Piotr Krzywonos

Piotr Krzywonos strażnik, ABI

Temat: Archiwum zakładowe

Czy konieczne jest prowadzenie ewidencji wejść/wyjść archiwum zakładowego?
W firmie jest wyznaczonych dwóch archiwistów, czy zatem musi być prowadzona taka ewidencja? Do archiwum ma dostęp także szef jednostki.
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Archiwum zakładowe

Jeśli jakieś przepisy nie nakazują tego typu rozwiązania to pewnie NIE MUSI (nic Pan nie napisał na temat co to za zakład jest).

Ale...
Zagadka detektywistyczna:
jeśli dziś kierownik wejdzie do pomieszczenia i zauważy, że od przedwczoraj zniknęły jakieś dokumenty, to co zrobi? Wezwie obu pracowników: "Który z Was był wczoraj w archiwum?" Obaj odpowiedzą: "nie ja".
Mamy wtedy trzy możliwości:
- dokumenty wyniósł kierownik
- dokumenty wyniósł pracownik 1
- dokumenty wyniósł pracownik 2

To jak to rozwiązać?
Ewidencja (obowiązująca wszystkich - pracowników i kierownika) może zapobiec tego typu dylematom.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Archiwum zakładowe

I na co odpowie? Że był któryś z nich? A jak był każdy? Jeden wyniósł dwa segregatory, drugi pięć teczek, a trzeci 17 stron maszynopisu? Jak sprawdzić?

Musiałaby zawierać informacje o materiale, do którego był dostęp. Ale Piotr pracuje w SM, a tam, jakby była potrzeba aż tak silnego nadzoru, poszło by to w niejawne. I tam już jest pełna ewidencja, kto do czego miał dostep, z czego odpisy robił etc.

Poza tym, do archiwum zakładowego przekazywane są akta spraw zamkniętych i to co najmniej 12 miesięcy temu (zależnie od zapisu instrukcji kancelaryjnej).

I żeby ciekawiej było - zawierać mogą naprawdę wiele różnych typów informacji. Za mało teraz danych, żeby rozstrzygać, które z nich wazniejsze, które mniej.

Niemniej, mam wrażenie, że w tym konkret zakresie więcej powiedzą spece z archiwum państwowego (wszak to oni powinni wam "pomóc" przy tworzeniu instrukcji kancelaryjnej i archiwalnej jednostki).

A co do ewidencji - dyżury, plus obowiązkowo książka kluczy - klucze w pojemniki bezpieczne i już masz ewidencję. A reszta - kierownik archiwum, nie wyręczaj go. Razem z nim powinienes tworzyć zespół
Piotr Krzywonos

Piotr Krzywonos strażnik, ABI

Temat: Archiwum zakładowe

Dzięki za odpowiedzi, jak dla mnie też bezpieczniej będzie jak będzie ewidencja. A co do archiwum państwowego, to instrukcja kancelaryjna była uzgadniana z nim.

Inspiracją - jeśli można tak napisać ;) - pytania była lektura jednej z pokontrolnych decyzji GIODO (DIS/DEC – 5/175/09), w której napisane było:
"Ze złożonych wyjaśnień wynika, iż:
[...]
6. Prowadzona jest ewidencja wejść i wyjść z archiwum, jak również fakt wypożyczenia
z archiwum dokumentacji zawierającej dane osobowe jest ewidencjonowany.
[...]"
i to wzbudziło moje wątpliwości czy ewidencja jest wymagana.

konto usunięte

Temat: Archiwum zakładowe

Bezwzględnie nie jest wymagana. Ale czasem wymagania to jedno, a zdrowy rozsądek to drugie.
Piotr Krzywonos

Piotr Krzywonos strażnik, ABI

Temat: Archiwum zakładowe

Dziękuję za wypowiedź.
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Archiwum zakładowe

Grzegorz K.:
I na co odpowie? Że był któryś z nich? A jak był każdy? Jeden wyniósł dwa segregatory, drugi pięć teczek, a trzeci 17 stron maszynopisu? Jak sprawdzić?

Nie jestem aż tak "mądry inaczj", by twierdzić, że ewidencja wskaże ewentualnemu detektywowi winowajcę. Ewidencja to jedno z wielu zabezpieczeń systemu, w którym i tak najsłabszym ogniwem jest człowiek. I dla tego słabego ogniwa owa ewidencja ma walor psychologiczny.

Podejrzewam, że proponowane przez Pana rozwiązanie "dyżury, plus obowiązkowo książka kluczy - klucze w pojemniki bezpieczne i już masz ewidencję." również nie wskazałoby wiele ewentualnemu detektywowi :-).

Oczywiście jak najbardziej się zgadzam z Panem, że stworzenie dobrego zespołu razem z kierownikiem często jest najlepszym zabezpieczeniem.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Archiwum zakładowe

Nie zrozumieliśmy się. Chyba coś z moimi skrótami myślowymi ;-))

Proponowane przeze mnie rozwiązanie oznacza, że dane osoby odpowiadają za archiwum. Natomiast sam sposób postępowania z aktami w nim zgromadzonymi, regulowane jest instrukcją - odrębna niż dokumentacja obowiązkowa systemu ochrony danych osobowych (to też skrót, ale chyba bardziej zrozumiały).

Innymi słowy, dla dokumentacji archiwalnej, jest stosowny akt prawny, ustawa o narodowym zasobie archiwalnym i archiwach. Tam są wytyczne co do postępowania, często dostępu etc.

Wracając do tych osób i dyżurów. Osoby te w oznaczonych dniach odpowiadają za przestrzeganie zasad ustalonych w regulacjach wewnętrznych i zewnętrznych przepisach prawa. I to jest pierwsze zabezpieczenie. Ewidencja samego przebywania jest troszkę "krótka" w przypadku niektórych materiałów zgromadzonych w archiwum. Poza tym, osobiście nie dopuściłbym osób do przebywania samodzielnie w archiwum, z powodu wielu nakładających się zakresów zabezpiecznia zabezpieczenia(wiele rodzajów informacji chronionych z różnych przepisów prawnych).

Osoba mająca dyżur i udzielająca dostępu oraz "wypożyczająca" akta odpowiada w tym momencie za przestrzeganie zasad dostępu do materiałów i realizację stosownych, "zakresowych" czynności.

W przypadku dajmy na to akt zawierających akty planowania, akty prawne (kategoria A) nie musimy za dużo ewidencjonować, dostęp i tyle, odpis i już. Ogólnie nawet i tego bym nie ewidencjonował, tylko wypożyczył na książkę.

O tyle akta sprawy, według GIODO to zbiór danych osobowych (jak potrzeba odszukam interpretację). A Straż, w której pracuje Piotr, prowadzi samodzielnie sprawy o wykroczenia. I choćby w tym wąskim zakresie, ma dodatkową regulację, dotycząca postępowania w sprawach o wykroczenia, wraz z dostępem do danych wrażliwych (skazania, mandaty, czasem stan zdrowia etc.) Oznacza to, że dostęp do tych materiałów:
1. musi zostać udostępniony po zweryfikowaniu upoważnienia do przetwarzania danych osobowych (i tu ten temat zespołu o którym mówiłem - ABI plus kier. archiwum),
2. informacja o dostępie do danych osobowych, sporządzonym odpisie, etc (art 32 ust 1, np w sytuacji gdy akta sprawy "odgrzebano" ze względu np na recydywę, czy też żądanie sądu czy uprawnionego organu - z zastrzeżeniem tajemnicy postępowania przygotowawczego)
3. Warto na "kwicie wydania" mieć tez pouczenie, jeśli akta zawierają dane osobowe, o obowiązkach "wypożyczającego".

Do tego, żeby nie było za lekko, często w materiale przechowywany jest wizerunek osób, co znowu wiąże się z objęciem ochroną. Zapis z monitoringu, czasem dokumentacja zdjęciowa. Jeśli dotyczy zidentyfikowanej osoby - rzecz jasna, dane osobowe, ale do tego tez ochrona wizerunku, czyli prawo autorskie i pokrewne, zdaje się art w okolicach 81-83 (sorki, z pamięci).

I wiele więcej...

Podsumuję.

Archiwum zawiera w swoich zasobach wiele informacji, które stanowią różne tajemnice. W związku z tym, prowadzenie go wymaga dużo dalej idącego zabezpieczenia, niż tylko ewidencja osób wchodzących. Mało tego, uważam, że ewidencja wchodzących nie jest adekwatnym, bo z racji wcześniej wymienionych kategorii informacji, nikt nie powinien w nim przebywać bez nadzoru kierownika lub osoby upoważnionej. Bo poza kierownikiem jednostki (organizacyjnej), obsługa archiwum, mało kto posiada wszystkie upoważnienia do wszystkich zakresów tajemnic, jakie w archiwum można znaleźć.

Dlatego wydawanie akt - tylko przez uprawnionego. Z ewidencją, kto i co wydał, komu wydał. W przypadku zakresów objętych tajemnicą, np dane osobowe - dodatkowa procedura weryfikacji uprawnień oraz rejestracja dostępu.

Etc, etc.

Dziś postarałem się bez skrótów. Ale ja takimi elaboratami to zamęczę... ;-)))

konto usunięte

Temat: Archiwum zakładowe

A ja te elaboraty chętnie czytam więc nie żałuj treści;)



Wyślij zaproszenie do