KPO a archiwizacja dokumentacji. Pierwsze kontrole CPPC już ruszyły.
Dostęp do nieruchomości leśnych – ważny projekt decyzji Prezesa UKE
7 sierpnia, 2025
Dostęp do nieruchomości leśnych – aktualizacja w sprawie ważnego projektu decyzji Prezesa UKE
10 września, 2025
Pokaż wszystko
0

Realizacja KPO to nie tylko budowa sieci i obejmowanie zasięgiem kolejnych punktów adresowych. To również obowiązki związane z rozliczalnością projektu i otrzymanego dofinansowania. Docierają do nas sygnały, że CPPC ruszyło z kontrolami realizacji projektów, a jednym z elementów, które chce skontrolować CPPC jest wykonywanie obowiązków dotyczących archiwizacji dokumentów (w zakresie zapewniania zgodności warunków archiwizacji zgodnie z przepisami Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046).

Co mówią przepisy o archiwizacji dokumentów?

Zacznijmy od tego, że Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 zostało nie tak dawno zastąpione (uchylone) przez Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2024/2509. Zmiany w zakresie obowiązków dotyczących przechowywania dokumentacji nie są jednak na tyle duże, żeby nieaktualna podstawa prawna kontroli miała wpływ na same obowiązki. Oddajmy „głos” treści przepisów:

  1. Odbiorcy przechowują dokumentację i dokumenty potwierdzające, w tym również dane statystyczne i inne dokumenty dotyczące finansowania, a także dane i dokumenty w formie elektronicznej, przez okres pięciu lat po płatności salda lub, w przypadku braku takiej płatności, po przeprowadzeniu transakcji. Okres ten wynosi trzy lata, w przypadku gdy kwota finansowania nie przekracza 60 000 EUR.
  2. Dane i dokumenty dotyczące audytów, odwołań, postępowań sądowych, dochodzenia roszczeń związanych z zobowiązaniami prawnymi lub dotyczące dochodzeń prowadzonych przez OLAF przechowuje się do momentu zamknięcia tych audytów, odwołań, postępowań sądowych, dochodzenia roszczeń lub dochodzeń. W przypadku danych i dokumentów dotyczących dochodzeń prowadzonych przez OLAF obowiązek przechowywania ma zastosowanie po powiadomieniu odbiorcy o tych dochodzeniach.
  3. Dane i dokumenty przechowuje się w formie oryginałów albo ich uwierzytelnionych odpisów albo na powszechnie uznanych nośnikach danych, w tym również jako elektroniczne wersje dokumentów oryginalnych lub dokumenty istniejące wyłącznie w wersji elektronicznej. W przypadku gdy istnieje wersja elektroniczna, oryginały nie są wymagane, gdy dokumenty takie spełniają mające zastosowanie wymogi prawne, aby można było je uznać za równoważne z oryginałami i polegać na nich do celów audytu.

Wnikliwy czytelnik pewnie zauważy, że sam przepis określa jedynie to, co beneficjent (odbiorca) ma zrobić, ale nie precyzuje już tego jak ma to zrobić. Zatem jak żyć i co zrobić, żeby wywiązać się z obowiązku?

Odpowiedź pewnie zmartwi przeciwników biurokracji, ale niestety remedium jest jedno – dokumentować, dokumentować i jeszcze raz dokumentować oraz oczywiście najważniejsze – wykonywać ową dokumentację! W wezwaniach CPPC wskazuje wprost, że chce uzyskać wgląd w dokumenty określające sposób archiwizowania dokumentów w Państwa instytucji (zarządzenia, procedury, regulaminy, itp.). W szerszym obrazku, informacje związane z realizacją projektu są po prostu szczególnego rodzaju informacjami, co do których istnieje wymóg prawny ochrony tych informacji (tj. ich przechowania) przez odpowiedni okres. Natomiast to, w jaki sposób beneficjent będzie te dokumenty przechowywać, pozostaje w gestii beneficjenta. Zasadne jest tu zastosowanie podejścia systemowego i zapewnienie, żeby informacje (dokumenty) były objęte ochroną zapewniającą ich poufność, integralność i dostępność. To, w jaki sposób beneficjent zapewni przechowywanie dokumentacji i zapewnienie jej bezpieczeństwa powinno zostać „uszyte” na miarę możliwości danego przedsiębiorstwa i być adekwatne do zidentyfikowanego ryzyka.

Od czego zatem zacząć?

  • najlepiej od zastanowienia się i uporządkowania stanu obecnego – co w tej chwili robi organizacja, żeby zapewnić bezpieczne przechowywanie i dostęp do dokumentacji związanej z projektem. Nie ma tu złych odpowiedzi, a ze wszystkich „grzechów” trzeba się wyspowiadać;
  • następnie można pobawić się w futurologię i pomyśleć, „co może pójść nie tak?”. Może padnie serwer, na którym znajdują się dokumenty elektroniczne? Może pracownik kliknie w link phishingowy albo przez podatność systemu organizacja padnie ofiarą ataku ransomware? Wiadomo, że można nie przewidzieć wszystkiego, ale i tak warto wiedzieć, gdzie leży ryzyko utraty, wycieku albo nieuprawnionej modyfikacji dokumentów, żeby tym ryzykiem odpowiednio zarządzić;
  • potem trzeba zrobić rachunek sumienia i odpowiedzieć na pytanie, czy organizacja robi już coś, co ma zapobiec utracie, wyciekowi albo modyfikacji dokumentów, albo czy da się coś zrobić lepiej na wypadek, gdyby „coś poszło nie tak”. To jest właśnie etap „szycia” procedur na miarę możliwości przedsiębiorstwa;
  • na końcu wystarczy wszystko… spisać W zależności od tego, jak dotychczas wyglądało zarządzanie bezpieczeństwem informacji w przedsiębiorstwie i jak ma wyglądać w przyszłości, sposób i bezpieczeństwo dokumentacji dotyczącej projektu może stać się osobną polityką tematyczną będącą elementem większego systemu, a może po prostu być zarządzeniem kierownictwa dotyczącym obowiązków pracowniczych bądź wewnętrznym regulaminem dotyczącym sposobu postępowania z dokumentacją projektu KPO.

Trzeba pamiętać przy tym, że „papierki” nie powinny być „puste”. Jak wiadomo, papier wszystko przyjmie i dokumentacja przygotowana pod kontrolę CPPC może zawierać fantastycznie opisane procedury, zapewniające najwyższy poziom bezpieczeństwa jakiego nawet służby państwowe nie widziały. Tylko co z tego, jeśli żaden z pracowników nie będzie znał procedur opisanych w tej dokumentacji i nie będzie się do nich stosował? Finalnie to beneficjent opowiada za realizację obowiązku. Dokumentacja bezpieczeństwa informacji nie powinna być tylko „sztuką dla sztuki wyłącznie w celu uzewnętrznienia wykonania obowiązków”. Zawarte w niej procedury mają konkretny cel – chronić informacje w organizacji (w tym przypadku związane z projektem unijnym). Lepiej zapobiegać niż leczyć i nie testować cierpliwości CPPC, gdyby „coś poszło nie tak”, a dokumentacja projektu się straciła. Wtedy dopiero mądry Polak po szkodzie przekona się, jak przydatne są takie „papierki”

Zapewne niektórym czytelnikom po lekturze tego wpisu zapali się w głowie „lampka” związana z NIS2 i krajowym systemem cyberbezpieczeństwa – i słusznie. Systemowe podejście do archiwizacji dokumentacji dotyczącej projektu KPO może dla niektórych stanowić przedsmak tego, co będzie czekać przedsiębiorców w erze „po NIS2”, tylko na większą skalę i w odniesieniu do szerszego katalogu informacji. Już teraz planując bezpieczeństwo dokumentacji dot. KPO warto spojrzeć na zagadnienie szerzej i zastanowić nad tym, w jaki sposób ogólnie chronione są w przedsiębiorstwie informacje (nie tylko dokumentacja KPO, ale też dane abonentów, umowy handlowe, umowy abonenckie czy dane transmisyjne) oraz nad tym, czy owy „wycinek” dotyczący KPO ma w przyszłości stać się częścią większego systemu.

Anna Szura

Radca prawny / Audytor wiodący ISO 27001

Anna Szura
Anna Szura

Powiązane wpisy

2 grudnia, 2025

NIS 2 – wdrażać czy czekać? Kto odpowiada za (nie)wdrożenie regulacji?

Czytaj dalej
17 września, 2025

NIK kontroluje FERC

Czytaj dalej
12 stycznia, 2024

UWAGA na (pozornie błahe) zmiany w dokumentacji konkursowej KPO/FERC z 3.1.2024 [AKTUALIZACJA]

Czytaj dalej

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

CAPTCHA

*