Sprawozdanie z dziaÅalnoÅci NIK w 2003 roku (plik PDF)
Sprawozdanie z dziaÅalnoÅci NIK w 2003 roku (plik PDF)
Sprawozdanie z dziaÅalnoÅci NIK w 2003 roku (plik PDF)
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Tytu³ kontroli Cel Zakres<br />
Przygotowanie<br />
i produkcja dowodów<br />
osobistych<br />
Ocena zabezpieczenia interesów<br />
Skarbu Pañstwa i obywateli RP<br />
w trakcie przygotowania i produkcji<br />
dowodów osobistych nowego wzoru.<br />
Kontrolê przeprowadzono w Ministerstwie<br />
Spraw Wewnêtrznych i Administracji<br />
oraz w Centrum Personalizacji<br />
Dokumentów Ministerstwa Spraw<br />
Wewnêtrznych i Administracji.<br />
Dowody osobiste nowego wzoru wydawane s¹ na podstawie ustawy o zmianie<br />
Synteza<br />
ustawy o ewidencji ludnoœci i dowodach osobistych oraz ustawy o dzia³alnoœci gospodarczej.<br />
Do produkcji nowych dowodów osobistych (w formie karty poliwêglanowej) MSWiA wybra³o, w drodze przetargu,<br />
Konsorcjum z³o¿one z Drukarni Skarbowej i wêgierskiej firmy Multipolaris Kft. Wydawanie dowodów osobistych nale¿y<br />
do w³aœciwoœci organów gminy, do których sk³ada siê odpowiedni wniosek. Na jego podstawie sporz¹dzany jest, z zastosowaniem<br />
œrodków informatycznych, formularz bêd¹cy drukiem œcis³ego zarachowania. Zawiera on wymagane dane<br />
osobowe, które przesy³ane s¹ do Centrum Personalizacji Dokumentów MSWiA w formie dokumentu elektronicznego metod¹<br />
teletransmisji.<br />
Kontrola wykaza³a du¿¹ awaryjnoœæ tego systemu, szczególnie w pierwszych miesi¹cach jego eksploatacji, w wyniku<br />
czego okres oczekiwania na nowy dowód wynosi³ nawet 3 miesi¹ce. Wed³ug protoko³u zdawczo-odbiorczego, wykonawca<br />
zapewni³ na ustawowo okreœlony moment startu systemu – 1 stycznia 2001 r., infrastrukturê i wyposa¿enie informatyczne<br />
umo¿liwiaj¹ce jedynie wstêpne jego uruchomienie. Mimo to zamawiaj¹cy ju¿ 15 stycznia rozpocz¹³ personalizacjê dowodów.<br />
W ocenie <strong>NIK</strong>, wobec nieprzygotowania systemu, nale¿a³o podj¹æ dzia³ania zmierzaj¹ce do zmiany terminu rozpoczêcia<br />
ich wydawania.<br />
Zarówno w MSWiA, jak i w CPD MSWiA, nie zachowano istotnych wymogów wynikaj¹cych z ustawy o ochronie informacji<br />
niejawnych. Do dnia zakoñczenia kontroli nie wdro¿ono bowiem opracowanych w resorcie szczególnych wymagañ<br />
bezpieczeñstwa systemu i sieci teleinformatycznych funkcjonuj¹cych w zakresie personalizacji dokumentów (SWBS). W myœl<br />
obowi¹zuj¹cych w tym zakresie przepisów, szczególne wymagania bezpieczeñstwa systemu okreœla siê ju¿ na etapie<br />
projektowania nowego systemu (sieci teleinformatycznej), a nastêpnie uzupe³nia i rozwija wraz z jego wdra¿aniem, eksploatacj¹<br />
i modernizacj¹.<br />
<strong>NIK</strong> ujawni³a tak¿e, ¿e zbiór danych osobowych przetwarzanych w zwi¹zku z personalizacj¹ dokumentów osobistych<br />
nie zosta³ zg³oszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Rozpoczêcie przetwarzania<br />
danych osobowych bez rejestracji zbioru danych w GIODO by³o niezgodne z ustaw¹ o ochronie danych osobowych i stanowi³o<br />
wystêpek.<br />
Z ustaleñ kontroli wynika, ¿e MSWiA nie sprawowa³o nadzoru nad wykonywaniem umowy z Konsorcjum z nale¿yt¹<br />
starannoœci¹. Nie wyegzekwowano wykonania w ca³oœci zadañ w niej okreœlonych, mimo i¿ up³ynê³y ju¿ ponad 2 lata od<br />
ostatecznego terminu. Wykonawca szeregu zadañ nie zrealizowa³ w ogóle lub wykona³ w sposób niezgodny z umow¹, co<br />
niekorzystnie wp³ywa³o na sprawne i bezpieczne personalizowanie dokumentów oraz stwarza³o potencjalne zagro¿enia<br />
dla eksploatowanego systemu teleinformatycznego, a tym samym dla pe³nego bezpieczeñstwa danych osobowych obywateli,<br />
przetwarzanych w zwi¹zku z wydawaniem dowodów osobistych. Do czasu zakoñczenia kontroli nie zosta³ przekazany<br />
przez wykonawcê projekt techniczny wraz z harmonogramem realizacji przedmiotu umowy.<br />
Kontrola ujawni³a ponadto, ¿e trzy firmy wykonuj¹ce zadania wynikaj¹ce z umowy, z którymi wi¹za³ siê dostêp do<br />
informacji niejawnych stanowi¹cych tajemnicê pañstwow¹ – dotycz¹cych technologii produkcji i sposobów zabezpieczeñ<br />
dokumentów osobistych – nie posiada³y œwiadectw bezpieczeñstwa przemys³owego, potwierdzaj¹cych ich zdolnoœæ do<br />
zapewnienia ochrony przed ujawnieniem tajnych danych. Agencja Bezpieczeñstwa Wewnêtrznego nie prowadzi³a wobec<br />
nich postêpowania sprawdzaj¹cego.<br />
Wa¿niejsze wnioski<br />
– wyegzekwowanie od wykonawcy<br />
pe³nego zrealizowania umowy i zapewnienie<br />
w ten sposób prawid³owej i bezpiecznej<br />
personalizacji dokumentów<br />
osobistych;<br />
– przeprowadzenie audytu systemu<br />
teleinformatycznego, m.in. w celu<br />
ustalenia prawid³owoœci jego wykonania,<br />
zw³aszcza w zakresie zapewnienia<br />
bezpiecznej jego eksploatacji;<br />
– zg³oszenie do rejestracji G³ównego<br />
Inspektora Ochrony Danych Osobowych<br />
zbioru danych osobowych przetwarzanych<br />
w zwi¹zku z personalizacj¹<br />
dokumentów osobistych.<br />
8