Seznam nejčastějších rizik při výkonu spisové služby v souvislosti s GDPR

Máte-li zájem o audit spisové služby a archivnictví nebo odborné konzultace k vedení spisové služby, tak nás neváhejte kontaktovat.

• Neprovádění novelizace spisového řádu a vnitřních předpisů původce v souvislosti se změnami právních předpisů v oblasti správy dokumentů nebo při změnách metodiky výkonu spisové služby, popřípadě nesoulad reálného stavu výkonu spisové služby se zněním textu spisového řádu či absence specifikace provádění některých činností spojených s výkonem spisové služby, tak jak jej stanoví právní předpisy (např. neuvedení dokumentů, které nepodléhají evidenci, neupravení používání razítek se státním znakem, el. podpisu, el. pečetě, el. časového razítka a řady dalších).
• Neprovádění novelizace spisového a skartačního plánu v souvislosti se změnami právních předpisů, zejména v nastavení délky skartačních lhůt dokumentů či aktualizace spisových znaků, včetně aktualizace vykonávaných agend, typů dokumentů, s nimiž se nakládá, atd.
• Nezaslání spisového a skartačního plánu k uložení archivu, popřípadě nezaslání spisového a skartačního plánu po jeho aktualizaci se změnami platnými od 1.7.2023
• Nezveřejňování informací o provozu podatelny a podmínkách přijímání dokumentů na úřední desce či internetových stránkách nebo jejich neúplné či neaktuální znění.
• Neprovádění kontrol splnění požadavků Národního standardu pro elektronické systémy spisové služby na funkcionality eSSL a informační systémy spravující dokumenty a samostatné evidence dokumentů vedené v elektronické podobě, metadata a rozhraní k jejich propojení. Zejména jde o plnění požadavků na metadata, zálohování, záznam operací do transakčního protokolu, ztvárnění, správcovské funkce, rozhraní k propojení informačních systémů spravujících dokumenty, dokumentaci k eSSL atd.
• Neprovádění kontrol plnění požadavků na vedení evidence dokumentů v listinné podobě (podacího deníku a samostatných evidencí dokumentů), například rubrikace, číslování stran, pevné vazby, ukončení zápisů atd.
• Neprovádění kontroly dokumentů na přítomnost škodlivých kódů či neaktualizování antivirových nástrojů pro kontrolu škodlivých kódů.
• Neaktualizování přijímaných datových formátů na elektronické podatelně či v eSSL.
• Neprovádění ověření, zda jsou datová zpráva a dokument v ní obsažený podepsány elektronickým podpisem, uznávanou elektronickou pečetí, kvalifikovaným elektronickým časovým razítkem, a ověření platnosti uznávaného elektronického podpisu, uznávané elektronické pečeti, kvalifikovaného elektronického časového razítka.
• Neodesílání zprávy o potvrzení doručení datové zprávy na elektronickou podatelnu či nesprávné znění této zprávy.
• Neprovádění kontrol vedení evidence úředních razítek či její chybné vedení, popřípadě neřešení ztrát úředních razítek řádným způsobem.
• Neprovádění kontrol vedení evidence elektronických podpisů či její chybné vedení.
• Nevedení typového spisu k eSSL.
• Neevidování dokumentů úředního charakteru v evidenční pomůcce (vč. neevidování datových zpráv doručených prostřednictvím Informačního systému datových schránek či elektronické podatelny původce, popř. do služební e­-mailové schránky zaměstnance).
• Neoznačování dokumentů jednoznačnými identifikátory, čísly jednacími. Neoznačování listinných podání podacím razítkem či jeho neúplné vyplnění nebo neúplná rubrikace.
• Nedostatky v evidenci dokumentů, tzn. absence nebo neúplnost či nesprávnost povinných údajů (kvantita dokumentů, obsah a forma dokumentu, spisový a skartační znak a skartační lhůta – podle aktuálního spisového plánu, identifikace odesílatele, údaje o odeslání a vyřízení dokumentu, změny vlastníka dokumentu atd.).
• Nedostatky v tvorbě a evidenci spisů, tzn. absence či neúplnost nebo nesprávnost povinných údajů (obsah, forma a popis spisu, spisový a skartační znak a skartační lhůta – podle aktuálního spisového plánu, změny vlastníka spisu, údaje o odeslání a vyřízení spisu atd.).
• Používání nesprávného tvaru čísla jednacího a spisové značky.
• Nedostatky ve vyhotovování dokumentů, především neuvádění kontaktních údajů, čísla jednacího dokumentu původce, informací o kvantitě dokumentu, data podpisu, jména, příjmení a funkce fyzické osoby pověřené jeho podpisem.
• Nedostatky v podepisování dokumentů, zejména u dokumentů v digitální podobě; nezajištění důvěryhodnosti a autenticity dokumentu; absence kvalifikovaného elektronického podpisu nebo použití kvalifikovaného elektronického podpisu jiné osoby než uvedené na dokumentu jako podepisující; nepoužití uznávané elektronické pečeti, kvalifikovaného elektronického časového razítka.
• Neodesílání dokumentů přednostně prostřednictvím Informačního systému datových schránek z eSSL, ale v listinné podobě, případně e­-mailem ze schránky zaměstnance.
• Nepřevádění elektronického dokumentu do výstupního datového formátu nejpozději v okamžiku uzavření spisu či vyřízení dokumentu.
• Nevyřizování dokumentů a spisů řádně a včas. Zejména se jedná o zpětné vyřizování, s nesprávnými metadaty, při hromadných operacích atd.
• Vyřízení dokumentu, vyřízení spisu (uzavření) v eSSL bez provedení kontroly metadat podle NSESSS.
• Nedostatky ve vedení jmenného rejstříku u určených původců.
• Nekontrolování dokumentů a spisů před jejich převzetím do spisovny, zejména kompletnosti, provedení kontroly metadat podle NSESSS, zatřídění do správného spisového znaku atd.
• Neplnění požadavků na ukládání dokumentů ve spisovnách (vč. digitální spisovny). Zejména se jedná o ukládání podle spisových znaků, řádné vedení evidence uložených dokumentů a evidence o zapůjčování a nahlížení do dokumentů, zajištění stavebně­-technických a bezpečnostních požadavků.
• Nekontrolování uložení dokumentů a spisů ve spisovnách.
• Neprovádění pravidelného a řádného skartačního řízení s příslušným archivem v souladu s právními předpisy.
• Neprovádění skartačního řízení dokumentů evidovaných v samostatných evidencích dokumentů vedených v elektronické podobě podle požadavků NSESSS.
• Neprovádění výmazu elektronických obrazů dokumentů a nehlavičkových metadat (a osobních údajů ve jmenném rejstříku u určených původců) po dokončení skartačního řízení z eSSL a samostatných evidencí dokumentů vedených v elektronické podobě.
• Neodstraňování elektronických souborů a metadat z informačních systémů spravujících dokumenty po provedení skartačního řízení dokumentů v nich dříve vyřizovaných.
• Nekontrolování řádného a nerekonstruovatelného likvidování dokumentů v listinné i digitální podobě.
• Nekontrolování přidělování přístupových a uživatelských oprávnění do eSSL, případně do samostatných evidencí dokumentů a informačních systémů spravujících dokumenty.
• Neprovádění spisových rozluk při reorganizaci původce (či dokonce jeho likvidaci).
• Poškození nebo ztráta dokumentů a spisů v listinné či digitální podobě.

Další rizika plynoucí z neplnění povinností

Další rizika plynou z neplnění povinností stanovených právními předpisy v oblasti výkonu spisové služby. Zejména se jedná o:

• zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů,
• vyhlášku č. 259/2012 Sb., o podrobnostech výkonu spisové služby,
• Národní standard pro elektronické systémy spisové služby, publikovaný ve Věstníku Ministerstva vnitra, částka 57/2017 (část II),
• zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů,
• zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce,
• zákon č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů a další.