Mam pytanie do pracowników nadzoru nad zasobem archiwalnym. Czy została już podjęta przez któreś Archiwum Państwowe próba kontroli warunków przechowywania i zabezpieczania dokumentów cyfrowych w podległych im instytucjach?
Zapewne w wielu podległych instytucjach są już systemy, bazy danych mające 10 lat. Czy jesteśmy gotowi na przejmowanie? Czy zostały poczynione już jakieś konkrety w tych kwestiach?
1.)ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
z dnia 30 października 2006 r.
w sprawie niezbędnych elementów struktury dokumentów elektronicznych.
2.)ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
z dnia 30 października 2006 r.
w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi.
3.)ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
z dnia 2 listopada 2006 r.
w sprawie wymagań technicznych formatów zapisu i informatycznych nośników danych,
na których utrwalono materiały archiwalne przekazywane do archiwów państwowych.
w AP Kraków w tej chwili organizujemy szkolenia dla pracowników nadzoru i ustalamy wspólne zasady postępowania, trochę późno ale cóż... Przy okazji pojawiają się coraz to nowe pytania ;)
Natomiast na ostatnim szkoleniu dla nadzoru w Warszawie zgłosiliśmy listę pytań tj.:
1. Rozporządzenie w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi mówi o konieczności "opracowania i aktualizowania szczegółowych procedur przechowywania w czasie nie krótszym niż 10 lat, z uwzględnieniem bieżącego stanu wiedzy i technologii" - jak to realizować w praktyce? Czy są gdzieś takie procedury przykładowe? Czy NDAP ma taką? Czy można ją skopiować?
2. Co z dokumentami elektronicznymi wytworzonymi poza systemami teleinformatycznymi np. stare bazy danych? Jak je archiwizować? Praktyczne rozwiązania...
3. Z kim kontaktować się maja podmioty chcące sprawdzić czy ich system potrafi przekazać dokumenty do ADE (Archiwum Dokumentów Elektronicznych).
4. W rozporządzeniu w sprawie szczegółowego postępowania z dokumentami elektronicznymi mowa jest o przygotowaniu materiałów do przekazania do ADE oraz informacja, że format i sposób przekazania wskazuje właściwy dyrektor AP - gdzie są wytyczne? Czy tylko to co na stronie ADE? Czy sa przewidziane jakieś szkolenia dla pracowników w tym zakresie?
5. Co z obowiązkiem posiadania systemu teleinformatycznego w jednostkach publicznych? Archiwa nie maja na to środków. Koszt np. dla APKr został przez potencjalnych dostawców wyliczony na kwotę między 100 a 250 tyś. zł....
6. Co z instrukcją kancelaryjną uwzględniającą obieg? To w nawiązaniu do pyt. 5 :)
i nasz pracownik usłyszał tylko:
"najpierw były samochody a potem kodeks drogowy". Mam wrażenie, że od administracji wymaga się innego sposobu działania ale to moje zdanie.
Chętnie natomiast usłyszę zdanie innych.
Co do Twojego pytania: nie nie jesteśmy gotowi. Najczęściej pytania dotyczą systemów nowszych i zasad przekazywania dokumentacji określonych w rozporządzeniach i wtedy odsyłamy do ADE/NAC...
Ja już brałem udział w trzech kontrolach z ramienia mojego AP wraz z oddziałem nadzoru. Celem kontroli było ustalenie czy w kontrolowanej instytucji dokumenty elektroniczne są ewidencjonowane, przechowywane, klasyfikowane i kwalifikowane oraz zabezpieczone przed utratą i nieuprawnionymi zmianami zgodnie z obowiązującymi przepisami. Już mam pewien obraz z jakimi problemami można się spotkać podczas takiej kontroli.
Chętnie zapoznam się z materiałami z ostatniego szkolenia o którym była mowa.
Tak sobie pomyślałem jakby to było gdybyśmy zaczęli otrzymywać zapisy cyfrowe na "starożytnych" nośnikach danych.
Poniżej parę przykładów z mojej prywatnej kolekcji :)
(http://www.lublin.ap.gov.pl/gsgalezowski/DSCF7626%20(Large).JPG)
(http://www.lublin.ap.gov.pl/gsgalezowski/DSCF7627%20(Large).JPG)
(http://www.lublin.ap.gov.pl/gsgalezowski/DSCF7632%20(Large).JPG)
(http://www.lublin.ap.gov.pl/gsgalezowski/DSCF7634%20(Large).JPG)
(http://www.lublin.ap.gov.pl/gsgalezowski/DSCF7636%20(Large).JPG)
Dobrze że materiały analogowe sprawiają zdecydowanie mniej problemu.
(http://www.lublin.ap.gov.pl/gsgalezowski/DSCF7630%20(Large).JPG)
Oczywiście same nośniki to nie najważniejszy problem. Cieszę się że już coś się zaczęło dziać w tym temacie.
Zapraszam do obejrzenia tego materiału filmowego:
http://www.youtube.com/watch?v=yRlZRH2XnJA
Chciałabym dosyć przekornie odpowiedzieć na post Grzegorza.
Skoro nie jesteśmy przygotowani, to z czego i na jaki temat są szkoleni pracownicy nadzoru w AP Kraków? Czy tylko z teorii? A może znają już odpowiedź na postawione pytania? A może chodzi o to Grzegorzowi, że nikt nie przygotował gotowych rozwiązań, nie wziął za to odpowiedzialności i nie kazał wdrażać tego archiwom.
Ja też byłam na tym szkoleniu dla nadzoru i o ile pamiętam to w pierwszym dniu były pokazywane różnorodne systemy do zarządzania dokumentacją elektroniczną w urzędach. Były też szkolenia z ADE w latach wcześniejszych. Na stronie Naczelnej Dyrekcji i na ePUAP jest projekt schematu zarządzania dokumentacją w elektronicznym systemie zarządzania dokumentacją. Czy to oznacza, że nic się nie dzieje w archiwach państwowych? A może nikt nie chce uczestniczyć w tych pracach w sposób aktywny?
Aha, pierwszy raz słyszę, że w instytucjach publicznych jest obowiązek posiadania systemu EZD...
Witam
Cytat: Grzegorz Gałęzowski
Ja już brałem udział w trzech kontrolach z ramienia mojego AP wraz z oddziałem nadzoru.
To interesujące rozwiązanie - ciekawe czy powszechnie stosowane a archiwach? Pewnie jest z tym problem, bo nie każde archiwum ma w swoim zespole informatyka. Można się więc zastanawiać, czy w tę stronę należy iść - tzn. czy zatrudniać w oddziałach nadzoru informatyków, czy może jednak pracować nad poszerzeniem kompetencji pracowników nadzoru w tym zakresie?
Ciekaw jestem czy gdzieś były jeszcze przeprowadzone takie kontrole?
Na czym ma polegać zwiększenie kompetencji nadzoru? Czy chodzi o to by mieli możliwość przeprowadzania audytu informatycznego? Czy gdy będą już mieli zwiększone kompetencje to już będą mogli bez problemu przeprowadzać kontrolę?
Czy poradzą sobie w ocenie bezpieczeństwa przechowywanych zbiorów cyfrowych? W jaki sposób dokonają rozeznania z czym mają do czynienia? Czy na podstawie dostarczonych im przez kontrolowany podmiot dokumentów, czy może uwierzą na słowo podczas wywiadu? Czy podczas kontroli będą musieli rozmawiać z informatykami? Jeżeli tak to czy będą na tyle przygotowani by się nie dali zmanipulować? Wszystko zależy jak ma wyglądać taka kontrola. Nie będę może na razie mnożył więcej pytań. Sprawa takiej kontroli nie jest prosta. Ze swojego doświadczenia powiem, że często trzeba pomagać kontrolowanym podmiotom by potrafiły zrozumieć czego się od nich wymaga. A nawet w jaki sposób mają zebrać informacje, których potrzebujemy.
Według mnie najpierw muszą być przygotowane odpowiednie przepisy. W chwili obecnej to co mamy nie jest wystarczające. Teraz taka kontrola, wygląda tak że najpierw jest przepychanka prawna. Następnie podmiot kontrolowany robi wszystko aby do takiej kontroli nie doszło. Pojawiają się niejasności w różnych kwestiach i definicjach, np. co rozumiemy pod pojęciem bazy danych, lub jak chcemy poznać strukturę bazy danych, jak sprawdzić zabezpieczenia itd.
Obie strony powinny mieć wszystko jasno zdefiniowane, by nie było zbyt wiele nieporozumień i zdziwień.
Następna kwestia to edukacja. Wydaje mi się że nie będzie możliwe wyszkolenie w zakresie informatycznym wszystkich pracowników przeprowadzających kontrole. Wszystko jeszcze zależy jak dokładnie będą musieli przeprowadzać taką kontrolę. Może rozwiązaniem będzie utworzenie komórki doradczej, która by doradzała i pomagała w przeprowadzaniu tego typu kontroli.
Edukacja musi także dotyczyć podmiotów kontrolowanych. Często będzie występowała sytuacja, że podmiot kontrolowany nie będzie miał opracowanej żadnej polityki w zakresie zabezpieczania zasobów cyfrowych. Wtedy nasze instytucje mogłyby pomagać w opracowaniu takiej polityki. Archiwa nie powinny być odbierane podczas kontroli jako zagrożenie. Może raczej jako instytucja, która chce pomagać.
Archiwa powinny opracować także zasady długotrwałego przechowywania zasobów cyfrowych. Powinno to być powiązane z systemem http://ade.ap.gov.pl/ lub innym jeżeli taki powstanie. Archiwa Państwowe powinny wytyczać standardy w zakresie archiwizacji w tym także tej cyfrowej.
Nośnik informatyczny będący na skraju dwóch światów cyfrowego i analogowego:
(http://www.lublin.ap.gov.pl/gsgalezowski/DSCF7665%20(Large).JPG)
5. Co z obowiązkiem posiadania systemu teleinformatycznego w jednostkach publicznych? Archiwa nie maja na to środków. Koszt np. dla APKr został przez potencjalnych dostawców wyliczony na kwotę między 100 a 250 tyś. zł....
Odnośnie tego punktu poczyniłem pewne przygotowania. Aby AP nie musiały się kłopotać o to że nie mają środków na taki system. W tej chwili nie będą niczego więcej pisał na ten temat, bo nie chcę obiecywać przed ukończeniem pewnych prac.
CytatAha, pierwszy raz słyszę, że w instytucjach publicznych jest obowiązek posiadania systemu EZD...
Pewnie, nie wprost ale moim zdanie wynika to m. in. z art 63 kpa par. 1. Skoro bowiem podanie do urzędu może być wnoszone drogą elektroniczną, a urząd na podstawie Rozrządzenia w sprawie sporządzania i doręczania pism w formie dokumentów elektronicznych par. 5 pkt. 4, który określa obowiązek: "Organ administracji publicznej przechowuje otrzymane i potwierdzone urzędowe poświadczenia odbioru przez co najmniej taki okres, przez jaki obowiązany jest przechowywać pismo, którego dotyczy to poświadczenie" - to jeśli takie potwierdzenie i sam dokument są dokumentami elektronicznymi to jak je przechowywać? Wcześniej rozporządzenie mówi także jak je sporządzać (par. 3, pkt 1) "sporządza się w strukturach fizycznych dokumentów elektronicznych'. Skoro więc już mamy dokumenty elektroniczne to Rozporządzenie w sprawie szczegółowego postępowania z dokumentami elektronicznymi par. 6 mówi: "Postępowanie z dokumentami ewidencjonowanymi i metadanymi prowadzi się przy użyciu systemu teleinformatycznego" - ze szczegółowych przepisów jasno wynika że ma to być specjalistyczny system o funkcjonalnościach, które daje wyłącznie system EOD... Pewnie można to inaczej interpretować, szukać dziury w całym, udawać, ze nas to nie dotyczy ale wydaje się, że prawda jest inna...
A czy my rozmawiamy o konkretnych sytuacjach, które miały już miejsce w archiwach państwowych (tj. otrzymany dokument elektroniczny i wysłane UPO)? Czy tylko o tym co by było gdyby taki dokument przyszedł do archiwów.
Nie trzeba ani szukać dziury w całym, ani udawać że nas to nie dotyczy... myślę, że po prostu trzeba się orientować w obowiązującym stanie prawnym, jak i w tym co jest projektowane (nawet gdy postępowanie jest elektroniczne a strona nie odbierze dokumentu w terminie to trzeba przejść na postępowanie papierowe; można też drukować dokument elektroniczny i go uwierzytelniać (choć brzmi to dziwacznie, tak wynika z przepisów prawa).
Nie zmienia to faktu, że nie można wiecznie narzekać, tylko trzeba coś zaproponować.
Trzeba też pamiętać, że kwestie wdrażania EZD (a nie EOD, bo trudno mówić o obiegu, gdy mamy do czynienia z dokumentem elektronicznym w systemie teleinformatycznym) to poważne wyzwanie dla każdej instytucji zarówno organizacyjne, jak i finansowe, o czym świadczyły prezentacje urzędów na seminarium w Naczelnej Dyrekcji. Czy naprawdę trzeba aż wdrażać EZD w archiwach państwowych, by narazie móc zarządzać kilkoma dokumentami elektronicznymi (o ile takie są)? Czy naprawdę stać na to archiwa i finansowo i kadrowo? A może warto wykorzystać Archiwum Dokumentów Elektronicznych jako swoiste repozytorium dla tych nielicznych dokumentów elektronicznych?
W pełni się z Panią zgadzam. Należy jak najszybciej doprowadzić do uruchomienia ADE w nowej lokalizacji, by można było rozpocząć testy na szeroką skalę.
Witam
Cytat: Ewa33A może warto wykorzystać Archiwum Dokumentów Elektronicznych jako swoiste repozytorium dla tych nielicznych dokumentów elektronicznych?
ADE zostało zaprojektowane do przechowywania materiałów archiwalnych w postaci cyfrowej. Jego funkcjonalności przewidują gromadzenie paczek archiwalnych. Raczej nie jest to więc miejsce na przechowywania (jak rozumiem: tymczasowe) dokumentów elektronicznych, które trafić mogłyby na ESP. Bo rzeczywiście problem jest. Zastanawiam się czy najlepszym rozwiązaniem byłby centralny zakup EZD dla wszystkich archiwów? Może wtedy udałoby się uzyskać rozsądną cenę?
Ale wracając do sedna tego wątku:
Cytat: Grzegorz GałęzowskiNa czym ma polegać zwiększenie kompetencji nadzoru? Czy chodzi o to by mieli możliwość przeprowadzania audytu informatycznego? Czy gdy będą już mieli zwiększone kompetencje to już będą mogli bez problemu przeprowadzać kontrolę?
Czy poradzą sobie w ocenie bezpieczeństwa przechowywanych zbiorów cyfrowych? W jaki sposób dokonają rozeznania z czym mają do czynienia? Czy na podstawie dostarczonych im przez kontrolowany podmiot dokumentów, czy może uwierzą na słowo podczas wywiadu? Czy podczas kontroli będą musieli rozmawiać z informatykami? Jeżeli tak to czy będą na tyle przygotowani by się nie dali zmanipulować?
Powyższe pytania Grzegorz podsumował - i słusznie - stwierdzeniem, że musimy najpierw odpowiedzieć sobie na pytanie jak ma wyglądać i czego ma dotyczyć kontrola w podmiocie stosującym system teleinformatyczny. Z tego co widać po tym wątku AP Lublin jest jedynym, w którym w kontroli uczestniczył informatyk. Może zechciałbyś Grzegorzu w kilku słowach przedstawić Forumowiczom co było przedmiotem tej części kontroli, którą Ty prowadziłeś?
Celem kontroli było ustalenie czy w danej instytucji dokumenty elektroniczne są ewidencjonowane, przechowywane, klasyfikowane i kwalifikowane oraz zabezpieczone przed utratą i nieuprawnionymi zmianami zgodnie z obowiązującymi przepisami, szczególnie zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 30 października 2006 r. w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi (Dz. U. Nr 206, poz. 1518). A także czy istniejący w podmiocie kontrolowanym system teleinformatyczny spełnia minimalne wymagania określone w rozporządzeniu Rady Ministrów z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz. U. Nr 212, poz. 1766). Dodatkowo zostało wykonane rozpoznanie infrastruktury sprzętowej.
Tak bardziej konkretnie. Interesowały mnie takie elementy jak:
-bazy danych (silniki bazodanowe, struktura baz, klasyfikacja archiwalna, zajmowana powierzchnia, archiwizacja/backup, zabezpieczenia techniczne, kontrola dostępu, kto odpowiada za poszczególne elementy itd.),
-ewidencja dokumentów elektronicznych (podobnie jak powyżej),
-strony Internetowe danej instytucji i BIP (podobnie jak powyżej),
-funkcjonowanie wyspecjalizowanych systemów teleinformatycznych,
-polityka bezpieczeństwa danych,
-instrastruktura sprzętowa.
Od strony czysto technicznej interesowały mnie także takie informacje:
1. Polityka podziału kont administratorów, użytkowników i programistów (przydzielanie odpowiednich uprawnień zgodnie z wymaganiami instytucji):
-Zabezpieczenia uprawnień i haseł związanych z kontem administratora.
-Czy wszystkie konta użytkowników są zabezpieczone hasłami, oraz czy zostały stworzone procedury informowania pracowników o niebezpieczeństwach związanych z używaniem wspólnych haseł i kont?
-Czy wykorzystywane są narzędzia kontrolne do monitorowania aktywności użytkowników lub ewentualnie czy zostały stworzone własne procedury kontrolne w przypadku gdy procedury dostarczone przez producenta oprogramowania nie są dostatecznie szczegółowe?
2. Czy zostały opracowane metody zabezpieczania baz danych przed nieautoryzowanym wprowadzaniem zmian jej obiektów przez opracowanie dokumentów oraz zarządzanie procedurami detekcyjnymi?
3. Jakie są stosowane w używanych bazach:
-Uprawnienia
-Przywileje
-Role
-Synonimy (czyli skróty dla nazw tabel, widoków, procedur itd.)
-Perspektywy (łączenie kilku tabel dla ukrycia prawdziwych nazw tabel)
-Warto zwrócić także uwagę na bufor zwracanych zapytań
4. Czy używana jest VPD czyli Virtual Private Database (dotyczy niektórych silników db)?
5. Czy są używane takie procedury jak:
-obserwowanie logowania (audit session)
-obserwowanie działań (audit role)
-obserwowanie obiektów manipulowania na danych
-ochrona zapisu obserwacji
- szyfrowanie i deszyfrowania przechowywanych informacji w bazie danych
-administrowanie zasadami bezpieczeństwa?
6. Czy następuje filtracja na następujących kryteriach:
-nazwy hostów lub adresów IP,
-nazwy docelowych usług baz danych,
Backup bazy.
1. Czy tworzone są kopie zapasowe?
2. Czy tworzone są zwielokrotnione kopie baz danych (replikacje)?
Żeby nie komplikować można by opracować ankietę, w której byłaby prośba o podanie:
- nazwy baz danych,
- ich krótkie opisy (jakie dane są w niej gromadzone),
- kto jest jej właścicielem (czy jest to baza własna instytucji czy baza
przekazana lub udostępniona do przetwarzania),
- jej symbol klasyfikacyjny RWA,
- jej kwalifikacja archiwalna,
- jej wielkości ? w przestrzeni dyskowej oraz w liczbie rekordów
(jeżeli to jest tylko możliwe),
- formatów przechowywanych w niej danych,
- sposobu jej zabezpieczenia przed utratą danych (tworzenie kopii
zapasowych - backupów, pełnych lub przyrostowych, w jakich cyklach),
- sposobu jej archiwizowania (chodzi o to, czy były wykonywane i są
przechowywane kopie bazy lub jej zawartości z lat ubiegłych, z jaką
częstotliwością, na jakich nośnikach).
Mam nadzieję że niczego nie pominąłem. Jak coś sobie jeszcze przypomnę to napiszę.
Grzegorzu,
czy wszystkie te ustalenia, o których napisałeś, zostały przez Ciebie umieszczone w protokole kontroli?
Drugie pytanie, czy Twoja kontrola była przeprowadzana w ramach kontroli ogólnej, czy też zarządzono kontrolę problemową której jak sam napisałeś
CytatCelem kontroli było ustalenie czy w danej instytucji dokumenty elektroniczne są ewidencjonowane, przechowywane, klasyfikowane i kwalifikowane oraz zabezpieczone przed utratą i nieuprawnionymi zmianami zgodnie z obowiązującymi przepisami, szczególnie zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 30 października 2006 r. w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi (Dz. U. Nr 206, poz. 1518). A także czy istniejący w podmiocie kontrolowanym system teleinformatyczny spełnia minimalne wymagania określone w rozporządzeniu Rady Ministrów z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz. U. Nr 212, poz. 1766). Dodatkowo zostało wykonane rozpoznanie infrastruktury sprzętowej.
Kontrola została przeprowadzona w ramach kontroli ogólnej podmiotu, sporządzono odrębny protokół dotyczący
systemu teleinformatycznego, formularz został nieco zmieniony w porównaniu z formularzem wprowadzonym przez NDAP
dla kontroli ogólnych.
Dziękuję za odpowiedź,
pytania stąd, że była to chyba pierwsza, na taką skalę,przeprowadzona kontrola, z uwzględnieniem tylu zagadnień. Podczas przeprowadzanych przeze mnie kontroli wiele razy opisywałem funkcjonalności różnych baz danych, ale nigdy z taką dokładnością, jak tak przytoczona przez Ciebie. Sądzę, że teraz wszyscy będziemy wiedzieć na co również warto zwrócić uwagę, choć jak słyszałem od informatyka, mogą być chyba problemy z uzyskaniem tak szczegółowych informacji, ale najpierw trzeba spróbować.
Jeszcze raz dziękuję i pozdrawiam
Zgadzam się z tym informatykiem. Trudno jest uzyskać tak szczegółowe informacje.
Ze względu na to że nie tylko archiwiści interesują się tym tematem, postanowiłem umieścić tutaj jeszcze prawne aspekty przechowywania danych.
Jeżeli gdzieś są jakieś błędy proszę mnie poprawić.
Wśród międzynarodowych norm regulujących te zagadnienia ważny jest standard ISO 15489:2001 Information and Documentation - Records Management.
Informacje podlegające archiwizacji są kategoryzowane. Informacje należące do kategorii A, znajdujące się w archiwach państwowych, są przeznaczone do wieczystego przechowywania. Do dokumentów tej kategorii należą materiały archiwalne jednostek państwowych i samorządowych, takie jak statuty, zarządzenia wewnętrzne, bilanse. Do kategorii B należy dokumentacja nierachiwalna niszczona po określonym czasie, na przykład listy płac. Do 1991 roku listy płac przechowywano przez 12 lat (kategoria B 12). Okres przechowywania był zdefiniowany w rzeczowym wykazie akt załączonym do rozporządzenia Ministra Nauki, Szkolnictwa Wyższego i Techniki z 25 lipca 1984 roku w sprawie zasad klasyfikowania i kwalifikowania dokumentacji oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych (Dz. U. nr 41, poz. 216).
Zgodnie z Ustawą z 17 października 1991 roku o rewaloryzacji emerytur i rent (Dz. U. nr 104, poz. 450) dokumentacji płacowej powstałej po 1980 roku nie należy niszczyć. Okres przechowywania akt płacowych precyzuje Komunikat ZUS (Ses-077-18/99) z 10 listopada 1999 roku w sprawie dokumentowania okresów zatrudnienia i wysokości wynagrodzeń.
Zasady przechowywania danych osobowych są określone w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 roku dotyczącym warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 1998 r. nr 80, poz. 521). W § 12 tego rozporządzenia zapisano:
1. Kopie awaryjne, o których mowa w § 11 ust. 2 pkt. 4, nie powinny być przechowywane w tych samych pomieszczeniach, w których przechowane są zbiory danych osobowych eksploatowane na bieżąco.
2. Kopie awaryjne należy:
1.) okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia danych w przypadku awarii systemu,
2.) bezzwłocznie usuwać po ustaniu ich użyteczności.
Przechowywanie materiałów archiwalnych
Wymagania związane z przechowywaniem materiałów archiwalnych są określone w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 2 listopada 2006 roku w sprawie wymagań technicznych formatów zapisu i informatycznych nośników danych, na których utrwalono materiały archiwalne przekazywane do archiwów państwowych (Dz. U. z 2006 r., nr 206, poz. 1519).
W § 2 rozporządzeniu zapisano:
1. Informatyczny nośnik danych powinien być:
1) oznakowany w sposób pozwalający na jednoznaczną identyfikację,
2) przystosowany do przenoszenia pomiędzy urządzeniami odczytującymi,
3) dostosowany do przechowywania w temperaturze 18-22 stopni C przy wilgotności względnej 40-50%.
2. Informatyczny nośnik danych powinien zapewniać możliwość wiernego odczytywania danych w urządzeniach produkowanych przez różnych producentów, właściwych dla danego typu nośnika.
Zgodnie z rozporządzeniem (§4) materiały archiwalne przechowuje się w postaci niezaszyfrowanej. Ponadto w rozporządzeniu są określone wymagania dotyczące dodatkowych informacji, jakie muszą być przekazywane wraz z nośnikiem danych (§ 5):
1. Informatyczny nośnik danych przekazuje się wraz z informacją zawierającą:
1) nazwę podmiotu przekazującego;
2) tytuł zwięźle określający zawartość nośnika;
3) datę wykonania zapisu na nośniku;
4) informację o tym, czy dane stanowią informacje chronione ustawą, a w szczególności klauzulę tajności;
5) wskazanie oprogramowania i urządzeń użytych do wykonania zapisu.
2. Informacja, o której mowa w ust. 1, powinna być w sposób niebudzący wątpliwości przyporządkowana do oznaczenia nośnika.
Przechowywanie ksiąg rachunkowych
Zasady przechowywani ksiąg rachunkowych są określone w Ustawie z dnia 29 września 1994 roku o rachunkowości (Dz. U. z 1994 r. nr 121, poz. 591). Rozdział 8 tej Ustawy, zatytułowany Ochrona danych, zawiera m.in. następujące artykuły:
Art. 71.
1. Dokumentację (...) należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem.
2. Przy prowadzeniu ksiąg rachunkowych przy użyciu komputera ochrona danych powinna polegać na stosowaniu odpornych na zagrożenia nośników danych, na doborze stosowanych środków ochrony zewnętrznej, na systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na nośnikach komputerowych, pod warunkiem zapewnienia trwałości zapisu informacji systemu rachunkowości, przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, oraz na zapewnieniu ochrony programów komputerowych i danych systemu informatycznego rachunkowości poprzez stosowanie odpowiednich rozwiązań programowych i organizacyjnych chroniących przed nieupoważnionym dostępem lub zniszczeniem.
Art. 73.
(...)
3. (...) treść dowodów księgowych może być przeniesiona na nośniki danych pozwalające zachować w trwałej postaci zawartość dowodów. Warunkiem stosowania tej metody przechowywania danych jest posiadanie urządzeń pozwalających na odtworzenie dowodów w postaci wydruku, o ile inne przepisy nie stanowią inaczej.
Art. 74.
1. Zatwierdzone roczne sprawozdania finansowe podlegają trwałemu przechowywaniu.
2. Pozostałe zbiory przechowuje się co najmniej przez okres:
1. księgi rachunkowe - 5 lat,
2. karty wynagrodzeń pracowników bądź ich odpowiedniki ? przez okres wymaganego dostępu do tych informacji, wynikający z przepisów emerytalnych, rentowych oraz podatkowych, nie krócej jednak niż 5 lat,
3. dowody księgowe dotyczące wpływów ze sprzedaży detalicznej - do dnia zatwierdzenia sprawozdania finansowego za dany rok obrotowy, nie krócej jednak niż do dnia rozliczenia osób, którym powierzono składniki aktywów objęte sprzedażą detaliczną.,
4. dowody księgowe dotyczące wieloletnich inwestycji rozpoczętych, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym - przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.
5. dokumentację przyjętego sposobu prowadzenia rachunkowości ? przez okres nie krótszy niż 5 lat od upływu jej ważności.
6. dokumenty dotyczące rękojmi i reklamacji - 1 rok po terminie upływu rękojmi lub rozliczeniu reklamacji,
7. dokumenty inwentaryzacyjne - 5 lat,
8. pozostałe dowody księgowe i dokumenty - 5 lat.
3. Okresy przechowywania ustalone w ust. 2 oblicza się od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą.
Przechowywanie akt sądowych
W rozporządzeniu (Dz. U. nr 46, poz. 443) ustalono okresy przechowywania akt sądowych. Zgodnie z rozporządzeniem akta dzieli się na dwie grupy: A i B, w zależności od kategorii spraw. Do kategorii A zalicza się m.in. sprawy karne (przestępstwa przeciwko pokojowi, ludzkości i wojenne, przeciwko Rzeczypospolitej Polskiej, przeciwko wolności sumienia, zbrodnie wojenne, odszkodowania za niesłuszne skazanie czy aresztowanie), wykroczeniowe (jeżeli sąd przekazał zagadnienie prawne do Sądu Najwyższego), cywilne i gospodarcze (ochrona praw autorskich czy rejestr przedsiębiorców). Pozostałe sprawy należą do kategorii B.
Kategorię A, np. sprawy karne, w których wymierzono dożywocie lub 25 lat - 50 lat, tam gdzie 5 lat więzienia - 30 lat.
Pierwsze, po okresie przechowywania w sądzie, są przekazywane do właściwego archiwum państwowego, drugie są niszczone.
Przechowywanie danych związanych z usługami certyfikacyjnymi i bankowymi
Ogólne zasady przechowywania tego typu danych, które są związane z funkcjonowaniem systemów podpisu cyfrowego, są podane w ustawie o podpisie elektronicznym (Dz. U. z 2001 r., nr130, poz. 1450). Zgodnie z tym podmioty świadczące usługi certyfikacyjne muszą bezpiecznie przechowywać i archiwizować dokumenty i dane w postaci elektronicznej. Nie dotyczy to danych, które służą do składowania podpisu elektronicznego. W artykule 13 p. 2 zapisano, że dla podmiotów kwalifikowanych czas trwania obowiązku przechowywania danych i dokumentów jest określony na 20 lat.
Bardziej dokładne informacje znajdziemy w Rozporządzeniu Rady Ministrów z dnia 25 lutego 2003 roku w sprawie zasad tworzenia, utrwalania, przechowywania i zabezpieczania, w tym zastosowaniu podpisu elektronicznego, dokumentów bankowych sporządzanych na elektronicznych nośnikach informacji (Dz. U. z 2003 r., nr 193, poz. 1889).
Przechowywanie dokumentów związanych z obrotem instrumentami finansowymi
Rozporządzenie Ministra Finansów z dnia 2 grudnia 2005 w sprawie postępowania z dokumentami związanymi z dokonywaniem niektórych czynności regulowanych ustawą o obrocie instrumentami finansowymi (Dz. U. z 2005 r., nr 242, poz. 2041) jest określony sposób przechowywania i zabezpieczania na elektronicznych nośnikach informacji dokumentów związanych z dokonywaniem czynności dotyczących obrotu papierami wartościowymi lub innymi instrumentami finansowymi, lub innych czynności wykonywanych w ramach działalności podmiotów w obszarze regulowanym ustawą o obrocie instrumentami finansowymi.
Wspomniałem o polityce bezpieczeństwa. Zgodnie z polską normą Wytyczne do zarządzania bezpieczeństwem systemów informatycznych "polityka bezpieczeństwa instytucji w dziedzinie systemów informatycznych to zasady, zarządzania i procedury, które określają, jak zasoby - włącznie z informacjami wrażliwymi - są zarządzane, chronione i dystrybuowane w instytucji i jej systemach informatycznych" (PN 13335, 1999).
Polityka bezpieczeństwa powinna polegać na przekazaniu wszystkich informacji niezbędnych do podejmowania właściwych decyzji dotyczących bezpieczeństwa.
No i wszystko pięknie! A teraz proszę uprzejmie o podanie podstawy prawnej tak szczegółowej kontroli, którą przeprowadził Pan Grzegorz i która tak zachwyciła luke...
NIKodem
Zapomniałem jeszcze przedstawić fragment Rozporządzenia Rady Ministrów z dnia 25 lutego 2003 roku w sprawie zasad tworzenia, utrwalania, przechowywania i zabezpieczania, w tym przy zastosowaniu podpisu elektronicznego, dokumentów bankowych sporządzony na elektronicznych nośnikach informacji. W § 6 zapisano:
1. Przechowywanie dokumentu związanego z określoną czynnością bankową nie może być krótsze od okresu określonego w odrębnych przepisach.
2. Jeżeli okres trwałości zapisu na elektronicznym nośniku informacji, określony przez producenta tego nośnika, jest krótszy od wymaganego okresu przechowywania dokumentu, to utrwalone na nośniku dokumenty należy przenieść na inny elektroniczny nośnik informacji przed upływem gwarantowanego przez producenta okresu trwałości zapisu. Elektroniczny nośnik informacji, z którego przeniesiono zapis, podlega fizycznemu zniszczeniu.
3. Po upływie wymaganego okresu przechowywania dokument może zostać usunięty z elektronicznego nośnika informacji w sposób nieodwracalny. W przypadku upływu wymaganego okresu przechowywania wszystkich dokumentów utrwalonych na elektronicznym nośniku informacji nośnik ten może zostać zniszczony.
4. Dokumenty przechowuje się co najmniej w dwóch kopiach, każda na innym egzemplarzu lub rodzaju elektronicznego nośnika informacji. Miejsca przechowywania nośników obydwu kopii powinny zapewniać bezpieczeństwo zapisanego na nich dokumentu.
5. Każdy elektroniczny nośnik informacji, użyty do przechowywania dokumentów, powinien mieć swój identyfikator.
6. Podmiot zobowiązany, na podstawie odrębnych przepisów lub zawartych umów, do przechowywania dokumentu ma obowiązek prowadzenia ewidencji elektronicznych nośników informacji użytych do przechowywania dokumentów.
Halo!
Czy to jest forum jednego aktora?! >:(
Jeszcze raz uprzejmie proszę o podanie podstawy prawnej kontroli przeprowadzanych przez Pana Gałęzowskiego...
Bo, dalibóg...jeżeli w moim zakładzie pracy pojawi się z archiwum państwowego osoba, która zechce sobie pogmerać w bazach danych zawierających np. ewidencję umów z kontrahentami, tudzież rejestr dłużników, to psami poszczuć każę!!!
Spokojnie Nikodemie. Forum opiera się na dobrowolności - wyrażania poglądów, dzielenia się wiedzą, zadawania pytań, jak również odpowiadania na nie.
Poza tym zważywszy że, jak napisał Grzegorz:
CytatMoja kontrola była przeprowadzona w ramach kontroli ogólnej.
oraz
CytatCelem kontroli było ustalenie czy w danej instytucji dokumenty elektroniczne są ewidencjonowane, przechowywane, klasyfikowane i kwalifikowane oraz zabezpieczone przed utratą i nieuprawnionymi zmianami zgodnie z obowiązującymi przepisami, szczególnie zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 30 października 2006 r. w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi (Dz. U. Nr 206, poz. 1518). A także czy istniejący w podmiocie kontrolowanym system teleinformatyczny spełnia minimalne wymagania określone w rozporządzeniu Rady Ministrów z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz. U. Nr 212, poz. 1766).
oraz jeśli sobie odpowiesz na pytanie czy Twoja instytucja jest w ogóle pod nadzorem ap i czy możesz się spodziewać w związku z tym ich kontroli, to chyba wszystko jest jasne.
Ależ ja się z tym zgadzam. Rozumiem też co było celem kontroli. I mniejsza o to, w ramach czego była owa kontrola przeprowadzona. Tylko nadal nikt mi nie podał PODSTAWY PRAWNEJ przeprowadzonych czynności kontrolnych. Żaden z przytoczonych przepisów nie zawiera delegacji dla jakiegokolwiek archiwum państwowego do przeprowadzania tak szczegółowych kontroli. Proszę mnie poprawić, jeśli się mylę. Bodajże jedyny przepis, na który trafiłem, to art. 28 pkt 4 ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach - tylko że tam mowa jest wyłącznie o kontroli postępowania z materiałami archiwalnymi! Tymczasem moje rejestry i ewidencje w postaci elektronicznej nie zawierają żadnych informacji o wartości historycznej, ergo nie podlegają kontroli przez przedstawicieli archiwum państwowego.
Postać dokumentacji nie ma znaczenia przy ocenianiu co jest materiałem archiwalnym a co nie, spójrz na ustawową definicję materiałów archiwalnych.
Owszem, nie ma. Ale już obowiązujący w firmie i uzgodniony z archiwum państwowym rzeczowy wykaz akt wyraźnie wskazuje, co jest, a co nie materiałami archiwalnymi!
Zresztą sprawa wydaje się poważniejsza. Wygląda na to, że uprawnienia kontrolne archiwów państwowych opierają się na wątlutkich podstawach. Brak precyzyjnych uregulowań prawnych tej materii (chyba, że jednak takowe są, ale jak dotąd nikt z p.t. forumowiczów nie wskazał tu żadnych przepisów) przy dobrej obsłudze prawnej kontrolowanej firmy mogą już na wstępie zakończyć ową "radosną twórczość" kontrolera z archiwum państwowego.
Wykazy akt nie różnicują kategorii archiwalnej ze względu na to czy dokumentacja jest elektroniczna czy papierowa.
Jeśli uważasz że warto dyskutować nad uprawnieniami kontrolnymi archiwów państwowych w ogóle, to chyba najlepiej założyć osobny wątek na forum.
A o czym tu dyskutować? Trzeba opracować porządne przepisy wzorem tych, które stosują inne organy kontrolne, a nie lawirować na pograniczu prawa lub wręcz wbrew niemu!
Eh stary temat ale warto go odświerzyć. Moje pytanie jest takie jak w poszczególnych archiwach wyglądają kontrole postępowania z dokumentacją elektroniczną (zarówno tą zgromadzoną w EZD jak i poza systemem)?
Cytat: Kajka w Grudzień 06, 2016,
Eh stary temat ale warto go odświerzyć. Moje pytanie jest takie jak w poszczególnych archiwach wyglądają kontrole postępowania z dokumentacją elektroniczną (zarówno tą zgromadzoną w EZD jak i poza systemem)?
Nie tylko warto ale chyba nawet należy. Musimy wypracować model kontroli archiwalnej w tym zakresie. Interesuje mnie, jaka pragmatyka została wypracowywana dotychczas w archiwach państwowych (odgórnie nie jest to uregulowane). Dla mnie istotny jest też w tej sprawie głos archiwistów zakładowych, którzy ogarniają EZD w swoich macierzystych jednostkach.