je navrhnutý tak, aby bol škálovateľný a odolný voči výpadkom prostredníctvom replikácie konfigurácií.

1. 
   
   1. 
      
      1. 
         
         1. Modul reporting:

Modul na reporting poskytuje nástroje na generovanie prehľadných reportov a štatistík zo systému. Umožňuje vytvárať vlastné reporty na základe filtrov, časových období a vybraných dátových zdrojov. Generované reporty sú prístupné v rôznych formátoch, ako sú PDF, Excel alebo interaktívne grafy. Modul podporuje automatizované plánovanie reportov, čo šetrí čas a zvyšuje efektivitu. Je navrhnutý tak, aby zvládal veľké objemy dát a bol integrovaný s ďalšími analytickými nástrojmi pre pokročilé analýzy.

1. 
   
   1. 
      
      1. 
         
         1. SQL databáza

SQL databáza slúži ako centrálne úložisko všetkých dát potrebných na prevádzku systému. Je navrhnutá s dôrazom na bezpečnosť a konzistenciu. Databáza uchováva štruktúrované dáta pre všetky aplikačné a podporné komponenty, pričom každý komponent má svoje vlastné schémy a tabuľky, čo zabezpečuje lepšiu izoláciu dát a uľahčuje správu.

Databáza je centralizovaná, no podporuje horizontálne škálovanie, aby bola schopná zvládnuť rastúce požiadavky na úložný priestor a výkon. Obsahuje funkcie zálohovania a obnovy, čo minimalizuje riziko straty dát. Bezpečnosť je posilnená implementáciou rolí a prístupových práv. SQL databáza je navyše pripravená na integráciu s analytickými a reportingovými nástrojmi, čo umožňuje efektívne spracovanie veľkých objemov dát pre potreby biznis analýz a reportov. Týmto spôsobom podporuje databáza nielen každodennú prevádzku systému, ale aj strategické rozhodovanie na základe dát.

1. 
   
   1. 
      
      1. Rozsah informačných systémov – AS IS

1. 
   
   1. 
      
      1. Rozsah informačných systémov – TO BE

1. 
   
   1. 
      
      1. Využívanie nadrezortných a spoločných ISVS – AS IS

V súčasnosti nie sú využívané nadrezortné a spoločné ISVS.

1. 
   
   1. 
      
      1. Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

1. 
   
   1. 
      
      1. Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

1. 
   
   1. 
      
      1. Aplikačné služby pre realizáciu koncových služieb – TO BE

1. 
   
   1. 
      
      1. Aplikačné služby na integráciu – TO BE

1. 
   
   1. 
      
      1. Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

Projekt neplánuje poskytovať údaje do IS CSRÚ.

1. 
   
   1. 
      
      1. Konzumovanie údajov z IS CSRU – TO BE

1. 
   
   1. Dátová vrstva

V súčasnosti ŠÚKL nemá zavedený systematický manažment údajov (vrátane nastavenia príslušných procesov a metodík pre správu celého životného cyklu údajov). ŠÚKL pracuje s množstvom dátových štruktúr, ktoré sú popísané v rôznych zákonoch a vyhláškach. Najdôležitejšie dátové štruktúry sú v súčasnosti natvrdo implementované v informačných systémoch, ktoré neumožňujú robiť zmeny v týchto štruktúrach, či už z dôvodu, že ŠÚKL nie je vlastníkom autorských práv k informačným systémom alebo z dôvodu, že informačné systémy sú technologicky zastarané a potenciálne zmeny v nich sú ťažko realizovateľné.

1. 
   
   1. 
      
      1. Údaje v správe organizácie

1. 
   
   1. 
      
      1. Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

1. 
   
   1. 
      
      1. Referenčné údaje

1. 
   
   1. 
      
      1. 
         
         1. Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné

1. 
   
   1. 
      
      1. 
         
         1. Identifikácia údajov pre konzumovanie alebo poskytovanie údajov  do/z CSRU

1. 
   
   1. 
      
      1. Kvalita a čistenie údajov

1. 
   
   1. 
      
      1. 
         
         1. Zhodnotenie objektov evidencie z pohľadu dátovej kvality

1. 
   
   1. 
      
      1. 
         
         1. Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality

1. 
   
   1. 
      
      1. Otvorené údaje

1. 
   
   1. 
      
      1. Analytické údaje

1. 
   
   1. 
      
      1. Moje údaje

N/A

1. 
   
   1. 
      
      1. Prehľad jednotlivých kategórií údajov

1. 
   
   1. Technologická vrstva

1. 
   
   1. 
      
      1. Prehľad technologického stavu - AS IS

1. 
   
   1. 
      
      1. Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

1. 
   
   1. 
      
      1. Návrh riešenia technologickej architektúry

Táto kapitola popisuje technologickú architektúru aplikácie Integrovaný systém ŠÚKL, ktorá bude nasadená vo vládnom cloude. Architektúra je navrhnutá tak, aby dodržiavala najvyššie štandardy bezpečnosti, škálovateľnosti a dostupnosti. Nasledujúci text poskytuje podrobný popis sieťovej topológie, využitia virtuálnych strojov a hlavných technologických komponentov.

1. 
   
   1. 
      
      1. 
         
         1. DMZ vrstva (Demilitarizovaná zóna)

DMZ vrstva slúži ako rozhranie medzi internými systémami aplikácie a externými sieťami, ako sú internet a GOVNET. Táto vrstva obsahuje reverse proxy server, ktorý sprostredkováva bezpečný prístup k webovej aplikácii, zabezpečuje šifrovanie komunikácie a ochranu pred útokmi typu DDoS. Pripojenie na GOVNET umožňuje integráciu s ÚPVS (Ústredný portál verejnej správy) pre výmenu údajov, zatiaľ čo internetové pripojenie zabezpečuje používateľom prístup k aplikácii a integráciu s externými repozitármi na inštalácie, aktualizácie a konfigurácie od dodávateľa.

1. 
   
   1. 
      
      1. 
         
         1. Sieť vrstvy 1 (VPN pripojenie)

Sieť vrstvy 1 poskytuje zabezpečené VPN pripojenie medzi aplikáciou a ŠÚKL (Štátny ústav pre kontrolu liečiv). Toto spojenie je potrebné pre potenciálnu integráciu aplikácie s internými systémami ŠÚKL, ako je Active Directory (AD) na synchronizáciu používateľov a autentifikačné procesy. VPN tunel je navrhnutý tak, aby zabezpečil vysokú úroveň ochrany údajov počas prenosu.

1. 
   
   1. 
      
      1. 
         
         1. Sieť vrstvy 2 (Aplikačné služby)

Sieť vrstvy 2 je vyhradená pre aplikačné služby, ktoré bežia v kontajnerizovanom prostredí. Obsahuje virtuálne stroje, ktoré hosťujú manažéra a workery kontajnerovej platformy, zabezpečujúce nasadzovanie a orchestráciu jednotlivých služieb. Táto vrstva je optimalizovaná pre vysoký výkon a podporuje horizontálne škálovanie na základe aktuálnej záťaže.

1. 
   
   1. 
      
      1. 
         
         1. Sieť vrstvy 3 (Databázová vrstva)

Sieť vrstvy 3 je izolovaná od ostatných vrstiev a vyhradená výlučne pre databázový server. Táto izolácia minimalizuje riziko neoprávneného prístupu a chráni citlivé údaje uložené v databáze. Zabezpečenie siete zahŕňa firewall pravidlá a šifrovanú komunikáciu medzi databázou a aplikačnými službami.

Virtuálne stroje

1. 
   
   1. 
      
      1. 
         
         1. VM 1: Reverse Proxy

Tento virtuálny stroj je nasadený v DMZ vrstve a obsahuje reverse proxy server, ktorý funguje ako vstupný bod pre požiadavky používateľov. Reverse proxy sprostredkováva komunikáciu medzi klientmi a aplikačnými službami, pričom zaisťuje šifrovanie prostredníctvom TLS certifikátov. Taktiež implementuje bezpečnostné mechanizmy, ako je ochrana pred útokmi DDoS a filtrovanie nevhodného prístupu.

1. 
   
   1. 
      
      1. 
         
         1. VM 2: Manažér kontajnerizovanej platformy

Tento stroj riadi kontajnerizovanú platformu (napr. Kubernetes alebo Docker Swarm) a umožňuje správu služieb. Obsahuje nástroje na orchestráciu, škálovanie a monitorovanie behu aplikácie. Manažér komunikuje s workermi a zabezpečuje nasadzovanie a aktualizácie služieb podľa definovaných pravidiel.

1. 
   
   1. 
      
      1. 
         
         1. VM 3: Worker kontajnerizovanej platformy

Worker je virtuálny stroj, na ktorom bežia samotné kontajnery obsahujúce aplikačné služby. Tento stroj je škálovateľný a dokáže dynamicky pridávať alebo odstraňovať služby podľa aktuálnej záťaže. Jeho konfigurácia je optimalizovaná na efektívne využitie výpočtových a sieťových zdrojov.

1. 
   
   1. 
      
      1. 
         
         1. VM 4: Reporting

Virtuálny stroj pre reporting je určený na spracovanie a generovanie reportov z údajov uložených v databáze. Obsahuje reportingové nástroje, ktoré sú schopné efektívne spracovať veľké objemy dát a prezentovať ich v užívateľsky priateľskej forme. Tento stroj je navrhnutý tak, aby zvládal vysokú záťaž počas reportovacích procesov.

1. 
   
   1. 
      
      1. 
         
         1. VM 5: Zálohovanie

Tento stroj je zodpovedný za zálohovanie všetkých komponentov aplikácie a údajov uložených v databáze. Zálohy sú ukladané na disky typu Tier 3, ktoré poskytujú dlhodobú dostupnosť a odolnosť voči poruchám. Automatizovaný zálohovací systém zaručuje pravidelné a spoľahlivé zálohy pre obnovu v prípade výpadkov alebo chýb.

1. 
   
   1. 
      
      1. 
         
         1. VM 6: Databáza

Virtuálny stroj hostuje SQL databázu, ktorá je úložiskom všetkých údajov aplikácie. Databázový server je optimalizovaný na vysoký výkon pri spracovaní veľkého množstva transakcií a zabezpečený proti neoprávnenému prístupu. Súčasťou konfigurácie je aj šifrovanie dát a pravidelné zálohy pre ochranu pred stratou údajov.

Technologické komponenty

1. 
   
   1. 
      
      1. 
         
         1. Kontajnerizačná platforma

Používanie Docker kontajnerov zabezpečuje izoláciu aplikačných služieb a jednoduchú správu ich životného cyklu. Kubernetes alebo Docker Swarm poskytujú pokročilé možnosti orchestrácie, vrátane škálovania služieb na základe požiadaviek používateľov. Táto technológia umožňuje rýchle nasadzovanie nových verzií a jednoduchú integráciu s existujúcimi infraštruktúrami.

1. 
   
   1. 
      
      1. 
         
         1. Reverse Proxy

Reverse proxy slúži ako ochranná vrstva medzi klientmi a aplikačnými službami. Zabezpečuje šifrovanú komunikáciu, load balancing a ochranu pred škodlivými útokmi, ako je DDoS. Implementácia reverse proxy je kľúčová pre zabezpečenie dostupnosti a výkonu aplikácie.

1. 
   
   1. 
      
      1. 
         
         1. Zálohovacie nástroje

Automatizované zálohovacie riešenia zaručujú pravidelné ukladanie údajov a konfigurácií aplikácie. Súčasťou nástrojov je aj obnova systému zo záloh v prípade výpadkov alebo straty dát. Zálohovanie je integrované so zálohovacím serverom (VM 5) a disky Tier 3 poskytujú dodatočnú ochranu údajov.

1. 
   
   1. 
      
      1. 
         
         1. Monitorovanie a logovanie

Monitorovanie výkonu a logovanie udalostí sú nevyhnutné pre efektívnu správu infraštruktúry. Používajú sa nástroje ako Prometheus a Grafana, ktoré poskytujú prehľad o stave systémov a umožňujú rýchlu diagnostiku problémov. Centralizované logovanie umožňuje efektívne sledovanie bezpečnostných incidentov a operácií.

1. 
   
   1. 
      
      1. 
         
         1. Sieťová bezpečnosť

Firewall medzi sieťovými vrstvami chráni jednotlivé komponenty pred neoprávnenými prístupmi. Dodatočné bezpečnostné opatrenia, ako je šifrovanie komunikácie a autentifikácia pomocou certifikátov, zaručujú ochranu údajov pred únikom alebo manipuláciou. Sieťová bezpečnosť je navrhnutá tak, aby vyhovovala požiadavkám vládneho cloudu.

Navrhnutá technologická architektúra umožňuje efektívne nasadenie a správu aplikácie vo vládnom cloude s dôrazom na bezpečnosť, výkon a škálovateľnosť. Tieto vlastnosti zaručujú spoľahlivú prevádzku aplikácie aj v náročných podmienkach. Popísaná architektúra nerieši zapojenie komponentov vo vysokej dostupnosti (HA, high availability), ale podporuje takýto typ prevádzky. Replikovaním virtuálnych strojov je možné takúto konfiguráciu ľahko dosiahnuť. HA sa dosiahne pridaním replík VM na úrovni proxy serverov, managerov a workerov kontajnerizovaného clustera a nainštalovaním databázového clustera.

Bezpečnosť architektúry

Bezpečnosť je kľúčovým aspektom navrhovanej technologickej architektúry, ktorá bude nasadená vo vládnom cloude. Táto kapitola popisuje opatrenia na ochranu citlivých údajov, zabezpečenie prístupu a obranu proti vonkajším aj vnútorným hrozbám. Návrh reflektuje súčasné bezpečnostné štandardy a požiadavky na ochranu vládnych informačných systémov.

1. 
   
   1. 
      
      1. 
         
         1. Sieťová bezpečnosť

Oddelenie sieťových vrstiev: Sieťová topológia je rozdelená na štyri vrstvy (DMZ, Sieť vrstvy 1, Sieť vrstvy 2, Sieť vrstvy 3), čo minimalizuje možnosť prieniku medzi komponentmi. Každá vrstva je izolovaná prostredníctvom firewallov, ktoré kontrolujú povolené spojenia a blokujú neoprávnené pokusy o prístup.

Firewall a pravidlá: Firewall pravidlá sú nakonfigurované tak, aby povolili iba potrebnú komunikáciu medzi jednotlivými vrstvami a externými systémami. Tým sa eliminuje možnosť neoprávneného prístupu do citlivých častí siete.

Šifrovanie komunikácie: Všetka komunikácia medzi komponentmi je šifrovaná pomocou TLS certifikátov. Toto šifrovanie zabezpečuje ochranu prenášaných údajov pred odpočúvaním a manipuláciou.

1. 
   
   1. 
      
      1. 
         
         1. Ochrana prístupu

Autentifikácia a autorizácia: Prístup k aplikácii je zabezpečený cez centrálne IAM (Identity and Access Management), ktoré integruje Active Directory (AD). Každý používateľ má definované prístupové práva podľa svojej roly, čím sa minimalizuje riziko neoprávnených akcií.

Dvojfaktorová autentifikácia (2FA): IAM podporuje dvojfaktorovú autentifikáciu, čím sa zvyšuje ochrana pred krádežou prihlasovacích údajov.

Bezpečný vzdialený prístup: Administrátori pristupujú k systémom výhradne cez VPN pripojenie, čo zaručuje, že externé pripojenia sú zabezpečené a monitorované.

1. 
   
   1. 
      
      1. 
         
         1. Ochrana údajov

Šifrovanie údajov: citlivé údaje ako heslá a API kľúče sú kryptované, aby bola zabezpečená ich ochrana pri krádeži alebo neoprávnenom prístupe.

Zálohovanie a obnova: Automatizované zálohovacie procesy ukladajú zálohy na disky Tier 3, ktoré sú zabezpečené proti strate dát. Testované plány obnovy zaručujú dostupnosť údajov aj v prípade výpadku alebo kybernetického útoku.

Anonymizácia citlivých údajov: Pri prenosoch údajov medzi systémami alebo pri analytických operáciách sa citlivé údaje anonymizujú, aby bola zaručená ich ochrana.

1. 
   
   1. 
      
      1. 
         
         1. Prevencia pred útokmi

Ochrana pred DDoS útokmi: Reverse proxy server v DMZ vrstve obsahuje nástroje na detekciu a zmiernenie DDoS útokov, čím je zabezpečená dostupnosť aplikácie aj počas masívnych útokov.

Monitorovanie bezpečnosti: Nástroje na monitorovanie (napr. Prometheus a Grafana) neustále sledujú stav systému a upozorňujú na podozrivé aktivity, ako sú neoprávnené pokusy o prístup alebo abnormálne správanie komponentov.

Pravidelné aktualizácie: Všetky komponenty aplikácie, vrátane kontajnerov a operačných systémov, sú pravidelne aktualizované na odstránenie známych bezpečnostných zraniteľností.

1. 
   
   1. 
      
      1. 
         
         1. Bezpečnostné audity a testovanie

Pravidelné bezpečnostné audity: Systém podlieha pravidelným auditom, aby sa overilo dodržiavanie bezpečnostných politík a odhalili možné slabé miesta.

Penetračné testy: Súčasťou vývoja a prevádzky sú penetračné testy, ktoré simulujú reálne útoky na systém s cieľom identifikovať zraniteľnosti. Výsledky testov slúžia na implementáciu potrebných zlepšení.

Logovanie a analýza: Všetky udalosti v systéme sú zaznamenávané v centralizovanom logovacom module. Logy sú pravidelne analyzované, aby sa odhalili potenciálne bezpečnostné incidenty.

1. 
   
   1. 
      
      1. 
         
         1. Bezpečný vývoj

Dodávateľ počas implementácie projektov postupuje podľa všeobecne známych pravidiel bezpečného vývoja softvéru. Požiadavky informačnej bezpečnosti sú uvažované v celom trvaní implementácie projektu, vrátane zmenových konaní. Dodávateľ aplikuje metodologické postupy vychádzajúce z OWASP SAMM.

1. 
   
   1. 
      
      1. Využívanie služieb z katalógu služieb vládneho cloudu

1. 
   
   1. Bezpečnostná architektúra

Základnými východiskami pre rozvíjané riešenie bezpečnosti IS sú rovnako ako v súčasnom stave právne predpisy ako zákon č. 18/2018 Z.z. o ochrane osobných údajov, zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe, zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a ďalej ISO/IES 27000, Common Criteria a OWASP Guides a dodatočných požiadaviek prevádzkovateľa systému. 

Riešenie bude v oblasti bezpečnosti a ochrany dát aplikovať relevantné centrálne nastavené bezpečnostné politiky a pravidlá.

Všetky rozhrania si budú vyžadovať pripojenie pomocou SSL. Zabezpečený bude monitoring sieťových prístupov, bezpečnosti údajov na diskových poliach, logovanie prístupov a zmien, ako aj služba poskytovania bezpečnej prístupovej siete. V rámci samotného IS budú využívané analytické nástroje pre monitorovanie a vyhodnocovanie bezpečnosti. V rámci IKT vybavenia bude zabezpečené nástroje pre ochranu proti škodlivému softvéru. IKT vybavenie v rámci miest podpory bude využívať VPN prepojenie. Pred spustením IS do prevádzky budú realizované penetračné testy.

Povinnosťou bude preukázať súlad so zákonom č. 95/2019 zákona o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov. Pre úspešnú realizáciu projektu je potrebné zabezpečiť dodržanie pravidiel stanovených Vyhláškou č. 78/2020 (resp. jej novelizácii) Z. z. o štandardoch pre informačné technológie verejnej správy. Z hľadiska ochrany osobných údajov bude dátový manažment realizovaný v súlade so zákonom č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Implementácia a prevádzka systému musí v oblasti bezpečnosti brať do úvahy aj Zákon 69/2018 Z. z. o kybernetickej bezpečnosti, v znení neskorších predpisov. Bude vypracovaný bezpečnostný projekt rešpektujúci tieto pravidlá.

Bezpečnostná architektúra budúceho stavu bude v súlade s dotknutými právnymi normami a zároveň s technickými normami, ktoré stanovujú úroveň potrebnej bezpečnosti IS, pre manipuláciu so samotnými dátami, alebo technické / technologické / personálne zabezpečenie samotnej výpočtovej techniky/HW vybavenia. Ide najmä o:

• zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov
• zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
• zákon č. 45/2011 Z.z. o kritickej infraštruktúre
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
• vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
• nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
• zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
• smernica Európskeho parlamentu a Rady (EÚ) (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2)
• zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej aj „zákon o kybernetickej bezpečnosti“),
• vyhláška Národného bezpečnostného úradu č. 164/2018 Z. z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby),
• vyhláška Národného bezpečnostného úradu č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov,
• vyhláška Národného bezpečnostného úradu č. 264/2023 Z. z. ktorou sa mení a dopĺňa vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení,
• vyhláška Národného bezpečnostného úradu č. 493/2022 Z. z. o audite kybernetickej bezpečnosti,
• zákon č. 301/2023 Z. z. ktorým sa mení a dopĺňa zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony,
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy,
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy,
• nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) – GDPR,
• zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
• Metodika analýzy rizík kybernetickej bezpečnosti - Metodika analýzy rizík pre uplatnenie v procesoch riadenia rizika v zmysle požiadaviek zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (NBÚ)

1. Závislosti na ostatné ISVS / projekty

Predkladaný projekt nie je závislý na iných pripravovaných resp. prebiehajúcich projektoch.

1. Zdrojové kódy

Súčasťou dodávky budú aj zdrojové kódy k vytvorenému riešeniu, pokiaľ to nevylučujú licenčné podmienky tretích osôb vo vzťahu k štandardným Softvérovým produktom, s komentármi a technickým popisom, a to pre prevádzkové a testovacie verzie počítačových programov, a práva na ich zverejnenie v centrálnom repozitári zdrojových kódov podľa § 15 ods. 2 písm. d) Zákona o informačných technológiách vo verejnej správe a § 31 vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu o štandardoch pre informačné technológie verejnej správy č. 78/2020 Z. z., a iného predpisu, ktorý môže v budúcnosti vyhlášku č. 78/2020 Z. z. nahradiť alebo doplniť.

ŠÚKL plánuje pri obstarávaní postupovať v zmysle vzoru Zmluvy o dielo. Zmluvnú úpravu predkladáme nasledujúcu:

• Zhotoviteľ je povinný pri akceptácii Informačného systému odovzdať Objednávateľovi funkčné vývojové a produkčné prostredie, ktoré je súčasťou Informačného systému.
• Zhotoviteľ je povinný pri akceptácii Informačného systému alebo jeho časti odovzdať Objednávateľovi Vytvorený zdrojový kód v jeho úplnej aktuálnej podobe, zapečatený, na neprepisovateľnom technickom nosiči dát s označením časti a verzie Informačného systému, ktorej sa týka. Za odovzdanie Vytvoreného zdrojového kódu Objednávateľovi sa na účely tejto Zmluvy o dielo rozumie odovzdanie technického nosiča dát Oprávnenej osobe Objednávateľa. O odovzdaní a prevzatí technického nosiča dát bude oboma Zmluvnými stranami spísaný a podpísaný preberací protokol.
• Informačný systém (Dielo) v súlade s Technickou špecifikáciou obsahuje od zvyšku Diela oddeliteľný modul (časť) vytvorený Zhotoviteľom pri plnení tejto Zmluvy o dielo, ktorý je bez úpravy použiteľný aj tretími osobami, aj na iné alebo podobné účely, ako je účel vyplývajúci z tejto Zmluvy o dielo (ďalej ako „Modul"). A to najmä pre modul Karta občana. Vytvorený zdrojový kód Informačného systému (s výnimkou Modulu) vrátane jeho dokumentácie bude prístupný v režime podľa § 31 ods. 4 písm. b) Vyhlášky č. 78/2020 (s obmedzenou dostupnosťou pre orgán vedenia a orgány riadenia v zmysle Zákona o ITVS – vytvorený zdrojový kód je dostupný len pre orgán vedenia a orgány riadenia). Pre zamedzenie pochybností uvádzame, že sa jedná len o zdrojový kód ktorý Dodávateľ vytvoril, alebo pozmenil v súvislosti s realizáciou diela. Objednávateľ je oprávnený sprístupniť Vytvorený zdrojový kód okrem orgánov podľa predchádzajúcej vety aj tretím osobám, ale len na špecifický účel, na základe riadne uzatvorenej písomnej zmluvy o mlčanlivosti a ochrane dôverných informácií.
• Ak je medzi zmluvnými stranami uzatvorená SLA zmluva, od prevzatia Informačného systému sa prístup k vytvorenému zdrojovému kódu vo vývojovom a produkčnom prostredí, vrátane nakladania s týmto zdrojovým kódom, začne riadiť podmienkami dohodnutými v SLA zmluve.
• Vytvorený zdrojový kód musí byť v podobe, ktorá zaručuje možnosť overenia, že je kompletný a v správnej verzii, t. j. v takej, ktorá umožňuje kompiláciu, inštaláciu, spustenie a overenie funkcionality, a to vrátane kompletnej dokumentácie zdrojového kódu (napr. interfejsov a pod.) takejto Informačného systému alebo jeho časti. Zároveň odovzdaný Vytvorený zdrojový kód musí byť pokrytý testami (aspoň na 90%) a dosahovať rating kvality (statická analýza kódu) podľa CodeClimate/CodeQLa pod. (minimálne stupňa B).
• Pre zamedzenie pochybností, povinnosti Zhotoviteľa týkajúce sa Vytvoreného zdrojového kódu platí i na akékoľvek opravy, zmeny, doplnenia, upgrade alebo update Vytvoreného zdrojového kódu a/alebo vyššie uvedenej dokumentácie, ku ktorým dôjde pri plnení tejto Zmluvy o dielo alebo v rámci záručných opráv. Vytvorené zdrojové kódy budú vytvorené vyexportovaním z produkčného prostredia a budú odovzdané Objednávateľovi na elektronickom médiu v zapečatenom obale. Zhotoviteľ je povinný umožniť Objednávateľovi pri odovzdávaní Vytvoreného zdrojového kódu, pred zapečatením obalu, skontrolovať v priestoroch Objednávateľa prítomnosť Vytvoreného zdrojového kódu na odovzdávanom elektronickom médiu.
• Nebezpečenstvo poškodenia zdrojových kódov prechádza na Objednávateľa momentom prevzatia Informačného systému alebo jeho časti, pričom Objednávateľ sa zaväzuje uložiť zdrojové kódy takým spôsobom, aby zamedzil akémukoľvek neoprávnenému prístupu tretej osoby. Momentom platnosti SLA zmluvy umožní Objednávateľ poskytovateľovi, za predpokladu, že to je nevyhnutné, prístup k Vytvorenému zdrojovému kódu výlučne na účely plnenia povinností z uzatvorenej SLA zmluvy.

Ďalej uvádzame postupy, v zmysle ktorých bude narábané so zdrojovým kódom.

• Centrálny repozitár zdrojových kódov: https://www.zakonypreludi.sk/zz/2020-78/znenie-20200501#p31+
• Overenie zdrojového kódu s cieľom jeho prepoužitia: https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p7-3-c+
• Spôsoby zverejňovania zdrojového kódu: https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p8-9+
• Inštrukcie k EUPL licenciám: https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf+

Uvedeným spôsobom obstarávania dôjde k zamedzeniu „Vendor lock-in" v súlade so Zákonom o ITVS.

1. Prevádzka a údržba

Prevádzka a údržba navrhnutého riešenia projektu bude zabezpečená internými personálnymi kapacitami na úrovni podpory L1 až L3 (L3 externe). Pre hlásenie problémov bude využívaný Helpdesk. Predpoklad riešenia problémov a požiadaviek bude od nahlásenia problému alebo požiadavky prostredníctvom helpdesku (e-mailom, telefonicky, formulárom), identifikácia a preverenie problému/požiadavky, vykonanie opravy/podpory.

1. 
   
   1. Prevádzkové požiadavky

Prevádzkové požiadavky budú zabezpečené na úrovni podpory L1, L2 a L3.

1. 
   
   1. 
      
      1. Úrovne podpory používateľov

Help Desk bude realizovaný cez 3 úrovne podpory s nasledujúcim označením:

• L1 podpora - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.
• L2 podpora - riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.
• L3 podpora - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobťažnejších hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov, ktorú bude zabezpečovať výrobca implementovaných nástrojov.

Prevádzka implementovaných nástrojov v rámci projektu L1 až L3 bude zabezpečená internými zamestnancami ŠÚKL. V prípade nevyhnutnej potreby bude zabezpečená L3 podpora výrobcu implementovaných nástrojov, ktorá bude financovaná z vlastných zdrojov ŠÚKL.

1. 
   
   1. 
      
      1. Riešenie incidentov – SLA parametre

Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo prostredia IS napr. výpadok poskytovania konkrétnej služby Vládneho cloudu alebo komunikačnej infraštruktúry.

Označenie naliehavosti incidentu:

možný dopad:

 Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

Vyžadované reakčné doby:

(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.

(2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

(3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

(4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia majú prioritu 3 a nižšiu

Vzťahujú sa výhradne k dostupnosti testovacieho prostredia. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

• Služby systémovej podpory na požiadanie (nad paušál)
• Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

1. 
   
   1. Požadovaná dostupnosť IS:

1. 
   
   1. 
      
      1. Dostupnosť (Availability)

Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok. V projekte sa uvažuje 97% dostupnosť znamená výpadok 10,95 dňa.

1. 
   
   1. 
      
      1. RTO (Recovery Time Objective)

V rámci projektu sa očakáva tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni.

1. 
   
   1. 
      
      1. RPO (Recovery Point Objective)

V rámci projektu sa očakáva tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni.

1. Požiadavky na personál

Riadiaci výbor projektu tvorí predseda riadiaceho výboru projektu a vlastníci procesov alebo nimi poverení zástupcovia.

Riadiaci výbor sa riadi “Štatútom riadiaceho výboru”, ktorý je popísaný v dokumente Štatút RV projektu ako najvyšší riadiaci orgán na účely realizácie projektu na základe schválenej projektovej dokumentácie.

Štatút Riadiaceho výboru upravuje najmä jeho pôsobnosť, úlohy, zloženie, zasadnutie a hlasovanie. Členom riadiaceho výboru projektu môže byť aj zástupca dodávateľa. Väčšina členov riadiaceho výboru projektu s hlasovacím právom sú osoby navrhnuté objednávateľom a zastupujú záujmy objednávateľa. Riadiaci výbor projektu dozerá na hospodárnosť, efektívnosť a účelové využívanie finančných prostriedkov a môže prispôsobiť štandardy projektového riadenia na realizovaný projekt.

Riadiaci výbor má minimálne 5 členov, vrátane predsedu Riadiaceho výboru (ďalej len „predseda“) :

Riadiaci výbor projektu budú tvoriť:

1. 
   
   1. predseda Riadiaceho výboru projektu,
   2. podpredseda Riadiaceho výboru projektu,
   3. vlastník alebo vlastníci procesov  ŠÚKL (biznis vlastník infraštruktúra) alebo nimi poverený zástupca alebo zástupcovia,
   4. zástupcu kľúčových používateľov (end user),
   5. zástupca za Dodávateľa v zmysle Zmluvy o Dielo s Dodávateľom.
   6. projektový manažér prijímateľa.

Riadiaci výbor je riadený predsedom, ktorým je zástupca Objednávateľa. V prípade neprítomnosti predsedu na zasadnutí Riadiaceho výboru, predseda musí na toto konkrétne zasadnutie písomne delegovať svoju funkciu v rozsahu svojich práv a povinností formou splnomocnenia na zástupcu, ktorým môže byť aj iný člen Riadiaceho výboru s hlasovacím právom. Na rokovanie Riadiaceho výboru môžu byť v prípade potreby prizvaní aj iní účastníci tak zo strany Objednávateľa alebo za stranu Dodávateľa.

Riadiaci výbor zasadá pravidelne, spravidla raz za mesiac avšak najmenej jedenkrát za tri (3) po sebe nasledujúce kalendárne mesiace. Zasadnutie Riadiaceho výboru zvoláva predseda. Závery zo zasadnutia Riadiaceho výboru a jednotlivé body zo zasadnutia Riadiaceho výboru sa prijímajú súhlasným hlasovaním nadpolovičnej väčšiny prítomných členov Riadiaceho výboru s hlasovacím právom. Hlas predsedu má v prípade rovnosti hlasov hodnotu dvoch hlasov.

Hlavné dokumenty spojené s činnosťou Riadiaceho výboru sú program zasadnutia, pracovný materiál a záznam zo zasadnutia Riadiaceho výboru, ktorého prílohou musí byť aj prezenčná listina, prípadne aj písomné splnomocnenia členov Riadiaceho výboru.

Program zasadnutia a pracovné materiály Riadiaceho výboru distribuuje Asistent projektového manažéra na základe podkladov a inštrukcií predsedu alebo toho člena Riadiaceho výboru, ktorý požiadal o zasadnutie Riadiaceho výboru.

Asistent projektového manažéra zabezpečí ich distribúciu členom Riadiaceho výboru najneskôr 3 pracovné dni pred zasadnutím Riadiaceho výboru. Za vecnú správnosť distribuovaného materiálu zodpovedá člen Riadiaceho výboru, ktorý ho predkladá.

Riadiaci výbor zaniká ukončením plnohodnotnej implementácie projektu a jeho uvedením do produktívnej prevádzky. Zoznam členov Riadiaceho výboru je súčasťou dokumentu Komunikačná matica uloženom na zdieľanom projektovom úložisku.

Riadenie projektu zo strany Objednávateľa bude zabezpečené prostredníctvom Projektového manažéra a Finančného manažéra a bude trvať počas celej doby realizácie projektu. Bude pokrývať oblasť projektového riadenia (projektový manažment, celková koordinácia projektu, celkový dohľad nad vývojom dodávaného Diela, vrátane kvality), finančného riadenia a monitorovania realizácie projektu v zmysle riadenia podľa vyhlášky MIRRI č. 401/2023 Z. z. v platnom znení.

Projektový tím bude pozostávať z pozícií:

• Projektové role:

• Projektový manažér,
• Kľúčový používateľ,
• Analytik IT,
• Architekt IT,
• IT tester,
• Dátový špecialista,
• Manažér kybernetickej a informačnej bezpečnosti,

• Ďalšie projektové role:

• Finančný manažér
• Asistent PM

V súlade s výzvou ŠÚKL zabezpečí, aby počas implementácie projektu a po jeho skončení (počas obdobia udržateľnosti) bol k dispozícii interný personál na obsluhu, prevádzku a rozvoj riešenia. Zároveň bude minimálne počas obdobia udržateľnosti zabezpečené financovanie tohto personálu zo zdrojov ŠÚKL.

Projektový manažér Objednávateľa bude zabezpečovať koordináciu projektových činností a manažment v súlade s metodikou PRINCE2 (hlavné dokumenty, priebežné manažérske výstupy, a pod.).

Projektový manažér Objednávateľa  bude riadiť, administratívne a organizačne zabezpečovať implementáciu projektu, komunikovať s  dodávateľmi, sledovať plnenie harmonogramu projektu a zabezpečovať dokumenty požadované MIRRI. Zároveň bude v spolupráci s projektovým manažérom dodávateľa koordinovať realizáciu hlavných aktivít, činností a úloh projektu.

Zodpovednosťou projektového manažéra je v spolupráci s finančným manažérom (objednávateľa) finančné riadenie projektu kontrolu rozpočtu projektu a jeho súlad s účtovnými dokladmi. Kontrolu podpornej účtovnej dokumentácie a poradenstvo pri definovaní oprávnených výdavkov bude zabezpečovať finančný manažér Objednávateľa.

Súčasťou projektového riadenia bude tiež operatívna projektová podpora zabezpečujúca administratívnu podporu pre písomnú komunikáciu, administratívne vedenie projektovej dokumentácie a prípravu podkladov pre členov projektového tímu, organizáciu stretnutí a pod.. V rámci aktivity budú taktiež zabezpečovaný manažment a hodnotenie kvality zo strany Objednávateľa.

RV je riadiaci orgán projektu, ktorý zodpovedá najmä za splnenie stanovených cieľov projektu, rozhoduje o zmenách, ktoré majú zásadný význam a prejavujú sa hlavne dopadom na časový harmonogram a finančné prostriedky projektu. Reprezentuje najvyššiu akceptačnú autoritu projektu. Štatút Riadiaceho výboru projektu upravuje najmä úlohy, zloženie a pôsobnosť RV, ako aj práva a povinnosti členov RV pri riadení a realizácii predmetného projektu.

Projektový manažér riadi projekt, kvalitu a riziká projektu a zabezpečuje plnenie úloh uložených RV. Členovia projektového tímu zabezpečujú plnenie úloh uložených projektovým manažérom, alebo RV.

Ďalšie povinnosti členov RV, projektového manažéra a členov projektového tímu sú uvedené vo Vyhláške č. 401/2023 Z. z. a v doplňujúcich vzoroch a šablónach zverejnených na webovom sídle MIRRI SR.

1. Implementácia a preberanie výstupov projektu

Implementácia a preberanie výstupov projektu bude realizované v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v zmysle ustanovení podľa § 5 a nasledovných ustanovení.

1. Prílohy

Koniec dokumentu