Nik P 14 003 Systemy Teleinformatyczne

KAP-4101-002-00/2014
Nrewid. 205/2014/P/14/004/KAP
Informacja owynikach kontroli
wdraaniE wybranych wymaga

dotyczcych systemw teleinformatycznych,
wymiany informacji wpostaci elektronicznej
oraz Krajowych Ram Interoperacyjnoci
na przykadzie niektrych urzdw gmin miejskich
imiast naprawach powiatu
DEPARTAMENT
ADMINISTRACJI PUBLICZNEJ
marzEc
01
MISJ
Najwyszej Izby Kontroli jest dbao ogospodarno iskuteczno wsubie

publicznej dla Rzeczypospolitej Polskiej
WIZJ
Najwyszej Izby Kontroli jest cieszcy si powszechnym autorytetem

najwyszy organ kontroli pastwowej, ktrego raporty bd oczekiwanym
i poszukiwanym rdem informacji dla organw wadzy ispoeczestwa
Dyrektor
Departamentu Administracji Publicznej:
Bogdan Skwarka
Akceptuj:
Wojciech Kutya
Wiceprezes Najwyszej Izby Kontroli
Zatwierdzam:
Krzysztof Kwiatkowski
Prezes Najwyszej Izby Kontroli

Warszawa, dnia
Najwysza Izba Kontroli

ul. Filtrowa 57
02-056 Warszawa
T/F +48 22 444 50 00
www.nik.gov.pl
lutego 2015r.
S pis treci
1. Zaoenia kontroli.........................................................................................................7
1.1. Temat i numer kontroli 7

1.2. Wprowadzenie oraz uzasadnienie podjcia kontroli 7
1.3. Cel kontroli 8
1.4. Organizacja izakres kontroli 9
2. Podsumowanie wynikw kontroli....................................................................... 10
2.1. Ocena kontrolowanej dziaalnoci.................................................................................................. 10

2.2. Synteza wynikw kontroli................................................................................................................... 11
2.2.1.Realizacja zada przez Ministra Administracji iCyfryzacji
wzakresie interoperacyjnoci systemw informatycznych11
2.2.2.Dostosowanie przez kontrolowane urzdy gmin miejskich
imiast naprawach powiatu posiadanych systemw informatycznych
do wsppracy zinnymi systemami/rejestrami informatycznymi12
2.2.3.Zarzdzanie bezpieczestwem systemw informatycznych
wurzdach gmin miejskich imiast naprawach powiatu14
2.2.4.Dostosowanie sposobu prezentacji informacji
przez systemy informatyczne do potrzeb osb niepenosprawnych17
2.3. Uwagi iwnioski....................................................................................................................................... 17
3. Waniejsze wyniki kontroli....................................................................................... 20
3.1. Realizacja zada Ministra Administracji iCyfryzacji

wzakresie interoperacyjnoci, wszczeglnoci okrelonych
wrozporzdzeniu KRI, wzakresie prowadzenia repozytorium interoperacyjnoci
oraz publicznej dyskusji nad rekomendacjami interoperacyjnoci..................................... 20
3.1.1.Rekomendacje interoperacyjnoci20
3.1.2.Repozytorium interoperacyjnoci21
3.1.3.Dziaania informacyjne wzakresie KRI21
3.1.4.Kontrola interoperacyjnoci systemw informatycznych
wpodmiotach publicznych23
3.1.5.Realizacja Programu Zintegrowanej Informatyzacji Pastwa
wobszarze interoperacyjnoci24
3.2. Dziaania burmistrzw iprezydentw miast wzakresie dostosowania
posiadanych systemw informatycznych do wsppracy
zinnymi systemami/rejestrami informatycznymi...................................................................... 26
3.2.1.Dokumenty strategiczne26
3.2.2.Promowanie komunikacji elektronicznej26
3.2.3.Obieg dokumentw wurzdach27
3.2.4.Usugi elektroniczne30
3.2.5.Centralne repozytorium wzorw dokumentw elektronicznych32
3.2.6.Model usugowy33
3.2.7.Wsppraca wybranych systemw informatycznych zinnymi systemami34
Zdjcie naokadce:
Anna Demus
3.3. Wdroenie systemu zarzdzania bezpieczestwem systemw informatycznych................. 36

3.3.1.Dokumenty zzakresu bezpieczestwa informacji36
3.3.2.Dokonywanie analizy zagroe zwizanych zprzetwarzaniem informacji37
3.3.3. Inwentaryzacja sprztu informatycznego38
3.3.4.Zarzdzanie uprawnieniami do pracy wsystemach informatycznych39
3.3.5.Szkolenia pracownikw zaangaowanych wproces przetwarzania informacji40
3.3.6. Praca naodlego imobilne przetwarzanie danych41
3.3.7.Serwis sprztu informatycznego ioprogramowania42
3.3.8. Procedury zgaszania incydentw naruszenia bezpieczestwa informacji43
3.3.9. Audyt wewntrzny zzakresu bezpieczestwa informacji43
3.3.10.Kopie zapasowe44
3.3.11.Format danych udostpniany przez badane systemy informatyczne44
3.4. Zapewnienie dostpnoci informacji zawartych nastronach
internetowych urzdw dla osb niepenosprawnych........................................................... 45
4. Informacje dodatkowe................................................................................................ 46
4.1. Przygotowanie kontroli....................................................................................................................... 46
4.2. Postpowanie kontrolne idziaania podjte po zakoczeniu kontroli.............................. 46
5. Zaczniki............................................................................................................................... 48
Wyk az stosowanych sk rtw ipoj

BIP Biuletyn Informacji Publicznej
CRD centralne repozytorium wzorw dokumentw elektronicznych
ePUAP Elektroniczna Platforma Usug Administracji Publicznej.
System teleinformatyczny udostpniajcy usugi elektroniczne
administracji publicznej dla obywateli
KRI stanowi zbir zasad isposobw postpowania podmiotw wcelu
Krajowe Ramy zapewnienia systemom informatycznym interoperacyjnoci dziaania,
Interoperacyjnoci rozumianej jako zdolno tych systemw oraz wspieranych przez nie
procesw do wymiany danych oraz do dzielenia si informacjami iwiedz
MAiC Ministerstwo Administracji iCyfryzacji
RI repozytorium cz zasobw ePUAP przeznaczona do udostpniania informacji
interoperacyjnoci sucych osiganiu interoperacyjnoci
rozporzdzenie rozporzdzenie Ministra Administracji iCyfryzacji zdnia 6maja 2014r.
ePUAP wsprawie zakresu iwarunkw korzystania zelektronicznej platformy usug
administracji publicznej1, ktre weszo wycie zdniem 11maja 2014r.;
poprzednio obowizywao rozporzdzenie Ministra Spraw Wewntrznych
iAdministracji zdnia 27kwietnia 2011r. wsprawie zakresu iwarunkw
korzystania zelektronicznej platformy usug administracji publicznej2
rozporzdzenie KRI rozporzdzenie Rady Ministrw zdnia 12kwietnia 2012r. wsprawie
Krajowych Ram Interoperacyjnoci, minimalnych wymaga
dla rejestrw publicznych iwymiany informacji wpostaci elektronicznej
oraz minimalnych wymaga dla systemw teleinformatycznych3
rozporzdzenie
wsprawie
instrukcji
kancelaryjnej
rozporzdzenie Prezesa Rady Ministrw zdnia 18stycznia 2011r.

wsprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazw akt
oraz instrukcji wsprawie organizacji izakresu dziaania archiww
zakadowych4
UM Urzd Miejski/Urzd Miasta

ustawa oNIK ustawa zdnia 23grudnia 1994r. oNajwyszej Izbie Kontroli5
ustawa ustawa zdnia 17lutego 2005r. oinformatyzacji dziaalnoci podmiotw
oinformatyzacji realizujcych zadania publiczne6
XML (eXtensible Markup Language)tekstowy format sucy do opisywania
informacji (danych) wsposb strukturalny; jest to format, przy pomocy
ktrego nadaje si znaczenie poszczeglnym fragmentom informacji
19 ,2,31011 12 13 14
1
2
3
4
5
6
PDF format plikw sucy do prezentacji, przenoszenia idrukowania treci

tekstowo-graficznych, stworzony ipromowany przez firm Adobe Systems;
format PDF powsta jako format wynikowy, majcy zachowa peny wygld
dokumentu po wydrukowaniu
Dz.U. z2014r., poz. 584.

Dz.U. Nr93, poz. 546.
Dz.U. z2012r., poz. 526 ze zm.
Dz.U. z2011r., Nr14, poz. 67 ze zm.
Dz.U. z2012r., poz. 82 ze zm.
Dz.U. z2014r., poz. 1114.
dostpno waciwo bycia dostpnym imoliwym do wykorzystania nadanie,

wzaoonym czasie, przez autoryzowany podmiot
integralno zapewnienie dokadnoci ikompletnoci informacji oraz metod
jej przetwarzania
interoperacyjno zdolno rnych podmiotw oraz uywanych przez nie systemw
teleinformatycznych irejestrw publicznych do wspdziaania narzecz
osignicia wzajemnie korzystnych iuzgodnionych celw, zuwzgldnieniem
wspdzielenia informacji iwiedzy przez wspierane przez nie procesy
biznesowe realizowane za pomoc wymiany danych za porednictwem
wykorzystywanych przez te podmioty systemw teleinformatycznych7;
osiganie interoperacyjnoci nastpuje poprzez cige doskonalenie
jednostki wzakresie zarzdzania systemami informatycznymi
model usugowy jest modelem architektury systemu informatycznego, wktrym
dla uytkownikw (klientw/odbiorcw) zdefiniowano stanowice
odrbn cao funkcje systemu teleinformatycznego (usugi sieciowe)
oraz opisano sposb korzystania ztych funkcji
polityka zestaw praw, regu ipraktycznych dowiadcze, regulujcych
bezpieczestwa sposb zarzdzania, ochrony idystrybucji informacji wewntrz
informacji okrelonego systemu
poufno zapewnienie, e informacja jest dostpna tylko dla osb
do tego upowanionych
usuga w myl art.2 pkt4 ustawy zdnia 18lipca 2002r. owiadczeniu usug drog
elektroniczna elektroniczn8, jest to usuga wiadczona bez jednoczesnej obecnoci
stron (naodlego), poprzez przekaz danych naindywidualne danie
usugobiorcy, przesyanej iotrzymywanej za pomoc urzdze
do elektronicznego przetwarzania
19 10
wspdzielenie wsplne uytkowanie tych samych zasobw przez rne osoby

informacji i/lub podmioty, np.zasobw takich jak: pliki, bazy danych, dokumenty itp.
7 rdo: art.3 pkt18 ustawy oinformatyzacji.

8 Dz.U. z2013r., poz. 1422.
Z aoenia ko n t ro li
1.1 Temat inumer kontroli

Wdraanie wybranych wymaga dotyczcych systemw teleinformatycznych, wymiany
informacji wpostaci elektronicznej oraz Krajowych Ram Interoperacyjnoci naprzykadzie
niektrych urzdw gmin miejskich imiast naprawach powiatu (P/14/004).
1.2 Wprowadzenie oraz uzasadnienie podjcia kontroli
Przepisy dotyczce interoperacyjnoci maj nacelu stworzenie warunkw do wspdziaania
ze sob systemw informatycznych jednostek realizujcych zadania publiczne dla zapewnienia
szybkiej wymiany informacji zarwno wewntrz urzdu jak iz innymi urzdami administracji
publicznej. Wdroenie tych przepisw powinno przyczyni si do usprawnienia realizacji zada urzdw,
wtym zaatwiania spraw obywateli iprzedsibiorcw, ktre bd mogy by zaatwiane sprawniej,
tj.naodlego iw krtszym czasie, bez dania informacji bdcych ju wposiadaniu urzdw.
Osignicie interoperacyjnoci nie jest jednorazowym, lecz cigym procesem zalenym od wielu
czynnikw m.in. od zmian wrodowisku informatycznym. Interoperacyjnoci nie osiga si
jednorazowo nadugi czas. Jest to proces wymagajcy staego monitorowania, biorc pod uwag
dostpno zbiorw danych, zmian zachowa uytkownikw iwprowadzanie nowych programw,
technologii oraz urzdze informatycznych.
Ustawa oinformatyzacji wart.13 naoya napodmioty realizujce zadania publiczne obowizki
wcelu osignicia minimalnego stanu zgodnoci technicznej systemw teleinformatycznych,
ktry umoliwi wspprac uywanych przez nie systemw, co powinno zapewni sprawny przepyw
informacji oraz zwikszy szybko iskuteczno dziaania tych podmiotw. Rozporzdzenie KRI
wykonuje upowanienie ustawowe zawarte wart.18 ustawy oinformatyzacji wzakresie minimalnych
wymaga dla systemw informatycznych, minimalnych wymaga dla rejestrw publicznych
iwymiany informacji wpostaci elektronicznej oraz Krajowych Ram Interoperacyjnoci.
Wraz zrozwojem elektronicznej formy komunikacji znaczenia nabiera zapewnienie dostpnoci,
integralnoci ipoufnoci danych posiadanych iprzetwarzanych przez urzdy. Dlatego te, szczeglnie
istotnym jest zapewnienie bezpieczestwa informacji przetwarzanych wuytkowanych przez
podmioty publiczne systemach informatycznych. Wprzeciwnym razie powstaje ryzyko utraty
ww. waciwoci gwarantujcych bezpieczestwo informacji, aw konsekwencji stabilnoci pracy
urzdw. Podway to moe zaufanie obywateli do organw administracji publicznej. Jednostka,
aby zabezpieczy swoje informacje powinna zastosowa podejcie systemowe, wramach
ktrego bdzie zarzdza kompleksowo posiadanymi aktywami informacyjnymi, infrastruktur
przeznaczon do ich przetwarzania oraz ryzykiem dotyczcym bezpieczestwa informacji.
Podstawowe wymagania wzakresie systemu zarzdzania bezpieczestwem informacji reguluje
20rozporzdzenia KRI.
W kontekcie dostpnoci informacji dla wszystkich obywateli istotne jest wprowadzanie rozwiza
technicznych umoliwiajcych korzystanie znich przez osoby niepenosprawne. Std informacje
udostpniane nastronach internetowych urzdw powinny charakteryzowa si take pen
czytelnoci dla osb niepenosprawnych.
W strategicznym dokumencie opisujcym zamierzenia rzdu dla dostarczenia spoeczestwu
wysokiej jakoci elektronicznych usug publicznych jakim jest Program Zintegrowanej Informatyzacji
Pastwa9 (dalej PZIP) wskazano m.in., e:
9 Przyjty przez Rad Ministrw wdniu 8stycznia 2014r., https://mac.gov.pl/files/pzip_ostateczny.pdf.
zaoenia kontroli
Celem administracji publicznej powinno by budowanie nowych imodernizacja istniejcych

systemw teleinformatycznych wtaki sposb, aby byy one ze sob spjne ilogicznie powizane
oraz zorientowane napotrzeby uytkownika. Spenienie wymaga wzakresie interoperacyjnoci bdzie
jednym zkluczowych kryteriw warunkujcych decyzj obudowie systemu teleinformatycznego.
Dziki temu wramach systemu informacyjnego pastwa bdzie uatwione korzystanie ze spjnych
danych, zgromadzonych wrnych rejestrach isystemach ewidencyjnych, przy realizacji rnych usug.
Wskazano wnim rwnie, e interoperacyjno systemw irozwiza teleinformatycznych stanowi
jeden zgwnych elementw, ktry stworzy warunki dla rozwoju rynku usug wiadczonych
drog elektroniczn obywatelom iprzedsibiorcom. Zapewnienie interoperacyjnoci powinno
przyczyni si do efektywnego wiadczenia usug publicznych, co jest jednym zcelw zaoonych
wStrategii Sprawne Pastwo 202010. Zagadnienia wspdziaania rnych systemw informatycznych
(interoperacyjnoci) oraz elektronicznego zarzdzania dokumentami zostay rwnie uwzgldnione
wProgramie Operacyjnym Polska Cyfrowa PO PC 20142020 11 (dalej PO PC). Wdokumencie
tym wskazano, e sone istotne dla usprawnienia pracy administracji publicznej, aby szybciej
itaniej zaatwia sprawy obywateli.
Tematyka dotyczca wykonywania zada wzakresie realizacji wymaga wprowadzonych
rozporzdzeniem KRI nie bya wczeniej przedmiotem badania przez NIK zuwagi nawejcie wycie
tego rozporzdzenia zdniem 31maja 2012r. Przeprowadzenie tej kontroli miao nacelu zbadanie
wurzdach miast imiast naprawach powiatu podejmowanych dziaa dla spenienia wymogw
naoonych rozporzdzeniem KRI.
Kontrola zostaa podjta zinicjatywy wasnej NIK, atemat kontroli mieci si wramach
priorytetowego kierunku kontroli NIK Poprawa obsugi obywateli przez administracj publiczn,
przyjtego wplanie pracy NIK na2014r.
1.3 Cel kontroli

Celem kontroli NIK bya ocena wdraania wybranych wymaga okrelonych wrozporzdzeniu KRI.
Wzwizku ztym ocenie poddano nastpujce, wybrane kwestie:
prawidowo realizacji przez Ministra Administracji iCyfryzacji zada okrelonych
wrozporzdzeniu KRI, wszczeglnoci wzakresie prowadzenia repozytorium interoperacyjnoci
oraz publicznej dyskusji nad rekomendacjami dotyczcymi interoperacyjnoci;
dziaania burmistrzw oraz prezydentw miast wcelu realizacji wymaga wprowadzonych
rozporzdzeniem KRI, dotyczcych wszczeglnoci:
dostosowania posiadanych systemw informatycznych do wsppracy zinnymi
systemami/rejestrami informatycznymi,
stopnia wdroenia systemu zarzdzania bezpieczestwem systemw informatycznych.
Ponadto, zbadano dziaania wcelu zapewnienia dostpnoci informacji dla osb niepenosprawnych.
10 Uchwaa Nr 17 Rady Ministrw z dnia 12 lutego 2013 r. w sprawie przyjcia strategii Sprawne Pastwo 2020
(M.P. z2013r., poz.136).
11 http://www.mir.gov.pl/aktualnosci/fundusze_europejskie/Strony/Program_Polska_Cyfrowa_przyjety_przez_
KomisjeEuropejska_51214.aspx PO PC po negocjacjach zosta zatwierdzony wdniu 5grudnia 2014r. przez Komisj Europejsk.
zaoenia kontroli
1.4 Organizacja izakres kontroli

Kontrol przeprowadzono w25 jednostkach, tj.w: MAiC oraz w24 wybranych urzdach
gmin miejskich imiast naprawach powiatu wwojewdztwach: dolnolskim, maopolskim,
mazowieckim, lskim, wielkopolskim izachodniopomorskim. Wykaz jednostek objtych kontrol
stanowi zacznik nr2 do Informacji. Wyboru jednostek do kontroli dokonano wsposb celowy.
Wybr jednostek wynika zzaoenia, e wwikszych jednostkach samorzdowych istnieje
wiksze prawdopodobiestwo modernizacji lub zakupu systemw informatycznych, ktre bd
podlegay wymogom rozporzdzenia KRI, obowizujcego od 31maja 2012r., co umoliwiao
przeprowadzenie penego zakresu bada kontrolnych.
Kontrol wMAiC przeprowadzono napodstawie art.2 ust.1 ustawy oNIK, zuwzgldnieniem
kryteriw okrelonych wart.5 ust.1 ww. ustawy, tj.pod wzgldem legalnoci, gospodarnoci,
rzetelnoci icelowoci. Wjednostkach samorzdu terytorialnego kontrol przeprowadzono
napodstawie art.2 ust.2 wzwizku zart.5 ust.2 ustawy oNIK, tj.pod wzgldem legalnoci,
rzetelnoci igospodarnoci.
Kontrol objto okres od dnia wejcia wycie rozporzdzenia KRI, tj.od 31maja 2012r. do dnia
zakoczenia czynnoci kontrolnych w2014r. Czynnoci kontrolne przeprowadzono wokresie
od 8czerwca do 24padziernika 2014r.
P o d s u m o w a n ie w y n i k w k o n t r o l i
2.1 Ocena kontrolowanej dziaalnoci12
W ocenie Najwyszej Izby Kontroli Minister Administracji iCyfryzacji wywiza si zzada
wynikajcych zrozporzdzenia KRI, dotyczcych wszczeglnoci prowadzenia publicznej
dyskusji nad rekomendacjami interoperacyjnoci iich publikowania oraz umoliwienia jednostkom
administracji publicznej zamieszczania wcentralnym repozytorium wzorw dokumentw
elektronicznych naePUAP wzorw dokumentw elektronicznych wykorzystywanych wprocesie
wiadczenia usug elektronicznych. Podejmowano rwnie dziaania majce nacelu zapoznanie
przedstawicieli administracji publicznej z zagadnieniami interoperacyjnoci systemw
informatycznych.
Stwierdzono natomiast, e Minister Administracji i Cyfryzacji nie podejmowa kontroli
wpodmiotach publicznych wzakresie dziaania systemw teleinformatycznych, prowadzenia
rejestrw iwymiany informacji wpostaci elektronicznej, przewidzianych wart.25 ust.1 pkt3 lit.c
ustawy oinformatyzacji.
Najwysza Izba Kontroli, pozytywnie ocenia dziaania podjte przez burmistrzw iprezydentw
miast wcelu dostosowania objtych kontrol systemw teleinformatycznych13 do wsppracy
zinnymi systemami/rejestrami, jednake NIK sformuowaa wiele uwag wtym zakresie.
Wikszo zkontrolowanych systemw informatycznych (72 z77) wsppracowao zinnymi
systemami informatycznymi urzdw itym samym speniao minimalne wymogi interoperacyjnoci,
oktrych mowa w5 ust.3 pkt3 rozporzdzenia KRI. Niemniej tylko dwanacie (16,7%) systemw
wsppracowao zinnymi systemami urzdu wsposb wpeni zautomatyzowany, tj.napoziomie
najbardziej podanym, api systemw (6,9%) bezporednio korzystao zdanych gromadzonych
wzewntrznych systemach/rejestrach publicznych (zasada referencji), takich jak np.rejestr
centralny PESEL14 czy te System Informacji Przestrzennej.
NIK, ze wzgldu naliczne nieprawidowoci, oglnie negatywnie ocenia dziaania burmistrzw
iprezydentw miast wzakresie zarzdzania bezpieczestwem informacji wurzdach,
oktrym mowa w20 rozporzdzenia KRI. NIK stwierdzia nieprawidowoci wtym obszarze
w2115 z24 (87,5%) skontrolowanych urzdw miast, zktrych sze ocenia negatywnie16.
Zdaniem NIK, stwierdzone nieprawidowoci mog skutkowa utrat dostpnoci, integralnoci
ipoufnoci informacji przetwarzanych wsystemach informatycznych urzdw wykorzystywanych
do elektronicznej komunikacji iwiadczenia usug. Nieprawidowoci dotyczyy przede wszystkim:
braku wkontrolowanych urzdach caociowej Polityki Bezpieczestwa Informacji
(poza bezpieczestwem danych osobowych), ktra jest wymagana przepisami 20 ust.1 i3
rozporzdzenia KRI;
12 NIK zastosowaa wkontroli nastpujc skal ocen: pozytywna, negatywna, opisowa. Opisow form oceny oglnej
10
kontrolowanej dziaalnoci stosowano wtedy, gdy dziaania lub stwierdzone nieprawidowoci wposzczeglnych obszarach
objtych kontrol nie daway podstaw do oglnej oceny pozytywnej, jak rwnie nie uzasadniay wydania oglnej oceny
negatywnej.

13 Kontrol objto wybrane systemy informatyczne zakupione lub istotnie zmodernizowane po wejciu wycie rozporzdzenia KRI,
tj.po 31maja 2012r.
14 PESELPowszechny Elektroniczny System Ewidencji Ludnoci. Zawiera dane osb zameldowanych napobyt stay lub czasowy
trwajcy ponad 3 miesice, osb ubiegajcych si owydanie dowodu osobistego lub paszportu, atake osb, dla ktrych
odrbne przepisy przewiduj potrzeb posiadania numeru PESEL (rdo: https://msw.gov.pl/pl/sprawy-obywatelskie/
centralne-rejestry-pan/32,PESEL.html).

15 Z wyjtkiem UM w: Legnicy, Mysowicach iwidnicy.
16 UM w: Gogowie, Misku Mazowieckim, Nowym Targu, Olkuszu, Pruszkowie iwinoujciu.
niewaciwego zarzdzania uprawnieniami uytkownikw wzakresie dostpu do systemw

informatycznych, co byo niezgodne z20ust.2 pkt4 i5 rozporzdzenia KRI;
nieprzeprowadzania corocznych audytw wewntrznych zzakresu bezpieczestwa informacji,
co byo niezgodne z20ust.2 pkt14 rozporzdzenia KRI;
braku wumowach nazakup lub serwis sprztu komputerowego/oprogramowania zapisw
gwarantujcych zabezpieczenie poufnoci informacji uzyskanych wzwizku zrealizacj
tych umw przez wykonawcw, co byo niezgodne z20ust.2 pkt10 rozporzdzenia KRI.
Wykres nr1
Liczba kontrolowanych urzdw, wktrych stwierdzono nieprawidowoci przy realizacji poszczeglnych zada
wobszarze zarzdzania bezpieczestwem informacji
15
Polityka Bezpieczestwa Informacji

PolitykaBezpieczestwaInformacji
14
Zarzdzanie uprawnieniami
Zarzdzanieuprawnieniami
Audyt wewntrzny
Audytwewntrzny
Umowy zakupu/serwisu
Umowyzakupu/serwisu
Praca na odlego
Pracanaodlego
Szkolenia
Szkolenia
7
6
Inwentaryzacja
Inwentaryzacja
Kopie zapasowe
Kopiezapasowe
Analiza zagroe
Analizazagroe
Incydenty
Incydenty
Formaty danych
Formatydanych
rdo: Wyniki kontroli.
Biorc pod uwag, e wymagania wzakresie dostosowania sposobu prezentacji informacji

przez systemy informatyczne do potrzeb osb niepenosprawnych okrelone w19 rozporzdzenia KRI
maj by ostatecznie wprowadzone do dnia 31maja 2015r., NIK nie dokonywaa oceny
dziaalnoci kontrolowanych jednostek wtym obszarze. Wyniki kontroli wykazay, e we wszystkich
kontrolowanych urzdach wystpoway naich stronach internetowych i/lub nastronach BIP
bdy zwizane zprezentowaniem treci dla osb niepenosprawnych.
2.2 Synteza wynikw kontroli
2.2.1.Realizacja zada przez Ministra Administracji iCyfryzacji wzakresie interoperacyjnoci
systemw informatycznych
W MAiC wokresie objtym kontrol:
zapewniono prowadzenie publicznej dyskusji nad rekomendacjami interoperacyjnoci
naPortalu Interoperacyjnoci, udostpnionym naplatformie ePUAP, stosownie do 9 pkt1
rozporzdzenia KRI [str. 20];
11
zapewniono prowadzenie repozytorium interoperacyjnoci, wktrym zamieszczono informacj

o26 rekomendacjach interoperacyjnoci17, wtym orekomendacjach dotyczcych standardu
Elektronicznej Skrzynki Podawczej (dalej ESP) oraz standardu Formularza ePUAP, stosownie
do 9 pkt2 rozporzdzenia KRI [str. 21];
opublikowano wrepozytorium interoperacyjnoci naePUAP schematy XML struktury danych
cech informacyjnych obiektw18, zgodnie z10 ust.5 rozporzdzenia KRI [str. 21];
przeprowadzano szkolenia dotyczce interoperacyjnoci oraz udzielano nabieco (zwyjtkiem
jednego przypadku) informacji iwyjanie wsprawach regulowanych rozporzdzeniem KRI
[str. 2122].
Kontrola wykazaa jednak, e Minister Administracji iCyfryzacji:
nie planowa inie przeprowadza kontroli interoperacyjnoci systemw informatycznych
wpodmiotach publicznych, tj.nie realizowa zadania okrelonego wart.25 ust.1 pkt3 lit.c
ustawy oinformatyzacji [str. 2324];
nie przekaza wojewodom jednolitych kryteriw merytorycznych sposobu realizacji
obowizku okrelonego wart.25 ust.1 pkt3 lit.a ustawy oinformatyzacji, dotyczcego
przeprowadzania kontroli wjednostkach samorzdu terytorialnego wzakresie dziaania systemw
teleinformatycznych oraz rejestrw publicznych, ktre suywane do realizacji zada zleconych
zzakresu administracji rzdowej [str. 22];
nie wpeni zrealizowa okrelone wProgramie Zintegrowanej Informatyzacji Pastwa
krtkookresowe zadania wobszarze interoperacyjnoci, pomimo upywu szeciomiesicznego
terminu naich realizacj okrelonego wtym Programie [str. 2426].
Ponadto, kontrola wykazaa, e wMAiC nie wypracowano jednoznacznego stanowiska wsprawie
znaczenia terminuistotnej modernizacji systemu informatycznego, oktrej mowa w23 rozporzdzenia
KRI, pomimo zgaszanych wtpliwoci przez podmioty publiczne. Wopinii NIK, brak precyzyjnego
okrelenia pojcia istotnej modernizacji powoduje, e podmioty realizujce zadania publiczne
nie potrafi oceni czy zakres modernizacji jest natyle istotny, e stwarza obowizek dostosowania
systemu informatycznego do wymogw zawartych wrozdziale IV rozporzdzenia KRI [str. 2223].
2.2.2. Dostosowanie przez kontrolowane urzdy gmin miejskich imiast naprawach powiatu
posiadanych systemw informatycznych do wsppracy zinnymi systemami/rejestrami
informatycznymi
W wikszoci zkontrolowanych urzdw (22 spord 24, tj.91,7%) wdokumentach
strategicznych uwzgldniano m.in. rozbudow infrastruktury teleinformatycznej
iwykorzystanie nowoczesnych technologii wkomunikacji mieszkacw zurzdem19 [str. 26].
Wstrategiach okrelano te cele izadania dotyczce rozwoju usug informatycznych. Pomimo
takich zaoe, tylko wnielicznych urzdach (cztery) podejmowano aktywne dziaania
dla poznania potrzeb mieszkacw wzakresie korzystania zelektronicznych form komunikacji
zurzdem [str. 2627].
17 Rekomendacja to dokument wypracowany wramach Portalu Interoperacyjnoci. Wramach jednej rekomendacji mog powsta
12
rne produkty (np.schemat XML).

18 Jest to standard wymiany plikw uywany wkomunikacji midzy systemami informatycznymi, przyjty do stosowania
wadministracji publicznej.
19 Zagadnie dotyczcych dostosowania urzdu do elektronicznego wiadczenia usug publicznych nie zawarto wdokumentacji
strategicznej dwch miast tj.Strategii Rozwoju Gminy Zawiercie 2025 plus iw Strategii Rozwoju Miasta Misk Mazowiecki
do roku 2020.
W mniej ni poowie skontrolowanych urzdw (w 11 z24, tj.45,8%) podejmowano dziaania

majce nacelu promowanie komunikacji elektronicznej zurzdem, wtym moliwoci
korzystania zudostpnionych usug elektronicznych. NIK zwraca uwag napotrzeb
podjcia przez urzdy szerszych dziaa wzakresie informowania oe-usugach iich promowania,
co mogoby wpyn nawiksze zainteresowanie mieszkacw moliwoci zaatwiania spraw
wurzdzie drog elektroniczn. Ma to szczeglne znaczenie wsytuacji gdy liczba zoonych
dokumentw wtej formie jest znikoma igdy urzdy wiadcz usugi wformie elektronicznej
[str. 2627].
W 22 z24 (91,7%) kontrolowanych urzdw jako podstawowy sposb dokumentowania
przebiegu rozpatrywania irozstrzygania spraw, wskazywano system tradycyjny (papierowy)
wykonywania czynnoci kancelaryjnych wurzdzie. Wdwch pozostaych urzdach20 jako
podstawowy sposb dokumentowania przebiegu zaatwiania irozstrzygania spraw, wskazany
zosta system elektronicznego zarzdzania dokumentacj. W18 z22 urzdw (81,8%) system
tradycyjny wykonywania czynnoci kancelaryjnych wspomagany by przez elektroniczne
systemy obiegu dokumentw narnych etapach zaatwiania spraw wurzdzie. Zdaniem NIK,
wykorzystywanie systemu tradycyjnego obiegu dokumentw rwnolegle zelementami obiegu
elektronicznego, powoduje e te same czynnoci sczciowo powielane, co niewtpliwie
ma wpyw nawiksze obcienie prac urzdnikw. Istot wprowadzenia elektronicznego
obiegu dokumentw jest usprawnienie iprzypieszenie obiegu informacji przy jednoczesnej
minimalizacji nakadu pracy. Wskazane jest zatem, aby kontynuowa dziaania wcelu
zapewnienia technicznych iorganizacyjnych warunkw dla wprowadzenia wurzdach wycznie
elektronicznego systemu zarzdzania dokumentacj, co spowoduje rwnie zmniejszenie
zuycia papieru ikorzystnie wpynie naochron rodowiska [str. 2728].
W szeciu z18 urzdw (33,3%), wktrych pomocniczo wykorzystywano system
elektronicznego obiegu dokumentw, nie wprowadzono procedur okrelajcych zasady
ich obiegu wurzdzie. Zdaniem NIK, zasadnym jest opracowanie odpowiednich procedur
elektronicznego obiegu dokumentw uwzgldniajcych przyjt praktyk postpowania.
Wdroenie takiej procedury wpynie zarwno nauporzdkowanie iusprawnienie obiegu
dokumentw, atake pozwolioby nawyeliminowanie rwnolegego przesyania dokumentw
papierowych ielektronicznych [str. 29].
Dominujc form korespondencji wurzdach bya korespondencja tradycyjna (papierowa).
Stanowia ona a 94% ogu korespondencji wpywajcej iwychodzcej [str.29].
Wszystkie objte badaniem urzdy wiadczyy usugi wformie elektronicznej. Liczba
wiadczonych usug bya jednak bardzo zrnicowana iksztatowaa si od jednej usugi,
tj.Elektronicznej Skrzynki Podawczej (wiadczonej przez cztery urzdy21), do ponad 100 usug
(wiadczonych przez UM w: Dbrowie Grniczej iMysowicach). cznie wskontrolowanych
urzdach udostpniono 554 e-usugi wiadczone naoglnopolskiej platformie ePUAP,
wtym rwnie zwykorzystaniem platform regionalnych, takich jak SEKAP22 iCyfrowa Maopolska23
20
21
22
23
UM w: Gogowie iZawierciu.
UM w: Lesznie, Misku Mazowieckim, Stargardzie Szczeciskim, Szczecinku.
System Elektronicznej Komunikacji Administracji Publicznejprojekt samorzdw gmin ipowiatw wojewdztwa lskiego.
Cyfrowa Maopolska to platforma informatyczna stworzona dla wojewdztwa maopolskiego.
13
oraz platform miejscowych, np.Pocka Platforma Teleinformatyczna e-Urzd, atake stron

internetowych urzdw. Zaznaczy naley, e najwiksz liczb usug elektronicznych wiadczyy
ww. dwa urzdy zterenu wojewdztwa lskiego zwykorzystaniem platformy SEKAP
[str. 3031].
W wikszoci przypadkw (98 usug zprby 114 usug elektronicznych objtych badaniem)
zamieszczone nastronach internetowych iBIP urzdw opisy e-usug zawieray wymagane
informacje okrelone wrozporzdzeniu ePUAP24. Wprzypadku 16 usug opisy zawieray
nieaktualne lub niekompletne podstawy prawne [str. 3132]. Dwa urzdy25 naswoich stronach
BIP nie zamieciy dla badanych usug elektronicznych informacji odnonie obowizujcych
procedur wzakresie zaatwiania spraw drog elektroniczn, co byo niezgodne z5 ust.2 pkt4
rozporzdzenia KRI [str. 32].
Siedem urzdw26 nie przekazao wzorw dokumentw elektronicznych do CRD (spord
11 urzdw, ktre byy do tego zobowizane). Byo to niezgodne zart.19b ust.3 ustawy
oinformatyzacji [str. 3233].
Wikszo zbadanych systemw informatycznych (72 z77) wsppracowao zinnymi
systemami informatycznymi kontrolowanych urzdw, jednak tylko dwanacie znich
(16,7%) zapewniao wspprac napoziomie najbardziej dojrzaym, tj.transakcyjnym,
co oznacza, e przekazywanie danych odbywao si wsposb wpeni zautomatyzowany.
Zaznaczy naley, e tylko pi systemw informatycznych (6,9%) bezporednio korzystao
zdanych gromadzonych wzewntrznych systemach/rejestrach publicznych (zasada referencji),
takich jak rejestr centralny PESEL czy te System Informacji Przestrzennej. Pozostae badane
systemy informatyczne korzystay wycznie zwewntrznych zbiorw danych urzdw
[str. 3435].
2.2.3.Zarzdzanie bezpieczestwem systemw informatycznych wurzdach gmin miejskich
imiast naprawach powiatu
W 15 urzdach, tj.62,5% objtych kontrol nie opracowano inie wdroono Polityki
Bezpieczestwa Informacji (dalej PBI), ktra jest elementem systemu zarzdzania
bezpieczestwem informacji. Przepis 20 ust.1 rozporzdzenia KRI zobowizuje podmioty
realizujce zadania publiczne m.in. do opracowania, ustanowienia, wdroenia, monitorowania
idokonywania przegldw systemu zarzdzania bezpieczestwem informacji. Wmyl 20 ust.3
tego rozporzdzenia wymagania wzakresie systemu zarzdzania bezpieczestwem informacji
uznaje si za spenione, jeeli system ten zosta opracowany napodstawie Polskich Norm27.
Wpkt5.1 normy PN-ISO/IEC 17799:2007 wskazano opracowanie istosowanie dokumentu
polityki bezpieczestwa informacji. Wdroone wtych jednostkach procedury dotyczyy
gwnie zarzdzania bezpieczestwem danych osobowych, nie odnosiy si natomiast
24 Paragraf 8 rozporzdzenia ePUAP z6maja 2014r., obowizujcego od 11maja 2014r. Poprzednio okrelone w7 ust.1
14
rozporzdzenia ePUAP z27kwietnia 2011r.

25 UM w: Misku Mazowieckim iPocku.
26 UM w: Andrychowie, Gogowie, Luboniu, Nowym Targu, Pocku, Radomiu iremie.
27 Polska Norma PN-ISO/IEC 27001:2007 Technika informatyczna. Techniki bezpieczestwa. Systemy zarzdzania
bezpieczestwem informacji. Wymagania oraz powizana zni Polska Norma PN-ISO/IEC17799:2007 Technika informatyczna.
Techniki bezpieczestwa. Praktyczne zasady zarzdzania bezpieczestwem informacji.
do innych informacji przetwarzanych wurzdzie28. Kontrolowani informowali, e planowane s,

bd podjto ju prace dla przygotowania nowej Polityki Bezpieczestwa Informacji, ktra obejmie
wszystkie elementy systemu zarzdzania bezpieczestwem informacji wurzdzie [str. 3637].
W zdecydowanej wikszoci jednostek (22 z24, tj.91,7%) wokresie objtym kontrol
przeprowadzano okresowe analizy utraty integralnoci, poufnoci lub dostpnoci
informacji. Wanalizach zidentyfikowano m.in. ryzyka braku cigoci pracy jednostki, atake
dla kadego ryzyka okrelano planowane dziaania majce nacelu jego ograniczenie oraz koszty
tych dziaa [str. 3738].
W czterech urzdach 29 z23 30 urzdw (tj.17,4%) nie prowadzono inwentaryzacji
zasobw informatycznych, wsposb okrelony w20 ust.2 pkt2 rozporzdzenia KRI.
Dane sprztu komputerowego ujmowano wukadzie kart informacyjnych lub tradycyjnej
ksiki inwentarzowej dla potrzeb rachunkowoci. Nie zawieray one jednak szczegowych
danych okonfiguracji technicznej urzdze, czy te ozainstalowanym nanich oprogramowaniu.
Zdaniem NIK, prowadzenie inwentaryzacji zawierajcej dane szczegowe okonfiguracji
technicznej urzdze oraz ozainstalowanym nanich oprogramowaniu moe uatwi
sprawne odtworzenie zasobw informatycznych wrazie wystpienia zdarze losowych
jak np.kradzie lub powana awaria sprztu informatycznego. Ponadto, wdwch innych urzdach31
inwentaryzacj zasobw informatycznych prowadzono wsposb nierzetelny [str. 38].
Nie opracowano pisemnych procedur zarzdzania uprawnieniami uytkownikw
do pracy wsystemach informatycznych wjednym urzdzie32, aw 13 innych urzdach33
(54,2%) stwierdzono nieprawidowoci polegajce naniedochowaniu wymogw
okrelonych w20ust.2 pkt4 i5 rozporzdzenia KRI. Itak:
w przypadku 18 osb (z 421 pracownikw objtych badaniem) stwierdzono, e wystpiy
nieprawidowoci wzakresie nadawania uprawnie do realizowanych zada [str. 39];
konta wsystemach informatycznych 20 byych pracownikw (z 310 objtych badaniem)
nie zostay zablokowane ipozostaway wci aktywne [str. 39];
w przypadku 82 pracownikw wykonujcych zadania wsystemach informatycznych (z 350 objtych
badaniem) stwierdzono, e mieli oni moliwo zainstalowania nauytkowanych przez nich
komputerach dowolnego oprogramowania. Sytuacja taka wystpia wdziewiciu urzdach34
(37,5%), aw czterech35 znich wszyscy badani uytkownicy systemw informatycznych niebdcy
pracownikami sub informatycznych posiadali uprawnienia administratora systemu, wzwizku
zczym mogli samodzielnie instalowa dowolne oprogramowanie [str. 40].
28 M.in. dotyczcych konfiguracji infrastruktury informatycznej, wtym serwerw, zarzdzania hasami dostpu do systemw
29
30
31
32
33
34
35
informatycznych, treci umw zdostawcami, warunkw zastrzeonych przez dostawcw, tajemnic wynikajcych zinnych
aktw prawnych, jak np.prawa wasnoci intelektualnej, zasad bezpieczestwa fizycznego wobiekcie, korespondencji
subowej czy stosowanych zabezpiecze systemw informatycznych.
Dotyczy UM w: Nowym Targu, Olkuszu, Pruszkowie iwinoujciu.
Badania nie przeprowadzono wUrzdzie Miasta Pocka ze wzgldu natrwajc wtrakcie kontroli migracj danych do nowo
zakupionego programu inwentaryzacyjnego.
UM w: Gogowie iMisku Mazowieckim.
UM wStargardzie Szczeciskim.
UM w: Chrzanowie, Dzieroniowie, Gogowie, Lesznie, Luboniu, Mikoowie, Misku Mazowieckim, Nowym Targu, Olkuszu,
Pocku, Pruszkowie, Szczecinku iwinoujciu.
UM w: Chrzanowie, Gogowie, Luboniu, Misku Mazowieckim, Nowym Targu, Olkuszu, Pruszkowie, Szczecinku iwinoujciu.
UM w: Luboniu, Misku Mazowieckim, Nowym Targu iwinoujciu.
15
W 17 urzdach (70,8%) zorganizowano dla pracownikw szkolenia dotyczce bezpieczestwa

informacji, zgodnie z20 ust.2 pkt6 rozporzdzenia KRI. Wpozostaych siedmiu jednostkach36
po 31maja 2012r., tj.po wejciu wycie rozporzdzenia KRI, nie przeprowadzono szkole
wzakresie bezpieczestwa informacji. Zdaniem NIK istnieje potrzeba, aby pracownicy
zaangaowani wproces przetwarzania informacji zostali przeszkoleni oraz aby byli regularnie
powiadamiani ozagroeniach wobszarze bezpieczestwa informacji, atake ozmianach
wzakresie obowizujcych wurzdzie polityk iprocedur zwizanych zwykonywanymi przez nich
zadaniami. Zwikszy to wiadomo pracownikw co do wystpujcych zagroe zwizanych
zbezpieczestwem informacji [str. 4041].
Zasady bezpiecznej pracy uytkownikw przy wykorzystaniu komputerw przenonych
zgodne zwymogami okrelonymi w20 ust.2 pkt8 rozporzdzenia KRI ustanowiono
tylko w11 urzdach37 (45,8%). Zasady okrelay m.in. sposoby zabezpieczenia urzdze mobilnych
(laptopy, tablety, smartfony) idanych wnich zawartych przed kradzie inieuprawnionym
dostpem poza siedzib jednostki, atake zasady korzystania zoglnodostpnych sieci
bezprzewodowych oraz aktualizacji oprogramowania urzdze przenonych [str. 4142].
W omiu skontrolowanych urzdach (33,3%) wumowach nazakup lub serwis sprztu
komputerowego/oprogramowania dotyczcych badanych systemw informatycznych,
brak byo zapisw gwarantujcych zabezpieczenie poufnoci informacji uzyskanych przez
wykonawcw wzwizku zrealizacj tych umw, co byo niezgodne zprzepisem 20 ust.2
pkt10 rozporzdzenia KRI. Zapisw takich nie zawarto w2838 umowach spord 63 umw
objtych badaniem (44,4%). Wskazywane przez kontrolowanych uzgodnienia nieformalne
bez wprowadzenia odpowiednich zapisw wumowach, zdaniem NIK mog istotnie utrudnia
zamawiajcemu skuteczne dochodzenie odpowiedzialnoci usugodawcy wprzypadku
niedochowania tajemnicy informacji, do jakich mia on dostp wzwizku zrealizowaniem
umowy [str. 4243].
W dziewiciu39 urzdach (tj.37,5%) wokresie objtym kontrol nie przeprowadzono audytu
wzakresie bezpieczestwa informacji wsystemach informatycznych, co byo niezgodne
z20 ust.2 pkt14 rozporzdzenia KRI. Powysz nieprawidowo tumaczono m.in. faktem,
e audyt opodobnej tematyce zosta przeprowadzony wlatach wczeniejszych, atake brakiem
pracownikw posiadajcych niezbdn wiedz idowiadczenia dla przeprowadzenia takiego
audytu40 [str. 4344].
W 20 kontrolowanych urzdach (83,3%) kopie zapasowe danych byy waciwie tworzone,
przechowywane oraz testowane. Jednake wczterech urzdach41 stwierdzono nieprawidowoci
wtym zakresie, stanowice naruszenie 20 ust.2 pkt12 lit.b rozporzdzenia KRI [str. 44].
36 UM w: Chrzanowie, Dzieroniowie, Luboniu, Nowym Targu, Olkuszu, Szczecinku iwinoujciu.
37 UM w: Dbrowie Grniczej, Legnicy, Lesznie, Luboniu, Mysowicach, Ostrowie Wlkp., Pocku, Radomiu, Szczecinku, widnicy
16
iZawierciu.

UM
w(liczba umw bez waciwych zapisw/liczba zbadanych umw): Dzieroniowie (3/6), Gogowie (4/13), Lesznie (1/1),
38
Nowym Targu (2/6), Olkuszu (5/22), Pruszkowie (4/4), remie (4/4) iwinoujciu (5/7).
39 UM w: Andrychowie, Gogowie, Lesznie, Olkuszu, Pruszkowie, Stargardzie Szczeciskim, Szczecinku, winoujciu iZawierciu.
40 W trakcie kontroli bd wodpowiedziach nawystpienia pokontrolne, kontrolowani zadeklarowali przeprowadzenie
audytu bezpieczestwa informacji wostatnim kwartale 2014r.

41 Dotyczy UM w: Luboniu, Misku Mazowieckim, Nowym Targu, Pruszkowie.
2.2.4.Dostosowanie sposobu prezentacji informacji przez systemy informatyczne do potrzeb

osb niepenosprawnych
Strony internetowe iBIP skontrolowanych urzdw wrnym stopniu zostay dostosowane
do odbioru ich treci przez osoby niepenosprawne. Wurzdach stosowano rne rozwizania
techniczne umoliwiajce osobom niedosyszcym lub niedowidzcym zapoznanie si ztreci
informacji m.in. poprzez powikszenie czcionki, obrazu, zmian kontrastu czy te odsuchanie
wywietlanej treci. Ustalono, e we wszystkich kontrolowanych urzdach naich stronach
internetowych i/lub nastronach BIP wystpoway jednak bdy zwizane zprezentowaniem
treci dla osb niepenosprawnych. Niezbdne jest wic podejmowanie dalszych dziaa wcelu
wyeliminowania ujawnionych bdw ipoprawy funkcjonalnoci stron internetowych iBIP
wodbiorze przez osoby niepenosprawne. Biorc pod uwag, e wymagania wtym zakresie
okrelone w19 rozporzdzenia KRI maj by ostatecznie wprowadzone nie pniej ni wterminie
3 lat od dnia wejcia wycie rozporzdzenia KRI, tj.do dnia 31maja 2015r., NIK nie dokonywaa
oceny dziaalnoci kontrolowanych jednostek wbadanym obszarze [str. 45].
2.3 Uwagi iwnioski

1. Wyniki kontroli wskazuj, e jakkolwiek podjte zostay dziaania dla zapewnienia
interoperacyjnoci zakupionych izmodernizowanych po 31maja 2012r. systemw informatycznych,
to jednak zakres tej wsppracy jest jeszcze ograniczony. wiadczy o tym to, i zaledwie 16,7%
z badanych systemw informatycznych automatycznie wymieniao informacje z innymi
systemami urzdu, jak rwnie fakt, e tylko 6,9% systemw odwoywao si bezporednio
do danych gromadzonych w zewntrznych systemach/rejestrach publicznych. Konieczne
jest zatem podejmowanie przez MAiC i podmioty realizujce zadania publiczne dalszych dziaa
w celu osignicia wyszego poziomu interoperacyjnoci systemw informatycznych.
Jest to bowiem jeden zgwnych elementw, ktry tworzy warunki dla rozwoju rynku usug
wiadczonych drog elektroniczn obywatelom iprzedsibiorcom, naco wskazano wProgramie
Zintegrowanej Informatyzacji Pastwa. Wyniki kontroli wykazay, e liczba wiadczonych
usug elektronicznych w wikszoci kontrolowanych urzdw (70,8%) nie przekraczaa 20,
a w czterech urzdach ograniczaa si do wiadczenia tylko jednej, obligatoryjnej usugi,
tj.Elektronicznej Skrzynki Podawczej.
2. Dla rozwoju usug elektronicznych istotne jest rwnie pene ikonsekwentne wprowadzenie
wurzdach elektronicznego systemu zarzdzania dokumentacj, ktryjak wskazuj wyniki
kontroli stosowany jest bardziej jako element pomocniczy dla papierowego systemu
dokumentowania przebiegu rozpatrywania irozstrzygania spraw.
3. W celu wikszego zainteresowania obywateli i przedsibiorcw moliwoci zaatwiania
spraw wurzdzie drog elektroniczn, istnieje potrzeba podjcia szerszych dziaa wzakresie
informowania o e-usugach i ich promowania, w szczeglnoci tam, gdzie urzdy wiadcz
wiele usug w formie elektronicznej, ale liczba zoonych dokumentw w tej formie
jest znikoma. W trakcie kontroli stwierdzono, e niektre urzdy podejmoway aktywne
dziaania w zakresie informowania i promowania komunikacji elektronicznej z urzdem,
co naley wskaza jako tzw. dobre praktyki. Polegay one np. na organizowaniu spotka
z mieszkacami, przeprowadzaniu ankiet, a take zamieszczaniu stosownych informacji
wlokalnych mediach.
17
4. W komunikacji urzdu z osobami niepenosprawnymi istotnego znaczenia nabiera rwnie

kwestia waciwego prezentowania informacji poprzez waciwe dostosowanie dla tych
osb treci zamieszczanych na stronach internetowych i BIP urzdw. Kontrola wykazaa,
e w adnym z kontrolowanych urzdw do zakoczenia kontroli jeszcze nie dostosowano
w peni serwisw internetowych do wymaga okrelonych w 19 rozporzdzenia KRI,
ktre wejd wycie 31maja 2015r.
5. Dla zapewnienia prawidowej i bezpiecznej komunikacji drog elektroniczn wewntrz
urzdu jak iz innymi urzdami oraz zobywatelami istotnym jest zapewnienie bezpieczestwa
informacji. Suy temu powinien prawidowo funkcjonujcy system zarzdzania bezpieczestwem
informacji, w szczeglnoci przyjcie i konsekwentne wdroenie oraz stosowanie polityki
bezpieczestwa informacji. Tymczasem kontrola NIK wykazaa, e wtym obszarze wystpio
wiele nieprawidowoci polegajcych na niedochowaniu wymogw okrelonych w 20
rozporzdzenia KRI.
6. Wan rol w zarzdzaniu osiganiem interoperacyjnoci systemw informatycznych
ma do spenienia Minister Administracji i Cyfryzacji, ktry w tym zakresie realizuje zadania
okrelone wustawie oinformatyzacji irozporzdzeniu KRI. Obejmuj one m.in. koordynowanie
spraw wzakresie opracowywania standardw, wytycznych irekomendacji interoperacyjnoci
oraz prowadzenie kontroli w podmiotach publicznych w zakresie dziaania systemw
teleinformatycznych, prowadzenia rejestrw i wymiany informacji w postaci elektronicznej,
przewidzianych w art. 25 ust. 1 pkt 3 lit. c ustawy o informatyzacji. Kontrole takie przez
MAiC nie byy prowadzone. Ponadto, nie przekazano wojewodom jednolitych kryteriw
merytorycznych dotyczcych przeprowadzania przez nich kontroli wjednostkach samorzdu
terytorialnego wzakresie dziaania systemw teleinformatycznych oraz rejestrw publicznych,
ktre suywane do realizacji zada zleconych zzakresu administracji rzdowej. Zdaniem NIK,
prowadzenie takich kontroli zarwno przez MAiC, jak i wojewodw, jest niezbdne
gdy zapewnia wiedz opraktycznym funkcjonowaniu systemw informatycznych wpodmiotach
podlegajcych wymogom rozporzdzenia KRI.
* * *
W ocenie NIK, dla zwikszenia poziomu interoperacyjnoci systemw informatycznych
oraz bezpieczestwa przetwarzanych wnich danych konieczne jest podejmowanie przez Ministra
Administracji iCyfryzacji ijednostki samorzdu terytorialnego dziaa, wszczeglnoci:
Minister Administracji iCyfryzacji powinien:
Zapewni przeprowadzanie przewidzianych wart.25 ust.1 pkt3 lit.c ustawy oinformatyzacji
kontroli wpodmiotach publicznych wzakresie dziaania systemw teleinformatycznych,
prowadzenia rejestrw iwymiany informacji wpostaci elektronicznej.
Podj dziaania wcelu doprecyzowania podmiotom realizujcym zadania publiczne znaczenia
terminu istotnej modernizacji, oktrej mowa w23 rozporzdzenia KRI.
Okreli dla wojewodw jednolite ispjne kryteria kontroli systemw/rejestrw informatycznych
uywanych wjednostkach samorzdu terytorialnego do realizacji zada zleconych zzakresu
administracji rzdowej (art.25 ust.1 pkt3 lit.a ustawy oinformatyzacji).
18
Burmistrzowie iPrezydenci miast powinni:

Przeprowadza, przy zakupie nowych lub modernizacji ju funkcjonujcych systemw
informatycznych, analizy zapewnienia interoperacyjnoci (wspdziaania) zinnymi systemami
wcelu optymalnego wykorzystywania danych ju zgromadzonych we wasnych izewntrznych
systemach/rejestrach informatycznych.
Rozway moliwo wprowadzenia systemu elektronicznego zarzdzania dokumentacj
jako podstawowego sposobu dokumentowania przebiegu zaatwiania irozstrzygania spraw.
Opracowa iwdroy PBI oraz konsekwentnie stosowa procedury zarzdzania bezpieczestwem
informacji przetwarzanych wurzdzie, obejmujce wszystkie elementy, oktrych mowa
w20 rozporzdzenia KRI.
Podj lub zintensyfikowa dziaania informacyjne ipromocyjne wcelu zachcenia obywateli
iprzedsibiorcw do korzystania zelektronicznej formy komunikacji zurzdem.
Zapewni do 31maja 2015r. dostosowanie prezentowanych informacji wsystemach
teleinformatycznych urzdw, wtym nastronach internetowych iBIP do odbioru przez osoby
niepenosprawne, stosownie do wymaga okrelonych w19 rozporzdzenia KRI.
19
w a n ie j s z e w y n i k i k o n t r o l i
3.1 Realizacja zada Ministra Administracji iCyfryzacji wzakresie interoperacyjnoci,
wszczeglnoci okrelonych wrozporzdzeniu KRI, wzakresie prowadzenia repozytorium
interoperacyjnoci oraz publicznej dyskusji nad rekomendacjami interoperacyjnoci.
Minister Administracji iCyfryzacji zgodnie z9 rozporzdzenia KRI, zapewnia realizacj publicznej
dyskusji nad rekomendacjami interoperacyjnoci (pkt1) oraz prowadzenie repozytorium
interoperacyjnoci (pkt2).
3.1.1. Rekomendacje interoperacyjnoci
Zadania Ministra Administracji iCyfryzacji wzakresie m.in. przygotowywania rekomendacji
dotyczcych interoperacyjnoci, neutralnoci technologicznej ijawnoci standardw informatycznych
dla systemw teleinformatycznych uywanych do realizacji zada publicznych, rekomendowania
strategicznych zada pastwa, standardw iwytycznych wzakresie informatyzacji administracji
publicznej, przygotowywania rekomendacji dotyczcych minimalnych wymaga dla rejestrw
publicznych iwymiany informacji wpostaci elektronicznej zpodmiotami publicznymi, zgodnie
zRegulaminem organizacyjnym MAiC42, wykonywa Departament Informatyzacji (dalej DI).
Minister Administracji iCyfryzacji wokresie objtym kontrol zapewni prowadzenie publicznej
dyskusji nad rekomendacjami interoperacyjnoci naPortalu Interoperacyjnoci zamieszczonym
naePUAP43. Portal Interoperacyjnoci (dalej PI) stanowi narzdzie, przy wykorzystaniu ktrego
Minister organizuje publiczn dyskusj wzakresie wypracowania rekomendacji iwzorcw
stosowanych przy wiadczeniu usug publicznych. Ponadto, Z-ca Dyrektora DI podaa, i ()
wramach obecnie realizowanego przez Ministerstwo Administracji iCyfryzacji, we wsppracy zCentrum
Projektw Informatycznych, projektu ePUAP rozbudowywane sfunkcjonalnoci systemu ePUAP,
po zakoczeniu ktrego udostpniona zostanie nowa wersja platformy, wtym nowe funkcjonalnoci
wzakresie repozytorium interoperacyjnoci.
Do dnia zakoczenia czynnoci kontrolnych wMAiC44 naPI zamieszczone byy informacje dotyczce
prowadzonych dyskusji wzakresie interoperacyjnoci wramach 33 wtkw45, wtym pi utworzonych
wokresie objtym kontrol. Wszczeglnoci istotne dla zagadnie objtych kontrol byy dwa wtki46
udostpnione przez Ministra Administracji iCyfryzacji wraz ze wstpnymi propozycjami wzwizku
znowelizacj ustawy oinformatyzacji wcelu przeprowadzenia dyskusji iwypracowania waciwego
rozwizania dla:
Standardu Elektronicznej Skrzynki Podawczej opisu niezbdnych waciwoci, jakie powinna
posiada ESP udostpniana przez podmioty publiczne;
Standardu Formularza ePUAP opisu charakterystycznych elementw, jakie powinien lub moe
posiada formularz uywany przez podmioty publiczne naplatformie ePUAP, wraz zacznikiem
do Standardu, wktrym zawarto opis podstawowych elementw Formularza (formularz.xsd47),
stanowicego podstaw do jednego ze sposobw weryfikacji Formularzy instalowanych naePUAP.
42 W okresie objtym kontrol obowizyway dwa regulaminy organizacyjne wprowadzone zarzdzeniami Ministra
20
Administracji i Cyfryzacji w sprawie ustalenia regulaminu organizacyjnego Ministerstwa Administracji iCyfryzacji:

nr5 zdnia 27grudnia 2011r. obowizywa do 21stycznia 2013r. (Dz.Urz.MAiC z2012r., poz.5) oraz nr1 zdnia 15stycznia 2013r.
obowizywa od dnia 22stycznia 2013r. (Dz.Urz.MAiC z2013r., poz.1).
43 PI zosta udostpniony naePUAP wnastpujcej lokalizacji: strona gwna www.epuap.gov.pl>Podmioty publiczne>Portal
Interoperacyjnoci.
44 Tj.do dnia 14lipca 2014r.
45 Wtek stanowi pewn przestrze robocz naPortalu Interoperacyjnoci, wramach ktrej trwaj prace nad rekomendacj.
46 Pozostae trzy wtki to: Dziedzinowe schematy dla MF aktualizacja; Wzory zacznikw oglnych; Wzory zacznikw VAT.
47 XSD jest plikiem schematu dla wzoru okrelajcego struktur dokumentu elektronicznego wformacie xml.
3.1.2.Repozytorium interoperacyjnoci
Minister Administracji iCyfryzacji zapewni prowadzenie repozytorium interoperacyjnoci 48.
WRI zamieszczono informacj o26 rekomendacjach interoperacyjnoci 49, oktrych mowa
w6 rozporzdzenia KRI, wtym orekomendacjach dotyczcych standardu ESP oraz standardu
Formularza ePUAP. WRI znajdowao si rwnie 151 dokumentw 50, bdcych produktami
tych rekomendacji51.
Zgodnie z7ust.1 rozporzdzenia KRI informacje opublikowane wrepozytorium interoperacyjnoci
powinny by oznaczone wszczeglnoci: nazw, opisem, wersj, dat iczasem publikacji, statusem
obowizywania, identyfikatorem pozwalajcym naidentyfikacj osoby publikujcej. Szczegowe
badanie przeprowadzone naprbie dokumentw zamieszczonych wRI wykazao, e byy one
oznaczone wsposb okrelony wtym przepisie.
Minister Administracji iCyfryzacji, stosownie do 10 ust.5 rozporzdzenia KRI, opublikowa
wRI schematy XML struktury danych cech informacyjnych obiektw. Jest to standard wymiany
plikw uywany wkomunikacji midzy systemami informatycznymi, przyjty do stosowania
wadministracji publicznej. Schematy te odnosiy si do:
osb fizycznych posiadajcych nadany numer PESEL,
osb prawnych, jednostek organizacyjnych nie posiadajcych osobowoci prawnej oraz organw
wadzy publicznej,
obiektw przestrzennych52.
W RI nie publikowano schematw XML struktur danych cech informacyjnych innych typw
obiektw ni powysze, poniewa podmioty publiczne wokresie objtym kontrol nie skaday
do MAiC wnioskw, oktrych mowa w10 ust.12 rozporzdzenia KRI. Zpowodu braku wnioskw
podmiotw publicznych nie publikowano rwnie opisw protokow istruktur wymiany danych
usugi sieciowej, oktrych mowa w8 ust.3 tego rozporzdzenia.
3.1.3.Dziaania informacyjne wzakresie KRI
W zwizku zwejciem wycie rozporzdzenia KRI, pracownicy Departamentu Informatyzacji
MAiC przeprowadzali szkolenia dotyczce interoperacyjnoci, m.in. wmaju 2014r. naprob
Departamentu Rozwoju Cyfrowego Ministerstwa Infrastruktury iRozwoju, przeprowadzone
zostay warsztaty powicone interoperacyjnoci systemw teleinformatycznych adresowane do
pracownikw instytucji zaangaowanych we wdraanie Programu Operacyjnego Polska Cyfrowa
oraz potencjalnych beneficjentw iprzedstawicieli Urzdw Marszakowskich odpowiedzialnych
za przygotowanie Regionalnych Programw Operacyjnych. Na spotkaniach ikonferencjach
pracownicy Departamentu Informatyzacji omawiali zagadnienia zwizane zinteroperacyjnoci,
np.w dniu 22maja 2013r. naspotkaniu audytorw wewntrznych jednostek sektora finansw
publicznych53, wczerwcu 2013r. nakonferencji pn. E-dostpno sektora publicznego wPolsce
48 Repozytorium interoperacyjnoci zostao udostpnione na stronie internetowej www.crd.gov.pl>Podmioty
publiczne>PI>Produkty Rekomendacji.
49 Rekomendacja to dokument wypracowany wramach Portalu Interoperacyjnoci. Wramach jednej rekomendacji mog powsta
50
51
52
53
rne produkty (np.schemat XML).

Pojedynczy, podstawowy lub zoony skadnik wzoru dokumentu elektronicznego lub inny dokument np.standard.
Efekt przeprowadzonej dyskusji, wypracowane rozwizanie.
Element wiata rzeczywistego przyjty wukadzie wsprzdnych np.budynek oustalonym adresie.
http://www.mf.gov.pl/news1/-/asset_publisher/u7QN/content/id/4581781;jsessionid=DAA4E860D38EC36400930548DD4823AB
21
osignicia iwyzwania 54. Jak podaa Dyrektor Generalny MAiC, temat interoperacyjnoci
omawiany by take naspotkaniach Linii Wsppracy55 strony rzdowej zsamorzdow, wramach
grupy roboczej ds.elektronizacji56. Ponadto, w2013r. organizowane byy wMAiC spotkania
pod przewodnictwem Podsekretarza Stanu Pana Andrzeja Rgowskiego, majce nacelu
wypracowanie rozwiza wzakresie interoperacyjnoci rejestrw publicznych. Wramach cyklu
ww. spotka wypracowano wykaz krytycznych cech informacyjnych dla rejestrw publicznych
oraz opracowano iprzetestowano narzdzie analityczne dotyczce budowy modelu wspdziaania
usug zrejestrami publicznymi.
NIK pozytywnie ocenia podejmowane przez MAiC dziaania majce nacelu zapoznanie
przedstawicieli administracji publicznej z zagadnieniami interoperacyjnoci systemw
informatycznych.
Po wejciu wycie rozporzdzenia KRI, rne podmioty57 zwracay si do MAiC oudzielenie
informacji iwyjanie wsprawach regulowanych ww. rozporzdzeniem. Ministerstwo nabieco
udzielao odpowiedzi nazgoszone pytania iwtpliwoci, za wyjtkiem jednego przypadku:
yy Ustalono, i Wojewoda Podlaski wuzgodnieniu zpozostaymi wojewodami, wdniu 17lipca 2012r. skierowa
do Ministra Administracji iCyfryzacji pismo (znak:BI-I.002.1.2012.MS) zprob owyjanienie sposobu realizacji
obowizku okrelonego wart.25 ust.1 pkt3 lit.a ustawy oinformatyzacji, dotyczcego przeprowadzania kontroli
wjednostkach samorzdu terytorialnego wzakresie dziaania systemw teleinformatycznych oraz rejestrw
publicznych, ktre suywane do realizacji zada zleconych zzakresu administracji rzdowej. Wojewoda Podlaski
www. pimie przedstawi najistotniejsze problemy wzakresie realizacji przedmiotowej kontroli oraz zwrci si
zprob ookrelenie jednolitych kryteriw merytorycznych kontroli. Wtoku kontroli ustalono, i ww. pismo
wpyno do MAiC wdniu 25lipca 2012r. ido dnia zakoczenia kontroli, tj.do dnia 14lipca 2014r. nie zostaa
udzielona nanie odpowied, aMAiC wudzielonych wyjanieniach nie wskaza naprzyczyn braku odpowiedzi.
NIK wskazaa, e brak odpowiedzi moe utrudnia wywizywanie si przez wojewodw zobowizku
przeprowadzania kontroli dotyczcych stosowania przepisw rozporzdzenia KRI. Zuzyskanych przez NIK
informacji wynika, i 14 wojewodw nie przeprowadzao kontroli wjednostkach samorzdu terytorialnego
wzakresie dziaania systemw teleinformatycznych oraz rejestrw publicznych, ktre suywane do realizacji
zada zleconych zzakresu administracji rzdowej 58.
Najwicej wtpliwoci podmioty zgaszay wsprawach dotyczcych przeprowadzania audytu

wzakresie bezpieczestwa informacji iznaczenia terminu istotnej modernizacji. Wocenie NIK,
pozytywnie naley oceni opracowanie przez Departament Informatyzacji MAiC wuzgodnieniu
zDepartamentem Audytu Sektora Finansw Publicznych Ministerstwa Finansw wsplnego
stanowiska odnonie zagadnie zwizanych zobowizkiem przeprowadzania okresowego audytu
wzakresie bezpieczestwa informacji, oktrym mowa w20 ust.2 pkt14 rozporzdzenia KRI.
Powysze stanowisko wraz zwytycznymi do przeprowadzenia audytu zostao zamieszczone
nastronie internetowej Ministerstwa Finansw.
54 http://widzialni.org/e-dostepnosc-sektora-publicznego-w-polsce-osiagniecia-i-wyzwania,m,mg,8,27
55 Linia Wsppracy to sposb wsppracy midzy samorzdami irzdem. Pozwala samorzdowcom iadministracji rzdowej
56
57
58
22
konsultowa zaoenie projektw teleinformatycznych nawczesnym etapie. Poniewa projekty srne, powstay
cztery grupy robocze, ktre spotykaj si cyklicznie ispecjalizuj w: elektronizacji usug administracji, e-umiejtnociach
ipartycypacji cyfrowej, sprawach otwartego rzdu, budowie sieci szerokopasmowych budowanych ze rodkw unijnych
(rdo: https://mac.gov.pl/linia-wspolpracy-rzadu-i-samorzadu).
http://maic.gov.pl/grupa-ds-elektronizacji-uslug-administracji
Polski Zwizek Niewidomych, firma Librus, Urzd Miasta iGminy wGryfinie, Urzd Miasta iGminy Uzdrowiskowej Muszyna,
Ministerstwo FinanswDepartament Audytu Sektora Finansw Publicznych.
NIK zwrcia si, napodstawie art.29 ust.1 pkt2 lit.f ustawy oNIK do wszystkich wojewodw oudzielenie informacji dotyczcych
kontroli jednostek samorzdu terytorialnego przeprowadzanych napodstawie art.25 ust.1 pkt3 lita wzwizku zart.25
ust.3 ustawy o informatyzacji, tj. w zakresie dziaania systemw teleinformatycznych oraz rejestrw publicznych,
ktre suywane do realizacji zada zleconych zzakresu administracji rzdowej.
Natomiast wkwestii rozumienia terminu istotnej modernizacji, oktrym mowa w23

rozporzdzenia KRI Zastpca Dyrektora DI poinformowaa, e do oceny jaka modernizacja jest istotna,
waciwy jest administrator konkretnego zmodernizowanego systemu informatycznego.
Poinformowaa rwnie, e ocena taka zawsze bdzie indywidualna oraz uzaleniona od specyfiki
konkretnego systemu, niemniej jednak kryteria woparciu, oktre przedmiotowa ocena powinna
by dokonywana to wszczeglnoci zmiana funkcjonalnoci, uywalnoci, wydajnoci lub niezawodnoci
systemu czy te nakad czasowy zwizany ze zmian oraz nakad finansowy niezbdny
do przeprowadzenia modernizacji. NIK zauwaa, e wtrakcie prac legislacyjnych nad projektem
rozporzdzenia KRI Podsekretarz Stanu wMSWiA Pan Piotr Koodziejczyk wpimie zdnia
10sierpnia 2011r. nrDSI-WPISI-0230-9-1/2011 przedstawi wyjanienie, e Poprzez istotn
modernizacj naley rozumie modernizacj co najmniej napoziomie 10% oglnej wartoci systemu.
W opinii NIK, brak precyzyjnego okrelenia pojcia istotnej modernizacji moe utrudnia
interpretacj tego pojcia przez podmioty realizujce zadania publiczne. Ma to znaczenie
waspekcie realizacji obowizku okrelonego w23 rozporzdzenia KRI, ktry zobowizuje
ww. podmioty do dostosowania uytkowanych systemw teleinformatycznych do wymogw
zawartych wrozdziale IV rozporzdzenia KRI, nie pniej ni wdniu ich pierwszej istotnej modernizacji.
3.1.4. Kontrola interoperacyjnoci systemw informatycznych wpodmiotach publicznych
Zgodnie zart.25 ust.1 pkt3 lit.c ustawy oinformatyzacji, minister waciwy do spraw informatyzacji
dokonuje kontroli wpodmiotach publicznych 59 dziaania systemw teleinformatycznych,
uywanych do realizacji zada publicznych albo realizacji obowizkw wynikajcych zart.13
ust.2 ww. ustawy pod wzgldem zgodnoci zminimalnymi wymaganiami dla systemw
teleinformatycznych lub minimalnymi wymaganiami dla rejestrw publicznych iwymiany
informacji wpostaci elektronicznej.
Zadania kontrolne wMAiC przypisane byy60 do zakresu dziaania Departamentu Kontroli, Skarg
iWnioskw (dalej DKSiW). Wokresie objtym kontrol DKSiW nie planowa inie przeprowadza
kontroli wwyej wymienionym zakresie. Natomiast napodstawie upowanienia udzielonego
przez Prezesa Rady Ministrw, DKSiW przeprowadzi wokresie od 17czerwca 2013r. do 31maja 2014r.
kontrol projektu ponadsektorowego61 pn.:Elektroniczna Platforma Usug Administracji Publicznej2
(ePUAP2).
Jak poda Dyrektor DKSiW, wlatach 20112013 czonkowie kierownictwa ikomrki organizacyjne
Ministerstwa nie wnioskoway oumieszczenie wplanie kontroli realizacji przez DKSiW kontroli
wpodmiotach publicznych wzakresie dziaania systemw teleinformatycznych, uywanych
do realizacji zada publicznych albo realizacji obowizkw okrelonych wart.13 ust.2 ustawy
oinformatyzacji. Jednoczenie Dyrektor DKSiW wskaza, i Departament Informatyzacji MAiC
weryfikuje zapewnienie interoperacyjnoci systemw teleinformatycznych naetapie prac
nad projektami dokumentw rzdowych rozpatrywanych przez Komitet Rady Ministrw
ds. Cyfryzacji (dalej KRMC), za pomoc listy kontrolnej. Ponadto, wskaza, e pracownicy DKSiW
59 Za wyjtkiem:
jednostek samorzdu terytorialnego iich zwizkw oraz wtworzonych lub prowadzonych przez te jednostki samorzdowych
osb prawnych iinnych samorzdowych jednostek organizacyjnych;
podmiotw publicznych podlegych lub nadzorowanych przez organy administracji rzdowej.
60 Zgodnie z22 Regulaminu organizacyjnego prowadzenie kontroli przypisane byo do zakresu dziaania Departamentu Kontroli,
Skarg iWnioskw.

61 Zgodnie zart.25 ust.1 pkt1 ustawy oinformatyzacji, kontroli realizacji ponadsektorowych projektw informatycznych dokonuje
Prezes Rady Ministrw.
23
nie speniali wymogu okrelonego wart.28 ust.1 pkt5 ustawy oinformatyzacji, tj.nie posiadali
certyfikatw wskazanych wrozporzdzeniu Ministra Spraw Wewntrznych iAdministracji zdnia
10wrzenia 2010r. wsprawie wykazu certyfikatw uprawniajcych do prowadzenia kontroli
projektw informatycznych isystemw teleinformatycznych62. Podejmowano starania majce nacelu
pozyskanie specjalistw posiadajcych certyfikat wskazany wtym rozporzdzeniu. Wwyniku tych
stara wokresie od 17czerwca 2013r. do 30kwietnia 2014r. wDKSiW by zatrudniony ekspert,
ktry jako czonek zespou kontrolnego uczestniczy wprzygotowaniu iprzeprowadzeniu
kontroli projektu ponadsektorowego ePUAP2. Dalsze starania wopinii DKSiW opozyskanie
nastae ekspertw do przeprowadzenia kontroli systemw informatycznych, nie byy konieczne,
poniewa zarwno czonkowie kierownictwa ikomrki organizacyjne Ministerstwa nie wnioskoway
oumieszczenie wplanie kontroli okrelonych wart.25 ust.1 pkt3 lit.c ustawy oinformatyzacji.
Przedstawiona wpowyszych wyjanieniach argumentacja nie uzasadniaa, zdaniem NIK,
niepodejmowania dziaa wcelu realizacji przypisanych ustawowo Ministrowi Administracji
iCyfryzacji zada kontrolnych. Dla zapewnienia penego obrazu stanu osiganej interoperacyjnoci
systemw informatycznych wpodmiotach publicznych niezbdnym jest prowadzenie kontroli
wzakresie okrelonym wart.25 ust.1 pkt3 lit.c ustawy oinformatyzacji. Wszczeglnoci
jest to konieczne zuwagi nadynamiczny przebieg procesu informatyzacji zachodzcy
aktualnie wkraju. Pozwolioby to rwnie nawypracowanie rozwiza moliwych
do wykorzystania naetapie dokonywania ewentualnego przegldu funkcjonowania
wymogw okrelonych wrozporzdzeniu KRI.
Pan Bogdan Dombrowski Podsekretarz Stanu w Ministerstwie Administracji i Cyfryzacji
wodpowiedzi nawystpienie pokontrolne poinformowa (zupowanienia Ministra Administracji
iCyfryzacji) m.in., e skieruje pracownika naszkolenie/studia podyplomowe, koczce si
uzyskaniem certyfikatu oraz e podjto dziaania celem zatrudnienia osoby posiadajcej
wymagane kwalifikacje (certyfikaty). Poda rwnie, e wzmocnienie DKSiW opracownikw
speniajcych dodatkowe kryterium okrelone wart.28 ust.1 pkt5 ustawy oinformatyzacji63
pozwoli naprowadzenie kontroli wpodmiotach publicznych wzakresie dziaania systemw
teleinformatycznych, prowadzenia rejestrw iwymiany informacji wpostaci elektronicznej.
3.1.5.Realizacja Programu Zintegrowanej Informatyzacji Pastwa wobszarze interoperacyjnoci
W dniu 8 stycznia 2014 r. zosta przyjty przez Rad Ministrw Program Zintegrowanej
Informatyzacji Pastwa opracowany przez MAiC we wsppracy zpozostaymi resortami.
W punkcie 6.3.1.PZIP okrelone zostay zadania do zrealizowania wobszarze interoperacyjnoci,
wtym zadania krtkookresowe, do zrealizowania wcigu szeciu miesicy od daty przyjcia
dokumentu, tj.do 8lipca 2014r.:
1) powoanie przez Komitet Rady Ministrw do spraw Cyfryzacji, midzyresortowego zespou
do spraw osigania interoperacyjnoci majcego za zadanie koordynacj przedsiwzi zzakresu
osigania interoperacyjnoci,
2) opublikowanie schematw struktur danych cech informacyjnych podstawowych obiektw
opisywanych wrejestrach publicznych,
62 Dz.U. Nr177, poz.1195.
63 Kontrolerem moe by osoba penoletnia, ktra posiada certyfikat, uprawniajcy do prowadzenia kontroli projektw
24
informatycznych isystemw teleinformatycznych wrozumieniu art.25 ustawy oinformatyzacji.
3) opublikowanie informacji osposobie identyfikacji osb fizycznych nieposiadajcych numeru PESEL

oraz podmiotw innych ni osoby fizyczne nieposiadajcych nadanego numeru REGON,
4) zidentyfikowanie rejestrw publicznych zawierajcych dane referencyjne niezbdne do realizacji
procedur administracyjnych iuzyskanie od podmiotw publicznych prowadzcych te rejestry
zasad tworzenia identyfikatorw obiektw innych ni osoba, podmiot iobiekt przestrzenny
oraz struktur danych cech informacyjnych.
Inicjowanie ikoordynowanie dziaa administracji rzdowej okrelonych wPZIP zostao powierzone
Ministrowi Administracji iCyfryzacji64. Zgodnie 21 pkt7 Regulaminu organizacyjnego MAiC,
zadania zwizane zrealizacj PZIP wykonywane byy przez Departament Informatyzacji.
NIK zwrcia uwag, e pomimo upywu terminu nawykonanie dziaa krtkoterminowych
zwizanych zinteroperacyjnoci (okrelonych wPZIP), adne znich do dnia zakoczenia kontroli NIK
nie zostao wpeni zrealizowane. Wskazuje to napotrzeb przyspieszenia realizacji tych zada,
bowiem wocenie NIK sytuacja taka stwarza zagroenie opnienia realizacji pozostaych zada
okrelonych wtym programie wzakresie osigania interoperacyjnoci systemw informacyjnych
podmiotw realizujcych zadania publiczne. Szczegln rol wtym zakresie ma Minister
Administracji iCyfryzacji, ktremu wPZIP powierzono inicjowanie ikoordynowanie dziaa
zwizanych zinformatyzacj, aco za tym idzie, dziaania Ministra maj istotny wpyw naterminowo
realizacji poszczeglnych zada programu.
Zastpca dyrektora DI, odpowiedzialna za zadania wynikajce zPZIP podaa, e ich realizacja bdzie
si odbywaa przy wspudziale podmiotw publicznych objtych zakresem regulacji wynikajcych
zrozporzdzenia KRI. Wskazaa, i Przygotowane propozycje bd przedstawione Panu Ministrowi. (...)
Kwestie interoperacyjnoci bd podlegay ocenie przy dokonywaniu oceny wnioskw odofinasowanie
zPOPC, przy tym kadorazowo bd podlegay weryfikacji wzakresie uwzgldnienia zaoe icelw PZIP.
Niezbdne do tego jest stworzenie mechanizmw wsppracy pomidzy MAiC, ainnymi resortami,
jednym zktrych powinien by zesp, oktrym mowa wPZIP, dziaajcy przy KRMC. Trwaj uzgodnienia
zKomisj Europejsk wzakresie merytorycznym dot. POPC ijednoczenie trwaj ustalenia pomidzy
MAiC, MIR aWadz Wdraajc wzakresie zarzdzania POPC. Chcemy, aby mechanizmy zarzdzania
day moliwo realnego wpywu nafinasowanie ze rodkw UE rozwiza zapewniajcych
m.in. interoperacyjno systemw wramach systemu informacyjnego pastwa.
W zakresie realizacji pierwszego dziaania, z-ca dyrektora DI poinformowaa, e () okrelono gwne
obszary prac oraz propozycje skadu midzyresortowego zespou do spraw osigania interoperacyjnoci
majcego za zadanie koordynacj przedsiwzi zzakresu osigania interoperacyjnoci. Zustale
kontroli NIK wynika, e do dnia zakoczenia czynnoci kontrolnych wMAiC, tj.do dnia 14lipca 2014r.,
zesp taki nie zosta powoany.
W zakresie dziaania drugiego, dotyczcego opublikowania schematw danych cech informacyjnych
podstawowych obiektw opisywanych wrejestrach publicznych, jak poinformowa Naczelnik
Wydziau Polityki Informatyzacji Pastwa wDI: W2008r. opublikowano schematy podstawowych
obiektw informacyjnych, tj.osoba fizyczna, podmiot, obiekt przestrzenny.
Odnonie dziaania trzeciego z-ca dyrektora DI wskazaa, e waciwym do realizacji zadania
opublikowania informacji osposobie identyfikacji osb fizycznych nieposiadajcych numeru PESEL
jest MSW, apodmiotw innych ni osoby fizyczne nieposiadajcych nadanego numeru REGON GUS.
64 Rozdzia7, str.74 PZIP.
25
Naczelnik Wydziau Polityki Informatyzacji Pastwa wDI waciwy wsprawach rejestrw

wyjaniajc kwesti monitorowania realizacji tego zadania przez MAiC poda m.in.,
e rozpoczto prace konsultacyjne wcelu () stworzenia innego jednoznacznego identyfikatora
dla osoby fizycznej ni numer PESEL ().
W zakresie dziaania czwartego, z-ca dyrektora DI podaa, e wramach organizowanych przez
MAiC, cyklicznych spotka dotyczcych interoperacyjnoci zudziaem przedstawicieli podmiotw
zewntrznych, wykonane zostay prace wobszarze identyfikacji oraz analizy krytycznych cech
informacyjnych dla rejestrw publicznych. Prace wykonywane wramach tego dziaania nie zostay
zakoczone.
3.2 Dziaania burmistrzw iprezydentw miast wzakresie dostosowania posiadanych

systemw informatycznych do wsppracy zinnymi systemami/rejestrami informatycznymi
3.2.1.Dokumenty strategiczne
W dokumentach strategicznych wwikszoci zkontrolowanych urzdw (2265 spord 24, tj.91,7%)
uwzgldniano problematyk zwizan m.in. ztakimi zadaniami izagadnieniami jak:
rozbudowa infrastruktury teleinformatycznej wcelu upowszechnienia elektronicznego dostpu
do urzdu,
wykorzystanie nowoczesnych technologii wkomunikacji mieszkacw zurzdem,
usprawnienie funkcjonowania administracji samorzdowej wramach projektu e-urzd.
Okrelano te cele izadania dotyczce rozwoju usug informatycznych. Na przykad:
yy W Strategii Rozwoju Spoeczno-Gospodarczego dla Miasta Stargard Szczeciski do roku 2020 wskazano cel
szczegowy Podniesienie jakoci usug wobiektach uytecznoci publicznej, wramach ktrego wyznaczono
kierunek dziaania Informatyzacja oraz usprawnienie funkcjonowania administracji samorzdowej wramach
projektu e-urzd. Wopisie kierunku podano, e jego gwn ide jest wkocowym etapie jego realizacji
doprowadzenie do penej moliwoci obsugi petenta nadrodze elektronicznej.
3.2.2.Promowanie komunikacji elektronicznej

Tylko w1166 urzdach spord 24 objtych badaniem (45,8%) podejmowano dziaania majce
nacelu promowanie komunikacji elektronicznej zurzdem, wtym moliwoci korzystania
zudostpnionych usug elektronicznych. Promocje takie byy prowadzone poprzez zamieszczanie
informacji owiadczonych usugach elektronicznych nastronach internetowych urzdw,
wlokalnej telewizji iprasie, rozpowszechnianie materiaw reklamowych wformie ulotek
inalokalnych portalach internetowych.
Badania poznania potrzeb mieszkacw wzakresie korzystania zelektronicznych form komunikacji
zurzdem wykazay, e zaledwie wkilku przypadkach67 urzdy podejmoway zwizane ztym aktywne
dziaania. Na przykad:
yy W Urzdzie Miejskim wZawierciu organizowano spotkania zmieszkacami, naktrych zarwno promowano
funkcjonujce formy komunikacji elektronicznej zurzdem, jak rwnie zwracano si do mieszkacw
ozgaszanie propozycji ipotrzeb wzakresie rozwijania tej formy komunikacji.
65 Zagadnie dotyczcych dostosowania urzdu do elektronicznego wiadczenia usug publicznych nie zawarto wdokumentacji
26
66
67
strategicznej dwch miast tj.Strategii Rozwoju Gminy Zawiercie 2025 plus iw Strategii Rozwoju Miasta Misk Mazowiecki
do roku 2020.
UM w: Andrychowie, Gogowie, Legnicy, Lesznie, Misk Mazowiecki, Mysowicach, Pocku, Radomiu, Szczecinku, remie iZawierciu.
UM w: Andrychowie, Legnicy, Misku Mazowieckim iZawierciu.
yy W Urzdzie Miejskim wAndrychowie przeprowadzono ankiet, wktrej zawarto pytania odnoszce si

do rozpoznania potrzeb mieszkacw wzakresie elektronicznej komunikacji zurzdem: Czy chciaby zaatwi
sprawy wUrzdzie Miejskim wAndrychowie za porednictwem usug elektronicznych? Czy byby zainteresowany
otrzymaniem bezpatnego Profilu Zaufanego? Wyniki przeprowadzonych bada ankietowych wykazay,
e 95% respondentw chciaoby zaatwia sprawy w urzdzie za porednictwem usug elektronicznych
oraz e 97% ankietowanych byoby zainteresowanych otrzymaniem bezpatnego Profilu Zaufanego wurzdzie.
Ponadto, wwyjanieniach kontrolowani wskazywali, e przeprowadzano badania ankietowe,

napodstawie ktrych uzyskiwano informacje ozadowoleniu mieszkacw zjakoci wiadczonych
usug elektronicznych oraz dane statystyczne okorzystaniu zkomunikacji elektronicznej68.
Dokonywano te analizy poczty elektronicznej 69 wpywajcej naskrzynk ogln urzdw
zuwagami isugestiami, atake monitorowano rodki przekazu (prasa, radio, forum internetowe)
celem analizy opinii mieszkacw ofunkcjonujcej komunikacji elektronicznej zurzdem. Na bieco
analizowano te statystyki odwiedzin stron internetowych urzdw pod ktem najczciej
wyszukiwanych informacji.
NIK zwraca uwag napotrzeb podjcia przez urzdy szerszych dziaa wzakresie informowania
oe-usugach iich promowania, co mogoby wpyn nawiksze zainteresowanie mieszkacw
moliwoci zaatwiania spraw wurzdzie drog elektroniczn. Ma to szczeglne znaczenie wsytuacji
gdy urzdy wiadcz usugi wformie elektronicznej, za liczba zoonych dokumentw wtej formie
jest znikoma.
W odpowiedziach nawystpienia pokontrolne kontrolowani informowali opodjtych dziaaniach
www. zakresie. Na przykad:
yy Burmistrz Miasta iGminy Olkusz poinformowa, e poczynione zostay prace wcelu zwikszenia wiadomoci
iupowszechniania wrd obywateli korzyci pyncych zkorzystania ze rodkw komunikacji elektronicznej
poprzez umieszczenie nastronie internetowej urzdu wzakadce Poradnik Mieszkaca, szczegowej instrukcji
korzystania zplatformy ePUAP, jak rwnie informacji omoliwoci zoenia wniosku owydanie profilu zaufanego
wraz zwykazem punktw potwierdzajcych profile zaufane wOlkuszu. Sukcesywnie bd dodawane linki
do kolejnych formularzy udostpnianych przez urzd.
yy Prezydent Miasta Pocka poda m.in., e () po analizie funkcjonowania obszaru poddanego kontroli podjto
decyzj ozaplanowaniu naprzyszy rok akcji informacyjnej dot. funkcjonowania e-administracji ().
3.2.3.Obieg dokumentw wurzdach

Zgodnie z1 ust.1 rozporzdzenia Prezesa Rady Ministrw zdnia 18stycznia 2011r. wsprawie
instrukcji kancelaryjnej, jednolitych rzeczowych wykazw akt oraz instrukcji wsprawie organizacji
izakresu dziaania archiww zakadowych, okrela si m.in. instrukcj kancelaryjn dla organw
gminy. Wmyl 1 zacznika nr1 do ww. rozporzdzenia m.in.: czynnoci kancelaryjne
s wykonywane w systemie tradycyjnym lub w systemie Elektronicznego Zarzdzania
Dokumentacj, tzw. EZD (ust.2); kierownik podmiotu wskazuje, ktry zsystemw wykonywania
czynnoci kancelaryjnych jest podstawowym sposobem dokumentowania przebiegu zaatwiania
irozstrzygania spraw dla danego podmiotu (ust.3).
We wszystkich objtych badaniem urzdach, wcelu zarzdzania obiegiem dokumentw
idokumentacj stosowane byy procedury izasady postpowania zdokumentami zawarte
wwewntrznych instrukcjach kancelaryjnych. W22 z24 (91,7%) kontrolowanych urzdw
jako podstawowy sposb dokumentowania przebiegu zaatwiania irozstrzygania spraw,
wskazywano system tradycyjny (papierowy) wykonywania czynnoci kancelaryjnych wurzdzie.
68 UM w: Dbrowie Grniczej, Koszalinie, Lesznie, Mikoowie, Mysowicach, Olkuszu iStargardzie Szczeciskim.
69 UM wSzczecinku.
27
Wdwch urzdach jako podstawowy sposb dokumentowania przebiegu zaatwiania

irozstrzygania spraw, wskazany zosta system elektronicznego zarzdzania dokumentacj.
Itak:
yy Proces obiegu dokumentacji oraz zarzdzania dokumentami wUrzdzie Miejskim wGogowie regulowaa
Instrukcja Elektronicznego Obiegu Dokumentw (dalej Instrukcja EOD). Dodatkowo wRegulaminie Organizacyjnym
urzdu opisano kwesti opiniowania oraz elektronicznej autoryzacji Zarzdze Prezydenta wczanych
do obiegu elektronicznego, atake wskazano, e sprawy wniesione przez obywateli do urzdu sewidencjonowane
iwprowadzane do elektronicznego systemu EZD. WInstrukcji EOD szczegowo opisano obieg pism wpywajcych
wformie papierowej oraz elektronicznej, zdefiniowano zadania poszczeglnych pracownikw urzdu wprocesie
obiegu dokumentw oraz sprecyzowano jaki rodzaj spraw realizowanych przez poszczeglne wydziay
oraz komrki organizacyjne nie podlega procedowaniu wobiegu elektronicznym.
yy Czynnoci kancelaryjne wUrzdzie Miejskim wZawierciu wykonywane byy wsystemie EZD, ktry by podstawowym
sposobem dokumentowania przebiegu zaatwiania irozstrzygania spraw wurzdzie od dnia 1wrzenia 2011r.
Procedura elektronicznego obiegu dokumentw wurzdzie regulowaa zasady postpowania zdokumentami
wpywajcymi do urzdu oraz okrelaa czynnoci od momentu wpywu dokumentw do momentu dostarczenia
ich do merytorycznie odpowiedzialnych pracownikw. Wprocedurze nie okrelono natomiast pozostaych
etapw procesu obiegu dokumentw, zawierajcych m.in. takie elementy jak: akceptacja projektu odpowiedzi
napismo, akceptacja projektu decyzji administracyjnej, postanowienia, itp. oraz wysyania ich do odbiorcy.
Wtrakcie kontroli NIK dokonano zmiany procedury elektronicznego obiegu dokumentw wurzdzie.
Jednak pomimo wprowadzonych zmian wci moliwe byo wykonywanie niektrych czynnoci wurzdzie
zarwno wformie elektronicznej, jak ipapierowej, np.pracownik sporzdzajcy odpowied, parafowa
j iprzekazywa do dalszej akceptacji. Jak poda Sekretarz Miasta Zawiercie, obecnie jest stosowany zarwno
papierowy, jak ielektroniczny obieg dokumentw, zprzewag obiegu papierowego. Wyjani te, e urzd
jest przygotowany do wprowadzenia systemu elektronicznego jako jedynego funkcjonujcego wurzdzie, zarwno
pod wzgldem wyposaenia wsprzt, jak iludzkim. Jednak dopiero wlatach 20172018 urzd planuje przej
wycznie naelektroniczny obieg dokumentw.
W 18 urzdach70 (z 22, tj.w 81,8%) system tradycyjny wykonywania czynnoci kancelaryjnych

wspomagany by przez elektroniczne systemy obiegu dokumentw narnych etapach zaatwiania
spraw wurzdzie. Na przykad:
yy W Urzdzie Miejskim wChrzanowie funkcjonowa tradycyjny system wykonywania czynnoci kancelaryjnych
zmoliwoci korzystania znarzdzi informatycznych do wspomagania procesu obiegu dokumentw.
Pisma wpywajce do urzdu (w tym za porednictwem ePUAP) byy rejestrowane wsystemie informatycznym.
Wprzypadku dokumentw skadanych wformie tradycyjnej byy one skanowane iwprowadzane do tego systemu,
ktry automatycznie nadawa im kolejny numer wrejestrze. Po zadekretowaniu, za pomoc systemu
informatycznego dokumenty przekazywano do wydziaw merytorycznych oraz rwnolegle do skrzynek poczty
elektronicznej kierownikw komrek organizacyjnych.
yy W Urzdzie Miejskim wremie system tradycyjny wspomagany by przez elektroniczny system obiegu
dokumentw, ktry obsugiwa elektroniczn rejestracj korespondencji, prowadzenie spraw, gromadzenie
informacji oraz jej przekazywanie. Wwyniku kontroli ustalono, e kady dokument by skanowany, bd projekt
dokumentu by zaczany do danej sprawy wwersji elektronicznej. Jednoczenie wurzdzie stosowano papierow
form dokumentowania przebiegu rozpatrywania spraw.
Zdaniem NIK, wykorzystywanie systemu tradycyjnego obiegu dokumentw zelementami

obiegu elektronicznego powoduje, e te same czynnoci sczciowo powielane, co niewtpliwie
ma wpyw nawiksze obcienie prac urzdnikw. Istot wprowadzenia elektronicznego
obiegu dokumentw jest usprawnienie iprzypieszenie obiegu informacji przy jednoczesnej
minimalizacji nakadu pracy. Wskazane jest zatem, aby kontynuowa dziaania wcelu
zapewnienia technicznych iorganizacyjnych warunkw dla wprowadzenia wurzdach
wycznie elektronicznego systemu zarzdzania dokumentacj, co spowoduje rwnie
zmniejszenie zuycia papieru ikorzystnie wpynie naochron rodowiska.
70 UM w: Andrychowie, Chrzanowie, Dbrowie Grniczej, Dzieroniowie, Koszalinie, Legnicy, Luboniu, Mikoowie, Misku
28
Mazowieckim, Mysowicach, Olkuszu, Ostrowie Wlkp., Pocku, Radomiu, Stargardzie Szczeciskim, remie, widnicy iwinoujciu.
W pozostaych czterech 71 z 22 urzdw (18,2%), nie wprowadzano adnych elementw

elektronicznego obiegu dokumentw ifunkcjonowa tradycyjny (papierowy) system wykonywania
czynnoci kancelaryjnych. Wurzdach tych dokumenty otrzymane drog elektroniczn byy
drukowane idalej rozpatrywane wformie tradycyjnej (papierowej). Na przykad:
yy W Urzdzie Miejskim wPruszkowie nie prowadzono elektronicznego obiegu dokumentw. Dokumenty
wpywajce do urzdu drog elektroniczn nakonto e-mail prezydent@miasto.pruszkow.pl oraz za porednictwem
ePUAP byy pobierane przez uprawnionych pracownikw, drukowane iwpisywane wrejestr papierowy. Wprzypadku
wysyania dokumentw za porednictwem poczty elektronicznej lub ePUAP, dokumenty sporzdzone wwersji
papierowej byy skanowane iwysyane jako zaczniki wiadomoci (przy wysyaniu przez ePUAP przesyka
podpisywana bya przez Prezydenta Miasta Pruszkowa profilem zaufanym). Zastpca Prezydenta Miasta Pruszkowa
poinformowa, e 5sierpnia 2009r. Urzd Miejski wPruszkowie przystpi do projektu Urzdu Marszakowskiego
Wojewdztwa Mazowieckiego pn. Rozwj elektronicznej administracji wsamorzdach wojewdztwa
mazowieckiego wspomagajcej niwelowanie dwudzielnoci potencjau wojewdztwa, ktry przewiduje
m.in. wdroenie Elektronicznego Zarzdzania Dokumentacj wramach Systemu e-Urzd. Wdroenie Elektronicznego
Zarzdzania Dokumentacj wUrzdzie Miejskim wPruszkowie przewidziane jest na1stycznia 2015r.
W szeciu72 z18 urzdw (27,3%), wktrych pomocniczo wykorzystywano system elektronicznego

obiegu dokumentw, nie wprowadzono procedur okrelajcych zasady ich elektronicznego
obiegu wurzdzie. NIK uwaa, e zasadnym jest opracowanie odpowiednich procedur
obiegu dokumentw uwzgldniajcych przyjt praktyk postpowania. Wdroenie takiej
procedury wpynie zarwno nauporzdkowanie iusprawnienie obiegu dokumentw, atake
pozwoli wyeliminowa rwnolege przesyanie dokumentw papierowych ielektronicznych.
Z ustale kontroli wynika, e wbadanym okresie korespondencja skontrolowanych urzdw
obejmowaa blisko 7280,4tys. dokumentw, ztego 3442,9tys. stanowiy dokumenty wpywajce
i3837,5tys. wychodzce. Analiza danych wykazaa, e dominujc form korespondencji
bya korespondencja tradycyjna (papierowa). Stanowia ona a 94% ogu korespondencji.
Korespondencja wformie elektronicznej stanowia jedynie 6%, ztym, e nieznacznie wyszy udzia
korespondencji wtej formie wystpi wrd dokumentw wychodzcych ni przychodzcych
(odpowiednio 6,4% i5,7%).
Wykres nr2
Procentowy udzia poszczeglnych form korespondencji (papierowej ielektronicznej) wkorespondencji ogem
prowadzonej wkontrolowanych urzdach wokresie od31maja 2012r do 31maja 2014r.
6%
korespondencja w formie elektronicznej
94%
korespondencja papierowa
71 UM w: Lesznie, Nowym Targu, Pruszkowie, Szczecinku.

72 UM w: Legnicy, Luboniu, Misku Mazowieckim, Ostrowie Wielkopolskim, Pocku, winoujciu.
29
3.2.4.Usugi elektroniczne
Od usugi wujciu tradycyjnym (papierowym) usug elektroniczn odrnia wiadczenie
naodlego oraz ograniczony udzia czowieka po stronie urzdu naetapie przyjmowania
wniosku. Polega ona nawprowadzeniu przez obywatela wymaganych informacji wformularzu
elektronicznym anastpnie przesyanie tych informacji zwykorzystaniem sieci Internet
do urzdu. Podstawow usug elektroniczn wiadczon w jednostkach administracji
publicznej jest Elektroniczna Skrzynka Podawczamiejsce do przyjmowania korespondencji
elektronicznej. Obowizek posiadania ESP przez podmioty publiczne wynika zart.16 ust.1a ustawy
oinformatyzacji.
Kontrola wykazaa, e wszystkie objte badaniem urzdy wiadczyy usugi wformie elektronicznej.
Liczba tych usug bya jednak bardzo zrnicowana. Ustalono, e wokresie przeprowadzania
czynnoci kontrolnych (czerwiecwrzesie 2014r.), w24 kontrolowanych urzdach udostpniono
cznie 554e-usug. Do ich udostpniania najczciej wykorzystywano platform elektroniczn
ePUAP. Korzystano take zplatform regionalnych takich jak SEKAP iCyfrowa Maopolska73, platform
liczbausugelektronicznych
miejscowych, np.Pocka Platforma
Teleinformatyczna e-Urzd74, atake stron internetowych
urzdw.
Wykres nr3
Liczba udostpnionych usug wformie elektronicznej (w okresie przeprowadzania czynnoci kontrolnych
wjednostkach, czerwiecwrzesie 2014r.)
liczbausugelektronicznych
160
liczba usug
elektronicznych
140
120
100
80
60
40
20
Szczecinek
Stargard Szczeciski
Misk Mazowiecki
Leszno
rem
Chrzanw
Ostrw Wlkp.
Olkusz
Radom
Mikow
Dzieroniw
Nowy Targ
Pruszkw
Gogw
Lubo
Legnica
widnica
winoujcie
Zawiercie
Koszalin
Pock
Andrychw
Mysowice
Dbrowa Grnicza
73 Cyfrowa Maopolska to platforma informatyczna stworzona dla wojewdztwa maopolskiego.

74 Wspfinansowan ze rodkw UE wramach Europejskiego Funduszu Rozwoju Regionalnego Regionalny Program
30
Operacyjny Wojewdztwa Mazowieckiego 20072013, Priorytet II Przyspieszenie e-rozwoju Mazowsza,Dziaanie 2.2

Rozwj e-usug. Cakowita warto projektu 5.999.859,00 PLN. Warto dofinansowania 5.099.880,15 PLN.
Spord 24 skontrolowanych urzdw, 1775 (tj.70,8%) udostpniao mniej ni 20 usug wformie

elektronicznej. Wpozostaych siedmiu urzdach liczba wiadczonych e-usug wynosia odpowiednio:
22 (UM wwinoujciu), 29 (UM wZawierciu), 34 (UMwKoszalinie), 38 (UM wPocku), 42 (UM wAndrychowie),
111 (UM wMysowicach) i144 (UM wDbrowie Grniczej). Wgrupie urzdw, ktre udostpniy
najwiksz liczb usug elektronicznych wykorzystano miejsk platform informatyczn. Itak:
yy Urzd Miasta Pocka, poprzez stron internetow http://www.plock.eu/pl, udostpni 31 e-usug wiadczonych
zwykorzystaniem Pockiej Platformy Teleinformatycznej e-Urzd. Ponadto, za porednictwem platformy ePUAP
urzd wiadczy siedem usug elektronicznych.
yy W Urzdzie Miejskim wAndrychowie mona byo skorzysta zczterdziestu dwch usug elektronicznych,
wtym czterech wiadczonych poprzez ePUAP, natomiast pozostae 38 usug byo dostpnych zwykorzystaniem
portalu Cyfrowa Maopolska.
yy W Urzdach Miejskich wDbrowie Grniczej iw Mysowicach usugi elektroniczne byy udostpniane
zwykorzystaniem platformy SEKAP.
We wszystkich 24 kontrolowanych urzdach udostpniono e-usug Pismo oglne lub Skargi,

wnioski, zapytania do urzdu, bdce form usugi ESP, ktra polega namoliwoci skierowania
pisma do urzdu oraz zaczenia do niego odpowiedniego formularza wwersji elektronicznej
zapisanego wokrelonym formacie (np.pdf, .doc).
Ponadto, urzdy wiadczyy usugi ocharakterze informacyjnym. Usugi te nie byy jednak przeznaczone
do skadania formularzy, wnoszenia poda iwnioskw, czyli nie dotyczyy moliwoci zaatwienia
sprawy. Umoliwiy natomiast mieszkacom elektroniczne zadawanie pyta wadzom gminy, wyraenie
opinii natemat projektw aktw prawa miejscowego, sprawdzenie informacji oterminie odbioru
dowodu osobistego, wskazanie waciwego obwodu wyborczego czy te zarezerwowanie terminu
lubu wurzdzie stanu cywilnego.
Badanie NIK przeprowadzone wskontrolowanych urzdach nacznej prbie 11476 usug
elektronicznych (tj.21,3% ogu wiadczonych usug elektronicznych we wszystkich kontrolowanych
urzdach) wykazao, e opisy 98 (tj.86%) usug zawieray informacje okrelone wrozporzdzeniu
ePUAP77, dotyczce m.in. aktualnej podstawy prawnej wiadczonych usug, nazwy usug, miejsca
wiadczenia usug (zoenia dokumentw), terminu skadania izaatwiania spraw oraz nazwy
komrek odpowiedzialnych za zaatwienie spraw. Wprzypadku 16 usug78 objtych badaniem
(tj.14%) stwierdzono, e opisy usug zamieszczone nastronach internetowych urzdw
lub nastronach platformy elektronicznej, za pomoc ktrej wiadczona bya usuga, zawieray nieaktualne
lub niekompletne podstawy prawne wiadczonych usug. Na przykad:
yy W zamieszonej nastronie BIP Urzdu Miasta Pocka karcie opisu usugi wniosek owyczenie gruntw rolnych
zprodukcji zawarto niewaciw podstaw prawn. Wkarcie tej jako podstaw prawn wskazano ustaw
zdnia 3lutego 1995r. oochronie gruntw rolnych ilenych79, natomiast zgodnie zart.5b tej ustawy80 wbrzmieniu
obowizujcym wokresie kontroli, przepisw ustawy nie stosowao si do gruntw rolnych stanowicych
uytki rolne pooonych wgranicach administracyjnych miast.
75 UM w(liczba wiadczonych e-usug): Lesznie (1), Misku Mazowieckim (1), Stargardzie Szczeciskim (1), Szczecinku (1),
76
77
78
79
80
remie (2), Chrzanowie (3), Olkuszu (4), Ostrowie Wlkp. (4), Radomiu (5), Mikoowie (6), Dzieroniowie (9), Nowym Targu (12),
Pruszkowie (15), Gogowie (16), Luboniu (17), Legnicy (18) iwidnicy (19).
Badanie przeprowadzono nalosowo wybranej prbie co najmniej piciu usug wiadczonych wformie elektronicznej
w19 skontrolowanych jednostkach. Wpozostaych piciu urzdach, zuwagi namniejsz liczb wiadczonych e-usug
do badania wybrano wszystkie udostpnione usugi elektroniczne.
8 rozporzdzenia ePUAP z6maja 2014r., obowizujcego od 11maja 2014r. Poprzednio okrelone w7 ust.1
rozporzdzenia ePUAP z27kwietnia 2011r.
Dotyczyo usug wiadczonych przez UM w(liczba usug): Lesznie (1), Luboniu (1), Misku Mazowieckim (4), Pocku (5)
iw Pruszkowie (5).
Dz.U. z2013r., poz.1205, ze zm.
Przepis wprowadzony napodstawie ustawy zdnia 19grudnia 2008r. ozmianie ustawy oochronie gruntw rolnych ilenych
(Dz.U. Nr237, poz.1657). Utraci moc zdniem 5wrzenia 2014r.
31
yy Opis piciu badanych usug elektronicznych wiadczonych przez Urzd Miejski wPruszkowie za porednictwem
ePUAP zawiera nieaktualne wskazania miejsca publikacji (dane promulgacyjne) podstawy prawnej wiadczonej
usugi. Ponadto, wprzypadku jednej usugi pn.Deklaracje owysokoci opaty za gospodarowanie odpadami
komunalnymi, wskazano nieaktualn podstaw prawn, tj.ustaw zdnia 11maja 2001r. oopakowaniach
iodpadach opakowaniowych 81, ktra zostaa uchylona p roku wczeniej, tj.z dniem 1stycznia 2014r.
NIK zauwaa, e wtrakcie kontroli wurzdzie podjto dziaania majce nacelu aktualizacj podstawy prawnej
wopisach usug. Prezydent Miasta Pruszkowa poinformowa, e urzd miejski przygotowuje korekt wszystkich
usug naplatformie ePUAP.
Kontrola wykazaa, e dwa urzdy82 naswoich stronach BIP nie zamieciy dla badanych usug
elektronicznych informacji odnonie obowizujcych procedur wzakresie zaatwiania spraw
drog elektroniczn. Byo to niezgodne z5 ust.2 pkt4 rozporzdzenia KRI, ktry wskazuje,
e interoperacyjno napoziomie organizacyjnym osigana jest przez publikowanie iuaktualnianie
wBiuletynie Informacji Publicznej przez podmiot realizujcy zadania publiczne opisw procedur
obowizujcych przy zaatwianiu spraw zzakresu jego waciwoci drog elektroniczn. Np.:
yy Urzd Miasta wMisku Mazowieckim nastronie BIP zamieci link do usugi elektronicznej skargi, wnioski,
zapytania do urzdu. Nie umieci jednak informacji oprocedurze korzystania ztej usugi, co byo niezgodne
z5 ust.2 pkt4 rozporzdzenia KRI. Burmistrz Miasta Misk Mazowiecki poda m.in. e nie widzia potrzeby
zamieszczenia tej informacji, zuwagi napowszechn znajomo funkcjonowania systemu wzakresie zaatwiania
spraw drog elektroniczn przez wszystkich uytkownikw Internetu. Stosowna informacja zostaa jednak
zamieszczona nastronie BIP urzdu jeszcze wtrakcie kontroli NIK.
Uwagi NIK dotyczyy take niewaciwego sposobu informowania przez trzy urzdy83 nawasnych
stronach internetowych odostpnych usugach elektronicznych wiadczonych za pomoc ePUAP.
Na stronach internetowych BIP ww. urzdw zamieszczono tylko oglny link do platformy ePUAP,
anie do poszczeglnych usug tych urzdw, wiadczonych za pomoc tej platformy.
Zdaniem NIK, zamieszczenie oglnego linku do platformy ePUAP jest niewystarczajc
informacj omoliwoci skorzystania zprocedur elektronicznych realizowanych przez urzdy.
Umieszczenie bezporednich linkw do kadej usugi elektronicznej wiadczonej za pomoc ePUAP
nastronie urzdw oraz nastronie BIP niewtpliwie uatwioby obywatelom dostp do usug
elektronicznych imogoby zwikszy korzystanie z nich.
3.2.5.Centralne repozytorium wzorw dokumentw elektronicznych
Zgodnie zart.19b ust.3 ustawy oinformatyzacji, organy administracji publicznej przekazuj
do centralnego repozytorium wzorw dokumentw elektronicznych sporzdzone wzory
dokumentw elektronicznych.
Spord 11 urzdw 84 , ktre zobowizane byy do przekazania wzorw dokumentw
elektronicznych do CRD, cztery jednostki 85 obowizek ten zrealizoway. Siedem urzdw 86
nie przekazao wzorw dokumentw elektronicznych do CRD. Byo to niezgodne zart.19b ust.3
ustawy oinformatyzacji. Jako przyczyn wskazywano m.in.: problemy techniczne oraz myln
interpretacj ww. przepisu.
81
82
83
84
32
85
86
Dz.U. z2001r. Nr63, poz.638 ze zm.

UM wMisku Mazowieckim iw Pocku.
UM w: Chrzanowie, Olkuszu iwinoujciu.
UM w: Andrychowie, Dbrowie Grniczej, Gogowie, Luboniu, Misku Mazowieckim, Nowym Targu, Olkuszu, Pocku,
Radomiu, Szczecinku iremie.
UM w: Dbrowie Grniczej, Misku Mazowieckim, Olkuszu iSzczecinku.
UM w: Andrychowie, Gogowie, Luboniu, Nowym Targu, Pocku, Radomiu iremie.
W wikszoci kontrolowanych urzdw (18 87 spord 24, tj.75%) dla wszystkich lub czci
wiadczonych usug elektronicznych wykorzystywano wzory dokumentw elektronicznych
pobranych zplatformy ePUAP lub platformy SEKAP. Wtakim przypadku dla urzdu nie wystpowa
obowizek, oktrym mowa wart.19b ust.3 ustawy oinformatyzacji, gdy skorzystay one zwzorw
dokumentw dostpnych wkatalogu usug natych platformach.
Ponadto, wprzypadku trzech jednostek88 wzory dokumentw elektronicznych zostay opracowane
przed dat wejcia wycie rozporzdzenia Prezesa Rady Ministrw zdnia 14wrzenia 2011r. wsprawie
sporzdzania pism wformie dokumentw elektronicznych, dorczania dokumentw elektronicznych
oraz udostpniania formularzy, wzorw ikopii dokumentw elektronicznych89. Wzwizku
ztym dokumenty takie zostay objte przepisami przejciowymi tego rozporzdzenia, ktre pozwalaj
naprzekazanie wzorw dokumentw do CRD wterminie 5 lat od dnia jego wejcia wycie, tj.nie pniej
ni do 30padziernika 2016r. Ustalono, e zgodnie z41 ww. rozporzdzenia, wzory byy opublikowane
wlokalnych repozytoriach wzorw dokumentw elektronicznych tych jednostek.
3.2.6.Model usugowy
Zgodnie z2 pkt8 rozporzdzenia KRI model usugowy to model, wktrym dla uytkownikw
zdefiniowano stanowice odrbn cao funkcje systemu teleinformatycznego (usugi sieciowe)
oraz opisano sposb korzystania ztych funkcji (inaczej: system zorientowany nausugi).
Zarzdzanie usugami elektronicznymi woparciu omodel usugowy jest szczeglnie istotne
gdy urzd wiadczy wiele usug. Sporzdzenie kart opisu e-usug pozwala nazawarcie wnich wielu
informacji, przez co wmomencie wystpienia awarii urzd jest wstanie szybko powzi konieczne
informacje iprzywrci prawidowe funkcjonowanie e-usugi. Dokumenty te sporzdzane
swycznie do uytku wewntrz urzdu inie sudostpniane nazewntrz np.nastronach
internetowych.
W badaniu wzito pod uwag nastpujce elementy zarzdzania usugami elektronicznymi:
moliwo zidentyfikowania waciciela (komrki organizacyjnej) poszczeglnych usug
wiadczonych przez urzd,
ustalenie sposobu zgaszania awarii, osoby/komrki/podmiotu odpowiedzialnego za usuwanie
awarii, technicznego waciciela usugi,
okrelenie maksymalnego czasu niedostpnoci e-usugi.
Ustalenia kontroli wskazuj, e wszystkie kontrolowane jednostki wpodstawowym zakresie wspieray
model usugowy wprocesie wiadczenia usug elektronicznych. Badanie przeprowadzone nacznej
prbie 114 usug wiadczonych wformie elektronicznej wykazao, e dokumentacja opisujca
e-usugi umoliwiaa zidentyfikowanie wacicieli wiadczonych usug, tj.komrek organizacyjnych
odpowiedzialnych za realizacj usug. Ze wzgldu nafakt, e usugi wiadczone byy za porednictwem
niezalenych od urzdw platform (m.in. ePUAP, ktr zarzdza Centrum Projektw Informatycznych
MAiC iSEKAP, ktrej administratorem jest lskie Centrum Spoeczestwa Informacyjnego), urzdy
nie miay moliwoci technicznej ingerencji wich funkcjonowanie. Tym samym nie wskazywano
maksymalnego ani dopuszczalnego czasu niedostpnoci e-usug, sposobu zgaszania awarii
oraz osb/komrek/podmiotw odpowiedzialnych za usuwanie awarii.
87 UM w: Andrychowie, Chrzanowie, Dbrowie Grniczej, Dzieroniowie, Koszalinie, Legnicy, Lesznie, Luboniu, Mikoowie,
Mysowicach, Olkuszu, Ostrowie Wlkp., Pruszkowie, Radomiu, Stargardzie Szczeciskim, remie, widnicy iwinoujciu.

88 UM w: Koszalinie, Pocku iZawierciu.
89 Dz.U. Nr206 poz.1216 ze zm.
33
3.2.7.Wsppraca wybranych systemw informatycznych zinnymi systemami

Dla potrzeb oceny stopnia wsppracy systemw informatycznych zinnymi systemami urzdu
przyjto napodstawie opracowania Ministra Administracji iCyfryzacji Polska 2030 Przyszo polskich
regionw wperspektywie rozwoju spoeczestwa cyfrowego90 nastpujc klasyfikacj poziomw
wsppracy:
1) transakcyjny czyli wymiana danych pomidzy systemami bez jakiegokolwiek porednictwa
pracownika, czyli przekazywanie danych odbywa si wsposb wpeni zautomatyzowany,
2) dwustronnej komunikacji, tj.dane zsystemu Aprzekazywane sdo systemu B, przy czym system
B samodzielnie odnotowuje, e oczekuj dane, ktre mog by zaimportowane. Rol pracownika
jest udzielenie zgody (zatwierdzenie) wsystemie B nawczytanie otrzymanych danych. Odpowied
zsystemu B do systemu Ajest przekazywana analogicznie,
3) jednostronnej komunikacji, tj.dane zjednego systemu sprzekazywane do innego systemu
za porednictwem pracownika (operatora systemu), ktry rcznie dane te importuje,
4) informacyjny gdy pracownicy wiedz e konkretne systemy gromadz dane ie wrazie potrzeb
mog znich skorzysta, znaj te sposb dostpu do danych zgromadzonych wsystemach,
np.jak wygenerowa odpowiednie dane do pliku.
Brak wsppracy (interoperacyjnoci) wystpi wwczas, gdy system nie komunikuje si zadnym
innym systemem informatycznym, jest samodzielny, wszystkie bazy danych szasilane rcznie
przez wprowadzanie danych. Nie ma moliwoci wygenerowania danych do pliku (moliwe
jest jedynie odczytanie informacji ztakiego systemu).
Do badania zakresu isposobu wsppracy systemw informatycznych wewntrz urzdw
wybrano wsposb celowy91 79 systemw informatycznych zakupionych lub zmodernizowanych
po 31maja 2012r. (tj.po wejciu wycie rozporzdzenia KRI). Ocenie wzakresie wsppracy
systemw informatycznych wewntrz urzdw poddano 77 z79 objtych kontrol systemw
informatycznych, gdy dwa systemy ze wzgldu naswoj specyfik nie wymagay komunikowania
si zinnymi systemami gdy byy to narzdzia wspomagajce prac napojedynczych stanowiskach
pracy. Spord 77 ocenianych systemw informatycznych 72 systemy, tj.93,5% wsppracoway
zinnymi systemami informatycznymi kontrolowanych urzdw itym samym speniay minimalne
wymogi interoperacyjnoci, oktrych mowa w5 ust.3 pkt3 rozporzdzenia KRI, api92 systemw
(tj.6,5%) nie speniao minimalnych wymogw interoperacyjnoci. Wszczeglnoci:
Dwanacie93 z72 systemw (16,7%) zapewniao wspprac napoziomie najbardziej dojrzaym,
tj.transakcyjnym, co oznacza, e przekazywanie danych odbywao si wsposb wpeni
zautomatyzowany. Na przykad:
yy W Urzdzie Miejskim wPruszkowie badany system do rejestracji wpat ztytuu opat za gospodarowanie
odpadami komunalnymi (dalej GOK) wymienia bezporednio dane zsystemem podatkw iopat oraz zsystemem
opat lokalnych. System GOK automatycznie przesya dane (np.o wysokoci zaksigowanej wpaty ztytuu opaty
za gospodarowanie odpadami komunalnymi) do ww. dwch systemw oraz automatycznie pobiera dane
ztych systemw dotyczce (np.wysokoci naliczonej opaty za gospodarowanie odpadami komunalnymi).
90
91
92
93
34
Warszawa, 6czerwca 2012r., str.9, www.mir.gov.pl/aktualnosci/polityka_rozwoju/Documents/Prezentacja_MinBoni.pdf

Przy wyborze systemw do badania kierowano si ich funkcjonalnoci wykorzystywan do obsugi interesantw.
Wykorzystywanych wtrzech UM w(liczba systemw informatycznych): Dbrowie Grniczej (1), Szczecinku (1) iZawierciu (3).
Systemy wykorzystywane wsiedmiu UM w(liczba systemw informatycznych): Dzieroniowie (3), Gogowie (1), Legnicy (2),
Lesznie (1), Mikoowie (1), Pruszkowie (3) iwidnicy (1).
yy W Urzdzie Miasta Legnicy program sucy do obsugi deklaracji inalenoci ztytuu gospodarki odpadami
komunalnymi pobiera automatycznie dane osobowe iadresowe oraz dane opowierzchni opodatkowanej
zinnych programw. Generowa dokumenty ksigowe iprzekazywa dane dotyczce nalenoci izobowiza
do oprogramowania ksigowego.
yy W Urzdzie Miasta Dzieroniw badany system sucy do elektronicznego zarzdzania dokumentacj wramach
ktrego prowadzony by Centralny Rejestr Umw wymienia dane dotyczce identyfikatora sprawy, daty igodziny
ostatniej modyfikacji sprawy, numeru iprzedmiotu umowy oraz wartoci zamwienia atake statusu inazwy
instytucji. Wymiana danych nastpowaa zsystemem odpowiedzialnym za ich publikacj wBIP.
Siedemnacie systemw (23,6%) zapewniao wspprac napoziomie dwustronnej komunikacji.

Wymiana danych pomidzy systemami nastpowaa po wczeniejszym zatwierdzeniu przez
pracownika danych wysyanych zsystemu, jak idanych importowanych zinnych systemw.
Na przykad:
yy W Urzdzie Miejskim wwidnicy system gospodarowania odpadami komunalnymi, sucy do gromadzenia
informacji niezbdnych do prawidowego funkcjonowania wurzdzie ewidencji zwizanej zgospodarowaniem
odpadami komunalnymi pobiera dane osobowe zsystemu ewidencji ludnoci oraz dane ewidencyjne zsystemu
naliczania podatkw od gruntw inieruchomoci. Wprzypadku nowego obiektu, wprowadzone do systemu
gospodarowania odpadami dane mogy by wysane do wsppracujcych ww. systemw.
yy W Urzdzie Miejskim wremie system wykorzystywany do prowadzenia ewidencji oraz naliczania opat wzakresie
wycinki drzew czy ztytuu posiadania psa wymienia dane osobowe mieszkacw iadresw nieruchomoci
zsystemem sucym do rejestracji imodyfikacji danych umieszczonych wkartach osobowych mieszkacw.
yy W Urzdzie Miasta winoujcie system elektronicznego obiegu dokumentw wsppracowa zsystemem ePUAP
pobiera iwysya dokumenty wytworzone wformie elektronicznej.
Pozostae 43 (59,7%) systemy informatyczne zapewniay poziom jednostronnej komunikacji,

bd poziom informacyjny. Wprzypadku jednostronnej komunikacji, wymiana danych polegaa
m.in. natym, e pracownik tworzy zbir niezbdnych danych iimportowa do wasnego systemu
informatycznego lub eksportowa do innego. Poziom informacyjny systemw informatycznych
urzdw zapewniony by wwczas, gdy pracownik posiada wiedz omoliwoci skorzystania
zdanych zawartych winnych systemach img je wykorzysta. Na przykad:
yy W Urzdzie Miasta wSzczecinku system sucy do ewidencjonowania deklaracji owysokoci opat
za gospodarowanie odpadami komunalnymi zapewnia poziom jednostronnej komunikacji. Pracownik przesya
dane do systemu finansowo ksigowego. Natomiast system dotyczcy rozliczania tytuw wykonawczych
jednostronnie komunikowa si zsystemem finansowo-ksigowym wten sposb, e pracownik importowa
do systemu rozliczania tytuw wykonawczych dane wzakresie tytuu wykonawczego.
yy W Urzdzie Miejskim wChrzanowie system informatyczny obsugi urzdu stanu cywilnego zapewnia poziom
informacyjny. Podczas rejestracji aktu urodzenia/maestwa/zgonu, po wprowadzeniu nrPESEL mona byo
pobra niezbdne dane zsystemu ewidencji ludnoci (imiona, nazwisko, nazwisko rodowe, dat imiejsce urodzenia,
stan cywilny, adres zameldowania, numer dokumentu tosamoci).
Ponadto, kontrola wykazaa, e jedynie pi94 spord 72, tj.6,9% badanych systemw informatycznych,
odwoywao si bezporednio do danych gromadzonych winnych systemach/rejestrach publicznych
(zasada referencji). Trzy systemy informatyczne wspomagajce obsug ewidencji ludnoci
wurzdzie95 wykorzystyway odwoania do rejestru centralnego PESEL. Wprzypadku dwch
systemw wykorzystywanych wUM wPruszkowie pobieray one on-line dane zSystemu Informacji
Przestrzennej Starostwa Powiatowego wPruszkowie dotyczce granic dziaek ibudynkw
komunalnych oraz obszarw chronionych. Pozostae badane systemy IT korzystay wycznie
zwasnych zbiorw danych urzdw.
94 Wykorzystywanych wczterech UM w(liczba systemw IT): Chrzanowie (1), Gogowie (1), Pruszkowie (2) iRadomiu (1).
95 Dotyczy UM w: Chrzanowie, Gogowie iRadomiu.
35
3.3 Wdroenie systemu zarzdzania bezpieczestwem systemw informatycznych

Przepis 20 ust.1 rozporzdzenia KRI stanowi m.in., e podmiot realizujcy zadania publiczne
opracowuje iustanawia, wdraa ieksploatuje, monitoruje iprzeglda oraz utrzymuje idoskonali
system zarzdzania bezpieczestwem informacji zapewniajcy poufno, dostpno
iintegralno informacji. Zgodnie z20 ust.2 pkt1 ww. rozporzdzenia, podmiot ten zobowizany
jest do zapewnienia aktualizacji regulacji wewntrznych wzakresie dotyczcym zmieniajcego si
otoczenia.
Zgodnie z20 ust.3 rozporzdzenia KRI, obowizki, oktrych mowa w20 ust.1 i2 rozporzdzenia
KRI uznaje si za spenione, jeeli system zarzdzania bezpieczestwem informacji zosta
opracowany napodstawie Polskiej Normy PN-ISO/IEC 27001, austanawianie zabezpiecze,
zarzdzanie ryzykiem oraz audytowanie odbywa si napodstawie Polskich Norm zwizanych
zt norm, wtym: PN-ISO/IEC 17799w odniesieniu do ustanawiania zabezpiecze; PN-ISO/IEC
27005w odniesieniu do zarzadzania ryzykiem; PN-ISO/IEC 24762w odniesieniu do odtwarzania
techniki informatycznej po katastrofie wramach zarzdzania cigoci dziaania.
3.3.1.Dokumenty zzakresu bezpieczestwa informacji
Ustalenia kontroli wskazuj, e w1596 objtych kontrol urzdach, tj.62,5%, nie opracowano
inie wdroono caociowej Polityki Bezpieczestwa Informacji, ktra jest istotnym elementem
systemu zarzdzania bezpieczestwem informacji. Przepis 20 ust.1 rozporzdzenia KRI
zobowizuje podmioty realizujce zadania publiczne m.in. do opracowania, ustanowienia,
wdroenia, monitorowania idokonywania przegldw systemu zarzdzania bezpieczestwem
informacji. Wmyl 20 ust.3 tego rozporzdzenia wymagania wzakresie systemu zarzdzania
bezpieczestwem informacji uznaje si za spenione, jeeli system ten zosta opracowany
napodstawie Polskich Norm97. Wpkt5.1 normy PN-ISO/IEC 17799:2007 wskazano opracowanie
istosowanie dokumentu polityki bezpieczestwa informacji.
Opracowane iwdroone wtych jednostkach regulacje dotyczce zagadnie zwizanych
zzarzdzaniem bezpieczestwem informacji nie obejmoway wszystkich informacji
jakie sprzetwarzane wurzdzie98, lecz dotyczyy gwnie danych osobowych. Wwyjanieniach
wskazywano m.in., e planowane s, bd podjto ju prace dla przygotowania nowej Polityki
Bezpieczestwa Informacji, ktra obejmie wszystkie elementy systemu zarzdzania bezpieczestwem
informacji wurzdzie. Na przykad:
yy W Urzdzie Miasta iGminy Olkusz w2004r. opracowano Polityk bezpieczestwa dla przetwarzania danych
osobowych. Nie dotyczya ona jednak wszystkich danych jakie sprzetwarzane wurzdzie. Nie uwzgldniaa
np.zmian wprowadzonych w2012r., zasad obiegu korespondencji wzwizku zwprowadzeniem systemu obiegu
dokumentw elektronicznych, systemw zakupionych lub zmodernizowanych po 31maja 2012r. Wodpowiedzi
nawystpienie pokontrolne Burmistrz wskaza, e wdroenie Polityki Bezpieczestwa Informacji okrelajcej
zasady bezpieczestwa informacji nastpi wpierwszym kwartale 2015r.
96 Dotyczy UM w: Andrychowie, Dbrowie Grniczej, Dzieroniowie, Gogowie, Lesznie, Luboniu, Mikoowie, Misku
Mazowieckim, Olkuszu, Ostrowie Wlkp., Pruszkowie, Radomiu, Stargardzie Szczeciskim, winoujciu iZawierciu.
97 Polska Norma PN-ISO/IEC 27001:2007 Technika informatyczna. Techniki bezpieczestwa. Systemy zarzdzania bezpieczestwem
36
informacji. Wymagania oraz powizana zni Polska Norma PN-ISO/IEC17799:2007 Technika informatyczna. Techniki
bezpieczestwa. Praktyczne zasady zarzdzania bezpieczestwem informacji.
98 M.in. dotyczcych konfiguracji infrastruktury informatycznej wtym serwerw, zarzdzania hasami dostpu do systemw
IT, treci umw z dostawcami, warunkw zastrzeonych przez dostawcw, tajemnic wynikajcych z innych aktw
prawnych, jak np.prawa wasnoci intelektualnej, zasad bezpieczestwa fizycznego wobiekcie, korespondencji subowej
czy stosowanych zabezpiecze systemw informatycznych.
yy W Urzdzie Miejskim wDbrowie Grniczej wczerwcu 2013r. wprowadzono Polityk Bezpieczestwa danych
osobowych przetwarzanych wUrzdzie Miasta, do ktrej zacznikiem bya Instrukcja zarzadzania systemami
informatycznymi sucymi do przetwarzania danych osobowych. Dokumenty te nie obejmoway wszystkich
informacji jakie sprzetwarzane wurzdzie lecz odnosiy si gwnie do danych osobowych. Penomocnik
ds. Informacji Niejawnych wyjani m.in., e opracowywany jest nowy dokument Polityka Bezpieczestwa
Informacji, ktry bdzie okrela nie tylko zakres ochrony danych osobowych, ale wszelkie wane informacje
dla jednostki oraz zasady iszczegy zabezpiecze stosowanych wurzdzie, aw tym sposb przepywu danych
pomidzy poszczeglnymi systemami, opis struktury zbiorw danych, procedury rozpoczcia, zawieszenia
izakoczenia pracy, przeznaczone dla uytkownikw systemu. Nowa Polityka Bezpieczestwa Informacji zostanie
wprowadzona w2015r.
yy W Urzdzie Miejskim wStargardzie Szczeciskim obowizujca wurzdzie dokumentacja PBI obejmowaa
zagadnienia dotyczce m.in. wyznaczania administratora bezpieczestwa, sposobu zarzdzania danymi
osobowymi, postpowania wsytuacji naruszenia ochrony danych osobowych. Jak wyjani Prezydent Miasta,
po wejciu wycie rozporzdzenia KRI () zosta rozszerzony obowizek utworzenia zestaww procedur
bezpieczestwa izasad wraz zich udokumentowaniem, planem wdroenia iegzekwowaniem. Dotychczasowa PBI
() wymagaa szczegowego rozszerzenia poszczeglnych zapisw (np.polityka hase, bezpieczestwa systemw,
kopii awaryjnych, procedur rozpoczcia izakoczenia pracy, konserwacji, przechowywania izabezpieczenia danych
(). Wzwizku ztym zosta rozpoczty proces aktualizacji dokumentacji (). Wodpowiedzi nawystpienie
pokontrolne Prezydent Miasta poinformowa, i zaktualizowana Polityka Bezpieczestwa Informacji 99 zostaa
ju opracowana iwdroona.
Pozostae dziewi urzdw100 objtych badaniem (tj.37,5%), opracowao iwdroyo procedury

regulujce polityk bezpieczestwa informacji, jednak wprzypadku dwch ztych jednostek101
wokresie objtym kontrol nie dokonywano aktualizacji przyjtych procedur, co byo niezgodne
z20 ust.2 pkt1 ww. rozporzdzenia, ktry stanowi, e podmiot realizujcy zadania publiczne
zobowizany jest do zapewnienia aktualizacji regulacji wewntrznych wzakresie dotyczcych
zmieniajcego si otoczenia. Naley zauway, e napotrzeb zaktualizowania obowizujcych
wtych urzdach polityk bezpieczestwa wskazyway zalecenia zprzeprowadzonych w2013r.
audytw wewntrznych zzakresu bezpieczestwa informacji.
3.3.2.Dokonywanie analizy zagroe zwizanych zprzetwarzaniem informacji
Zgodnie z20 ust.2 pkt3 rozporzdzenia KRI naley realizowa dziaania dotyczce przeprowadzania
okresowych analiz ryzyka utraty integralnoci, dostpnoci lub poufnoci informacji oraz podejmowa
dziaania minimalizujce to ryzyko, stosownie do przeprowadzonej analizy.
Kontrola wykazaa, e wzdecydowanej wikszoci jednostek (22, tj.w 91,7%) wokresie objtym
kontrol przeprowadzano okresowe analizy utraty integralnoci, poufnoci lub dostpnoci
informacji. Wanalizach zidentyfikowano m.in. ryzyka braku cigoci pracy jednostki, atake dla kadego
ryzyka okrelano planowane dziaania majce nacelu jego ograniczenie oraz koszty tych dziaa.
Na przykad:
yy W Urzdzie Miejskim wPruszkowie, stosownie do wynikw przeprowadzonej analizy, podjto dziaania wcelu
wyeliminowania stwierdzonych ryzyk, wtym zaoono instalacj przeciwpoarow wcaym budynku, przeniesiono
zasilacze awaryjne (UPS-y) do nowej lokalizacji izainstalowano dodatkow klimatyzacj, rozbudowano
serwerowni, wygospodarowano dodatkowe fundusze nawymian sprztu komputerowego zbezpieczniejszym
systemem operacyjnym wzwizku zzaprzestaniem przez firm Microsoft aktualizacji dotychczas zainstalowanego
systemu Windows XP ioprogramowania serwerowego Windows 2003.
99 Zarzdzenie nr255/2014 Prezydenta Miasta Stargardu Szczeciskiego zdnia 30padziernika 2014r. wsprawie organizacji
zarzdzania bezpieczestwem przetwarzanych informacji wUrzdzie Miejskim wStargardzie Szczeciskim.

UM
w: Chrzanowie, Koszalinie, Legnicy, Mysowicach, Nowym Targu, Pocku, Szczecinku, remie iwidnicy.
100

Dotyczy
UM w: Koszalinie iNowym Targu.
101
37
W dwch urzdach102 wokresie objtym kontrol nie przeprowadzano okresowych analiz ryzyka
utraty integralnoci, dostpnoci lub poufnoci informacji, co byo niezgodne z20 ust.2 pkt3
rozporzdzenia KRI. Jak wskazali kontrolowani, analizy takie przeprowadzone zostan do koca 2014r.
Zdaniem NIK, szybki postp technologiczny wrodowisku informatycznym ipojawianie si
nowych ryzyk dla bezpieczestwa informacji wskazuje napotrzeb przeprowadzenia analiz
ryzyka utraty integralnoci, dostpnoci lub poufnoci informacji, zwaszcza, e od wejcia
wycie rozrzdzenia KRI do dnia zakoczenia kontroli upyno ponad dwa lata. Wskazanym
jest przy tym, aby analizy takie poprzedzay przeprowadzenie obowizkowego corocznego
audytu wewntrznego wzakresie bezpieczestwa informacji, oktrym mowa w20 ust.2 pkt14
rozporzdzenia KRI. Pozwolioby to bowiem naobjcie audytem tych zagadnie, wktrych
ujawniono najwysze ryzyka wystpienia zagroe.
3.3.3. Inwentaryzacja sprztu informatycznego
Zgodnie z20 ust.2 pkt2 rozporzdzenia KRI zarzdzanie bezpieczestwem informacji realizowane
jest wszczeglnoci przez utrzymywanie aktualnoci inwentaryzacji sprztu ioprogramowania
sucego do przetwarzania informacji obejmujcej ich rodzaj ikonfiguracj. Ponadto, zgodnie
zpkt7.1.1 normy PNISO/IEC17799:2007, wszystkie aktywa informatyczne powinny by
zidentyfikowane oraz powinien by sporzdzany iaktualizowany ich spis. Aktualna inwentaryzacja
sprztu informatycznego ioprogramowania powinna take zawiera informacj ojego rodzaju
ikonfiguracji, przez co moliwe bdzie odtworzenie po katastrofie lub innym zdarzeniu losowym.
Ustalono, e wczterech urzdach103 (z 23104, tj.17,4%) nie prowadzono inwentaryzacji zasobw
informatycznych, wsposb okrelony w20 ust.2 pkt2 rozporzdzenia KRI. Dane sprztu
komputerowego ujmowano wukadzie kart informacyjnych lub tradycyjnej ksiki inwentarzowej
dla potrzeb rachunkowoci. Nie zawieray one jednak szczegowych danych okonfiguracji
technicznej urzdze czy te ozainstalowanym nanich oprogramowaniu. Naprzykad:
yy W Urzdzie Miejskim wPruszkowie, jak wyjani Prezydent Miasta Pruszkowa, prowadzona jest inwentaryzacja
zasobw elektronicznych wwersji papierowej. Na kartach wpisane spodstawowe parametry stanowiska
komputerowego (licencje systemowe, oprogramowanie biurowe) wraz zinformacjami do jakiego typu aplikacji
jest komputer przeznaczony. NIK ustalia, e prowadzona inwentaryzacja zasobw elektronicznych wwersji
papierowej obejmowaa zaledwie 16% uywanego wurzdzie sprztu informatycznego oraz nie zawieraa
istotnych informacji orodzaju ikonfiguracji urzdze.
Ponadto, kontrola NIK wykazaa, e wdwch urzdach (tj.8,7%) inwentaryzacja prowadzona

bya wsposb nierzetelny. Itak:
yy W Urzdzie Miejskim wGogowie wprogramie inwentaryzacyjnym brak byo informacji oomiu komputerach
idwch serwerach. Natomiast wUrzdzie Miasta wMisku Mazowieckim na10 zbadanych komputerw,
wtrzech przypadkach wystpiy rnice midzy faktycznie zainstalowanymi natych komputerach programami,
awykazanymi waplikacji inwentaryzacyjnej.
Zdaniem NIK, prowadzenie inwentaryzacji zawierajcej dane szczegowe okonfiguracji

technicznej urzdze oraz ozainstalowanym nanich oprogramowaniu moe uatwi
sprawne odtworzenie zasobw informatycznych wrazie wystpienia zdarze losowych
jak np.kradzie lub powana awaria sprztu informatycznego.
102 UM: Leszno iNowy Targ.
103 Dotyczy UM w: Nowym Targu, Olkuszu, Pruszkowie iwinoujciu.
104 Badania nie przeprowadzono wUrzdzie Miasta Pocka ze wzgldu natrwajc wtrakcie kontroli migracj danych
38
do nowo zakupionego programu inwentaryzacyjnego.
3.3.4.Zarzdzanie uprawnieniami do pracy wsystemach informatycznych

W myl 20 ust.2 pkt4 i5 rozporzdzenia KRI, zarzdzanie bezpieczestwem informacji
realizowane jest m.in. przez podejmowanie dziaa zapewniajcych, e osoby zaangaowane
wproces przetwarzania informacji posiadaj stosowne uprawnienia iuczestnicz wtym procesie
wstopniu adekwatnym do realizowanych przez nie zada oraz obowizkw, aw przypadku zmiany
zada nastpuje rwnie zmiana uprawnie.
Ustalono, e zwyjtkiem jednego urzdu105 wszystkie kontrolowane urzdy opracoway iwdroyy
pisemne procedury zarzdzania uprawnieniami uytkownikw wsystemach informatycznych.
Jednak womiu106 (tj.33,3%) skontrolowanych urzdach stwierdzono nieprawidowoci polegajce
naniedochowaniu niektrych wymogw okrelonych www. przepisach rozporzdzenia KRI
inie przestrzeganiu wtych urzdach wewntrznych procedur zarzdzania uprawnieniami do pracy
wsystemach informatycznych.
W wyniku badania przyznanych uprawnie dostpu do korzystania zsystemw informatycznych,
dokonanego nacznej prbie 421 pracownikw kontrolowanych urzdw stwierdzono,
e wprzypadku 18 osb107 (4,3%) wystpiy nieprawidowoci wzakresie nadawania uprawnie
do realizowanych zada. Wprzypadku 11 ztych osb108 nadane uprawnienia byy nieadekwatne
do zada okrelonych wzakresach czynnoci tych osb, co byo niezgodne z20ust.2 pkt4
rozporzdzenia KRI. Wwyjanieniach wskazywano, e nadane uprawnienia wynikay zracji
faktycznie wykonywanych przez te osoby obowizkw, bd e osoby posiaday dostp
do programu zuwagi nakonieczno obsugi klientw podczas nieobecnoci upowanionych
pracownikw. Wprzypadku pozostaych siedmiu osb nieprawidowoci dotyczyy:
nadania przez Administratora Systemu Informatycznego uprawnie dwm pracownikom,
pomimo, e nie posiadali oni upowanienia burmistrza, przyznania uprawnienia kolejnym dwm
niezgodnie zupowanieniami, oraz nieprzyznania jednemu pracownikowi uprawnie do pracy
wsystemie, pomimo posiadanego przez niego upowanienia burmistrza109,
braku upowanienia do obsugiwanego systemu informatycznego dla dwch pracownikw110.
W wyniku badania blokowania lub odbierania dostpu do systemw informatycznych naprbie
310 pracownikw, ktrzy zakoczyli zatrudnienie wokresie objtym kontrol, stwierdzono,
i dwudziestu byym pracownikom (tj.6,5%) siedmiu urzdw111 konta nie zostay zablokowane
ipozostaway wci aktywne. Zakres nieodebranych uprawnie, jak iokres po jakim zablokowano
dostp do kont by wposzczeglnych urzdach zrnicowany, np.:
yy W Urzdzie Miasta Pocka konta 10 z24 byych pracownikw nie zostay zablokowane, adziaania
dla zablokowania kont podjto dopiero wtrakcie kontroli NIK.
yy W Urzdzie Miasta winoujcie czterem z10 pracownikw zablokowano konta po upywie od trzech do omiu
miesicy od dnia zakoczenia zatrudnienia.
yy W Urzdzie Miejskim wPruszkowie dwm 10 pracownikw zablokowano konta uytkownikw dopiero wtrakcie
kontroli, po upywie ponad p roku od zakoczenia przez nich pracy wurzdzie.
105 UM wStargardzie Szczeciskim.
106 UM w: Dzieroniowie, Gogowie, Lesznie, Mikoowie, Misku Mazowieckim, Pocku, Pruszkowie iwinoujciu.
107 Dotyczy UM w: Mikoowie (dwie osoby), Misku Mazowieckim (pi osb), Pocku (trzy osoby), winoujciu (osiem osb).
108 Urzd Miasta winoujcie (osiem osb), Urzd Miasta Pocka (trzy osoby).
109 UM wMisku Mazowieckim.
110 UM Mikow.
111 UM w(liczba osb): Dzieroniowie (1), Gogowie (1), Lesznie (1), Misku Mazowieckim (1), Pocku (10), Pruszkowie (2), winoujciu (4).
39
NIK zwrcia uwag nakonieczno podejmowania dziaa zapewniajcych, i osoby zaangaowane

wproces przetwarzania informacji posiadaj stosowne uprawnienia iuczestnicz wtym procesie
wstopniu adekwatnym do realizowanych przez nie zada oraz obowizkw. Zwrcia rwnie
uwag nakonieczno dokonywania bezzwocznej zmiany uprawnie, bd blokowania lub odbierania
uprawnie, wprzypadku zmiany zada lub ustania zatrudnienia.
Ponadto, wtrakcie kontroli ustalono, e spord 350 objtych badaniem pracownikw, wykonujcych
zadania wsystemach informatycznych 82 znich, tj.23,4%, miao moliwo zainstalowania
nauytkowanych komputerach dowolnego oprogramowania. Sytuacja taka wystpia wdziewiciu
urzdach112 idotyczya od 6,7% do 100% objtych badaniem pracownikw wposzczeglnych
urzdach. Wczterech urzdach113 wszyscy badani uytkownicy systemw informatycznych niebdcy
pracownikami sub informatycznych posiadali uprawnienia administratora systemu nauywanych
przez nich komputerach, wzwizku zczym mogli samodzielnie instalowa dowolne oprogramowanie.
Powysze nieprawidowoci tumaczono m.in. nastpujco:
yy Burmistrz Miasta Szczecinek wyjani: Cztery komputery, spord badanych dziesiciu komputerw,
ktre podlegay badaniu przeprowadzonym 9lipca 2014r., przypisane spracownikom wyszej kadry zarzdzajcej
onajwyszej wiadomoci uytkownikw. Na tych stanowiskach wymagana jest odpowiedzialno rwnie
wdziedzinie korzystania ze sprztu technologii informatycznej.
yy Burmistrz Miasta Lubonia wyjani m.in., e przyjte rozwizanie wynikao zbrakw kadrowych (w urzdzie
zatrudniony by jeden informatyk oraz jedna osoba nastanowisku pomocy administracyjnej posiadajca
wiedz informatyczn), za kady zpracownikw podpisa owiadczenie oniepodejmowaniu prb instalacji
oprogramowania innego ni pochodzcego od pracodawcy.
Zdaniem NIK, potrzeba ograniczania uprawnie pracownikw urzdw wynika take

zkoniecznoci ograniczenia ryzyka niewiadomego zainstalowania przez uytkownika
zoliwego oprogramowania wtrakcie przegldania stron internetowych. Oprogramowanie
antywirusowe iinne wewntrzne systemy zabezpieczajce bez tego ograniczenia nie daj
wystarczajcej gwarancji bezpiecznej pracy wsystemie informatycznym.
Ponadto, wjednym urzdzie114 stwierdzono, e w14 przypadkach logowanie do komputerw
nastpowao bez podania hasa. Burmistrz Miasta wyjani m.in., e nie zostay one zabezpieczone
hasem dla wygody pracy pracownikw zastpujcych danego pracownika. Zadeklarowa,
e wszystkie komputery zostan zabezpieczone do kocawrzenia 2014r. NIK zwrcia uwag,
e zgodnie z20 ust.2 pkt7 rozporzdzenia KRI przetwarzane informacje powinny by chronione
przed ich kradzie inieuprawnionym dostpem. Podstawow zapor ochronn przed dostpem
osb nieuprawnionych jest zabezpieczenie komputera subowego hasem uytkownika.
3.3.5.Szkolenia pracownikw zaangaowanych wproces przetwarzania informacji
Zgodnie z20 ust.2 pkt6 rozporzdzenia KRI zarzdzanie bezpieczestwem informacji
realizowane jest wszczeglnoci przez zapewnienie przez kierownictwo podmiotu publicznego
warunkw umoliwiajcych realizacj iegzekwowanie szkolenia osb zaangaowanych wprocesie
przetwarzania informacji.
W 17 urzdach115, tj.w 70,8% kontrolowanych urzdw zorganizowano szkolenia dotyczce
bezpieczestwa informacji dla pracownikw urzdw. Tematyka szkole dotyczya m.in. postpowania
zinformacj wurzdzie (w tym ochrony danych osobowych informacji niejawnych), bezpieczestwa
40
112 UM w: Chrzanowie, Gogowie, Luboniu, Misku Mazowieckim, Nowym Targu, Olkuszu, Pruszkowie, Szczecinku iwinoujciu.
113 UM w: Luboniu, Misku Mazowieckim, Nowym Targu iwinoujciu.
114 UM wMisku Mazowieckim.
115 UM w: Andrychowie, Gogowie, Dbrowie Grniczej, Koszalinie, Mikoowie, Misku Mazowieckim, Mysowicach, Legnicy, Lesznie,
Ostrowie Wlkp., Pocku, Pruszkowie, Radomiu, remie, widnicy iStargardzie Szczeciskim.
teleinformatycznego, obowizujcych procedur ustanowionych wPolityce Bezpieczestwa

Informacji oraz komunikacji wsieci komputerowej. Szkolenia prowadzone byy zarwno przez
pracownikw urzdw, np.przez Penomocnika ds. Informacji Niejawnych, Administratora
Bezpieczestwa Informacji, jak iprzez firmy zewntrzne. Wszkoleniach brali udzia zarwno
informatycy, jak ipracownicy, ktrzy posiadali dostp do systemw informatycznych.
yy Przykadem waciwie zorganizowanego procesu szkole www. zakresie jest Urzd Miasta wLegnicy, wktrym
szkolenia miay charakter usystematyzowany iodbyway si wedug cile okrelonych harmonogramw wroku.
Ponadto, wramach polityki bezpieczestwa wokresie objtym kontrol zReferatu Informatyki wysyane byy, droga
mailow zasady iinformacje dotyczce prawidowej eksploatacji systemw informatycznych izabezpiecze, wtym m.in.:
poczty elektronicznej,
dodawania iusuwania informacji nastronach internetowych,
pracy uytkownikw zsystemami,
sprawdzania systemw programem antywirusowym.
yy Innym przykadem pozytywnego dziaania womawianym zakresie jest Urzd Miasta Pocka, wktrym wokresie
od dnia 31maja 2012r. do 9czerwca 2014r. zorganizowano pi szkole m.in. zzakresu bezpieczestwa informacji,
wktrych udzia wzio cznie 1202 pracownikw (przy zatrudnieniu wahajcym si od 608 do 698 pracownikw).
Szkolenia uwzgldniay takie zagadnienia jak: obowizujce regulacje dotyczce zasad bezpieczestwa informacji,
przykady zagroe bezpieczestwa informacji wynikajcych zpodatnoci czynnika ludzkiego. Ponadto
kady nowy pracownik by zobowizany do zapoznania si istosowania instrukcji podstawowych zasad
bezpieczestwa informacji dla pracownikw Urzdu Miasta Pocka.
Uwagi NIK dotyczyy jednego urzdu 116, wktrym przeprowadzone szkolenia zzakresu
bezpieczestwa informacji pracownikw miay wycznie charakter jednorazowy iodbyway si
tylko wmomencie rozpoczcia zatrudnienia. NIK zwrcia uwag, e, szkolenia wzakresie zagroe
bezpieczestwa informacji oraz skutkw ich naruszenia powinny si odbywa wustalonych odstpach
czasowych ze wzgldu naszybko zachodzce zmiany wzakresie bezpieczestwa przetwarzania
danych wsystemach informatycznych.
W pozostaych siedmiu jednostkach 117 (tj.29,2%) po 31maja 2012r., tj.po wejciu wycie
rozporzdzenia KRI, nie przeprowadzono szkole wzakresie bezpieczestwa informacji, wzwizku
ztym NIK wnioskowaa oich przeprowadzenie118. Wodpowiedziach nawystpienia pokontrolne
kierownicy skontrolowanych jednostek poinformowali oprzyjciu wniosku do realizacji ipodjtych
wtym zakresie dziaaniach.
Zdaniem NIK istnieje potrzeba, aby pracownicy zaangaowani wproces przetwarzania
informacji zostali przeszkoleni oraz byli regularnie powiadamiani ozagroeniach wobszarze
bezpieczestwa informacji, atake ozmianach wzakresie obowizujcych wurzdzie polityk
iprocedur zwizanych zwykonywanymi przez nich zadaniami. Zwikszy to wiadomo
pracownikw co do wystpujcych zagroe zwizanych zbezpieczestwem informacji.
3.3.6.Praca naodlego imobilne przetwarzanie danych
W 20 ust.2 pkt8 rozporzdzenia KRI wskazano nakonieczno ustanowienia podstawowych
zasad gwarantujcych bezpieczn prac przy przetwarzaniu mobilnym ipracy naodlego.
W 11 urzdach119 (45,8%) ustanowiono podstawowe zasady bezpiecznej pracy uytkownikw
przy wykorzystaniu komputerw przenonych. Zasady okrelay m.in. sposoby zabezpieczenia
urzdze mobilnych (laptopy, tablety, smartfony) idanych wnich zawartych przed kradzie
116 UM wZawierciu.
117 UM w: Chrzanowie, Dzieroniowie, Luboniu, Nowym Targu, Olkuszu, Szczecinku iwinoujciu.
118 Za wyjtkiem UM Nowy Targ, wktrym szkolenia prowadzone byy wtrakcie kontroli.
119 UM w: Dbrowie Grniczej, Legnicy, Lesznie, Luboniu, Mysowicach, Ostrowie Wlkp., Pocku, Radomiu, Szczecinku, widnicy iZawierciu.
41
i nieuprawnionym dostpem poza siedzib jednostk i, a take zasady korz ystania

zoglnodostpnych sieci bezprzewodowych oraz aktualizacji oprogramowania urzdze
przenonych.
W 13 urzdach120 (54,2%) nie ustanowiono zasad (procedur) gwarantujcych bezpieczn prac
przy przetwarzaniu mobilnym ipracy naodlego, co byo niezgodne z20 ust.2 pkt8
rozporzdzenia KRI. Wsiedmiu urzdach121 jako przyczyn nieopracowania iniewdroenia procedur
bezpiecznej pracy naurzdzeniach mobilnych poza urzdem wskazywano m.in., e nie wykorzystywano
urzdze do pracy poza urzdem, jak rwnie brak moliwoci realizowania zdalnie zada
zwykorzystaniem systemw informatycznych jednostki. Jakkolwiek NIK nie formuowaa wtych
przypadkach wnioskw oopracowanie takich procedur, to jednak jest zdania, e podstawow
funkcj urzdze mobilnych, takich jak posiadane przez urzdy laptopy jest praca wdowolnym
miejscu zwykorzystaniem technik komunikacyjnych. Azatem nie mona wykluczy, e praca
moe by niekiedy wykonywana rwnie poza siedzib urzdu, co powoduje szereg zagroe
dla bezpieczestwa danych zapisanych wtych urzdzeniach (np.kradzie, modyfikacja danych).
W pozostaych szeciu urzdach, procedury dotyczce bezpiecznej pracy przy przetwarzaniu
mobilnym ipracy naodlego zostay opracowane wtrakcie kontroli lub, jak poinformowali
kontrolowani, zostan opracowane.
3.3.7.Serwis sprztu informatycznego ioprogramowania
Przepis 20 ust.2 pkt10 rozporzdzenia KRI zobowizuj do zawierania wumowach serwisowych
podpisanych ze stronami trzecimi zapisw gwarantujcych odpowiedni poziom bezpieczestwa
informacji.
Kontrola wykazaa, e w16 urzdach (66,7%) we wszystkich umowach nazakup lub serwis sprztu
komputerowego/oprogramowania wybranych do kontroli systemw informatycznych zawarto
zapisy ozobowizaniu wykonawcw umw do zachowania wtajemnicy informacji, do jakich moe
mie dostp wzwizku zrealizowaniem umowy.
W umowach zakupu, zapisy dotyczce serwisu gwarancyjnego stanowiy, e wprzypadku
uszkodzenia dyskw twardych, pozostan one wdyspozycji urzdw inie bd zwracane
do producenta sprztu. Wprzypadku serwisu po gwarancji, wydawano do naprawy sprzt
komputerowy bez dysku twardego, bd dokonywano naprawy sprztu wsiedzibie urzdu.
W pozostaych omiu urzdach (33,3%) wumowach nazakup lub serwis sprztu komputerowego/
/oprogramowania wybranych do kontroli systemw informatycznych stwierdzono brak zapisw
gwarantujcych zabezpieczenie poufnoci informacji uzyskanych przez wykonawcw wzwizku
zrealizacj tych umw, co byo niezgodne z20 ust.2 pkt10 rozporzdzenia KRI. Zapisw takich
nie zawarto cznie w28122 umowach spord 63 objtych badaniem (44,4%).
Kontrolowani podawali m.in., e zapisw takich nie zawierano gdy zasady zachowania wtajemnicy
informacji przetwarzanych w systemach informatycznych zostay ustalone nieformalnie,
jak te wskazywali, e kwestie te suregulowane wPBI, azawarcie takich postanowie wumowie
powoduje wzrost ceny zakupu sprztu.
120 UM w: Andrychowie, Chrzanowie, Dzieroniowie, Gogowie, Koszalinie, Mikoowie, Misku Mazowieckim, Nowym Targu,
42
Pruszkowie, Olkuszu, Stargardzie Szczeciskim, remie iwinoujciu.

121 UW w: Andrychowie, Koszalinie, Misku Mazowieckim, Nowym Targu, Olkuszu, Pruszkowie iremie.
122 UM w(liczba umw bez waciwych zapisw/liczba zbadanych umw): Dzieroniowie (3/6), Gogowie (4/13), Lesznie (1/1),
Nowym Targu (2/6), Olkuszu (5/22), Pruszkowie (4/4), remie (4/4) iwinoujciu (5/7).
Zdaniem NIK, uzgodnienia nieformalne bez wprowadzenia odpowiednich zapisw wumowach

nie zabezpieczaj naleycie interesw zamawiajcego ipozbawiaj go moliwoci skutecznego
dochodzenia odpowiedzialnoci usugodawcy wprzypadku niedochowania uzgodnie.
Stosowanie takich postanowie wumowach jest powszechne wobrocie gospodarczym, asame zasady
okrelone wPBI nie gwarantuj odpowiedniego zabezpieczenia informacji wrelacjach zwykonawc
usug serwisowych.
3.3.8.Procedury zgaszania incydentw naruszenia bezpieczestwa informacji
Zgodnie z20 ust.2 pkt13 rozporzdzenia KRI, zarzdzanie bezpieczestwem informacji realizowane
jest m.in. poprzez bezzwoczne zgaszanie incydentw naruszenia bezpieczestwa informacji
wokrelony iz gry ustalony sposb, umoliwiajcy szybkie podjcie dziaa korygujcych.
W 23 urzdach123 (95,8%) opracowano iwdroono procedury regulujce zasady postpowania
w przypadku wystpienia incydentw naruszenia bezpieczestwa informacji, jednake
w17 urzdach124 procedury te odnosiy si tylko do przypadkw zaistnienia incydentw zwizanych
zprzetwarzaniem danych osobowych. Wszeciu urzdach125 opracowano dokumenty wskazujce
pracownikom sposb zachowania wprzypadku stwierdzenia zdarzenia mogcego mie wpyw
nabezpieczestwo przetwarzania informacji wurzdzie. Na przykad:
yy W Urzdzie Miejskim wDbrowie Grniczej obowizywaa Instrukcja postpowania wsytuacji naruszenia
bezpieczestwa informacji. Odnosia si do wszelkich mogcych mie miejsce zdarze lub dziaa niezamierzonych,
ktre stanowi lub mogy stanowi przyczyn utraty zasobw, zmian poufnoci, integralnoci, dostpnoci
informacji lub niezawodnoci systemw, atake odstpstw od obowizujcych procedur postpowania,
nawet jeeli nie prowadz do ww. skutkw.
Zdaniem NIK procedury zgaszania incydentw naruszenia bezpieczestwa informacji

powinny dotyczy zarwno zgaszania zagroe wzakresie danych osobowych, jak iinnych
informacji przetwarzanych wurzdzie. Stosowanie procedur okrelonych tylko dla danych
osobowych moe ogranicza ilo informacji ozagroeniach jakie winny by zgaszane przez
pracownikw wzwizku zwystpieniem niepodanych zdarze przy przetwarzaniu informacji
innych, ni dane osobowe.
3.3.9.Audyt wewntrzny zzakresu bezpieczestwa informacji
W myl 20 ust.2 pkt14 rozporzdzenia KRI, zarzdzanie bezpieczestwem informacji
realizowane jest m.in. poprzez zapewnienie przez kierownictwo podmiotu publicznego warunkw
umoliwiajcych realizacj iegzekwowanie dziaania polegajcego naokresowym audycie
wewntrznym wzakresie bezpieczestwa informacji, nie rzadziej ni raz narok.
W okresie objtym kontrol wdziewiciu126 urzdach (tj.37,5%) nie przeprowadzono audytu
wzakresie bezpieczestwa informacji wsystemach informatycznych. Powysz nieprawidowo
tumaczono m.in. faktem, e audyt opodobnej tematyce zosta przeprowadzony wlatach wczeniejszych,
atake brakiem pracownikw posiadajcych niezbdn wiedz idowiadczenie dla przeprowadzenia
takiego audytu. Wtrakcie kontroli, bd wodpowiedziach nawystpienia pokontrolne, kontrolowani
zadeklarowali przeprowadzenie audytu bezpieczestwa informacji wostatnim kwartale 2014r.
123 W Urzdzie Miasta Nowy Targ nie wprowadzono do stosowania procedur zgaszania incydentw naruszenia bezpieczestwa informacji.
124 UM w: Chrzanowie, Andrychowie, Dzieroniowie, Koszalinie, Lesznie, Luboniu, Olkuszu, Ostrw Wlkp., Szczecinku, Mikoowie,
Misku Mazowieckim, Mysowicach, Pruszkowie, Radomiu, Stargardzie Szechiskim, winoujciu iZawierciu.

125 UM w: Dbrowie Grniczej, Gogowie, Legnicy, Pocku, remie iwidnicy.
126 UM w: Andrychowie, Gogowie, Lesznie, Olkuszu, Pruszkowie, Stargardzie Szczeciskim, Szczecinku, winoujciu iZawierciu.
43
W 15 jednostkach przeprowadzono coroczny audyt bezpieczestwa informacji. Audytorzy

formuowali zalecenia rekomendacje, ktre dotyczyy m.in.:
zaktualizowania obowizujcej Polityki Bezpieczestwa Informacji,
dokonywania zmiany lub odbierania pracownikom uprawnie dostpu do systemw
informatycznych wprzypadku zmiany lub ustania wykonywanych przez nich zada,
opracowania procedury postpowania zincydentami naruszenia bezpieczestwa informacji,
wprowadzania wumowach serwisowych zapisw gwarantujcych odpowiedni poziom
bezpieczestwa informacji.
3.3.10.Kopie zapasowe
Zgodnie zwymogami okrelonymi w20 ust.2 pkt12 lit.b rozporzdzenia KRI, zarzdzanie
bezpieczestwem informacji realizowane jest wszczeglnoci przez zapewnienie przez
kierownictwo podmiotu publicznego warunkw umoliwiajcych realizacj iegzekwowanie
m.in. zapewnienia odpowiedniego poziomu bezpieczestwa wsystemach teleinformatycznych,
polegajcego wszczeglnoci naminimalizowaniu ryzyka utraty informacji wwyniku awarii.
W 20 kontrolowanych urzdach (83,3%) kopie zapasowe danych byy waciwie tworzone,
przechowywane oraz testowane. Wczterech urzdach (16,7%) stwierdzono nieprawidowoci
polegajce naniespenieniu wymogw wynikajcych z20 ust.2 pkt12 lit.b, ktre polegay na:
niewaciwym przechowywaniu kopii zapasowych danych zsystemw informatycznych,
tj.w sposb, ktry nie minimalizuje ryzyka utraty informacji istwarza zagroenie, e wprzypadku
zdarze losowych, np.poaru lub zalania, urzd moe utraci zarwno dane rdowe,
jak iich kopie zapasowe127. Stwierdzono, e sporzdzane kopie zapasowe przechowywane
byy wserwerowniach, awic wmiejscach wytwarzania danych. Zgodnie zpkt10.5.1lit.d normy
PN-ISO/IEC 17799:2007 kopie zapasowe powinny by przechowywane winnej lokalizacji
ni miejsce ich tworzenia, wodlegoci niezbdnej do uniknicia uszkodze spowodowanych
przez katastrof, ktra dotkna orodek podstawowy;
braku waciwego zabezpieczenia dostpu do przechowywanych kopii zapasowych,
ktry nie gwarantowa, e dostp do nich posiada bd jedynie uprawnione osoby128,
nie testowaniu kopii zapasowych wjednym urzdzie129 wprzypadku dwch ztrzech badanych
systemw informatycznych. Zgodnie zpkt10.5.1lit.f normy PN-ISO/IEC 17799:2007 noniki kopii
zapasowych winny by testowane aby mona byo nanich polega wprzypadku awaryjnego
odtwarzania.
3.3.11.Format danych udostpniany przez badane systemy informatyczne
W 18 ust. 1 rozporzdzenia KRI okrelono warunek udostpnienia zasobw informacyjnych
co najmniej wjednym zformatw wymienionych wzaczniku nr2 do tego rozporzdzenia KRI.
Wszystkie objte badaniem 79 systemy informatyczne udostpniay zasoby informatyczne
co najmniej wjednym formacie wymienionym wzaczniku Nr2 do rozporzdzenia KRI.
Tym samym speniony zosta warunek okrelony wprzywoanym wyej przepisie rozporzdzeniu KRI.
44
127 UM w: Luboniu, Misku Mazowieckim, Nowym Targu.

128 UM wLuboniu iPruszkowie.
129 UM wPruszkowie.
Stwarzao to moliwo wymiany danych pomidzy rnymi systemami informatycznymi

oraz pozwalao odbiorcom naswobodny dostp do informacji poprzez wygenerowanie danych
wpowszechnie znanych i dostpnych plikach.
3.4 Zapewnienie dostpnoci informacji zawartych nastronach internetowych urzdw

dla osb niepenosprawnych
Zgodnie z19 rozporzdzenia KRI, wramach dostosowania systemw prezentujcych treci
do wymaga Web Content Accessibility Guidelines ( WCAG 2.0 130 ), powinno nastpi
ich dostosowanie do potrzeb osb niepenosprawnych, uwzgldniajc poziom AA, okrelony
wzaczniku nr4 do rozporzdzenia KRI. Najwysza Izba Kontroli nie dokonywaa oceny dziaalnoci
kontrolowanych urzdw wtym obszarze, gdy zgodnie z22 rozporzdzenia KRI systemy
teleinformatyczne podmiotw realizujcych zadania publiczne naley dostosowa do wymaga
okrelonych w19 rozporzdzenia KRI, nie pniej ni wterminie 3 lat od dnia wejcia wycie
rozporzdzenia, czyli do 31maja 2015r.
Weryfikacj zgodnoci stron internetowych iBIP kontrolowanych urzdw, pod ktem spenienia
wymogw prezentacji zasobw informacyjnych zgodnie ze standardem WCAG 2.0 wzakresie
Zasady 4 Kompatybilno przeprowadzono za pomoc narzdzi dostpnych nastronie
http://validator.w3.org oraz http://jigsaw.w3.org/css-validator.
Kontrola wykazaa, e strony internetowe i BIP skontrolowanych urzdw wrnym stopniu
zostay dostosowane do odbioru ich treci przez osoby niepenosprawne. Stosowano rozwizania
techniczne umoliwiajce osobom niedosyszcym lub niedowidzcym zapoznanie si ztreci
informacji m.in. poprzez powikszenie czcionki, obrazu, zmian kontrastu czy te odsuchanie
wywietlanej treci. Przeprowadzone badania zwykorzystaniem ww. narzdzi wykazay,
e we wszystkich kontrolowanych urzdach naich stronach internetowych i/lub nastronach BIP
wystpoway bdy zwizane zprezentowaniem treci dla osb niepenosprawnych. Na przykad:
yy W Urzdzie Miasta winoujcie strona internetowa urzdu nie umoliwiaa odsuchania zapisu informacji.
yy W Urzdzie Miejskim wZawierciu strony internetowe urzdu umoliwiay wywietlenie treci zpowikszon
czcionk, nie zapewniay jednak moliwoci zwikszenia kontrastu.
yy W Urzdzie Miasta Leszna strona BIP urzdu nie posiadaa adnych funkcjonalnoci uatwiajcych korzystanie
zzamieszczonych wniej informacji osobom niepenosprawnym.
Niezbdne jest wic podejmowanie dalszych dziaa wcelu wyeliminowania ujawnionych bdw
ipoprawy funkcjonalnoci stron internetowych iBIP wodbiorze przez osoby niepenosprawne.
Zaznaczy naley, e prace takie wczci urzdw prowadzone byy ju wtrakcie kontroli,
bd deklarowano ich wykonanie izakoczenie do 31maja 2015r. Naprzykad:
yy W Urzdzie Miejskim wPruszkowie realizowana jest umowa, wramach ktrej do kocawrzenia 2014r.
planowano wykonanie prac dla dostawania strony internetowej urzdu dla potrzeb osb niepenosprawnych.
Trway rwnie prace przygotowawcze nad uruchomieniem nowego serwisu strony BIP urzdu.
yy W Urzdzie Miasta Nowy Targ zaplanowano realizacj obowizku dostosowania strony internetowej iBIP
do potrzeb niepenosprawnych naIV kwarta 2014r. iI kwarta 2015r.
yy W Urzdzie Miejskim wOstrowie Wlkp. dokonano wyboru wykonawcy audytu dostpnoci strony internetowej
urzdu wzakresie spenienia przez t stron wymogw WCAG 2.0., co umoliwi jej modyfikacj.
130 WCAG jest standardem sucym dostosowaniu wywietlanej treci nastronie internetowej do potrzeb osb niedowidzcych.
Rozwizanie to ma nacelu zapewnienie prezentacji treci wsposb uatwiajcy osobom niepenosprawnym zapoznanie si
zwiadomociami. Uatwienia te koncentruj si nasposobie wywietlania ikomunikatach gosowych.
45
I n f o r m a c j e d o d at k o w e
4.1 Przygotowanie kontroli
Kontrol koordynowa Departament Administracji Publicznej. Czynnoci kontrolne zostay
przeprowadzone w25 jednostkach przez sze jednostek organizacyjnych NIK, tj.Departament
Administracji Publicznej oraz Delegatury NIK w: Katowicach, Krakowie, Poznaniu, Szczecinie
iwe Wrocawiu.
4.2 Postpowanie kontrolne idziaania podjte po zakoczeniu kontroli

Postpowanie kontrolne przeprowadzono w25 jednostkach. Najwysza Izba Kontroli skierowaa
25 wystpie pokontrolnych do wszystkich kierownikw kontrolowanych jednostek. Zdanych
nadzie 16stycznia 2015r. wynika, e na84 wnioski pokontrolne sformuowane przez NIK,
30 zostao zrealizowanych, 54 byo wtrakcie realizacji. Wtrzech wystpieniach pokontrolnych
zostay zawarte oglne oceny pozytywne, aw 22 oceny opisowe wskazujce nadziaania
realizowane prawidowo oraz nastwierdzone nieprawidowoci. Do wystpie pokontrolnych
nie zgoszono zastrzee.
Wnioski skierowane do Ministra Administracji iCyfryzacji dotyczyy:
u
wzgldnienia wplanach kontroli Ministerstwa irealizowania kontroli wpodmiotach publicznych
wzakresie dziaania systemw teleinformatycznych, prowadzenia rejestrw iwymiany informacji
wpostaci elektronicznej oraz podjciu dziaa wcelu pozyskania specjalistw posiadajcych
odpowiednie kwalifikacje do przeprowadzenia takich kontroli,
przeprowadzenia prac koniecznych dla zrealizowania zada krtkookresowych dotyczcych
interoperacyjnoci okrelonych wpkt6.3.1 Programu Zintegrowanej Informatyzacji Pastwa.
Wnioski skierowane do burmistrzw/prezydentw miast dotyczyy m.in.:
przekazania do CRD wzorw dokumentw elektronicznych wiadczonych usug elektronicznych,
aktualizacji strony BIP urzdu poprzez umieszczenie naniej informacji odnonie obowizujcych
procedur wzakresie zaatwiania spraw drog elektroniczn,
opracowania iwdroenia Polityki Bezpieczestwa Informacji, okrelajcej zasady bezpieczestwa
informacji, zgodnej znorm PN-ISO/IEC27001,
prowadzenia aktualnej ikompletnej inwentaryzacji sprztu informatycznego obejmujcej
jego rodzaj ikonfiguracj,
odebrania uytkownikom systemw informatycznych niebdcych pracownikami sub
informatycznych uprawnie umoliwiajcych instalowanie oprogramowania,
niezwocznego blokowania dostpu do systemw informatycznych byym pracownikom urzdu,
wyeliminowania moliwoci zalogowania si do systemw informatycznych bez podania hasa
dostpu,
przeszkolenia wszystkich osb zaangaowanych wproces przetwarzania informacji wzakresie
zachowania bezpieczestwa informacji,
opracowania iwdroenia procedur gwarantujcych bezpieczn prac przy przetwarzaniu
mobilnym ipracy naodlego,
opracowania iwdroenia zasad okrelajcych sposb zgaszania incydentw naruszenia
bezpieczestwa informacji,
46
I n f o r m a c j e d o d at k o w e
zawierania wumowach serwisowych zapisw gwarantujcych odpowiedni poziom bezpieczestwa

informacji,
przeprowadzania okresowych audytw wzakresie bezpieczestwa informacji nie rzadziej
ni raz narok,
przechowywania kopii zapasowych systemw informatycznych idanych wnich zawartych,
poza serwerowni wmiejscu waciwie zabezpieczonym przed dostpem osb nieupowanionych
izdarzeniami losowymi.
Adresaci wystpie pokontrolnych poinformowali opodjciu dziaa narzecz realizacji wnioskw
pokontrolnych. Na przykad:
yy Burmistrz Miasta iGminy Olkusz poinformowa m.in., e: do 31grudnia 2014r. opracowana zostanie Polityka
Bezpieczestwa Informacji iwdroona wI kwartale 2015r.; audyty wzakresie bezpieczestwa informacji
bd wykonywane corocznie; podjto prace dla zmiany uprawnie pracownikw do systemw informatycznych
urzdu oraz zaktualizowania kart informacyjnych komputerw. Poinformowa rwnie, e w2015r. planowany
jest zakup oprogramowania, ktry bdzie zawiera modu do zarzdzania zasobami informatycznymi.
yy Prezydent Miasta winoujcie poinformowa m.in., e: trwaj prace nad opracowaniem Polityki Bezpieczestwa
Informacji, ktrej wdroenie nastpi do 31stycznia 2015r. Obejmowa ona bdzie rwnie procedur tworzenia
iprzechowywania kopii zapasowych danych przetwarzanych wsystemach informatycznych. Poinformowa rwnie,
e przeprowadzona zostanie inwentaryzacja sprztu komputerowego, ajej zakoczenie nastpi 31marca 2015r.,
wumowach serwisowych na2015r. zostan zawarte zapisy gwarantujce zabezpieczenie poufnoci informacji
oraz e podjte zostan dziaania majce nacelu popularyzacji wrd obywateli komunikacji elektronicznej
zUrzdem.
yy Prezydent Miasta Pruszkowa poinformowa m.in., e: wykonano kompletn inwentaryzacj sprztu komputerowego
obejmujc jego rodzaj ikonfiguracj; odebrano uytkownikom systemw informatycznym niebdcymi
pracownikami sub informatycznych uprawnienia umoliwiajce instalowanie oprogramowania, dostosowano
nowe pomieszczenie do przechowywania kopii zapasowych danych przetwarzanych wsystemach informatycznych
oraz okrelono terminy testowania kopii zapasowych.
Minister Administracji iCyfryzacji wodpowiedzi nawystpienie pokontrolne poinformowa

m.in., e:
w celu przeprowadzania kontroli wpodmiotach publicznych wzakresie dziaania systemw
teleinformatycznych, prowadzenia rejestrw iwymiany informacji wpostaci elektronicznej
podjto dziaania dla pozyskania pracownika posiadajcego wymagane kwalifikacje (certyfikaty),
atake skieruje kolejnego naszkolenie/studia podyplomowe, koczce si uzyskaniem certyfikatu,
podejmie wszelkie niezbdne dziaania majce nacelu waciw realizacj zada okrelonych
wpkt6.3.1. Programu Zintegrowanej Informatyzacji Pastwa.
47
za cznik nr 1
Charakterystyka uwarunkowa oraz stanu prawnego
Interoperacyjno wjednostkach wiadczcych usugi publiczne
Zgodnie zart.13 ust.1 ustawy oinformatyzacji, podmiot publiczny uywa do realizacji zada
publicznych systemw teleinformatycznych speniajcych minimalne wymagania dla systemw
teleinformatycznych oraz zapewniajcych interoperacyjno systemw nazasadach okrelonych
wKrajowych Ramach Interoperacyjnoci. Na podstawie upowanienia zawartego wart.18
tej ustawy, rozporzdzenie KRI okrela Krajowe Ramy Interoperacyjnoci, minimalne wymagania
dla rejestrw publicznych iwymiany informacji wpostaci elektronicznej oraz minimalne wymagania
dla systemw teleinformatycznych.
Zgodnie z4 ust.1 rozporzdzenia KRI, interoperacyjno osiga si przez:
ujednolicenie, rozumiane jako zastosowanie kompatybilnych norm, standardw iprocedur
przez rne podmioty realizujce zadania publiczne, lub
wymienno, rozumian jako moliwo zastpienia produktu, procesu lub usugi bez jednoczesnego
zakcenia wymiany informacji pomidzy podmiotami realizujcymi zadania publiczne
lub pomidzy tymi podmiotami aich klientami, przy jednoczesnym spenieniu wszystkich
wymaga funkcjonalnych ipoza funkcjonalnych wsppracujcych systemw, lub
zgodno, rozumian jako przydatno produktw, procesw lub usug przeznaczonych
do wsplnego uytkowania, pod specyficznymi warunkami zapewniajcymi spenienie istotnych
wymaga iprzy braku niepodanych oddziaywa.
Zastosowanie regu okrelonych www. ust.1 zalene jest od okolicznoci wynikajcych zszacowania
ryzyka oraz zwaciwoci projektowanego systemu teleinformatycznego, jego zasigu oraz dostpnych
rozwiza narynku dostaw iusug wzakresie informatyki (4ust.2). Zastosowany przez podmiot
realizujcy zadania publiczne sposb osignicia interoperacyjnoci nie moe narusza zasady
neutralnoci technologicznej131 (4 ust.3).
Zgodnie z5 ust.1 rozporzdzenia KRI, podmioty realizujce zadania publiczne stosuj rozwizania
zzakresu interoperacyjnoci napoziomie organizacyjnym, semantycznym itechnologicznym.
Interoperacyjno napoziomie organizacyjnym osigana jest przez (5ust.2):
1) informowanie przez podmioty realizujce zadania publiczne, wsposb umoliwiajcy skuteczne
zapoznanie si, osposobie dostpu oraz zakresie uytkowym serwisw dla usug realizowanych
przez te podmioty;
2) wskazanie przez ministra waciwego do spraw informatyzacji miejsca przeznaczonego
do publikacji informacji, oktrych mowa wpkt1;
3) standaryzacj iujednolicenie procedur zuwzgldnieniem koniecznoci zapewnienia poprawnej
wsppracy podmiotw realizujcych zadania publiczne;
4) publikowanie iuaktualnianie wBiuletynie Informacji Publicznej przez podmiot realizujcy
zadania publiczne opisw procedur obowizujcych przy zaatwianiu spraw zzakresu
jego waciwoci drog elektroniczn.
131 W ustawie oinformatyzacji (art.3 pkt19) zdefiniowano znaczenie terminu zasady neutralnoci technologicznej, zgodnie
48
zktrym jest to zasada rwnego traktowania przez wadze publiczne technologii teleinformatycznych itworzenia
warunkw do ich uczciwej konkurencji, w tym zapobiegania moliwoci eliminacji technologii konkurencyjnych
przy rozbudowie imodyfikacji eksploatowanych systemw teleinformatycznych lub przy tworzeniu konkurencyjnych
produktw irozwiza.
za cznik nr 1
Interoperacyjno napoziomie semantycznym osigana jest przez (5 ust.3):
1) stosowanie struktur danych iznaczenia danych zawartych wtych strukturach, okrelonych
wniniejszym rozporzdzeniu;
2) stosowanie struktur danych iznaczenia danych zawartych wtych strukturach publikowanych
wrepozytorium interoperacyjnoci napodstawie przepisw 8 ust.3 oraz 10 ust.5,6,
11 i12 rozporzdzenia KRI;
3) stosowanie wrejestrach prowadzonych przez podmioty publiczne odwoa do rejestrw
zawierajcych dane referencyjne wzakresie niezbdnym do realizacji zada.
Interoperacyjno napoziomie technologicznym osigana jest przez (5 ust.4):
1) stosowanie minimalnych wymaga dla systemw teleinformatycznych, okrelonych wrozdziale IV
rozporzdzenia KRI;
2) stosowanie regulacji zawartych wprzepisach odrbnych, aw przypadku ich braku uwzgldnienia
postanowie odpowiednich Polskich Norm, norm midzynarodowych lub standardw uznanych
wdrodze dobrej praktyki przez organizacje midzynarodowe.
Systemy informatyczne suce realizacji zada publicznych, wmyl 8 ust.1 rozporzdzenia KRI,
powinny stosowa rozwizania oparte namodelu usugowym132.
Organizacja bezpieczestwa informacji
W myl 15 ust.1 rozporzdzenia KRI, systemy teleinformatyczne uywane przez podmioty
realizujce zadania publiczne projektuje si, wdraa oraz eksploatuje zuwzgldnieniem
ich funkcjonalnoci, niezawodnoci, uywalnoci, wydajnoci, przenoszalnoci ipielgnowalnoci,
przy zastosowaniu norm oraz uznanych wobrocie profesjonalnym standardw imetodyk.
Zarzdzanie usugami realizowanymi przez systemy teleinformatyczne ma nacelu dostarczanie
tych usug nadeklarowanym poziomie dostpnoci iodbywa si woparciu oudokumentowane
procedury (15 ust.2). Wymagania okrelone wust.1 i2 uznaje si za spenione, jeli projektowanie,
wdraanie, eksploatowanie, monitorowanie, przegldanie, utrzymanie iudoskonalanie zarzdzania
usug podmiotu realizujcego zadanie publiczne odbywaj si zuwzgldnieniem Polskich Norm:
PN-ISO/IEC 20000-1 iPN-ISO/IEC 20000-2 (15 ust.3).
Zgodnie zzacznikiem Nr2 do rozporzdzenia KRI, system teleinformatyczny uywany do realizacji
zada publicznych musi obsugiwa standardy zapewniajce dostp do zasobw informacji oraz
formaty danych okrelone wzaczniku.
Podmiot realizujcy zadania publiczne opracowuje iustanawia, wdraa ieksploatuje, monitoruje
iprzeglda oraz utrzymuje idoskonali system zarzdzania bezpieczestwem informacji
zapewniajcy poufno, dostpno iintegralno informacji zuwzgldnieniem takich atrybutw,
jak autentyczno, rozliczalno, niezaprzeczalno iniezawodno (20ust.1 rozporzdzenia KRI).
Zarzdzanie bezpieczestwem informacji realizowane jest wszczeglnoci poprzez zapewnienie
przez kierownictwo podmiotu publicznego warunkw umoliwiajcych realizacj iegzekwowanie
dziaa wymienionych 20 ust.2 rozporzdzenia KRI, wtym m.in. zapewnienie:
132 Model usugowy jest modelem architektury systemu informatycznego, wktrym dla uytkownikw zdefiniowano
stanowice odrbn cao funkcje systemu teleinformatycznego (usugi sieciowe) oraz opisano sposb korzystania
ztych funkcji.
49
za cznik nr 1
aktualizacji regulacji wewntrznych wzakresie dotyczcym zmieniajcego si otoczenia (pkt1),
utrzymywania aktualnoci inwentaryzacji sprztu ioprogramowania sucego do przetwarzania
informacji obejmujcej ich rodzaj ikonfiguracj (pkt2),
przeprowadzania okresowych analiz ryzyka utraty integralnoci, dostpnoci lub poufnoci
informacji oraz podejmowania dziaa minimalizujcych to ryzyko, stosownie do wynikw
przeprowadzonej analizy (pkt3),
podejmowania dziaa zapewniajcych, e osoby zaangaowane wproces przetwarzania
informacji posiadaj stosowne uprawnienia iuczestnicz wtym procesie wstopniu adekwatnym
do realizowanych przez nie zada oraz obowizkw majcych nacelu zapewnienie bezpieczestwa
informacji (pkt4),
bezzwocznej zmiany uprawnie wprzypadku zmiany zada (pkt5),
zapewnienia szkolenia osb zaangaowanych wproces przetwarzania informacji (pkt6),
ustanowienia podstawowych zasad gwarantujcych bezpieczn prac przy przetwarzaniu
mobilnym ipracy naodlego (pkt8),
ustalenia zasad postpowania zinformacjami, zapewniajcych minimalizacj wystpienia ryzyka
kradziey informacji irodkw przetwarzania informacji, wtym urzdze mobilnych (pkt11),
zapewnienia odpowiedniego poziomu bezpieczestwa wsystemach teleinformatycznych,
polegajcego wszczeglnoci na: minimalizowaniu ryzyka utraty informacji wwyniku
awarii, zapewnieniu bezpieczestwa plikw systemowych, kontroli zgodnoci systemw
teleinformatycznych zodpowiednimi normami ipolitykami bezpieczestwa (pkt12 lit. b, e,h),
zapewnienia okresowego audytu wewntrznego wzakresie bezpieczestwa informacji,
nie rzadziej ni raz narok (pkt14).
Zgodnie z20 ust.3 rozporzdzenia KRI, obowizki, oktrych mowa w20 ust.1 i2 uznaje si
za spenione, jeeli system zarzdzania bezpieczestwem informacji zosta opracowany
napodstawie Polskiej Normy PN-ISO/IEC27001, austanawianie zabezpiecze, zarzdzanie
ryzykiem oraz audytowanie odbywa si napodstawie Polskich Norm zwizanych zt norm, wtym:
PN-ISO/IEC 17799 w odniesieniu do ustanawiania zabezpiecze; PN-ISO/IEC 27005
w odniesieniu do zarzadzania ryzykiem; PN-ISO/IEC24762wodniesieniu do odtwarzania
techniki informatycznej po katastrofie wramach zarzdzania cigoci dziaania.
W kwestii dotyczcej zapewnienia okresowego audytu wewntrznego wzakresie bezpieczestwa
informacji, oktrym mowa w20 ust.2 pkt14 rozporzdzenia KRI, Departament Informatyzacji
MAiC oraz Departament Audytu Sektora Finansw Publicznych Ministerstwa Finansw opracoway
wsplne stanowisko wpowyszym zakresie 133. Prezentuje ono dwa sposoby wywizania si
zobowizku zapewnienia okresowego audytu wzakresie bezpieczestwa informacji. Wstanowisku
tym podano m.in., e nie naley automatycznie przypisywa zadania audytu wzakresie
bezpieczestwa informacji komrce audytu wewntrznego, oraz e punktem odniesienia
dla ustanowienia niniejszych przepisw by dla projektodawcy System Zarzdzania
Bezpieczestwem Informacji woparciu onorm PN-ISO/IEC 27001, nie za Dzia VI ustawy
zdnia 27sierpnia 2009r. ofinansach publicznych134. Wstanowisku stwierdzono, e intencj
133 rdo: strona internetowa Ministerstwa Finansw (http://www.mf.gov.pl/pl/ministerstwo-finansow/wiadomosci/
50
aktualnosci/-/asset_publisher/M1vU/content/id/3812517).

Dz.U.
z2013r., poz.885 ze zm.
134
za cznik nr 1
autorw rozporzdzenia w sprawie systemw teleinformatycznych byo zobowizanie
podmiotw realizujcych zadania publiczne do realizowania okresowego audytu wewntrznego,
bez szczegowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania.
Uwzgldniajc przepis 20ust.3 rozporzdzenia KRI, obowizek ten moe by realizowany
wjeden zdwch sposobw:
1) wpodmiotach, wktrych system zarzdzania bezpieczestwa informacji zosta opracowany
napodstawie Polskiej Normy PN-ISO/IEC 27001, wymagania okrelone w20 ust.1 i2 uznaje si
za spenionew takich podmiotach nie ma koniecznoci dokonywania dodatkowych audytw
wewntrznych, gdy audytowanie jest jednym zju funkcjonujcych elementw systemu
zarzdzania bezpieczestwa informacji okrelonym wnormach,
2) jednostki, ktre nie opracoway inie wdroyy systemu bezpieczestwa informacji, opierajc
si naPolskiej Normie PN-ISO/IEC 27001, szobowizane do zapewnienia okresowego audytu
wewntrznego wtym zakresie, nie rzadziej ni raz wroku.
W 23 rozporzdzenia KRI wskazano, e systemy teleinformatyczne podmiotw realizujcych
zadania publiczne funkcjonujce wdniu wejcia wycie rozporzdzenia KRI naley dostosowa
do wymaga okrelonych wrozdziale IVrozporzdzenia KRI (minimalne wymagania dla systemw
teleinformatycznych), nie pniej ni wdniu ich pierwszej istotnej modyfikacji przypadajcej
po wejciu wycie tego rozporzdzenia135.
Dostosowanie serwisw WWW przeznaczonych dla klienta urzdu do potrzeb osb
niepenosprawnych
Zgodnie z19 rozporzdzenia KRI, wramach dostosowania systemw prezentujcych treci
do wymaga Web Content Accessibility Guidelines (WCAG 2.0) nastpi ich dostosowanie
do potrzeb osb niepenosprawnych, uwzgldniajc poziom AA, okrelony wzaczniku nr4
do rozporzdzenia KRI. W22 rozporzdzenia KRI wskazano, i systemy teleinformatyczne
realizujce zadania publiczne funkcjonujce wdniu wejcia wycie rozporzdzenia, naley
dostosowa do wymaga okrelonych w19, nie pniej ni wterminie 3 lat od wejcia wycie KRI,
czyli do 31maja 2015r.
Zadania Ministra Administracji iCyfryzacji
W art.19b ust 1 i2 ustawa oinformatyzacji nakada naministra waciwego do spraw informatyzacji
obowizek prowadzenia wramach ePUAP centralnego repozytorium wzorw dokumentw
elektronicznych, wktrym umieszcza si, przechowuje iudostpnia wzory dokumentw. Organy
administracji publicznej przekazuj do centralnego repozytorium oraz udostpniaj wBiuletynie
Informacji Publicznej wzory dokumentw elektronicznych. Przy sporzdzaniu wzorw dokumentw
elektronicznych stosuje si midzynarodowe standardy dotyczce sporzdzania dokumentw
elektronicznych przez organy administracji publicznej, zuwzgldnieniem koniecznoci
podpisywania ich bezpiecznym podpisem elektronicznym (art.19b ust 3).
135 Przez istotn modernizacj systemu informatycznego naley rozumie modernizacj co najmniej na poziomie
10% oglnej wartoci nabycia (lub wytworzenia) systemu. Definicj tak przyjto woparciu m.in. owyjanienie Podsekretarza
Stanu w Ministerstwie Spraw Wewntrznych i Administracji przedstawione w pimie z dnia 10 sierpnia 2011r.
nrDSI-WPISI-0230-9-1/2011 wtrakcie prac legislacyjnych nad projektem rozporzdzenia KRI. Wpimie tym Podsekretarz Stanu
poda m.in., e Poprzez istotn modernizacj naley rozumie modernizacj co najmniej napoziomie 10% oglnej wartoci
systemu. Wtakiej sytuacji koszt zmiany stanowi znaczny koszt zmiany systemu. Na potrzeby niniejszej kontroli, definicja istotnej
modernizacji systemu informatycznego przedstawiona przez Podsekretarza Stanu wMSWiA zostaa ucilona przez autorw
programu kontroli jako modernizacja co najmniej napoziomie 10% wartoci nabycia (lub wytworzenia) systemu.
51
za cznik nr 1
Stosownie do art.25 ust.1 pkt3 lit.c ustawy oinformatyzacji, minister do spraw informatyzacji
dokonuje kontroli dziaania systemw teleinformatycznych, uywanych do realizacji zada
publicznych albo realizacji obowizkw wynikajcych zart.13 ust.2 tej ustawy wpodmiotach
publicznych niewymienionych w lit. a i b 136 pod wzgldem zgodnoci z minimalnymi
wymaganiami dla systemw teleinformatycznych lub minimalnymi wymaganiami dla rejestrw
publicznych iwymiany informacji wpostaci elektronicznej.
Minister Administracji iCyfryzacji, wmyl 9 rozporzdzenia KRI zapewnia realizacj publicznej
dyskusji nad rekomendacjami interoperacyjnoci, aponadto jest zobowizany do prowadzenia
repozytorium interoperacyjnoci. Dodatkowo, zgodnie z10 ust.5 ww. rozporzdzenia, Minister
Administracji iCyfryzacji publikuje wrepozytorium interoperacyjnoci naePUAP schemat XML
struktury danych icech informacyjnych obiektw.
Zgodnie z10 ust.12 rozporzdzenia KRI, organ wadzy publicznej prowadzcy rejestr publiczny
zawierajcy inne obiekty ni wymienione wust.1 tego paragrafu wnioskuje do Ministra
Administracji iCyfryzacji oopublikowanie wrepozytorium interoperacyjnoci schematu XML
struktur danych cech informacyjnych tych obiektw. Wrepozytorium interoperacyjnoci, oprcz
struktur danych, publikuje si take rekomendacje interoperacyjnoci stanowice dobre praktyki
uatwiajce osignicie interoperacyjnoci nakadym zpoziomw 137, atake zamieszcza opis
protokow istruktur wymiany danych usugi sieciowej (6 i8 ust.3 rozporzdzenia KRI).
Instrukcja kancelaryjna dla organw gminy
Zgodnie z1 ust.1 rozporzdzenia Prezesa Rady Ministrw zdnia 18stycznia 2011r. wsprawie
instrukcji kancelaryjnej, jednolitych rzeczowych wykazw akt oraz instrukcji wsprawie organizacji
izakresu dziaania archiww zakadowych, rozporzdzenie okrela m.in. instrukcj kancelaryjn
dla organw gminy. Wmyl 1 zacznika nr1 do rozporzdzenia:
czynnoci kancelaryjne swykonywane wsystemie tradycyjnym lub wsystemie Elektronicznego
Zarzdzania Dokumentacj, tzw. EZD (ust.2),
kierownik podmiotu wskazuje, ktry zsystemw wykonywania czynnoci kancelaryjnych
jest podstawowym sposobem dokumentowania przebiegu zaatwiania irozstrzygania spraw
dla danego podmiotu (ust.3),
po wskazaniu systemu EZD jako podstawowego sposobu dokumentowania przebiegu zaatwiania
irozstrzygania spraw ponowne wskazanie systemu tradycyjnego jest niedopuszczalne (ust.4),
dokonujc wyboru systemu, kierownik podmiotu moe wskaza wyjtki od podstawowego sposobu
dokumentowania przebiegu zaatwiania irozstrzygania spraw przez okrelenie klas zwykazu akt,
ktrych bd one dotyczy, oraz wskazanie, wjakim systemie bd prowadzone (ust.5).
ePUAP
Usugi elektroniczne wiadczone dla mieszkacw mog by realizowane przy wykorzystaniu
elektronicznej platformy usug ePUAP.
Zakres i warunki korzystania z elektronicznej platformy usug administracji publicznej,
wtym dotyczce: zakadania konta isposobu prowadzenia katalogu usug naePUAP oraz warunkw
wymiany informacji midzy ePUAP ainnymi systemami teleinformatycznymi zawarte zostay
136 W art.25 ust.1 pkt3 lita ib wymieniono: jednostki samorzdu terytorialnego iich zwizki oraz tworzone lub prowadzone
52
przez te jednostki samorzdowe osoby prawne iinne samorzdowe jednostki organizacyjne, podmioty publiczne podlege
lub nadzorowane przez organy administracji rzdowej.

137 organizacyjnym/semantycznym/technologicznym.
za cznik nr 1
wrozporzdzeniu Ministra Administracji iCyfryzacji zdnia 6maja 2014r. wsprawie zakresu
iwarunkw korzystania zelektronicznej platformy usug administracji publicznej, ktre weszo
wycie zdniem 11maja 2014r. Poprzednio obowizywao rozporzdzenie Ministra Spraw
Wewntrznych iAdministracji zdnia 27kwietnia 2011r. Za najistotniejsze, zpunktu widzenia
zagadnie objtych kontrol naley wskaza wymogi dotyczce informacji o usugach
elektronicznych wiadczonych przez usugodawc. Stosownie do ww. regulacji, ePUAP udostpnia
katalog usug zawierajcy informacje ousugach, wszczeglnoci: podstaw prawn, nazw
usugi, nazw usugodawcy, cel usugi, odbiorcw usugi, kategorie usugi oraz umiejscowienie
usugodawcy wedug podziau administracyjnego kraju (8rozporzdzenia ePUAP 6maja 2014r.,
poprzednio 7 ust.1 rozporzdzenia ePUAP z27kwietnia 2011r.). Podmioty publiczne do wiadczenia
usug wpostaci elektronicznej mog wykorzystywa wszczeglnoci nastpujce funkcje ePUAP:

tworzenie iobsug dokumentw elektronicznych przez osoby fizyczne ipodmioty;

przesyanie dokumentw elektronicznych;
wymian danych midzy ePUAP ainnymi systemami teleinformatycznymi;
identyfikacj uytkownikw irozliczalno ich dziaa;
weryfikacj podpisu elektronicznego;
tworzenie usug podmiotu publicznego lub kilku podmiotw publicznych wspdziaajcych
ze sob, zbudowanych woparciu odwie lub wicej usug;
obsug patnoci elektronicznych;
potwierdzanie profilu zaufanego ePUAP (9 ust.1 rozporzdzenia ePUAP z6maja 2014r.,
poprzednio 8 rozporzdzenia ePUAP z27kwietnia 2011r.).
Dostp do informacji publicznej, wtym do informacji wBIP dla osb niepenosprawnych
Zgodnie zart.54 ust.1 Konstytucji RP zdnia 2kwietnia 1997r.138, kademu zapewnia si wolno
pozyskiwania irozpowszechniania informacji. Zgodnie zart.61 Konstytucji RP, obywatel ma prawo
do uzyskiwania informacji odziaalnoci organw wadzy publicznej oraz osb penicych
funkcje publiczne. Prawo to obejmuje rwnie uzyskiwanie informacji odziaalnoci organw
samorzdu gospodarczego izawodowego, atake innych osb oraz jednostek organizacyjnych
wzakresie, wjakim wykonuj one zadania wadzy publicznej igospodaruj mieniem komunalnym
lub majtkiem Skarbu Pastwa. Prawo do uzyskiwania informacji obejmuje dostp do dokumentw
oraz wstp naposiedzenia kolegialnych organw wadzy publicznej pochodzcych zpowszechnych
wyborw, zmoliwoci rejestracji dwiku lub obrazu.
Ustawa zdnia 6wrzenia 2001r. odostpie do informacji publicznej139 okrelia (art.8) warunki
udostpniania informacji publicznych wBiuletynie Informacji Publicznej. Od dnia 1lipca 2003r.
podmioty okrelone wart.4ust.1 ustawy szobowizane do udostpnienia wBiuletynie danych
natemat ich statusu lub formy prawnej, organizacji, przedmiotu dziaalnoci ikompetencji, organw
iosb sprawujcych wnich funkcje iich kompetencji, struktury wasnociowej podmiotw wskazanych
wart.4 ust.1 pkt35 ustawy, ich majtku oraz zasad funkcjonowania. Ta ostatnia kategoria obejmuje
m.in. informacje otrybie dziaania wadz publicznych iich jednostek organizacyjnych, trybie dziaania
pastwowych osb prawnych iosb prawnych samorzdu terytorialnego wzakresie wykonywania
zada publicznych iich dziaalnoci wramach gospodarki budetowej ipozabudetowej,
138 Dz.U. Nr78, poz.483 ze zm.
139 Dz.U. z2014r., poz.782.
53
za cznik nr 1
sposobach stanowienia aktw publicznoprawnych, sposobach przyjmowania izaatwiania spraw
oraz prowadzonych rejestrach, ewidencjach, archiwach oraz sposobach izasadach udostpniania
danych wnich zawartych (art.6 ust.1 pkt2 i3 ustawy odostpie do informacji publicznej).
Szczegowe standardy ujednoliconego systemu stron BIP obejmujce struktur strony gwnej
Biuletynu, standardy struktury stron, naktrych udostpniaj informacje publiczne organy
wadzy publicznej oraz inne podmioty wykonujce zadania publiczne, zakres itryb przekazywania
ministrowi waciwemu do spraw informatyzacji przez organy wadzy publicznej oraz inne
podmioty, informacji niezbdnych do zamieszczania nastronie gwnej BIP, zostay okrelone
wrozporzdzeniu Ministra Spraw Wewntrznych iAdministracji zdnia 18stycznia 2007r. wsprawie
Biuletynu Informacji Publicznej140. Czytelno informacji dla osb niepenosprawnych wBIP
uzyskuje si poprzez spenienie wymaga zawartych w19 rozporzdzenia KRI dotyczcych
zastosowania standardu WCAG2.0.
140 Dz.U. Nr10, poz.68.
54
za cznik nr 2
Wykaz objtych kontrol jednostek, osb zajmujcych kierownicze stanowiska
odpowiedzialnych za kontrolowan dziaalno oraz ocen kontrolowanej dziaalnoci
Lp.
Nazwa jednostki
objtej kontrol
Osoby odpowiedzialne za kontrolowan dziaalno

Peniona funkcja
Imi inazwisko
Ocena
kontrolowanej
dziaalnoci141
Jednostka organizacyjna NIK przeprowadzajca kontrol Departament Administracji Publicznej

1.
Ministerstwo Administracji
iCyfryzacji
Minister
Rafa Trzaskowski
(od 3grudnia 2013r.),
wczeniej Micha Boni
2.
Urzd Miasta wMisku Mazowieckim
Burmistrz
Marcin Jakubowski
3.
Urzd Miasta Pocka
Prezydent Miasta
Andrzej Nowakowski
4.
Urzd Miejski wPruszkowie
Prezydent Miasta
Jan Starzyski
5.
Urzd Miejski wRadomiu
Prezydent Miasta
Andrzej Kosztowniak
Prezydent Miasta
Ryszard Mach do 17.07.2014r.

Od 18.07.2014r. zadania
ikompetencje Prezydenta Miasta
przej Pierwszy Zastpca
Prezydenta Miasta Wojciech Mikua
6.
Urzd Miejski wZawierciu
Jednostka organizacyjna NIK przeprowadzajca kontrol Delegatura NIK wKatowicach

7.
Urzd Miejski wDbrowie Grniczej
Prezydent Miasta
Zbigniew Podraza
8.
Urzd Miasta Mikow
Burmistrz
Marek Balcer
9.
Urzd Miejski wMysowicach
Prezydent Miasta
Edward Lasok
Jednostka organizacyjna NIK przeprowadzajca kontrol Delegatura NIK wKrakowie

10.
Urzd Miejski wAndrychowie
Burmistrz
Tomasz ak
11.
Urzd Miejski wChrzanowie
Burmistrz
Ryszard Kosowski
12.
Urzd Miasta iGminy wOlkuszu
Burmistrz
Dariusz Rzepka
13.
Urzd Miasta Nowy Targ
Burmistrz
Marek Frylewicz
14.
Urzd Miasta Leszna
Prezydent Miasta
Tomasz Malepszy
15.
Urzd Miasta Lubo
Burmistrz
Dariusz Szmyt
16.
Urzd Miejski wOstrowie Wielkopolskim
Prezydent Miasta
Jarosaw Urbaniak
17.
Urzd Miejski wremie
Burmistrz
Adam Lewandowski
Jednostka organizacyjna NIK przeprowadzajca kontrol Delegatura NIK wPoznaniu
Jednostka organizacyjna NIK przeprowadzajca kontrol Delegatura NIK we Wrocawiu

18.
Urzd Miasta Dzieroniw
Burmistrz
Marek Piorun
19.
Urzd Miejski wGogowie
Prezydent Miasta
Jan Kazimierz Zubowski
20.
Urzd Miasta Legnicy
Prezydent Miasta
Tadeusz Krzakowski
21.
Urzd Miejski wwidnicy
Prezydent Miasta
Wojciech Murdzek
Jednostka organizacyjna NIK przeprowadzajca kontrol Delegatura NIK wSzczecinie

22.
Urzd Miejski wKoszalinie
Prezydent Miasta
Piotr Jedliski
Urzd Miejski
wStargardzie Szczeciskim
Prezydent Miasta
Sawomir Pajor
24.
Urzd Miasta wSzczecinku
Burmistrz
Jerzy Hardie-Douglas
25.
Urzd Miasta winoujcie
Prezydent Miasta
Janusz murkiewicz
19
23.

141 Uyty skrt oznacza: P ocena pozytywna, O ocena opisowa. NIK zastosowaa w wystpieniach pokontrolnych
do kierownikw kontrolowanych jednostek opisow form oceny oglnej kontrolowanej dziaalnoci wtedy, gdy dziaania
lub stwierdzone nieprawidowoci w poszczeglnych obszarach objtych kontrol nie daway podstaw do oglnej
oceny pozytywnej, jak rwnie nie uzasadniay wydania oglnej oceny negatywnej.
55
za cznik nr 3
Wykaz najwaniejszych aktw prawnych dotyczcych kontrolowanej dziaalnoci
1. Ustawa zdnia 17lutego 2005r. oinformatyzacji dziaalnoci podmiotw realizujcych zadania
publiczne142.
2. Ustawa zdnia 6wrzenia 2001r. odostpie do informacji publicznej143.
3. Rozporzdzenie Rady Ministrw z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych i wymiany informacji
wpostaci elektronicznej oraz minimalnych wymaga dla systemw teleinformatycznych144.
4. Rozporzdzenie Prezesa Rady Ministrw z dnia 18 stycznia 2011 r. w sprawie instrukcji
kancelaryjnej, jednolitych rzeczowych wykazw akt oraz instrukcji w sprawie organizacji
izakresu dziaania archiww zakadowych145.
5. Rozporzdzenie Ministra Administracji iCyfryzacji z6maja 2014r. wsprawie zakresu iwarunkw
korzystania zelektronicznej platformy usug administracji publicznej146.
6. Rozporzdzenie Ministra Spraw Wewntrznych i Administracji z dnia 27 kwietnia 2011 r.
wsprawie zakresu iwarunkw korzystania zelektronicznej platformy usug administracji
publicznej147.
7. Rozporzdzenie Ministra Spraw Wewntrznych i Administracji z dnia 18 stycznia 2007 r.
wsprawie Biuletynu Informacji Publicznej148.
9101112131415
56
142 Dz. U. z 2014 r., poz. 1114.

143 Dz. U. z 2014 r., poz. 782.
144 Dz. U. z 2012 r., poz. 526 ze zm.
145 Dz. U. Nr 14, poz. 67 ze zm.
146 Dz. U. z 2014 r., poz. 584. Weszo w ycie z dniem 11 maja 2014 r.
147 Dz. U. Nr 93, poz. 546. Uchylone z dniem 11 maja 2014 r.
148 Dz. U. Nr 10, poz. 68.
za cznik nr 4
Wykaz organw, ktrym przekazano informacj owynikach kontroli
1. Prezydent Rzeczypospolitej Polskiej
2. Marszaek Sejmu Rzeczypospolitej Polskiej
3. Marszaek Senatu Rzeczypospolitej Polskiej
4. Prezes Rady Ministrw
5. Prezes Trybunau Konstytucyjnego
6. Rzecznik Praw Obywatelskich
7. Minister Administracji iCyfryzacji
8. Przewodniczcy Sejmowej Komisji Administracji iCyfryzacji
9. Przewodniczcy Sejmowej Komisji do Spraw Kontroli Pastwowej
10. Przewodniczcy Sejmowej Komisji Innowacyjnoci iNowoczesnych Technologii
11. Przewodniczcy Sejmowej Komisji Samorzdu Terytorialnego iPolityki Regionalnej
12. Przewodniczcy Sejmowej Komisji Ustawodawczej
13. Szef Kancelarii Prezydenta RP
14. Szef Kancelarii Prezesa Rady Ministrw
15. Szef Kancelarii Sejmu
16. Szef Kancelarii Senatu
57

Nik P 14 003 Systemy Teleinformatyczne

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Nik P 14 003 Systemy Teleinformatyczne

Uploaded by

Copyright:

Available Formats

KAP-4101-002-00/2014

Informacja owynikach kontroli

wdraaniE wybranych wymaga

Najwyszej Izby Kontroli jest dbao ogospodarno iskuteczno wsubie

Najwyszej Izby Kontroli jest cieszcy si powszechnym autorytetem

Wiceprezes Najwyszej Izby Kontroli

Prezes Najwyszej Izby Kontroli

Najwysza Izba Kontroli

1.1. Temat i numer kontroli 7

2. Podsumowanie wynikw kontroli....................................................................... 10

2.1. Ocena kontrolowanej dziaalnoci.................................................................................................. 10

3. Waniejsze wyniki kontroli....................................................................................... 20

3.1. Realizacja zada Ministra Administracji iCyfryzacji

3.3. Wdroenie systemu zarzdzania bezpieczestwem systemw informatycznych................. 36

Wyk az stosowanych sk rtw ipoj

rozporzdzenie Prezesa Rady Ministrw zdnia 18stycznia 2011r.

UM Urzd Miejski/Urzd Miasta

PDF format plikw sucy do prezentacji, przenoszenia idrukowania treci

Dz.U. z2014r., poz. 584.

dostpno waciwo bycia dostpnym imoliwym do wykorzystania nadanie,

wspdzielenie wsplne uytkowanie tych samych zasobw przez rne osoby

7 rdo: art.3 pkt18 ustawy oinformatyzacji.

1.1 Temat inumer kontroli

Celem administracji publicznej powinno by budowanie nowych imodernizacja istniejcych

1.3 Cel kontroli

1.4 Organizacja izakres kontroli

niewaciwego zarzdzania uprawnieniami uytkownikw wzakresie dostpu do systemw

Polityka Bezpieczestwa Informacji

rdo: Wyniki kontroli.

Biorc pod uwag, e wymagania wzakresie dostosowania sposobu prezentacji informacji

zapewniono prowadzenie repozytorium interoperacyjnoci, wktrym zamieszczono informacj

rne produkty (np.schemat XML).

W mniej ni poowie skontrolowanych urzdw (w 11 z24, tj.45,8%) podejmowano dziaania

oraz platform miejscowych, np.Pocka Platforma Teleinformatyczna e-Urzd, atake stron

rozporzdzenia ePUAP z27kwietnia 2011r.

do innych informacji przetwarzanych wurzdzie28. Kontrolowani informowali, e planowane s,

W 17 urzdach (70,8%) zorganizowano dla pracownikw szkolenia dotyczce bezpieczestwa

2.2.4.Dostosowanie sposobu prezentacji informacji przez systemy informatyczne do potrzeb

2.3 Uwagi iwnioski

4. W komunikacji urzdu z osobami niepenosprawnymi istotnego znaczenia nabiera rwnie

Burmistrzowie iPrezydenci miast powinni:

Administracji i Cyfryzacji w sprawie ustalenia regulaminu organizacyjnego Ministerstwa Administracji iCyfryzacji:

rne produkty (np.schemat XML).

Najwicej wtpliwoci podmioty zgaszay wsprawach dotyczcych przeprowadzania audytu

Natomiast wkwestii rozumienia terminu istotnej modernizacji, oktrym mowa w23

informatycznych isystemw teleinformatycznych wrozumieniu art.25 ustawy oinformatyzacji.

3) opublikowanie informacji osposobie identyfikacji osb fizycznych nieposiadajcych numeru PESEL

Naczelnik Wydziau Polityki Informatyzacji Pastwa wDI waciwy wsprawach rejestrw

3.2 Dziaania burmistrzw iprezydentw miast wzakresie dostosowania posiadanych

3.2.2.Promowanie komunikacji elektronicznej

yy W Urzdzie Miejskim wAndrychowie przeprowadzono ankiet, wktrej zawarto pytania odnoszce si

Ponadto, wwyjanieniach kontrolowani wskazywali, e przeprowadzano badania ankietowe,

3.2.3.Obieg dokumentw wurzdach

Wdwch urzdach jako podstawowy sposb dokumentowania przebiegu zaatwiania

W 18 urzdach70 (z 22, tj.w 81,8%) system tradycyjny wykonywania czynnoci kancelaryjnych

Zdaniem NIK, wykorzystywanie systemu tradycyjnego obiegu dokumentw zelementami

W pozostaych czterech 71 z 22 urzdw (18,2%), nie wprowadzano adnych elementw

W szeciu72 z18 urzdw (27,3%), wktrych pomocniczo wykorzystywano system elektronicznego

korespondencja w formie elektronicznej

rdo: Wyniki kontroli.

71 UM w: Lesznie, Nowym Targu, Pruszkowie, Szczecinku.

rdo: Wyniki kontroli.

73 Cyfrowa Maopolska to platforma informatyczna stworzona dla wojewdztwa maopolskiego.

1.1. Temat i numer kontroli 7

2. Podsumowanie wynikw kontroli....................................................................... 10

3. Waniejsze wyniki kontroli....................................................................................... 20

2.2.4.Dostosowanie sposobu prezentacji informacji przez systemy informatyczne do potrzeb