Informacja o wynikach kontroli przygotowania i produkcji dowodów osobistych

Jak wykazały wyniki kontroli NIK, w trakcie przygotowania jak i produkcji dokumentów osobistych MSWiA nie zabezpieczyło w sposób należyty interesów Skarbu Państwa i obywateli RP. Kontrola wykazała bowiem nieprawidłowości zarówno na etapie sporządzania umowy na „Utworzenie Systemu Centralnej Personalizacji Dokumentów Osobistych i ich wydawania” jak i w trakcie jej realizacji, które polegały na: - nie zapewnieniu w umowie, przejęcia przez MSWiA praw autorskich do oprogramowania[1] wykorzystywanego przy personalizacji i wydawaniu dokumentów osobistych. Uniemożliwiło to Ministerstwu dokonanie samodzielnej oceny poziomu bezpieczeństwa systemu teleinformatycznego, a także może niekorzystnie wpływać na koszty usług serwisowania tego systemu, - nie sprawowaniu przez MSWiA w sposób rzetelny, nadzoru nad wykonaniem przedmiotu umowy, w konsekwencji czego Wykonawca nie zrealizował lub zrealizował niezgodnie z umową szereg zadań mających istotny wpływ na zapewnienie sprawnego i bezpiecznego procesu personalizacji dokumentów oraz na bezpieczeństwo przetwarzanych danych osobowych obywateli. Ponadto, do realizacji umowy dopuszczono trzy firmy, które nie posiadały świadectw bezpieczeństwa przemysłowego pomimo, że realizowały zadania związane z dostępem do informacji niejawnych, stanowiących tajemnicę państwową. Przy przetwarzaniu danych osobowych w celu personalizacji dokumentów osobistych nie przestrzegano niektórych przepisów dotyczących ochrony danych osobowych, w szczególności nakładających na administratora danych (tj. MSWiA) obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. XXX Kontrolę przeprowadzono, w związku z pismem skierowanym do Prezesa NIK przez Ministra Spraw Wewnętrznych i Administracji Nr SMP-2508/03 z dnia 23 kwietnia 2003 r., w okresie od 29.05.2003 r. do 15.10.2003 r. w dwóch jednostkach, tj. w Ministerstwie Spraw Wewnętrznych i Administracji oraz w Centrum Personalizacji Dokumentów Ministerstwa Spraw Wewnętrznych i Administracji, przy czym zakres badań kontrolnych w tych jednostkach był zróżnicowany, stosownie do zakresu ich kompetencji i odpowiedzialności.. XXX Najważniejsze ustalenia kontroli · Minister Spraw Wewnętrznych i Administracji zawierając z Konsorcjum, składającym się z Drukarni Skarbowej i węgierskiej firmy Multipolaris Kft., umowę nie zagwarantował w umowie przejęcia przez Zamawiającego praw autorskich do wykonanego w ramach umowy oprogramowania dedykowanego do systemu teleinformatycznego wykorzystywanego przy personalizacji i wydawaniu dokumentów osobistych nowego wzoru, a w konsekwencji dostępu do kodów źródłowych. Zdaniem NIK może to niekorzystnie wpływać na koszty usług serwisowania tego systemu a także uniemożliwia dokonanie przez MSWiA, we własnym zakresie, oceny poziomu jego bezpieczeństwa. Ponadto, zawarte w umowie postanowienia dotyczące opłat za przesyłanie danych z urzędów gmin do CPD MSWiA za pośrednictwem sieci GSM spowodowały powstanie sporu pomiędzy Zamawiającym a Wykonawcą co do obowiązku ponoszenia kosztów związanych z teletransmisją danych. Wykonawca, który do dnia zakończenia kontroli ponosił opłaty z tego tytułu stoi na stanowisku, iż umowa nie nakłada na niego takiego obowiązku. W ocenie NIK postanowienia umowy jednoznacznie jednak wskazują na Wykonawcę, jako stronę umowy zobowiązaną do przesyłania danych, a tym samym do ponoszenia kosztów przesyłu. W związku z brakiem dostępu do kodów źródłowych NIK wnioskowała o spowodowanie przez MSWiA przeprowadzenia, przy udziale wykonawcy umowy, niezależnego audytu systemu teleinformatycznego w celu ustalenia prawidłowości wykonania tego systemu, w tym zwłaszcza w zakresie zapewnienia bezpiecznej jego eksploatacji. · W MSWiA nie sprawowano rzetelnie nadzoru nad wykonaniem umowy. W konsekwencji nie wyegzekwowano od Wykonawcy pełnego wykonania zadań określonych w umowie, pomimo że upłynęły ponad dwa lata od ostatecznego terminu ich realizacji. Zaznaczyć przy tym należy, że Wykonawca szeregu zadań nie zrealizował w ogóle lub zrealizował w sposób niezgodny z umową, co niekorzystnie wpływa na sprawne i bezpieczne personalizowanie dokumentów oraz stwarza potencjalne zagrożenia dla bezpieczeństwa eksploatowanego systemu teleinformatycznego, a tym samym pełnego bezpieczeństwa danych osobowych obywateli RP przetwarzanych w związku z wydawaniem dowodów osobistych i paszportów. Ponadto, do dnia zakończenia kontroli, MSWiA nie dokonało rozliczenia dostarczonego w ramach umowy sprzętu i oprogramowania oraz nie wprowadziło w ewidencji księgowej zapisów ilościowo-wartościowych. W związku z powyższym NIK wnioskowała o podjęcie działań w celu wyegzekwowania od Wykonawcy pełnego wykonania przedmiotu umowy a także o doprowadzenie do ostatecznego ustalenia ilości i wartości środków trwałych oraz wartości niematerialnych i prawnych dostarczonych w ramach realizacji umowy, dokonanie ich zaewidencjonowania. · W MSWiA jak i w CPD MSWiA nie zachowano niektórych istotnych wymogów określonych w przepisach dotyczących ochrony danych osobowych, w szczególności nie został zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, zbiór danych osobowych przetwarzanych w związku z personalizacją dokumentów osobistych. Ponadto stwierdzono, że jakkolwiek w MSWiA i w CPD MSWiA podjęto działania zmierzające do opracowania i wdrożenia szczególnych wymagań bezpieczeństwa systemu i sieci teleinformatycznych funkcjonujących w zakresie personalizacji dokumentów, to jednak do dnia zakończenia kontroli dokument ten nie został wdrożony do realizacji. W związku z niedopełnieniem przez MSWiA obowiązku zgłoszenia zbioru danych osobowych przetwarzanych w związku z personalizacją dokumentów osobistych do rejestracji GIODO, tj. ujawnieniem faktów uzasadniających podejrzenie popełnienia przestępstwa określonego w art. 53 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, NIK skierowała w tej sprawie zawiadomienie do Prokuratury Rejonowej Warszawa Mokotów. · Do realizacji przedmiotu umowy dopuszczono trzy firmy, które nie posiadały świadectw bezpieczeństwa przemysłowego pomimo, że realizowały zadania związane z dostępem do informacji niejawnych, stanowiących tajemnicę państwową, co stanowiło naruszenie przepisów ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych. · Szef Gabinetu Politycznego Ministra Spraw Wewnętrznych i Administracji sprawujący tę funkcję do dnia 25 maja 2003 r. naruszył art. 4 pkt 1 ustawy antykorupcyjnej w ten sposób, że w okresie od października 2002 r. do kwietnia 2003 r. był członkiem Rady Nadzorczej firmy „PolDok 2000” Sp. z o.o. – podwykonawcy umowy. -------------------------------------------------------------------------------- [1] Oprogramowanie dedykowane do systemu teleinformatycznego tzn. oprogramowanie autorskie opracowane przez Wykonawcę umowy.