przejdź do głównego menu przejdź do treści
  • logo Unii Europejskiej - link do strony Zespołu Funduszy Pomocowych
  • logo Miasta Szczecin - link do oficajnej strony Szczecina

Kontrole przeprowadzone przez WKiAW w 2017 roku

Nr kontroli: WKiAW

Wybrane zagadnienia dot: gospodarowania składnikami majątkowymi, wynagradzania pracowników, funduszu socjalnego, prawidłowości zawierania i rozliczania umów oraz bezpieczeństwa informacji.

Dom Pomocy Społecznej Domu Kombatanta i Pioniera Ziemi Szczecińskiej w Szczecinie, ul. Romera 21-29

Wyniki kontroli: INFORMACJE - USTALENIA

Wydział Kontroli i Audytu Wewnętrznego Urzędu Miasta Szczecin w okresie od dnia 5.09.2017 r. do dnia 20.10.2017 r. przeprowadził kontrolę w Domu Pomocy Społecznej Domu Kombatanta i Pioniera Ziemi Szczecińskiej w Szczecinie, ul. Romera 21-29, zwanym dalej DPS, w zakresie wybranych zagadnień dot: gospodarowania składnikami majątkowymi, wynagradzania pracowników, funduszu socjalnego, prawidłowości zawierania i rozliczania umów oraz bezpieczeństwa informacji. Ocena kontrolowanego zagadnienia, wnioski i zalecenia pokontrolne zawarte zostały w wystąpieniu pokontrolnym z dnia 13.12.2017 r.

I. Ocena ogólna kontrolowanej działalności

W badanym zakresie stwierdzono liczne nieprawidłowości dotyczące przede wszystkim gospodarowania składnikami majątkowymi oraz zapewnienia bezpieczeństwa informacji w DPS, polegające m.in. na:

  • niezidentyfikowaniu i niezgłoszeniu Generalnemu Inspektorowi Danych Osobowych wszystkich wymaganych przepisami zbiorów danych,
  • braku upoważnień do przetwarzania danych osobowych dla osób i pracowników DPS zajmujących się ww. przetwarzaniem,
  • nieuregulowaniu w sposób formalny wzajemnych usług między DPS a Stowarzyszeniem dot. użyczania składników majątkowych, przewożenia darowizn żywności oraz pracy kierowców DPS.

II. Oceny cząstkowe

1. Gospodarowanie składnikami majątkowymi – wybrane zagadnienia

W okresie od 1 stycznia do 31 sierpnia 2017 r. wprowadzono na stan DPS składniki majątkowe o łącznej wartości 14.638,91 zł oraz zlikwidowano majątek o łącznej wartości 89.925,45 zł. Kontrolą objęto:

- prawidłowość gospodarowania ww. składnikami majątkowymi DPS (przyjęcia na stan i likwidacje) oraz czynności inwentaryzacyjne przeprowadzone w grudniu 2016 r.,

- dysponowanie komputerami oraz aparatami telefonów komórkowych.

W toku kontroli ustalono, że w jednostce nie było dokumentu potwierdzającego przeprowadzenie na dzień 31 grudnia 2016 r. inwentaryzacji rocznej magazynów: żywnościowego, administracyjno - gospodarczego i chemicznego DPS oraz magazynu żywnościowego Dziennego Domu Pomocy Społecznej nr 1, zwanego dalej DDPS nr 1, czego obowiązek wynikał z § 1 pkt 4 i 5 zarządzenia byłego Dyrektora DPS nr 34/016/0120 z dnia 27 grudnia 2016 r.Nie sporządzono też sprawozdania z przebiegu spisu z naturymagazynów:żywnościowego DPS, administracyjno – gospodarczego DPS i administracyjno – gospodarczego DDPS, znajdujących się w DPS oraz magazynu żywnościowego, znajdującego się w DDPS nr 1, co naruszyło zapis § 9 ww. Zarządzenia, wg którego sprawozdanie końcowe z przebiegu i wyniku inwentaryzacji rocznej miało być złożone niezwłocznie pozakończeniu czynności inwentaryzacyjnych. Odpowiedzialnym za złożenie ww. dokumentacji był przewodniczący komisji inwentaryzacyjnej.

W DPS nie były prowadzone rejestry protokołów kasacyjnych (nie było rejestru za 2016 r., a za 2017 r. istniała jedynie wersja robocza). Robocza wersja rejestru protokołów kasacyjnych za 2017 r., sporządzona przez specjalistę ds. administracyjno - gospodarczych zawierała natomiast błędy i nieścisłości, polegające m.in. na tym, że wg rejestru anulowano protokoły nr 19-21, podczas gdy faktycznie znajdowały się one w dokumentacji finansowo - księgowej DPS.

Stwierdzono ponadto, że w dokumentacji za 2017 r. nie było oryginałów protokołów kasacji:

  • nr 6 i nr 9 z dnia 15.02.2017 r., które były jedynie w wersji roboczej, gdyż oryginały zostały przekazane do podpisu byłego Dyrektora,
  • nr 20 z dnia 11.04.2017 r., który został anulowany z uwagi na brak przedmiotu w systemie,
  • nr 45 z dnia 26.04.2017 r., który został anulowany z uwagi na wcześniejszą likwidację przedmiotów,
  • nr 48 z dnia 30.06.2017 r., który był jedynie w wersji roboczej, gdyż przedmioty w systemie widniały już jako zlikwidowane.

Kontrola wykazała również, że:

- pralko – suszarka o wartości 1.899 zł, zlikwidowana protokołem kasacyjnym nr 30 z dnia 20.04.2017 r. stała nadal (wg stanu na dzień prowadzenia kontroli) w DDPS nr 1 przy ul. Potulickiej 40,

- protokołem kasacyjnym nr 38 z dnia 25.04.2017 r. zlikwidowano tablet o wartości 2.399 zł, przy czym ww. sprzęt ujęty był na stanie DDPS nr 1 a osobą wskazaną jako materialnie odpowiedzialną był Kierownik DDPS nr 1. Faktycznie tablet był użytkowany w DPS i nie  ustalono, kto go użytkował, 

- protokołami kasacyjnymi nr 41 i 42 z dnia 26.04.2017 r. zlikwidowane zostały 3 aparaty fotograficzne na łączną kwotę 1.481 zł,

- protokołem kasacyjnym nr 43 z dnia 26.04.2017 r. zlikwidowano piec do wypalania gliny o wartości 4.600 zł,

- protokołami kasacyjnymi nr 35 i 36 z dnia 25.04.2017 r. zlikwidowane zostały 3 komputery i 2 laptopy o łącznej wartości 12.349,92 zł.

Członkowie komisji kasacyjnej nie potrafili wyjaśnić w jaki sposób zostały zutylizowane: tablet, aparaty fotograficzne, piec oraz sprzęt komputerowy. W dokumentacji finansowo – księgowej nie było dowodu potwierdzającego oddanie sprzętu do odpowiedniego skupu, a umowa, zawarta na odbiór i zagospodarowanie odpadów zmieszanych oraz segregowanych, nie przewidywała odbioru elektrośmieci.

Powyższe świadczy o braku kontroli nad likwidacją majątku zarówno na etapie bieżącego zdejmowania środków z ewidencji, jak i ich fizycznej utylizacji. Istniały bowiem przypadki próby likwidacji już zlikwidowanego sprzętu, co może skutkować przy nadchodzącej inwentaryzacji 4-letniej, ponownym spisaniem uprzednio zlikwidowanego majątku.

W procesie likwidacji majątku stwierdzono ponadto, że:

- w ewidencji konta 011 pod datą 30.04.2017 r. zaksięgowany został protokół kasacyjny ww. pieca do wypalania gliny. Składnik ten jednak został zdjęty z ewidencji środków trwałych (program „Środki Trwałe” Arisco) pod datą 26.04.2016 r.,

- suszarka i nakładki dywanowe zlikwidowane w DDPS nr 2 protokołem kasacji nr 11 i 12 z 15.03.2017 r. nie zostały wykreślone z ewidencji ilościowej (księgi inwentarzowe prowadzone ręcznie),

- w DDPS nr 3 z ewidencji ilościowej zostały zdjęte składniki z datą 4.11.2016 r., chociaż zgłoszenie zostało sporządzone w dniu 8.11.2016 r. a protokół kasacji nr 29 został sporządzony w dniu 20.04.2017 r.,

  • materace zlikwidowane protokołem kasacji nr 22 z 12.04.2017 r. nie zostały wykreślone z ewidencji ilościowej segmentów A, B i C DPS.

W procesie przyjęć majątku, kontrola wykazała przypadki, w których :

- w dokumentach OT wskazywano odpowiedzialność materialną pracowników, którzy faktycznie nie użytkowali zakupionego majątku. Sytuacja ta miała miejsce w przypadku ww. tabletu oraz zakupu w grudniu 2016 r. 4 zestawów komputerowych Dell Vostro w cenie zakupu 3.490 zł każdy, gdzie kierownicy DDPS przyjęli materialną odpowiedzialność, podczas gdy komputery zostały podłączone w księgowości DPS,

- do ksiąg inwentarzowych składników niskocennych wprowadzane były m.in. materiały biurowe, papiernicze (do prac ręcznych i plastycznych prowadzonych w ramach terapii, np. celofan, brokat, koronki, tasiemki, bibuła). W ocenie kontroli ewidencjonowanie tego typu materiałów jest niecelowe z uwagi na tempo ich zużycia i konieczność bezustannego korygowania zapisów w księgach inwentarzowych.

W DPS stwierdzono nieprawidłowy obieg dokumentacji zarówno przyjęcia środków na stan, jak i ich likwidacji. Ustalono, że Kierownicy DDPS nie otrzymywali protokołów kasacyjnych przedmiotów, które zgłaszali do likwidacji, w związku z czym nie mogli na bieżąco zdejmować ich z ewidencji ilościowej.

Wg ewidencji analitycznej programu "Wyposażenie", w DPS funkcjonował magazyn podręczno – rzeczowy, obejmujący 706 pozycji na łączną kwotę 155.598,24 zł. Był to fizycznie nieistniejący magazyn, który nie podlegał inwentaryzacji rocznej. Znajdowały się w nim przedmioty używane lub przeniesione, które nie zostały przypisane do żadnego konkretnego pomieszczenia DPS i DDPS. Z uwagi na powyższe nie było możliwe przeprowadzenie oględzin ww. magazynu. Za magazyn materialnie odpowiedzialny był ówczesnyz-ca Dyrektora.

Kontrola wykazała również, że członkowie komisji kasacyjnej podpisywali każdorazowo oświadczenie zawarte w protokołach kasacji, że składniki majątku zostały zutylizowane zgodnie z obowiązującymi przepisami, podczas gdy z ustaleń kontroli wynika, że nie mieli wiedzy, w jaki sposób dokonano utylizacji.

Ustalono, że - wg stanu na dzień prowadzenia kontroli - w serwerowni DPS znajdowało się 14 urządzeń, w tym ultrabook Toshiba, notebook HP i 2 monitory komputerowe, które nie posiadły numerów inwentarzowych.

W wyniku przeprowadzonego spisu sprzętu komputerowego i urządzeń peryferyjnych natomiast, pomimo figurowania w wykazach "Środki trwałe” i „Wyposażenie" nie ustalono:

  • miejsca użytkowania 5 środków trwałych: kamery o wartości 3.998 zł, 2 komputerów o łącznej wartości 2.738,46 zł, koparki na kwotę 3.419,66 zł o notebooka o wartości 3.697,46 zł, co oznacza że na 11 środków trwałych zinwentaryzowanych zostało jedynie 6,
  • miejsca użytkowania 93 szt. wyposażenia o łącznej wartości 128.348,16 zł,

Stwierdzono także, że w systemie księgowym nie ujęto notebooka Fujitsu, a 31 szt. sprzętu było nieoznakowane.

Powyższe oznacza, że na 166 pozostałych środków trwałych, zinwentaryzowanych zostało jedynie 73. Zidentyfikowano ponadto 31 sztuk sprzętu nieoznakowanego i 4 sztuki sprzętu oznakowanego, ale nie dającego się przyporządkować do żadnego sprzętu ujętego w ewidencji wyposażenia.

Negatywna ocena dotyczyła też sposobu dysponowania komputerami. W DPS nie było prowadzonej bieżącej ewidencji z informacjami o posiadanym zasobie, miejscu użytkowania poszczególnych komputerów i osobach za nie odpowiedzialnych, poza 25 metrykami wystawionymi w 2012 r. i niezaktualizowanymi do czasu zakończenia kontroli. Ww. naruszyło postanowienia § 6 ust. 1-5 Zarządzenia Dyrektora nr 43/12/0120 w sprawie zasad korzystania i obsługi sprzętu komputerowego, sieci komputerowej, sieci Internet oraz oprogramowaniawg którego zestawy komputerowe użytkowane w DPS powinny posiadać - podpisane przez osobę sporządzającą i użytkownika - metryki  zawierające, m. in. imię i nazwisko użytkownika, nr inwentarzowy każdego elementu wchodzącego w skład zestawu, nr pokoju, zainstalowane oprogramowanie, elementy komputera.

W DPS nie było dokumentów potwierdzających jakimi komputerami dysponował były Dyrektor, protokołu zdania przez niego sprzętu informatycznego, ani rozliczenia się z użytkowanego majątku, co było niezgodne z wyżej przytoczonym zapisem zarządzenia.

Osobą odpowiedzialną za realizację zarządzenia nr 43/12/0120 był ówczesnyz-ca dyrektora ds. administracyjno - gospodarczych. Aktualnie (od dnia 1 stycznia 2017 r.) zatrudniony informatyk DPS, nie potwierdził podpisem faktu zapoznania się z ww. zarządzeniem.

Sposób gospodarowania majątkiem, w tym brak numerów inwentarzowych, był niezgodny z postanowieniami załącznika nr 7 do polityki rachunkowości (Zarządzenie Dyrektora nr 02/2017 z dnia 3.01.2017 r.), wg którego ewidencją ilościowo – wartościową objęte powinny być wszystkie przedmioty o wartości od 500 zł do 3.499,99 zł, których przewidywany okres użytkowania jest dłuższy niż 1 rok. Każdy z przedmiotów objętych ewidencją ilościowo – wartościową powinien posiadać numer inwentarzowy, wskazane miejsce użytkowania oraz przypisanie osobie ponoszącej odpowiedzialności materialnej za jego prawidłowe użytkowanie.

Za prowadzenie gospodarki środkami trwałymi (modernizacja, legalizacja, upłynnianie, złomowanie), nadzór nad ewidencją środków trwałych i nietrwałych oraz innych materiałów stanowiących majątek Domu, szczególną troskę o mienie Domu oraz nadzór i kontrolę nad właściwym gospodarowaniem składnikami majątkowymi, odpowiedzialny był ówczesny z-ca Dyrektora DPS.

Kontrola wykazała również, że były Dyrektor (do dnia 30.04.2017 r.) nie rozliczył się z opłaconego ze środków DPS w kwocie 370,46 zł - wydanego do dnia 21 marca 2018 r. - imiennego zestawu do podpisu elektronicznego. Stwierdzono też, że zarówno ww. certyfikat byłego Dyrektora jak i zakupiony dla byłego głównego księgowego DPS nie zawierał danych dot. reprezentowanego podmiotu (tj. DPS). Ww. uniemożliwiło pracodawcy wnioskowanie o zablokowanie certyfikatu w sytuacji rozwiązania stosunku pracy z ww. osobami.

Nieprawidłowości dotyczyły także gospodarowania aparatami telefonów komórkowych i kartami SIM. W styczniu i lutym 2016 r. zakupiono 15 aparatówtelefonów komórkowych na łączną kwotę 13.368,81 zł. Ww. aparaty przekazano do użytkowania pracownikom DPS w marcu 2016 r. na podstawie 13. umów zawierających informację o modelu aparatu i jego numerze, numerze karty SIM oraz  numerze telefonu.

Kontrola wykazała, że spośród ww., w DPS nie było telefonów:

  • Microsoft Lumia 950 XL Dual SIM wraz z kartą SIM o łącznej wartości 1.329,45 zł z taryfą Jump proFirma L,
  • Samsung Galaxy Grand Prime o wartości 894,54 zł (wg umowy przekazania w użytkowanie nr 56/2016  z dnia 17.03.2016 r. miał on być przekazany kierownikowi kuchni). Wg oświadczenia ww. pracownika, jako telefon służbowy oddano jej w użytkowanie model Nokia Lumia 530, z którego rozliczyła się kończąc pracę w DPS w dniu 31 sierpnia 2017 r.

W przypadku ww. telefonu Microsoft Lumia 950 XL Dual SIM nie sporządzono umowy ani protokołu przekazującego telefon do użytkowania. Według odręcznych zapisów - dot. nazwisk osób dysponujących numerami pracowników - dokonywanych na rozliczeniach załączanych do faktur - numer telefonu Microsoft Lumia 950 XL Dual SIM przypisywany był każdorazowo byłemu Dyrektorowi DPS.

W toku kontroli ustalono ponadto, że poza ww. brakami telefonów, nie było w DPS pakietu promocyjnego zawierającego m.in.: czarną opaskę Samsung Galaxy Gear Fit Euro i biały telefon Samsung N910 Galaxy Note 4 zakupionego na podstawie aneksu z dnia 1 lutego 2015 r. do umowy o świadczenie usług telekomunikacyjnych. Ww. aneks został podpisany przez osobę nieupoważnioną - ze wskazaniem numeru pesel - pracującą wówczas w sekretariacie DPS, co było niezgodne z zapisami części A pkt 4 lit. k załącznika nr 8 do polityki rachunkowości wprowadzonej Zarządzeniem Dyrektora nr 02/2017 z dnia 3 stycznia 2017 r., wg którego zatwierdzanie umów z dostawcami i odbiorcami należało do wyłącznej kompetencji Dyrektora.

Wg wyjaśnień byłego Dyrektora DPS, „To był mój telefon, z opaski nigdy nie korzystałem, to był gadżet dodany do umowy (...) Z tego telefonu się rozliczyłem w kwietniu tego roku".

Przyczyną ww. nieprawidłowości DPS byłom.in. brak opracowanych procedur/zasad gospodarowania służbowymi telefonami DPS oraz niewyznaczenie osoby odpowiedzialnej za przekazywanie telefonów do używania pracownikom DPS. Wg wyjaśnień pracowników DPS, rozdziału telefonów oraz aparatów dokonywał były Dyrektor DPS.

Za nadzór nad ewidencją środków trwałych i nietrwałych oraz innych materiałów stanowiących majątek Domu, szczególną troskę o mienie Domu oraz nadzór i kontrolę nad właściwym gospodarowaniem składnikami majątkowymi, odpowiedzialny był ówczesny z-ca Dyrektora DPS.

Ostatnia pełna inwentaryzacja DPS oraz DDPS miała miejsce wg stanu na dzień 31.12.2013 r. Przed likwidacją składników majątkowych w 11. przypadkach - konserwator z uprawnieniami elektrycznymi – pracownik DPS lub informatyk w przypadku sprzętu informatycznego - sporządzali ekspertyzy.

Obecny Z-ca Dyrektora DPS wezwał byłego Dyrektora do natychmiastowego zwrotu telefonu służbowego marki Microsoft Lumia 950 XL Dual Sim wraz z kartą SIM (pismo znak: SD.223.925.2017.AS z dnia 18.09.2017 r.).

2. Współpraca ze Stowarzyszeniem

DPS prowadził wzajemne usługi ze Stowarzyszeniem, które od lipca 2015 r. było podmiotem prowadzącym Dom Pomocy Społecznej w Starej Rudnicy, a od stycznia 2013 r. podmiotem prowadzącym Schronisko. Do Schroniska przyjmowani byli mieszkańcy miasta i gminy Szczecin, skierowani przez MOPR w Szczecinie. Od 2014 r. Stowarzyszenie otrzymywało na prowadzenie Schroniska dotację z budżetu Gminy Miasto Szczecin, w tym w latach 2016 - 2017 w wysokości po 724.550 zł. Do września 2016 r. Stowarzyszenie zarejestrowane było pod adresem Potulicka 40 w Szczecinie (tj. pod adresem DDPS nr 1). Od dnia 2.09.2016 r. siedzibaStowarzyszenia mieściła się przy ul. Hryniewieckiego 9 w Szczecinie.

Wg rejestru stowarzyszeń Krajowego Rejestru Sądowego, były Dyrektor DPS, był prezesem zarządu Stowarzyszenia od dnia 7 listopada 2011 r. do dnia 28 czerwca 2017 r., a od dnia 28.06.2017 r. prezesem zarządu Stowarzyszenia była p.o. Dyrektora DPS).

Kierownik DDPS nr 3 był od 2009 r. sekretarzem Stowarzyszenia, a członkiem zarządu – skarbnikiem, od 2011 r., były kierownik Działu Opiekuńczo – Terapeutycznego DPS. W skład komisji rewizyjnej Stowarzyszenia wchodziły m.in.: główny księgowy DPS, w którym złożyła wypowiedzenie w dniu 5.09.2017 r. oraz przewodnicząca związków zawodowych w DPS i p.o. kierownika Działu Opiekuńczo – Terapeutycznego DPS.

W DPS nie opracowano żadnego dokumentu, w którym zostałyby ustalone zasady dysponowania, w tym użyczania lub przekazywania  majątku. Pomimo tego protokołemz dnia 12 sierpnia 2016 r. przekazano do ww.  Schroniska 12 szafek przyłóżkowych, a w dniach od 17 do 19 sierpnia 2016 r. na podstawie odręcznych dopisków na tym protokole, dodatkowo 46 szafek przyłóżkowych. Protokół był podpisany jedynie przez odbierającego szafki kierownika Schroniska. Nie było natomiast podpisu pracownika DPS przekazującego majątek. Nie wskazano również numerów inwentarzowych przekazanych ogółem 58 sztuk szafek.

Wg wyjaśnień pracowników działu administracyjno – gospodarczego (AG) szafki zostały przekazane na polecenie owczesnego z-cy Dyrektora.

Powyższe było niezgodne z § 11 ust. 1 statutu, nadanego uchwałą nr X/191/15 Rady Miasta Szczecin z dnia 28.07.2015 r., wg którego majątek DPS jest mieniem Gminy Miasta Szczecin i powinien być wykorzystywany jedynie do realizacji celów związanych z działalnością statutową.

W dniu 19.08.2016 r., protokołami nr 21 i 22, dokonano likwidacji jedynie 15 szt. szafek przyłóżkowych i wg protokołów kasacji w 2016 r. nie było likwidacji większej ilości tego typu szafek. W związku z powyższym, w toku kontroli nie było możliwości ustalenia, czy szafki powinny były zostać zlikwidowane, czy zostały jedynie wypożyczone lub oddane do przechowania.

W toku kontroli ustalono ponadto, że Stowarzyszenie użyczało DPS łóżka rehabilitacyjne oraz ekspres do kawy. Do czasu zakończenia kontroli, nie przedłożono jednak dokumentów potwierdzających ww. użyczenie oraz ilu sztuk łóżek (i o jakich numerach inwentarzowych) dotyczyło to użyczenie, a następnie ile sztuk łóżek (i o jakich numerach inwentarzowych) zwrócono do Stowarzyszenia.

Podejmowanie decyzji dotyczących przekazywania majątku DPS  Stowarzyszeniu przez dyrektora będącego jednocześnie Prezesem Zarządu Stowarzyszenia, w okolicznościach wskazanych w wystąpieniu, czyli z pominięciem sformalizowania współpracy, może nosić znamiona konfliktu interesów. Podkreślić należy, że do konfliktu dochodzi nie tylko wtedy, gdy decydent w danej sprawie działa w osobistym interesie, ale także gdy istnieje choćby tylko teoretyczna możliwość, że interes ten przeważy nad troską o interes publiczny. Na powyższe uwagę zwróciła m.in. Rada Ministrów w uchwale nr 37 z dnia 1 kwietnia 2014 r. w sprawie Rządowego Programu Przeciwdziałania Korupcji na lata 2014 – 2019 (M.P. poz. 299).

Wzajemne usługi ze Schroniskiem dotyczyły również darowizn żywności. W okresie od stycznia do maja 2017 r. na stan magazynu darów żywności DPS i DDPS (konta 310-03 i 310-07) przyjęto i rozchodowano żywność o łącznej wartości 25.254,09 zł. Stowarzyszenie, kierowało na adres darczyńców wykaz pracowników DPS upoważnionych do odbioru żywności. Upoważnieni byli: ówczesny z-ca Dyrektora oraz wszyscy kierowcy DPS. W toku kontroli ustalono, że nie było umów, porozumień ani innych dokumentów zawartych ze Stowarzyszeniem, określających zasady świadczenia nieodpłatnej pomocy w zakresie dostaw żywności oraz, że Stowarzyszenie miało wyłączność na odbiór żywności.

Kontrola wykazała, że część z tej żywności w łącznej kwocie co najmniej3.765,52 zł, nie została w ogóle ujęta w ewidencji księgowej DPS. Dotyczyło to darowizn objętych sześcioma dokumentami potwierdzającymi odbiór żywności, dla których nie wystawiono dokumentu PZ i nie ujęto w ewidencji księgowej DPS. Dotyczyło to protokołów przekazania:

- nr 50 na kwotę 342,32 zł, żywność odebrana w dniu 14.02.2017 r. przez kierowcę DPS,

- nr 56 na kwotę 1.849,2 zł, żywność odebrana w dniu 10.03.2017 r. przez kierowcę DPS,

- protokół na kwotę 945,01 zł, żywność odebrana w dniu 4.05.2017 r. przez kierowcę DPS,

- protokół na kwotę 133,28 zł, żywność odebrana w dniu 16.01.2017 r. przez kierowcę DPS,

- protokół na kwotę 299,24 zł, żywność odebrana w dniu 16.01.2017 r. przez kierowcę DPS,

- protokół na kwotę 196,47 zł, żywność odebrana w dniu 12.01.2017 r. przez kierowcę DPS.

   Ustalono też, że w styczniu 2017 r. kierowca DPS odbył 4 kursy (w dniach 9, 16, 19 i 23 stycznia 2017r.) do KFC w celu odbioru darowizn żywności, podczas gdy w dokumentacji DPS znajdował się jedynie protokół przekazania z dnia 16 stycznia 2017 r. W odniesieniu do którego nie wystawiono PZ, ani nie ujęto darowizny w ewidencji księgowej. W latach 2016 - 2017 (do czasu zakończenia kontroli), kierowcy DPS wykonali co najmniej 31 kursów do KFC, przy czym - poza jednym przypadkiem udokumentowanego przyjęcia do magazynu i wydania do kuchni DPS - żywność nie została przyjęta do magazynu, ani ujęta w ewidencji księgowej.

W toku kontroli stwierdzono, że kierowcy DPS, w okresie I – VI 2017 r. - w godzinach pracy DPS i samochodami DPS wykonali 19 udokumentowanych  kursów na ul. Hryniewieckiego, gdzie mieściło się Schronisko prowadzone przez Stowarzyszenie, z czego  w 10. przypadkach kursy te odbyły się po uprzednim objeździe darczyńców.

Dyspozycje odbioru żywności i przywiezienia jej do DPS, bądź bezpośrednio na ul. Hryniewieckiego wydawał ówczesny z-ca Dyrektora DPS za pośrednictwem kierownika Sekcji Technicznej lub dzwoniąc do kierowców.

Kierowcy wykonywali również kursy bezpośrednio z DPS do Schroniska przy ul. Hryniewieckiego w celu m.in. transportu darowizn żywności, soków oraz obowiązkowego uczestnictwa przy rozładowywaniu tirów z jabłkami i darami. Według wyjaśnień, wszystkie kursy i prace wykonywane były na polecenie ówczesnego z-cy Dyrektora, najczęściej bez wystawienia stosownych dokumentów i bez możliwości odmowy wykonania polecenia.

W kwietniu 2017 r., bez wiedzy pracowników Działu AG, ówczesny z-ca Dyrektora przeniosła – drogą mailową – służbowe numery komórkowe 504…228 i 504…976 z DPS do Stowarzyszenia. Pomimo tego, w DPS nadal obowiązywały umowy o używanie ww. numerów służbowych telefonów komórkowych z-cy Dyrektora i kierownika Działu Opiekuńczo – Terapeutycznego.

Stowarzyszenie w KRS podało adres strony internetowej, pod  którym osoby zainteresowane mogły kontaktować się wysyłając zapytanie. Zapytania były przekierowywane na adres sekretariatu DPS.

W dniu 31.10.2017 r. były Dyrektor przysłał per e-mail skan pierwszej strony porozumienia z dnia 25.05.2016 r. w sprawie przechowywania szafek przyłóżkowych, zawartego z kierownikiem Schroniska. Wg dokumentu,  schronisko miało bezpłatnie przechować szafki przyłóżkowe w ilości nie większej niż 60 szt. w terminie od 31.08.2016 r. do 30.11.2017 r. Z przekazania sprzętu powinien zostać sporządzony protokół, za co jako osoba odpowiedzialna wskazany został kierownik Sekcji Technicznej.

3. Wybrane zagadnienia dot. wynagradzanie pracowników i Funduszu socjalnego.

Kontrolą objęto prawidłowość:

  • składanych oświadczeń i naliczenia ryczałtu z tytułu używania prywatnych samochodów do celów służbowych w okresie od 1 stycznia 2015 r. do 31 sierpnia 2017 r.,
  • przeprowadzenia w latach 2016 i 2017 regulacji wynagrodzeń w łącznej kwocie 102.174,84 zł  i wypłaty jednorazowej rekompensaty w 2016 r. w wys. 360 zł brutto na 1 etat,
  • zawierania i rozliczania pożyczek mieszkaniowych oraz imprez i wyjazdów integracyjnych, organizowanych dla pracowników DPS ze środków funduszu socjalnego w okresie od 1 stycznia 2015 r. do 31 sierpnia 2017 r.

W badanym okresie z ryczałtu z tytułu używania prywatnych samochodów do celów służbowych korzystał były Dyrektor DPS oraz ówczesny z-ca Dyrektora (od 1 maja 2017 r. p.o. Dyrektora). Kontrola wykazała, że były Dyrektor składał, a starszy księgowy ds. płac - przyjmował niekompletne oświadczeniao używaniu prywatnego samochodu do celów służbowych. Nie zawierały one danych dotyczących:

  • marki, numeru rejestracyjnego i pojemności silnika, co było niezgodne z § 4 ust. 4 umowy z dnia 27 stycznia 2010 r., zawartej między Prezydentem Miasta Szczecin a byłym Dyrektorem, wg którego wypłata miesięcznego ryczałtu następuje po złożeniu pisemnego oświadczenia wg wzoru stanowiącego załącznik do umowy, zawierającego m.in. ww. dane.
  • nieobecności z tytułu urlopów i wyjazdów służbowych, w tym:
    • w 2015 r. - 1 dnia urlopu i 9 dni wyjazdów służbowych,
    • w 2016 r. -  1 dnia urlopu i 11 dni wyjazdów służbowych,
    • w 2017 r. – 3 dnia urlopu i 2 dni wyjazdów służbowych),

Ww. naruszyło postanowienia § 4 ust. 5 pkt 1 i 2 ww. umowy, wg którego miesięczny ryczałt za jazdy lokalne nie przysługiwał za każdy dzień: nieobecności w miejscu pracy z powodu choroby, urlopu lub innej nieobecności, a także podróży służbowej trwającej co najmniej 8 godzin.

Kontrola wykazała, że w latach 2015 - 2017 starszy specjalista ds. pracowniczych, w ewidencji czasu pracy byłego Dyrektora nie uwzględnił ww. absencji spowodowanych wyjazdami służbowymi. Spowodowało to nieprawidłowe naliczenie i wypłacenie byłemu Dyrektorowi ryczałtu za używanie samochodu prywatnego do celów służbowych w łącznej kwocie 253,55 zł, wbrew postanowieniom wyżej przytoczonego § 4 ust. 5 pkt 1 i 2 ww. umowy z dnia 27 stycznia 2010 r.

Powyższe wskazuje na lukę w prowadzonej w DPS ewidencji czasu pracy byłego Dyrektora i brak skutecznego obiegu informacji w kwestii nieobecności spowodowanej wyjazdami służbowymi.

Stwierdzono również, że w oświadczeniach za okres od stycznia do kwietnia 2017 r., były Dyrektor DPS wpisał - jako prywatny samochód używany do celów służbowych - Renault Espace, pomimo że nie był już jego właścicielem, co potwierdził w toku kontroli. Nie poinformował ponadto Prezydenta Miasta o zbyciu samochodu, co pozostawało w sprzeczności z postanowieniami § 3 ww. umowy, wg którego powinien to zrobić niezwłocznie w formie pisemnej wskazując rzeczywistą datę nastąpienia tego zdarzenia.

Ustalono też, że pracownik sekretariatu, nie prowadził na bieżąco rejestru delegacji. Wpisów w rejestrze, prowadzonym w formie zeszytu, dokonywał jedynie do końca 2016 r. Nie odnotowywano w nim też delegacji anulowanych. DPS nie prowadził w ogóle ewidencji delegacji „bezkosztowych". Znajdowały się one w różnych miejscach: były podpięte pod kartę drogową, jeśli wyjazd odbywał się samochodem służbowym lub gromadzone były przez starszego specjalistę ds. pracowniczych.

Powyższe było niezgodne z zapisami części F pkt 1 i 3 załącznika nr 8 do polityki rachunkowości, wg którego ewidencję wydanych poleceń wyjazdów służbowych pracownik sekretariatu powinien prowadzić odrębnie dla każdego roku kalendarzowego.

W toku kontroli stwierdzono niespójność między ewidencją czasu pracy prowadzoną przez Wydział Organizacyjny UM a ewidencją prowadzoną w DPS. Wg akt osobowych byłego Dyrektora, w dniach 16-17.09.2016 r. był on w podróży służbowej do Kołobrzegu, podczas gdy faktycznie - nie poinformował Wydziału Organizacyjnego UM o rezygnacji z ww. wyjazdu i przebywał w pracy w DPS.

Nieprawidłowości stwierdzono także przy udzielaniu pożyczek mieszkaniowych. Ustalono, że w dniu 29 kwietnia 2015 r. przyznano pracownikowi DPS pożyczkę mieszkaniową w wys. 5 tys. zł, pomimo że jego wynagrodzenie zostało zajęte przez komornika, co potwierdził główny księgowy w adnotacji pod decyzją pracodawcy i związków zawodowych. Udzielenie ww. pożyczki było niezgodne z zapisami rozdziału VI § 4 pkt 8 regulaminu ZFŚS z dnia 13 marca 2014 r., wg którego w dniu podpisania wniosku o przyznanie pożyczki mieszkaniowej wynagrodzenie musiało być wolne od zajęć komorniczych. Nie wyegzekwowano ponadto w ww. przypadku spłaty pozostałej części pożyczki na dzień rozwiązania umowy o pracy, tj. 31 grudnia 2016 r. w wys. 2.208,75 zł, co naruszyło postanowienia rozdziału VI § 3 pkt 11 regulaminów ZFŚS (Zarządzenie Nr 58/015/0120 Dyrektora DPS z dnia 30.11.2015 r. i Zarządzenie Nr 04/2017 Dyrektora DPS z dnia 28.02.2017 r.), wg którego kwota pożyczki wraz z odsetkami, miała podlegać natychmiastowej spłacie w przypadku rozwiązania z pożyczkobiorcą umowy o pracę, bez względu na rodzaj i powód jej rozwiązania.

Kontrola wykazała, że ww. nieprawidłowość dotyczyła też trzech innych pracowników DPS, z którymi rozwiązano umowę o pracę w 2017 r. Nie wyegzekwowano od nich spłaty pozostałej części pożyczek mieszkaniowych w wysokościach 1.146 zł, 10.005 zł oraz 9.135 zł, co było niezgodne z ww. postanowieniami rozdziału VI regulaminów oraz z zapisami§ 4 ust. 2 umów pożyczki, wg którego w przypadku rozwiązania umowy o pracę, zakład pracy miał prawo do potrącenia z wynagrodzenia pozostałej do spłaty kwoty pożyczki, a pozostałą kwotę pożyczkobiorca był zobowiązany wpłacić w kasie w ciągu 7 dni od rozwiązania umowy o pracę. 

W związku z powyższym, komisja socjalna w dniu 11 maja 2017 r. bezzasadnie rozpatrzyła pozytywnie wniosek byłego Dyrektora o rozłożenie na 10 rat spłaty pożyczki mieszkaniowej. Protokół z posiedzenia komisji został podpisany przez komisję, której przewodniczył kierownik zespołu w Dziale Terapeutyczno – Opiekuńczym i związki zawodowe DPS. Protokół zatwierdziły p.o. Dyrektora oraz główny księgowy DPS.

W toku kontroli stwierdzono ponadto, że wszyscy pracownicy, którym przyznano pożyczki mieszkaniowe w 2016 r. i 2017 r. nie złożyli oświadczeń o dochodach, co było niezgodne z zapisami rozdziału V § 1 pkt 2 ww. regulaminów, wg którego osoba ubiegająca się o przyznanie świadczenia z ZFŚS zobowiązana była do złożenia w sekretariacie DPS wniosku lub podania wraz z oświadczeniem o wysokości dochodu wg wzoru stanowiącego załącznik do regulaminów. Powyższe naruszyłozapisy rozdziału V § 2 pkt 1 ww. regulaminów, wg którego podstawę do przyznania świadczeń, pomocy i dopłat z funduszu stanowi dochód brutto za ostatni miesiąc, przypadający na osobę w rodzinie, wskazany w oświadczeniu osoby uprawnionej do korzystania z funduszu.

W dokumentacji funduszu socjalnego nie było ponadto:

  • protokołu przyznającego środki na sfinansowanie imprezy okolicznościowej z okazji Dnia Pracownika Socjalnego - usługę gastronomiczną na kwotę 17.550 zł,
  • protokołu przyznającego środki na sfinansowanie wyjazdu drugiej grupy pracowników do Darłowa w dniach 25-27.11.2016 r. w wysokości  23.791,32 zł  za pobyt oraz 1.468 zł  za dojazd,
  • protokołów przyznających środki na zakup kwiatów z okazji Dnia Pracownika Socjalnego, w tym  w 2015 r. 150 szt. róż o wartości  525 zł, a w 2016 r. 130 szt. róż na kwotę 546 zł.

Ww. wydatki zostały zatwierdzone przez główną księgową i byłego Dyrektora DPS.

Dopłaty do wycieczek nie uwzględniały z kolei kryterium dochodowego i nie były zależne od sytuacji życiowej, rodzinnej i materialnej osób uprawnionych, co było niezgodne z zapisami rozdziału V § 1 pkt 1 ww. regulaminów oraz art. 8 ust. 1 ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (Dz.U. z 2017 r. poz. 2191), wg którego przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z Funduszu powinno być uzależnione od ww. sytuacji życiowej, rodzinnej i materialnej.

W wycieczkach zorganizowanych w badanym okresie nie brali udziału emeryci i renciści. W dokumentacji funduszu socjalnego nie było także potwierdzeń zawiadamiania emerytów o organizowanych imprezach, wbrew uregulowaniom zawartym w rozdziale III pkt 3, wg których emeryci i renciści powinni być włączeni do grona osób uprawnionych do korzystania z ZFŚS.

Osobą odpowiedzialną za administrowanie  środkami funduszu był były Dyrektor DPS.

Nie stwierdzono nieprawidłowości w zakresie wypłaty jednorazowej rekompensaty w 2016 r. oraz przeprowadzenia regulacji wynagrodzeń w latach 2016 - 2017.

Po rozwiązaniu umów o pracę były Dyrektor oraz była p.o. Dyrektora spłacili pozostałą kwotę pożyczek mieszkaniowych w transzach, w tym ostatnie transze w dniach (odpowiednio) 14 sierpnia 2017 r. oraz  23 sierpnia 2017 r.

4. Wybrane zagadnienia dot. umowy z dnia 19 czerwca 2017 r. nr 70/17 na roboty budowlane polegające na "Termomodernizacji budynku Domu Pomocy Społecznej Dom Kombatanta i Pioniera Ziemi Szczecińskiej przy ul. Romera 21-29 w Szczecinie"

Kontrolą objęto prawidłowość zawarcia i realizacji umowy nr 70/17 z dnia 19 czerwca 2017 r. na roboty budowlane polegające na "Termomodernizacji budynku Domu Pomocy Społecznej Dom Kombatanta i Pioniera Ziemi Szczecińskiej przy ul. Romera 21-29 w Szczecinie" (bez procedury zamówień publicznych) na kwotę 2.500.000 zł.

Kontrola wykazała, że w ww. umowie nie ustalono wysokości kar umownych za każdy dzień zwłoki w wykonaniu przedmiotu umowy. We wzorze umowy (załącznik do SIWZ) w § 15 ust. 1 pkt 1 umowy przewidziano kary za każdy dzień zwłoki, jednak nie określono ich wysokości (w miejscu kwoty pozostawiono "kropki"). Nie zabezpieczono tym samym interesu DPS i Gminy Miasto Szczecin w zakresie terminowej realizacji robót i dochodzenia ewentualnych roszczeń z tytułu opóźnień. Biorąc pod uwagę fakt, że termin zakończenia prac upłynął w dniu 17 października 2017 r. (120 dni od podpisania umowy), a do czasu zakończenia kontroli (tj. 20 października 2017 r.) inwestycja nie została zgłoszona do odbioru. Ww. brak sankcji uniemożliwił dochodzenie należności DPS z tytułu kar liczonych od terminu zakończenia prac, określonego w umowie.

Przyczyną ww. nieprawidłowości było pominięcie kwestii kar na etapie postępowania przetargowego - w SIWZ. Osobą przygotowującą SIWZ oraz wzór umowy był ówczesny z-ca Dyrektora (od dnia 1 maja 2017 r. p.o. Dyrektora), który od dnia 20 lutego 2017 r. do dnia 26 kwietnia 2017 r. pełnił funkcję przewodniczącego komisji przetargowej. Umowa podpisana została przez p.o. Dyrektora DPS i głównego księgowego DPS oraz radcę prawnego DPS.

Stwierdzono także, że nie wyegzekwowano od Wykonawcy przedłożenia harmonogramu rzeczowo - finansowego (w dokumentacji z postępowania znajdował się jedynie harmonogram rzeczowy z dnia 23 czerwca 2017 r.). Naruszyło to postanowienia § 7 ust. 2 pkt 2 lit. a ww. umowy, wg którego Wykonawca był zobowiązany  m.in. do jego dostarczenia w terminie 7 dni od dnia przekazania placu budowy, przy czym harmonogram miał zawierać grupy robót i ich wartości wyszczególnione zgodnie z wyliczeniem w kosztorysie ofertowym. Pomimo tego, nie naliczono Wykonawcy kar umownych za niedostarczenie w terminie prawidłowego harmonogramu, wbrew postanowieniom § 15 ust. 1 pkt 4 umowy, wg którego za niedostarczenie w terminie harmonogramu rzeczowo – finansowego lub jego aktualizacji Wykonawca miał zapłacić Zamawiającemu kary umowne w wysokości 500 zł za każdy dzień opóźnienia.

Za realizację zapisów umowy odpowiedzialni byli: p.o. Dyrektora (do dnia 31.07.2017 r.) oraz główny specjalista ds. administracyjno – gospodarczych.

Dopiero w trakcie prowadzenia kontroli i na wezwanie obecnego z-cy Dyrektora DPS, Wykonawca złożył właściwy harmonogram rzeczowo - finansowy.

Inspektor Nadzoru nie informował pisemnie z-cy Dyrektora DPS o występujących trudnościach w realizacji budowy, na podstawie § 3 ust. 1 pkt 4 lit. h umowy nr 71/2017.

5. Bezpieczeństwo informacji

W ramach systemu bezpieczeństwa informacji w DPS funkcjonowały niżej wskazane regulaminy:

  • Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym, zw. dalej Polityką Bezpieczeństwa – wprowadzona Zarządzeniem byłego Dyrektora DPS Nr 61/09/0120 z dnia 18.12.2009 r. (zmiany w zarządzeniach nr 27/13/0120 z dnia 14.10.2013 r., Nr 1/15/0120 z dnia 15.01.2015 r.),
  • zasady korzystania i obsługi sprzętu komputerowego, sieci komputerowej, sieci Internet oraz oprogramowania w Domu Pomocy Społecznej Dom Kombatanta i Pioniera Ziemi Szczecińskiej, zw. dalej Zasadami IT – wprowadzone Zarządzeniem Dyrektora DPS Nr 43/12/0120 z dnia 30.10.2012 r.

W wyniku kontroli stwierdzono, że od dnia wejścia w życie rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), zwanego dalej rozporządzeniem w sprawie KRI, tj. od 30 maja 2012 r., nie została opracowana Polityka Bezpieczeństwa Informacji w rozumieniu ww. przepisów. Według § 20 ust. 1 rozporządzenia podmiot realizujący zadania publiczne powinien opracować i ustanowić, wdrażać i eksploatować, monitorować i przeglądać oraz utrzymywać i doskonalić system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

W § 20 ust. 2 rozporządzenia zarządzanie bezpieczeństwem informacji realizowane miało być w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań dotyczących m.in. zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczących zmieniającego się otoczenia. W myśl przepisów rozporządzenia polityka bezpieczeństwa informacji rozumiana jest jako zestaw efektywnych, udokumentowanych zasad i procedur bezpieczeństwa wraz z ich planem wdrożenia i egzekwowania.

Ustalono ponadto, że w funkcjonujących w DPS procedurach nie uregulowano kwestii dotyczących:

  • konieczności prowadzenia rejestru zbiorów danych przetwarzanych przez Administratora danych,
  • wystawiania oraz ewidencjonowania upoważnień nadanych przez Administratora danych pracownikom przetwarzającym dane w DPS,
  • utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację,
  • przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy,
  • zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    • zagrożenia bezpieczeństwa informacji,
    • skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    • stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich,
  • zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji,
  • procedury postępowania po przyjęciu zgłoszenia o zaistniałych incydentach w odniesieniu do wszystkich chronionych informacji (jest jedynie procedura w zakresie ochrony danych osobowych) przez osobę sprawującą nadzór nad infrastrukturą IT (w tym: wymóg rejestrowania przypadków mających wpływ na bezpieczeństwo informacji, wskazania podejmowanych czynności i osób które w dalszej kolejności są informowane o zaistniałych zdarzeniach, określenia sposobu dokumentowania zaistniałych incydentów oraz rodzaju sporządzanych dokumentów wskazujących na podjęte działania korygujące).

W związku z powyższym koniecznym jest opracowanie Polityki Bezpieczeństwa Informacji uwzględniającej zapisy rozporządzenia w sprawie KRI, w tym odnoszącej się do wszystkich rodzajów chronionych informacji oraz zawierającej ww. uregulowania.

Należy mieć na uwadze, że od dnia 25 maja 2018 r. zastosowanie będą miały przepisy Rozporządzenia Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zw. dalej RODO, które w sposób odmienny regulują poszczególne kwestie związane z ochroną danych osobowych. Zgodnie z przepisami RODO Administrator Danych Osobowych będzie dysponował większą elastycznością przy podejmowaniu i wdrażaniu środków gwarantujących organizacyjne i techniczne bezpieczeństwo przetwarzania danych. W myśl motywu 78 RODO, koniecznym będzie wdrożenie odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów rozporządzenia. Aby móc wykazać przestrzeganie ogólnego rozporządzenia, ADO będzie musiał przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz zasadą domyślnej ochrony danych. Środki te mogą polegać m.in. na: minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji przetwarzania danych osobowych, umożliwieniu osobie której dane dotyczą, monitorowania przetwarzania danych. W myśl art. 24 RODO, ADO winien wdrożyć „odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Zgodnie z art. 24 ust. 2 RODO „jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych”.

    Należy zwrócić uwagę, że przepisy RODO nie mają jeszcze mocy obowiązującej, w dalszym ciągu obowiązują przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922), zwanej dalej uodo. Niemniej jednak należy mieć na uwadze konieczność dostosowania dokumentacji dotyczącej ochrony danych osobowych tworzonej w DPS do wymogów RODO, aby z dniem 25 maja 2018 r. zacząć funkcjonować zgodnie z przepisami rozporządzenia ogólnego.

Stwierdzono ponadto, że z Polityką Bezpieczeństwa funkcjonującą w DPS zapoznanych zostało jedynie 16. pracowników, w tym 8 osób w 2010 r., 3 osoby w 2011 r., 4 osoby w 2013 r. oraz 1 w 2014 r. Należy nadmienić, że według stanu na dzień 6.09.2017 r. w DPS zatrudnionych było 188 osób. Brak znajomości zasad obowiązujących w DPS w zakresie ochrony informacji stwarza ryzyko występowania zachowań skutkujących ich wypływem bądź utratą.

W trakcie kontroli stwierdzono, że żaden z pracowników oraz osób przetwarzających dane osobowe w DPS (65. pracowników), nie posiadał upoważnienia do przetwarzania danych osobowych, co było niezgodne z art. 37 uodo, wg którego do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych.

Należy wskazać, że upoważnienie do przetwarzania danych osobowych powinno zapewniać rozliczalność udziału w procesie przetwarzania danych osobowych oraz legalizuje udział w procesie przetwarzania danych osobowych. Brak upoważnień spowodował, że dane przetwarzane były przez poszczególnych pracowników DPS w sposób nieuprawniony. Nie zabezpieczono tym samym przed wypływem danych, bowiem zgodnie z art. 39 ust. 2 uodo „osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia”.  

     Konsekwencją ww. nieprawidłowości był także brak ewidencji osób upoważnionych do przetwarzania danych osobowych, co było niezgodne z art. 39 ust. 1 uodo, wg którego Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1)  imię i nazwisko osoby upoważnionej;

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;

3)  identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Polityka Bezpieczeństwa funkcjonująca w DPS nie regulowała jednocześnie kwestii związanych z wystawianiem upoważnień oraz ewidencją osób przetwarzającym dane osobowe.

W wyniku kontroli ustalono, że nie zidentyfikowano oraz nie zgłoszono do GIODO wszystkich wymaganych przepisami zbiorów danych osobowych. Powyższe dotyczyło nw. zbiorów danych:

  • „Skazani skierowani do prac kontrolowanych na cele społeczne” – wg wyjaśnienia obecnego z-cy Dyrektora DPS funkcjonuje „co najmniej od 2010 r.”, zawiera dane wrażliwe,
  • „Dane medyczne mieszkańców” – wg wyjaśnienia obecnego z-cy Dyrektora DPS funkcjonuje od 1983 r., zawiera dane wrażliwe,
  • „Zajęcia komornicze oraz tytuły wykonawcze dot. wierzytelności publicznych” – wg wyjaśnienia obecnego z-cy Dyrektora DPS funkcjonuje od 1983 r., zawiera dane wrażliwe,
  • „Rejestr skarg i wniosków” – wg wyjaśnienia obecnego z-cy Dyrektora DPS funkcjonuje od 1983 r., może zawierać dane wrażliwe,
  • „Rejestr ofert pracy, wolontariuszy, stażystów” – wg wyjaśnienia obecnego z-ca Dyrektora DPS funkcjonuje od 1983 r., może zawierać dane wrażliwe,
  • „Dziennik korespondencji” – wg wyjaśnienia obecnego z-cy Dyrektora DPS funkcjonuje od 1983 r., może zawierać dane wrażliwe,
  • „Monitoring wizyjny” – wg wyjaśnienia obecnego z-cy Dyrektora DPS funkcjonuje od ok. 2009 r., może zawierać dane wrażliwe,
  • „Pracownicy kierowani przez PUP do prac społecznie użytecznych” – wg wyjaśnienia obecnego z-cy Dyrektora DPS funkcjonuje „co najmniej od kilku lat, może zawierać dane wrażliwe”,
  • „Zaświadczenia o stanie majątkowym i rodzinnym pracowników” – wg wyjaśnienia obecnego z-cy Dyrektora DPS „funkcjonuje co najmniej od kilku lat, zawiera dane wrażliwe”.

Naruszono tym samym art. 40 uodo, wg którego Administrator danych obowiązany był zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi. Ww. przepis nie oznacza momentu, w którym dokonać należy zgłoszenia zbioru do rejestracji. Jednakże ztreści innych postanowień wyprowadzić można wniosek, że poza szczególnymi przypadkami przewidzianymi ustawą, a odnoszącymi się do zbiorów już istniejących w chwili wejścia w życie ustawy, nie jest dopuszczalne rozpoczęcie przetwarzania danych osobowych w zbiorze danych przed dokonaniem zgłoszenia (art. 46 uodo). Zatem z chwilą powstania zbioru danych osobowych w rozumieniu ww. ustawy powstaje obowiązek jego zgłoszenia. Trzeba przy tym pamiętać, że za przetwarzanie danych uznawane jest już samo ich utrwalanie lub przechowywanie.

Według art. 43 ust. 1a uodo obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 uodo (dane wrażliwe), nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji.

Dokonano jedynie zgłoszenia do GIODO zbioru danych pn. „Dane osobowe mieszkańców” – nr zgłoszenia 070560/1999, nr księgi 046606.

Stwierdzono jednocześnie, że w toku kontroli nie przedłożono dokumentacji wskazującej na prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, co było niezgodne z art. 36a ust. 2 pkt 2 uodo, według którego do zadań ABI należało prowadzenie przedmiotowego rejestru. Funkcję ABI w DPS w okresie od 14.10.2013 r. do 14.01.2015 r. sprawował Kierownik DDPS nr 1, a od dnia 15.01.2015 r. samodzielny referent ds. administracyjno gospodarczych. Zastępcą ABI był Kierownik DDPS nr 4.

Brak było także w funkcjonującej w DPS Polityce Bezpieczeństwa zapisów regulujących kwestie związane z prowadzeniem rejestru, co było niezgodne z § 4 pkt 2 rozporządzenia Ministra Spraw Wewnętrznych Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanego dalej rozporządzeniem w sprawie dokumentacji przetwarzania danych osobowych.

Nie zawarto jednocześnie w Polityce Bezpieczeństwa zapisów wskazujących na konieczność przekazywania do GIODO zbiorów danych wraz z określeniem odpowiedzialności poszczególnych osób biorących udział w przedmiotowym procesie.

Nie dokonano ponadto aktualizacji danych zawartych w rejestrze administratorów bezpieczeństwa informacji prowadzonym przez GIODO dot. osoby pełniącej funkcję ABI.

W zakresie obowiązków ówczesnego p.o. Kierownika DDPS nr 4 z dnia 20.10.2015 r. (pomimo powołania na zastępcę ABI zarządzeniami nr 27/13/0120 z dnia 14.10.2013 r. oraz Nr 1/15/0120 z dnia 15.01.2015 r.) brak jest wskazania dotyczącego zastępowania ABI w trakcie jego nieobecności.

W zakresie obowiązków samodzielnego referenta ds. administracyjno-gospodarczych z dnia 19.02.2015 r. wskazano m.in. pełnienie funkcji Administratora Bezpieczeństwa Informacji oraz określono podległość pod z-cę Dyrektora ds. administracyjno-gospodarczych. Powyższe było niezgodne z art. 36a ust. 7 uodo, wg którego Administrator Bezpieczeństwa Informacji winien podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Stwierdzono, że w § 5 ust. 1 Polityki Bezpieczeństwa wskazano, że „hasła powinny posiadać, co najmniej 7 znaków i zawierać litery oraz cyfry”, co było niezgodne z pkt VIII załącznika do rozporządzenia w sprawiedokumentacji przetwarzania danych osobowych, wg którego „w przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne”. Powyższy wymóg stosowania zabezpieczeń na poziomie bezpieczeństwa co najmniej podwyższonym wynikał z § 4 ust. 1 pkt 1 rozporządzenia Ministra Pracy i Polityki Społecznej z dnia 2 listopada 2007 r. w sprawie systemów teleinformatycznych stosowanych w jednostkach organizacyjnych pomocy społecznej (Dz. U. Nr 216, poz. 1609), wg którego system teleinformatyczny z uwagi na dane wrażliwe winien charakteryzować się poziomem bezpieczeństwa co najmniej podwyższonym.

W wyniku kontroli stwierdzono, że w DPS brak było wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, co było niezgodne z § 4 pkt 1 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych, według którego Polityka Bezpieczeństwa winna zawierać ww. wykaz.

Brak było ponadto dokumentacji dotyczącej półrocznych ocen stanu bezpieczeństwa danych osobowych oraz planów kontroli zawartych w rocznych planach kontroli w DPS dotyczących okresu od stycznia 2014 r. do sierpnia 2017 r., co naruszało zapisy pkt 2 rozdziału 3 Polityki Bezpieczeństwa, według którego, ABI miał sporządzać przedmiotowe dokumenty.

W trakcie kontroli stwierdzono także, że:

  1. nie przedłożono dokumentacji potwierdzających prowadzenie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy. Powyższe było niezgodne z §20 ust. 2 pkt 3 rozporządzenia w sprawie KRI.
  2. nie prowadzono szkoleń osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    • zagrożenia bezpieczeństwa informacji,
    • skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    • stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.

W okresie od stycznia 2014 r. do sierpnia 2017 r. szkolenie przeszło jedynie 2. pracowników (z zakresu ochrony danych osobowych oraz z zakresu Administratora Bezpieczeństwa Informacji oraz ochrony danych osobowych).

  1. nie prowadzono rejestru incydentów oraz nie zawarto w Polityce Bezpieczeństwa wymogu rejestrowania przypadków mających lub mogących mieć wpływ na bezpieczeństwo informacji. Należy wskazać natomiast, że w styczniu 2017 r. nastąpiła awaria elektroniki dysku twardego w komputerze, który stanowił serwer plików i bazy danych Arisco (dane odzyskano). W maju 2017 r. nastąpiła z kolei awaria systemu wynikająca z braku miejsca na dysku serwera. Prowadzenie rejestru incydentów pozwala na monitorowanie liczby oraz rodzaju występujących w DPS przypadków naruszenia lub podejrzenia naruszenia systemu bezpieczeństwa informacji, co z kolei po ich analizie ułatwia wprowadzanie usprawnień mających na celu zmniejszenie ryzyka ich wystąpienia w przyszłości.
  2. nie były prowadzone przez Informatyka DPS czynności kontrolne dotyczące przestrzegania zasad określonych w Zarządzeniu Dyrektora DPS nr 43/12/0120 z dnia 30 października 2012 r. w sprawie określenia zasad korzystania i obsługi sprzętu komputerowego, sieci Internet oraz oprogramowania w DPS,co było niezgodne z §5 ust. 1 przedmiotowych zasad. Według ww. przepisu „w celu badania przestrzegania zasad określonych niniejszym zarządzeniem przeprowadza się kontrole. Czynności kontrolne miał przeprowadzać Informatyk, co najmniej 1 raz w roku.” Przyczyną powyższego było nieprzekazanie do wiadomości przedmiotowego zarządzenia Informatykowi DPS.

Stwierdzono ponadto, że w zawartych umowach:

  • nr 54/15 z dnia 31.08.2015 r. oraz 34/2016 z dnia 01.01.2016 r. na świadczenia usług informatycznych oraz administrowanie siecią komputerową,
  • nr 36/2017 z dnia 01.01.2017 r. na serwis oprogramowania i sprzętu komputerowego,

brak było zabezpieczeń w zakresie przetwarzania danych osobowych z tyt. wykonywania ww. usług informatycznych (np. w postaci  upoważnień do przetwarzania danych osobowych, umów powierzenia przetwarzania danych osobowych). Powyższe naruszało zapisy § 20 ust. 2 pkt 10 rozporządzenia w sprawie KRI, wg którego Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań dot. zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji.

Brak było ponadto możliwości ustalenia daty odebrania uprawnień (usunięcia konta) w odniesieniu do wszystkich 6 pracowników (z którymi rozwiązano umowy o pracę w okresie od 1.01.2016 r. do dnia 31.08.2017 r.) posiadających dostęp do poszczególnych modułów systemu teleinformatycznego Arisco. Powodem powyższego był brak zapisywania w dzienniku logów czynności związanych z usunięciem uprawnień wykonywanych przez administratora systemu. Należy wskazać, że według § 21 ust. 1 rozporządzenia w sprawie KRI, rozliczalność w systemach teleinformatycznych podlega wiarygodnemu dokumentowaniu w postaci elektronicznych zapisów w dziennikach systemów (logach). Zgodnie z § 21 ust. 2 rozporządzenia w sprawie KRI w dziennikach systemów odnotowuje się obligatoryjnie działania użytkowników lub obiektów systemowych polegające m.in. na dostępie do systemu z uprawnieniami administracyjnymi. Poza informacjami wymienionymi w ust. 2 mogą być odnotowywane działania użytkowników lub obiektów systemowych, a także inne zdarzenia związane z eksploatacją systemu w postaci m.in. działań użytkowników nieposiadających uprawnień administracyjnych (§ 21 ust. 3 pkt 1 rozporządzenia w sprawie KRI).

W 4. na 6 zbadanych przypadków nie było jednocześnie możliwości ustalenia daty zwrócenia się przez Administratora danych bądź osoby wyznaczonej do Informatyka DPS z prośbą o cofnięcie uprawnień do ww. systemu (brak korespondencji dokumentującej powyższe).

Funkcjonująca w DPS Polityka Bezpieczeństwa regulowała kwestie dotyczące:

  1. opisu zdarzeń naruszających ochronę danych osobowych,
  2. zabezpieczenia danych osobowych,
  3. kontroli przestrzegania zasad zabezpieczenia danych osobowych,
  4. postępowania przy naruszeniu danych osobowych,
  5. instrukcji zarządzania systemem informatycznym, w tym zasady związane z postępowaniem z hasłami i identyfikatorami, rejestrowaniem i wyrejestrowaniem użytkowników, rozpoczęcia i kończenia pracy w systemie, tworzenia oraz przechowywania kopii awaryjnych, ochrony systemu informatycznego przed wirusami,

W zasadach korzystania i obsługi sprzętu komputerowego określone zostały reguły korzystania z komputerów, sieci komputerowej, dostępu do Internetu, wykonywania kontroli oraz sporządzania dokumentacji.

 III. Uwagi i zalecenia

Prezydenta Miasta Szczecin zalecił:

W zakresie bezpieczeństwa informacji:

  1. Zgłoszeniedo rejestracji Generalnemu Inspektorowi Danych Osobowych wszystkich zbiorów danych osobowych funkcjonujących w DPS, zawierających lub mogących zawierać dane wrażliwe, oraz prowadzenie w DPS rejestru zbiorów danych osobowych przetwarzanych przez Administratora danych.
  2. Wystawienie przez Administratora danych osobom przetwarzającym dane osobowe stosownych upoważnień oraz prowadzenie w DPS ewidencji osób upoważnionych do przetwarzania danych osobowych.
  3. Opracowanie i wprowadzenie do funkcjonowania w DPS Polityki Bezpieczeństwa (zapoznając z nią wszystkich pracowników DPS) odpowiadającej przepisom prawa w szczególności Rozporządzenia w sprawie KRI oraz ustawy o ochronie danych osobowych.
  4. Podjęcie działań mających na celu uwzględnienie od 25.05.2018 r. w procedurach (Politykach) DPS w zakresie bezpieczeństwa danych osobowych, przepisów Rozporządzenia Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r.
  5. Wprowadzenie zasady stosowania w systemach teleinformatycznych hasła składającego się co najmniej z 8 znaków, zawierającego małe i wielkie litery oraz cyfry lub znaki specjalne.
  6. Doprowadzenie do zgodności ze stanem faktycznym danych zawartych w rejestrze administratorów bezpieczeństwa informacji prowadzonym przez GIODO.
  7. Ustalenie podległości osoby pełniącej funkcję ABI Dyrektorowi DPS.
  8. Sporządzenie i prowadzenie wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.
  9. Przeprowadzanie półrocznych ocen stanu bezpieczeństwa danych osobowych oraz sporządzanie stosownej dokumentacji (protokół, raport) z przeprowadzonych czynności.
  10. Prowadzenie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy.
  11. Przeprowadzenie szkoleń osób zaangażowanych w proces przetwarzania informacji z uwzględnieniem zagadnień wskazanych w § 20 ust. 6 rozporządzenia w sprawie KRI.
  12. Ewidencjonowanie wszystkich zdarzeń mających lub mogących mieć wpływ na system bezpieczeństwa informacji w DPS (w tym zdarzeń związanych z systemami teleinformatycznymi) w stosownym rejestrze incydentów.
  13. Zapoznanie Informatyka DPS z zasadami korzystania i obsługi sprzętu komputerowego (zawartymi w zarządzeniu nr 43/12/0120 z dnia 30.10.2012 r.) oraz realizowanie przez Informatyka zapisu dot. przeprowadzania co najmniej raz w roku kontroli w zakresie realizacji zasad zawartych w ww. zarządzeniu.
  14. Podjęcie działań zmierzających do uregulowania oraz zabezpieczenia danych osobowych, do których dostęp posiada Informatyk w ramach realizacji umowy na serwis oprogramowania i sprzętu komputerowego.
  15. Wprowadzenie zasady dokumentowania/rejestrowania zdarzeń dotyczących odbierania uprawnień do systemów informatycznych DPS poszczególnym osobom (np.: wnioski o odebranie uprawnień, adnotacje, notatki służbowe, logi systemowe, korespondencja z administratorem systemu itp.).

W zakresie gospodarowania składnikami majątkowymi:

  1. Doprowadzenie do zgodności ewidencji środków trwałych i wyposażenia ze stanem stwierdzonym podczas 4-letniego spisu z natury.
  2. Identyfikacja sprzętu komputerowego w DPS i DDPS zgodnie z zarządzeniem Dyrektora nr 43/12/0120.
  3. Ustalenie miejsca przechowywania telefonów Microsoft Lumia 950 XL Dual Simz kartą SIM, Samsung Galaxy Grand Prime nr 356…5804, Samsung N910 Galaxy Note 4 oraz podjęcie działań w celu ich odzyskania.
  4. Każdorazowe kompletne dokumentowanie inwentaryzacji rocznej.
  5. Bieżące prowadzenie rejestru protokołów likwidacyjnych.
  6. Niezwłoczne utylizowanie zlikwidowanych składników majątkowych.
  7. Dokumentowanie utylizacji elektrośmieci.
  8. Ustalenie funkcjonalnych zasad prowadzenia ewidencji ilościowej.
  9. Doprowadzenie do zgodności osób materialnie odpowiedzialnych z majątkiem, który faktycznie został im powierzony do użytkowania.
  10. Naniesienie na składniki majątkowe brakujących numerów inwentarzowych.
  11. Wyegzekwowanie od byłego dyrektora DPS oraz głównego księgowego, zestawów do podpisu kwalifikowanego lub obciążenie ich notą za okres ważności podpisu, gdy nie świadczyli już pracy na rzecz DPS.
  12. Weryfikację majątku ujętego w magazynie podręczno – rzeczowym i przypisanie go do konkretnych pomieszczeń DPS lub DDPS.
  13. Opracowanie procedur i wskazanie osób odpowiedzialnych za gospodarowanie w DPS służbowymi telefonami komórkowymi.

W zakresie współpracy ze Stowarzyszeniem:

  1. Podjęcie działań w kierunku ustalenia liczby i rodzaju składników majątkowych znajdujących się poza DPS, a następnie próbę ich odzyskania.
  2. Każdorazowe wystawianie dokumentów magazynowych w sytuacji przyjęć towaru oraz ujmowanie ich w ewidencji księgowej.
  3. Realizowanie przez kierowców wyjazdów związanych wyłącznie z działalnością statutową DPS.

W zakresie wynagrodzeń i ZFŚS:

  1. Prowadzenie przez pracownika ds. kadr pełnej ewidencji czasu pracy kadry kierowniczej i dyrektora, zwłaszcza absencji spowodowanej podróżami służbowymi.
  2. Bieżące prowadzenie rejestru delegacji, szczególnie pod kątem informacji o wyjazdach zrealizowanych i anulowanych.
  3. Bezwzględne stosowanie zapisów regulaminu ZFŚS oraz zawartych umów o pożyczki mieszkaniowe.
  4. Uzależnienie wysokości dopłat do wyjazdów integracyjnych od sytuacji życiowej, rodzinnej i materialnej osób uprawnionych.
  5. Informowanie emerytów i rencistów DPS o świadczeniach finansowanych ze środków ZFŚS.

W zakresie realizacji umowy nr 70/2017:

  1. Wprowadzenie mechanizmów służących kontroli zawieranych umów pod kątem zabezpieczenia interesów majątkowych DPS, w szczególności kar za nieterminową realizację przedmiotu umowy.

udostępnił:
Wydział Kontroli i Audytu Wewnętrznego
wytworzono:
2018/01/09
odpowiedzialny/a:
Andrzej Lejk
wprowadził/a:
Andrzej Lejk
dnia:
2018/01/09 10:43:47
historia zmian:
Wprowadził Data modyfikacji Rodzaj modyfikacji
Andrzej Lejk 2018/01/09 10:43:47 Dodanie informacji o przeprowadzonej kontroli