NIK o wdrażaniu systemów teleinformatycznych w miastach i gminach

Tylko nieliczne miasta mogą pochwalić się e-administracją z prawdziwego zdarzenia. Większość nowych i zmodernizowanych miejskich systemów informatycznych współpracuje ze sobą w  ograniczonym zakresie. Co gorsza urzędnicy nie przykładają wystarczającej wagi do bezpieczeństwa przetwarzanych informacji. W ocenie NIK przed samorządami jeszcze dużo pracy, aby zapewnić szybką i bezpieczną wymianę informacji wewnątrz urzędu, z różnymi innymi urzędami, a przede wszystkim z obywatelami.

W ocenie Najwyższej Izby Kontroli, Polska nadal ma dużo do zrobienia w zakresie e-administracji, choć w ciągu ostatnich lat poczyniła znaczący postęp. Świadczy o tym choćby wynik badania eGovernment Benchmark, przeprowadzonego na zlecenie Komisji Europejskiej. Polska osiągnęła wskaźnik 76 proc. w zakresie dostępności online przydatnych usług publicznych (m.in. założenie własnej działalności gospodarczej, utrata i znalezienie pracy, zmiana miejsca zamieszkania) i uplasowała się w połowie stawki - na 12 miejscu wśród 28 badanych krajów. O ułamki co prawda, ale jednak wyprzedziliśmy tak rozwinięte kraje jak Francja (75 proc.), Wielka Brytania (74 proc.) oraz Niemcy (67 proc.).

Większość ze zbadanych podczas kontroli NIK systemów informatycznych, działających w urzędach w ramach e-administracji (72 z 77 tj. 93 proc.) spełniała minimalne wymogi współdziałania, określone w Krajowych Ramach Interoperacyjności. Jednak w praktyce systemy te współpracowały ze sobą w bardzo ograniczonym zakresie. Tylko 12 z nich (17 proc.) zapewniało współpracę na poziomie najbardziej zaawansowanym, co oznacza, że przekazywanie danych między systemami odbywało się w sposób automatyczny. Jedynie pięć systemów, czyli zaledwie 6 proc., bezpośrednio korzystało z danych gromadzonych w zewnętrznych bazach i rejestrach publicznych, takich jak rejestr PESEL czy też System Informacji Przestrzennej. Pozostałe systemy korzystały wyłącznie z własnych wewnętrznych zbiorów danych urzędów.

Tylko nieliczne urzędy miejskie mogły pochwalić się dużą liczbą e-usług przydatnych mieszkańcom. W większości kontrolowanych urzędów
(17 z 24) liczba świadczonych e-usług nie przekraczała 20. Aż cztery urzędy (w Lesznie, Mińsku Mazowieckim, Stargardzie Szczecińskim i Szczecinku) świadczyły tylko jedną e-usługę czyli obligatoryjną Elektroniczną Skrzynkę Podawczą. Ale są też w Polsce miasta, które na tym polu wybijają się ponad przeciętność - Dąbrowa Górnicza ma dostępne 144, a Mysłowice 111 e-usług. W Dąbrowie Górniczej przez Internet można m.in. uzyskać poradę prawną lub odpis aktu stanu cywilnego, dostać zaświadczenie o przeznaczeniu terenu w miejscowym planie zagospodarowania przestrzennego lub określenie wymiaru podatku od nieruchomości od osób prawnych, a nawet zarejestrować posiadane zwierzęta.

Niemal we wszystkich skontrolowanych urzędach (22 z 24) podstawowym sposobem dokumentowania rozpatrywanych spraw był nadal tradycyjny system papierowy. W 18 urzędach wspomagany był on na różnych etapach przez elektroniczne systemy obiegu dokumentów. W efekcie zdarzało się, że urzędnicy powielali wykonane już wcześniej czynności, gdyż informacje były gromadzone równolegle i w dokumentacji papierowej i w systemie informatycznym. Wynikało to z faktu, iż większość kontrolowanych urzędów nie przeszła jeszcze na wyłącznie elektroniczny system obiegu dokumentów. W ocenie NIK samorządowcy powinni pamiętać, że istotą wprowadzania elektronicznych obiegów dokumentów jest usprawnienie i przyśpieszenie przepływu informacji i dokumentów, przy jednoczesnej minimalizacji nakładu pracy.

NIK krytycznie ocenia ogólny stan systemów zarządzania bezpieczeństwem informacji w kontrolowanych urzędach miast. Nieprawidłowości w tym obszarze stwierdzono w aż 21 z 24 skontrolowanych urzędów. Dotyczyły one przede wszystkim:

• zarządzania uprawnieniami użytkowników w zakresie dostępu do systemów informatycznych: pracownicy dziewięciu urzędów mieli możliwość zainstalowania na komputerach dowolnego oprogramowania; w czterech urzędach pracownicy mieli uprawnienia administratora systemu, choć nie byli informatykami; zdarzały się także przypadki, że byli pracownicy nadal mieli aktywne konta w systemach informatycznych urzędów, bo zapomniano je zablokować;
• Polityki Bezpieczeństwa Informacji: w 15 z 24 kontrolowanych urzędów brakowało całościowej Polityki Bezpieczeństwa Informacji. Opracowane i wdrożone regulacje związane z zarządzeniem bezpieczeństwem informacji nie obejmowały wszystkich przetwarzanych w urzędach informacji, lecz dotyczyły głównie bezpieczeństwa  danych osobowych;
• zapisów w umowach na zakup lub serwis sprzętu komputerowego i oprogramowania: w umowach zawartych w ośmiu urzędach brakowało zapisów, które gwarantowałyby zabezpieczenie poufności informacji pozyskanych w związku z realizacją tych umów przez wykonawców.

Zdaniem NIK w dobie elektronicznej komunikacji kluczowe jest zapewnienie  bezpieczeństwa informacji przetwarzanych w systemach informatycznych użytkowanych przez samorządy. W przeciwnym razie pojawia się ryzyko nieuprawnionego ich ujawnienia, co może doprowadzić do destabilizacji pracy urzędów oraz podważyć zaufanie obywateli do organów administracji publicznej.

Minister Administracji i Cyfryzacji nie planował i nie przeprowadzał kontroli współdziałania systemów informatycznych w podmiotach publicznych. Nie przekazał również wojewodom jednolitych kryteriów dotyczących przeprowadzenia przez nich kontroli w samorządach w zakresie działania systemów teleinformatycznych oraz rejestrów publicznych. W konsekwencji tego wojewodowie mogą w ogóle nie podejmować takich kontroli ze względu na brak szczegółowych wytycznych w tym zakresie.

Kontrola NIK wykazała również, że pomimo wątpliwości zgłaszanych przez samorządy, w Ministerstwie Administracji nie wypracowano jednoznacznego stanowiska w sprawie znaczenia terminu „istotnej modernizacji” systemu informatycznego. Jest to istotne z uwagi na obowiązek  dostosowania systemów działających w poszczególnych urzędach do wymogów rozporządzenia Krajowych Ram Interoperacyjności nie później niż w dniu pierwszej istotnej modernizacji. Brak precyzyjnego określenia pojęcia „istotnej modernizacji” powoduje, że urzędnicy nie zawsze potrafią ocenić czy zakres przeprowadzanej modernizacji jest na tyle istotny, że już stwarza czy też jeszcze nie stwarza obowiązku dostosowywania systemu. W praktyce nie jest więc jasne kiedy urzędy powinny dostosowywać swoje „stare” systemy informatyczne do współpracy z innymi systemami i rejestrami. 

Ponadto kontrola NIK wykazała, że pomimo trzyletniego okresu na dostosowanie stron internetowych i Biuletynów Informacji Publicznej do potrzeb osób niepełnosprawnych, który upływa 31 maja 2015 r., w dniu zakończenia kontroli (24.10.2014 r.) w żadnym ze skontrolowanych urzędów nie dostosowano jeszcze w pełni serwisów internetowych do tych wymagań.

Celem przepisów dotyczących interoperacyjności jest stworzenie warunków do współdziałania systemów informatycznych administracji, po to, aby zapewnić szybką wymianę informacji. Wdrożenie tych przepisów powinno przyczynić się do płynniejszej pracy urzędów, w tym przede wszystkim sprawniejszego załatwiania spraw obywateli i przedsiębiorców: na odległość, w krótszym czasie, bez żądania informacji, które już są zgromadzone w elektronicznych rejestrach państwowych.

Osiągnięcie interoperacyjności, czyli współdziałania systemów nie jest jednorazowym, lecz ciągłym procesem zależnym od wielu czynników m.in. od zmian w środowisku informatycznym. Interoperacyjności nie osiąga się jednorazowo, raz na długi czas. Proces ten wymaga stałego monitorowania, przy jednoczesnym uwzględnianiu wielu czynników, m.in. stałego monitorowania zbiorów danych będących w posiadaniu urzędu lub innych instytucji publicznych, zmiany zachowań użytkowników i wprowadzania nowych programów, technologii oraz urządzeń informatycznych. Dlatego NIK skierowała wnioski pokontrolne do Ministra Administracji i Cyfryzacji o przeprowadzanie kontroli w podmiotach publicznych w zakresie działania systemów teleinformatycznych, prowadzenia rejestrów i wymiany informacji w postaci elektronicznej, a także o doprecyzowanie znaczenia terminu „istotnej modernizacji” i określenie dla wojewodów jednolitych i spójnych kryteriów kontroli systemów i rejestrów informatycznych używanych w samorządach.

Do burmistrzów i prezydentów miast Izba wnioskuje o:

• o opracowanie i wdrożenie Polityki Bezpieczeństwa Informacji oraz konsekwentne stosowanie procedur zarządzania bezpieczeństwem przetwarzanych informacji;
• o przeprowadzenie, przy zakupie nowych lub modernizacji już funkcjonujących systemów informatycznych, analizy określającej stopień współdziałania (interoperacyjności) z innymi systemami, tak by możliwe było pełne wykorzystywanie danych już zgromadzonych we własnych, a także   zewnętrznych systemach i rejestrach informatycznych;
• o wprowadzenie w urzędach systemu elektronicznego zarządzania dokumentacją jako podstawowego sposobu dokumentowania przebiegu załatwiania i rozstrzygania spraw;
• o promowanie wśród mieszkańców i przedsiębiorców korzyści płynących z elektronicznej formy komunikacji z urzędem.