Udostępnianie akt w instytucji publicznej: procedura, protokół i zabezpieczenia

Dlaczego udostępnianie akt to newralgiczny moment w obiegu dokumentów

Jawność działania a ochrona informacji – dwa obowiązki, jeden konflikt

Udostępnianie akt w instytucji publicznej łączy dwa przeciwstawne kierunki: z jednej strony wymóg przejrzystości i jawności działania, z drugiej – ochronę danych osobowych, tajemnic prawnie chronionych i interesów stron postępowania. To właśnie w chwili, gdy akta wychodzą z szafy, sejfu lub systemu elektronicznego i trafiają do rąk osoby z zewnątrz, widać, czy instytucja faktycznie panuje nad swoją dokumentacją.

Jeżeli procedura udostępniania akt jest nieprecyzyjna, nadmiernie uznaniowa albo w ogóle nieopisana, organizacja prędzej czy później mierzy się z zarzutami: „odmówiono mi bez podstawy prawnej”, „ujawniono dane, których nie powinniśmy widzieć”, „zgubiono dokument”. I nie ma znaczenia, czy mowa o małym urzędzie gminy, dużym szpitalu czy jednostce pomocy społecznej – mechanizmy ryzyka są bardzo podobne.

Jawność nie zwalnia z tajemnicy, a tajemnica nie kasuje obowiązku udostępniania. Cała sztuka polega na tym, aby od początku procedury jasno wiedzieć, komu, co i na jakiej podstawie wolno pokazać, skopiować lub przesłać. Bez tego każda decyzja staje się loterią – i mało kto lubi takie emocje w dokumentach.

Udostępnianie akt jako test jakości prowadzenia dokumentacji

Moment, w którym trzeba wyjąć konkretną teczkę, odszukać właściwą sprawę i w rozsądnym czasie ją przedstawić, jest bardzo praktycznym testem jakości całego systemu kancelaryjnego. Jeśli akta są prowadzone z opóźnieniem, dokumenty wpinane „kiedyś”, a rejestry spraw nieaktualne, udostępnianie staje się koszmarem: szukanie po pokojach, telefonowanie do kilku działów, nerwowe przeglądanie papierów.

Prawidłowo prowadzona dokumentacja sprawia, że czas od wpływu wniosku o udostępnienie do faktycznego udostępnienia akt jest przewidywalny. Pracownik wie, gdzie szukać teczki, jakie dokumenty powinny w niej być, a które znajdują się jeszcze w innym miejscu (np. w archiwum zakładowym). Jeśli natomiast przy każdym wniosku trzeba tworzyć „specjalną akcję poszukiwawczą”, to sygnał, że oprócz samej procedury udostępniania kuleje cały obieg dokumentów.

Udostępnianie akt obnaża też braki w oznaczaniu dokumentów, numeracji stron, opisach teczek czy podpisach elektronicznych. Jeżeli akta są niekompletne lub niespójne, petent czy organ kontrolny bardzo szybko to zauważy. I nie będą miały znaczenia tłumaczenia o brakach kadrowych – liczy się efekt.

Ryzyka niewłaściwego udostępniania – od drobnej wpadki do poważnych konsekwencji

Najpoważniejszym zagrożeniem związanym z udostępnianiem akt jest ujawnienie danych lub informacji, które nie powinny trafić do wnioskodawcy. Chodzi przede wszystkim o:

• dane osobowe osób trzecich (np. świadków, sąsiadów, innych beneficjentów pomocy),
• dane wrażliwe, w szczególności o zdrowiu, sytuacji rodzinnej, przekonaniach religijnych czy pochodzeniu etnicznym,
• informacje niejawne lub objęte tajemnicą zawodową (lekarską, adwokacką, statystyczną itd.),
• informacje stanowiące tajemnicę przedsiębiorstwa.

Nie chodzi wyłącznie o przepisy RODO czy ustaw o ochronie informacji niejawnych. Ujawnienie takich danych może skutkować odpowiedzialnością służbową, dyscyplinarną, a nawet cywilną – w szczególności, gdy osoba, której dane ujawniono, poniesie z tego tytułu szkodę lub dozna naruszenia dóbr osobistych.

Po drugiej stronie znajduje się odpowiedzialność za bezpodstawne odmawianie dostępu do akt. Zbyt zachowawcze podejście („lepiej nie udostępniać niczego”) może prowadzić do przegranych skarg, wyroków sądów administracyjnych i zarzutów naruszenia prawa do informacji. Dlatego tak istotne jest, aby każda odmowa lub ograniczenie dostępu opierały się na konkretnym przepisie i były udokumentowane.

Jak bałagan przy udostępnianiu przeradza się w bałagan w aktach

Jeżeli instytucja nie ma czytelnej procedury udostępniania akt, pracownicy improwizują. Jeden pożycza teczkę do pokoju bez wpisu w rejestrze, drugi wydaje skany bez potwierdzenia, trzeci zgadza się na wyniesienie oryginałów „na chwilę” do innego budynku. Po kilku miesiącach trudno ustalić, gdzie są oryginały, kto miał dostęp i czy coś z akt nie zniknęło.

Brak formalnego protokołu udostępnienia akt powoduje, że niemożliwe staje się prześledzenie historii dostępu do dokumentacji. A bez tego wszelkie tłumaczenia w razie kontroli lub incydentu sprowadzają się do „z tego, co pamiętamy…”. Rejestr udostępniania akt oraz protokoły wydania i zwrotu to najprostsze narzędzia kontroli i zabezpieczenia; ich brak prędzej czy później doprowadzi do nieporozumień lub utraty dokumentów.

Chaotyczne udostępnianie akt w wersji papierowej bardzo często przekłada się na równie chaotyczną obsługę dokumentów elektronicznych: pliki przesyłane prywatnymi skrzynkami mailowymi, brak logów dostępu do systemu, brak wytycznych co do tworzenia kopii do pracy domowej. Gdy instytucja godzi się na takie „doraźne” rozwiązania, traci kontrolę nad tym, co dzieje się z aktami poza jej murami – fizycznymi lub wirtualnymi.

Krótki przykład z praktyki – czyli jak „chwila” przeradza się w skargę

W małej jednostce samorządowej pojawia się pełnomocnik strony, który „pilnie” potrzebuje wglądu do akt sprawy. Pracownik – chcąc być pomocny – udostępnia akta od razu, bez formalnego wniosku, bez sprawdzenia pełnomocnictwa, „bo przecież pan mecenas by nie przyszedł, gdyby nie miał prawa”. Pełnomocnik robi zdjęcia całej teczki, w tym pism zawierających dane innych osób uczestniczących w kilku powiązanych postępowaniach. Po tygodniu jedna z tych osób składa skargę o ujawnienie jej danych osobowych innemu podmiotowi.

Kontrola wewnętrzna wykazuje, że:

• nie sporządzono żadnego protokołu udostępnienia akt,
• nie odnotowano faktu w rejestrze,
• nie zweryfikowano zakresu pełnomocnictwa,
• rozdzielczo nie określono, które dokumenty rzeczywiście należą do sprawy tego klienta, a które są dokumentacją „przy okazji”.

Efekt: postępowanie dyscyplinarne wobec pracownika, zalecenia IOD, konieczność zmiany procedur i – przy odrobinie pecha – postępowanie organu nadzorczego ds. ochrony danych. A wystarczył klarowny proces: wniosek, weryfikacja umocowania, przygotowanie akt z wyłączeniami oraz protokół wydania.

Podstawy prawne i wewnętrzne regulacje udostępniania akt

Najważniejsze akty prawne regulujące udostępnianie dokumentów

Udostępnianie akt w instytucji publicznej wynika z kilku grup przepisów, które działają równolegle. Najczęściej trzeba łączyć wymagania kilku ustaw jednocześnie. W praktyce kluczowe znaczenie mają:

• ustawy o dostępie do informacji publicznej – regulują prawo każdego do uzyskiwania informacji o działalności podmiotów publicznych, w tym do wglądu w dokumenty;
• przepisy dotyczące ochrony danych osobowych (w tym RODO oraz ustawa krajowa) – określające, kiedy i w jakim zakresie wolno ujawniać dane i jak je zabezpieczać;
• ustawy branżowe – np. Prawo oświatowe, ustawa o pomocy społecznej, ustawa o działalności leczniczej, regulacje dotyczące postępowań administracyjnych, sądowych czy egzekucyjnych;
• ustawy archiwalne i przepisy o narodowym zasobie archiwalnym – opisujące zasady przechowywania i udostępniania dokumentacji archiwalnej;
• ustawy o ochronie informacji niejawnych oraz tajemnic zawodowych – jeżeli w aktach występują takie informacje.

Nie ma jednego, „superprzepisu”, który w kilku zdaniach opisuje całą procedurę udostępniania akt. Instytucja musi więc zbudować własną, spójną procedurę, opartą na tych różnych podstawach prawnych – w przeciwnym wypadku każdy przypadek będzie traktowany jak absolutnie nowy, co rodzi błędy i nierówne traktowanie wnioskodawców.

Prawo powszechne a regulacje wewnętrzne – co wolno zaostrzyć, a czego nie

Instrukcje kancelaryjne, regulaminy pracy czy procedury obiegu dokumentów muszą działać w granicach prawa powszechnie obowiązującego. Oznacza to kilka prostych zasad:

• nie wolno w regulaminie „wyłączyć” prawa do informacji, którego udzielanie wynika wprost z ustawy, np. uzależniając udostępnienie akt wyłącznie od zgody kierownika, bez odniesienia do przepisów;
• można doprecyzowywać tryb – np. określić formularz wniosku, terminy wewnętrzne czy wymagany sposób identyfikacji wnioskodawcy;
• można wprowadzać wyższe standardy bezpieczeństwa, o ile nie prowadzi to do de facto zablokowania dostępu do akt (np. wymóg używania kont służbowych i systemu do obsługi wniosków zamiast prywatnych maili).

Wewnętrzne procedury powinny wprost odwoływać się do podstaw prawnych. Zamiast ogólnych sformułowań „akty udostępnia się zgodnie z przepisami prawa”, lepiej wskazać: „akty postępowań administracyjnych udostępnia się stronie na zasadach określonych w przepisach o postępowaniu administracyjnym, a informację publiczną – zgodnie z ustawą o dostępie do informacji publicznej”. Taki zapis ułatwia pracownikom zorientowanie się, jaki tryb wchodzi w grę.

Rola instrukcji kancelaryjnej i rzeczowego wykazu akt

Instrukcja kancelaryjna i jednolity rzeczowy wykaz akt nie służą wyłącznie klasyfikowaniu dokumentów. To także podstawa do ustalenia, gdzie znajdują się akta, które mają być udostępniane, kto za nie odpowiada i jak długo powinny być przechowywane. Bez znajomości symboli klasyfikacyjnych i kategorii archiwalnych trudniej o sprawne odszukanie teczek.

W praktyce dobrze skonstruowana procedura udostępniania akt powinna:

• odwoływać się do symboli z wykazu akt, aby wskazać, jakie typy spraw są najczęściej udostępniane;
• określać, czy o udostępnieniu dokumentacji bieżącej decyduje komórka merytoryczna, a dokumentacji archiwalnej – archiwum zakładowe;
• wiązać rejestr udostępniania akt z wykazem teczek i spisem zdawczo-odbiorczym, aby można było łatwo powiązać „kto, kiedy i co” z konkretną jednostką archiwalną.

Instrukcja kancelaryjna powinna również porządkować kwestię znakowania spraw, numerowania stron, sporządzania spisów spraw i wpinania wpływających dokumentów. Im większa dyscyplina w tych obszarach, tym łatwiej później stosować procedurę udostępniania akt bez ryzyka, że „czegoś brakuje” lub że dokumenty zostały umieszczone w niewłaściwej teczce.

Wewnętrzne zarządzenia i podział odpowiedzialności

Sam ogólny zapis w regulaminie, że „akty udostępnia się zgodnie z przepisami prawa”, nie wystarczy. Potrzebne są konkretne zarządzenia kierownika jednostki, które:

• wyznaczają komórkę wiodącą odpowiedzialną za opracowanie i aktualizację procedury udostępniania akt (często jest to kancelaria główna lub archiwum zakładowe, we współpracy z inspektorem ochrony danych oraz działem prawnym);
• określają, kto podejmuje decyzję w sprawach wątpliwych (np. kierownik komórki, zastępca dyrektora, zespół ds. informacji publicznej);
• powołują osoby odpowiedzialne za rejestr udostępniania akt i nadzór nad przestrzeganiem procedur;
• tworzą wzory dokumentów: wniosków, protokołów udostępnienia, odmów, pouczeń dla wnioskodawców.

Klarowny podział odpowiedzialności zmniejsza ryzyko „przerzucania się” sprawą pomiędzy działami. Pracownik kancelarii wie, że jego zadaniem jest przyjęcie i zarejestrowanie wniosku, komórka merytoryczna – przygotowanie akt, archiwum – udostępnienie dokumentacji już zarchiwizowanej, a kierownik – rozstrzygnięcie w kwestiach spornych.

Spójność procedur wewnętrznych i ich aktualizacja

Procedura udostępniania akt nie może żyć w oderwaniu od innych dokumentów wewnętrznych. Zdarza się, że regulamin pracy zakazuje używania prywatnych skrzynek e-mail do czynności służbowych, a jednocześnie procedura udostępniania akt wciąż dopuszcza wysyłkę skanów na „dowolny wskazany adres”. Taki rozjazd przepisów jest prostą drogą do nieporozumień przy pierwszym incydencie.

Wewnętrzne regulacje powinny być ze sobą spójne przede wszystkim w zakresie:

• polityki bezpieczeństwa informacji (w tym zasad nadawania dostępów do systemów),
• instrukcji kancelaryjnej i archiwalnej,
• regulaminu pracy i zarządzeń dotyczących pracy zdalnej,
• procedury reagowania na incydenty bezpieczeństwa.

Standardowa procedura udostępniania akt krok po kroku

Przyjęcie wniosku – forma, treść i wstępna weryfikacja

Procedura zaczyna się w chwili, gdy do instytucji wpływa wniosek o udostępnienie akt. Z punktu widzenia porządku i bezpieczeństwa lepiej, gdy jest on:

• złożony na piśmie – tradycyjnie lub elektronicznie (ePUAP, system teleinformatyczny, służbowy e-mail instytucji),
• powiązany z konkretną sprawą – poprzez podanie sygnatury, znak sprawy, numeru decyzji, daty pisma albo innych danych umożliwiających odszukanie akt,
• podpisany (w sensie: możliwy do jednoznacznego powiązania z osobą) – podpis własnoręczny, podpis elektroniczny lub uwierzytelnienie w systemie.

Na tym etapie pracownik powinien zweryfikować minimum formalne:

• czy wynika, kto wnioskuje (osoba fizyczna, pełnomocnik, inny organ, dziennikarz),
• czy wiadomo, jakie akta mają być udostępnione,
• czy da się ustalić podstawę prawną (informacja publiczna, wgląd strony, współdziałanie między organami, dostęp do dokumentacji medycznej itd.).

Jeżeli wniosek jest zbyt ogólny („chciałbym wszystkie dokumenty, jakie macie na mój temat od 1990 r.”), pracownik nie powinien przyjmować roli archiwisty-detektywa. Lepiej wystąpić o doprecyzowanie zakresu żądania, wskazując, że bez tego nie da się wykonać obowiązku w rozsądnym czasie ani zabezpieczyć danych innych osób.

Weryfikacja legitymacji – kto ma prawo zobaczyć akta

Drugi krok to ustalenie, czy osoba, która występuje o akta, ma do nich dostęp w żądanym trybie. Tu przydaje się prosta drabinka pytań:

• czy jest to strona postępowania lub jej pełnomocnik?
• czy chodzi o informację publiczną, do której dostęp ma „każdy”?
• czy wnioskodawca to inny organ administracji lub sąd, który działa na podstawie przepisów szczególnych?
• czy pytanie dotyczy dokumentacji medycznej, socjalnej, kadrowej – gdzie ustawodawca precyzyjnie określił krąg uprawnionych?

Na tym etapie nie trzeba jeszcze sięgać po całe akta, ale trzeba:

• sprawdzić, czy w aktach danej sprawy rzeczywiście widnieje ta osoba jako strona / uczestnik,
• zweryfikować pełnomocnictwo – czy obejmuje daną sprawę, czy jest aktualne, czy nie zostało odwołane,
• odnotować w systemie lub rejestrze, że złożono wniosek i że trwa weryfikacja uprawnień.

Jeżeli wnioskodawca nie ma prawa do wglądu lub żąda zbyt szerokiego zakresu dokumentów, które zawierają cudze tajemnice (np. dane wrażliwe innych pacjentów czy osób korzystających z pomocy społecznej), trzeba rozważyć częściowe udostępnienie z anonimizacją albo odmowę w drodze odpowiedniego rozstrzygnięcia. „Jakoś to będzie” nie jest trybem przewidzianym w żadnej ustawie.

Przygotowanie akt do udostępnienia – porządkowanie i wyłączenia

Gdy prawo wglądu jest potwierdzone, przychodzi czas na samą „operację” na aktach. Dobrą praktyką jest, aby odpowiadała za to komórka merytoryczna, znająca sprawę. Do jej zadań należy m.in.:

• sprawdzenie, czy akta są kompletne – czy wpięto wszystkie dokumenty, czy nie ma luźnych kartek w innym segregatorze,
• upewnienie się, że akta są ułożone chronologicznie lub według ustalonego porządku,
• wskazanie dokumentów, które muszą zostać wyłączone lub zanonimizowane ze względu na tajemnice ustawowo chronione,
• dołączenie do akt krótkiej notatki o przygotowaniu ich do udostępnienia (przy bardziej wrażliwych sprawach).

Wyłączenia najczęściej obejmują:

• dokumenty zawierające informacje niejawne lub tajemnice zawodowe (np. adwokacką, medyczną),
• fragmenty, w których pojawiają się dane osób trzecich zbędne dla ochrony praw strony (np. numery PESEL sąsiadów, którzy złożyli ogólne uwagi),
• dokumenty niebędące częścią sprawy tej konkretnej osoby, które „przypadkiem” trafiły do tej samej teczki.

Jeżeli coś jest wyłączane, dobrze jest sporządzić zastępniki – kartki wpinane w miejsce wyjętych dokumentów, z krótką adnotacją, co zostało wyłączone i na jakiej podstawie. Ułatwia to późniejszą kontrolę i wyjaśnianie ewentualnych zastrzeżeń strony.

Forma udostępnienia – wgląd na miejscu, kopie, skany

Instytucja zwykle może zdecydować, w jakiej formie zrealizuje żądanie, o ile przepisy szczególne nie stanowią inaczej. Warto uregulować to jednoznacznie, wskazując preferowane rozwiązania:

• wgląd na miejscu – w czytelni akt, kancelarii, sekretariacie; najbezpieczniejszy model, pozwala kontrolować zakres i przebieg wglądu,
• wydanie uwierzytelnionych odpisów lub kopii – gdy wnioskodawca potrzebuje dokumentu „do obiegu” (np. do sądu),
• przesłanie skanów – na ustalonych zasadach bezpieczeństwa (system teleinformatyczny, zaszyfrowana przesyłka, profil zaufany); prywatne skrzynki e-mail powinny być tu raczej wyjątkiem niż standardem.

Tryb „proszę zeskanować całą teczkę i wysłać na mój prywatny Gmail” można w regulacjach wewnętrznych spokojnie ograniczyć. Prawo dostępu nie oznacza obowiązku używania najbardziej ryzykownej technologicznie opcji. Jeżeli instytucja dysponuje systemem do obsługi dokumentów elektronicznych z bezpiecznym dostępem, to on powinien być pierwszym wyborem.

Udostępnienie na miejscu – organizacja i nadzór

Jeżeli wybrano wgląd na miejscu, potrzebne jest minimum organizacyjnego „BHP”:

• wydzielenie miejsca do wglądu – stół lub stanowisko, gdzie akta nie będą leżeć w przejściu „dla każdego”,
• zapewnienie nadzoru pracownika – niekoniecznie stojącego nad głową, ale w odległości pozwalającej reagować na nietypowe sytuacje (np. próby wyrywania kartek),
• poinformowanie wnioskodawcy o zakresie uprawnień – że może robić notatki, zdjęcia, zamawiać kopie, ale nie może np. wycinać fragmentów dokumentów czy przerabiać ich markerem.

Dobrym nawykiem jest wydawanie tylko tej części akt, która jest przedmiotem wglądu, a nie całych „półek”. Jeżeli strona wnosi o wgląd wyłącznie w dokumenty za okres ostatnich dwóch lat, nie ma powodu, by na biurku lądowały całe akta prowadzone od dekady.

Rejestrowanie udostępnienia – co powinno się znaleźć w ewidencji

Każde udostępnienie akt powinno być odzwierciedlone w odpowiednim rejestrze. Może to być moduł w systemie EZD, dedykowany rejestr w archiwum zakładowym albo nawet dobrze prowadzony rejestr papierowy. Najważniejsze, aby zawierał co najmniej:

• datę i godzinę udostępnienia oraz zwrotu akt,
• dane osoby lub podmiotu, któremu udostępniono dokumenty,
• oznaczenie akt (sygnatura, numer teczki, symbol z JRWA),
• formę udostępnienia (wgląd, kopia, skan, przekazanie do innego organu),
• zakres udostępnionych dokumentów (całość, wybrane karty, dokumenty z określonego okresu),
• podpis pracownika wydającego i – jeżeli to możliwe – podpis osoby korzystającej z akt.

Przy udostępnieniach bardziej wrażliwych (np. dokumentacja medyczna, akta postępowań dyscyplinarnych) warto dodać informację o podstawie prawnej oraz krótką wzmiankę, czy dokonano wyłączeń lub anonimizacji.

Protokół udostępnienia akt – po co i kiedy

Protokół nie musi być tworzony przy każdym wglądzie do prostych akt. Dobrze jednak, by procedura wskazywała przypadki, gdy jest on obowiązkowy, np. gdy:

• akta zawierają dane wrażliwe lub informacje szczególnie chronione,
• wgląd odbywa się na podstawie szczególnego uprawnienia (np. dziennikarskiego),
• instytucja przewiduje możliwość późniejszych sporów co do zakresu wglądu.

Protokół zazwyczaj obejmuje:

• oznaczenie akt,
• dane osoby lub podmiotu, któremu udostępniono dokumenty,
• datę, miejsce i czas trwania wglądu,
• informację o formie udostępnienia (wgląd, kopie, skany),
• opis ewentualnych uwag zgłoszonych przez wnioskodawcę (np. zastrzeżenia, że dokumentów jest „za mało”),
• podpisy osoby udostępniającej i korzystającej z akt.

Przy sporach o rzekome „uniemożliwienie wglądu” protokół staje się jednym z kluczowych dowodów. Dodatkowo dyscyplinuje obie strony – pracownik wie, że jego czynności będą opisane, a wnioskodawca widzi, że instytucja traktuje proces poważnie.

Bezpieczeństwo i zabezpieczenia przy udostępnianiu akt

Organizacyjne środki bezpieczeństwa – kto, gdzie i jak

Zabezpieczenia nie sprowadzają się wyłącznie do haseł w systemach. W instytucjach publicznych równie ważne są proste, „analogowe” zasady:

• akt nie pozostawia się bez opieki – w szczególności w miejscach ogólnodostępnych; jeżeli pracownik musi na chwilę wyjść, akta wracają do szafy, a nie „pod kubek z kawą”,
• wydzielone strefy – klienci nie powinni swobodnie spacerować po zapleczu, gdzie na biurkach leżą inne teczki; nawet jeśli drzwi są „na chwilę” otwarte, pokusa zaglądania bywa silna,
• kontrola wynoszenia dokumentów – pracownicy powinni mieć świadomość, że wynoszenie akt do domu „żeby w spokoju popracować” jest ryzykowne i z reguły niedozwolone bez szczególnego trybu.

Instrukcja kancelaryjna i polityka bezpieczeństwa powinny jasno wskazywać, kto może zabierać akta poza siedzibę jednostki, w jakim trybie, na jak długo i przy jakich zabezpieczeniach (np. specjalne zabezpieczone torby, pisemne zgody, ewidencja wyjść teczek).

Techniczne zabezpieczenia dokumentacji papierowej

Dokumenty papierowe również można i trzeba zabezpieczać technicznie – na miarę skali jednostki. Typowe rozwiązania to:

• szafy zamykane na klucz lub zamki szyfrowe – z kontrolą wydawania i duplikowania kluczy,
• systemy kontroli dostępu do pomieszczeń archiwum i magazynów akt,
• monitorowanie stref, w których przechowywane są akta – choćby w najprostszej formie, która pozwala odtworzyć, kto przebywał w magazynie,
• oznaczanie teczek i jednostek archiwalnych w sposób utrudniający ich „niepostrzeżone” wyniesienie (np. kody kreskowe skanowane przy wydaniu i zwrocie).

Przy wprowadzaniu zabezpieczeń warto uwzględnić specyfikę instytucji. W małym urzędzie gminy nikt nie zainstaluje systemu jak w banku, ale już prosty rejestr wyjść teczek z archiwum i zasada zamykania drzwi na klucz po wyjściu personelu potrafią zdziałać cuda.

Bezpieczeństwo w systemach elektronicznych – dostęp i logowanie

Udostępnianie akt elektronicznych wymaga twardszych reguł niż „kto ma link, ten ma wszystko”. Kilka fundamentów:

• indywidualne konta użytkowników – koniec z „wspólnym loginem sekretariat”; każde działanie powinno dać się przypisać do konkretnej osoby,
• zasada minimalnych uprawnień – pracownik ma dostęp tylko do tych spraw, które są mu potrzebne, a nie do całej historii instytucji od czasów króla Stanisława Augusta,
• regularne przeglądy uprawnień – przy zmianie stanowiska, odejściu z pracy, długotrwałym urlopie dostęp powinien być aktualizowany,
• rejestrowanie operacji – system powinien zapisywać, kto i kiedy otworzył daną sprawę, wygenerował kopię, wysłał dokument na zewnątrz.

Udostępnianie akt a RODO i inne przepisy szczególne

Dostęp do akt prawie zawsze oznacza przetwarzanie danych osobowych. Do tego dochodzą często przepisy sektorowe: o tajemnicy skarbowej, medycznej, statystycznej, adwokackiej, tajemnicy postępowania przygotowawczego itd. Bez uporządkowania tego gąszczu łatwo o błąd.

Praktyczny punkt wyjścia to mapa podstaw prawnych – prosta tabela lub procedura, w której zestawione są typowe kategorie akt i przepisy regulujące dostęp do nich. Pracownik, widząc, że ma do czynienia np. z:

• dokumentacją podatkową,
• kartoteką mieszkaniową,
• aktami postępowania administracyjnego,
• dokumentacją pracowniczą,

powinien od razu wiedzieć, do jakich przepisów sięgnąć. Samo ogólne powołanie się na RODO to za mało – ono wskazuje ramy, ale nie tworzy „prawa dostępu” dla konkretnej osoby trzeciej.

Przy wnioskach od osób fizycznych podstawą będzie zwykle realizacja uprawnienia ustawowego (np. KPA, ustawa o dostępie do informacji publicznej, ustawa o prawach pacjenta) albo realizacja praw osoby, której dane dotyczą (art. 15 RODO). Przy wnioskach od innych organów – wykonanie obowiązków prawnych po stronie administratora (art. 6 ust. 1 lit. c RODO) lub zadanie realizowane w interesie publicznym.

Dobrą praktyką jest wprowadzenie prostego wymogu: każde udostępnienie akt odbywa się „do przepisu” – we wniosku, adnotacji służbowej lub rejestrze pojawia się wskazanie podstawy prawnej. To przydaje się nie tylko przy kontrolach, ale i przy późniejszym wyjaśnianiu, dlaczego komuś czegoś odmówiono.

Wnioski o dostęp do akt – jak je konstruować i weryfikować

Instytucje różnie podchodzą do formy wniosków. Jedne akceptują luźne maile w stylu „proszę o przesłanie wszystkiego, co u was na mój temat”, inne żądają pieczęci, podpisów i załączników, jakby chodziło o kredyt hipoteczny. Rozsądny środek to prosty, ale kompletny wzór wniosku.

Taki formularz (papierowy lub elektroniczny) powinien pomagać zebrać minimum informacji:

• dane wnioskodawcy i sposób kontaktu,
• podstawa uprawnienia do wglądu (np. strona postępowania, pełnomocnik, dziennikarz, inny organ),
• precyzyjny opis sprawy lub rodzaju dokumentacji (sygnatura, okres, typ dokumentu),
• oczekiwana forma udostępnienia (wgląd, kopie, skany, przekazanie do innego organu),
• oświadczenie o przyjęciu do wiadomości zasad korzystania z akt (zakazy, poufność, ochrona danych).

Z kolei po stronie instytucji przydaje się checklista weryfikacyjna, choćby w postaci krótkiej instrukcji przy stanowisku obsługi. Pytania, które pracownik powinien sobie zadać:

• czy wiem, kim jest wnioskodawca (czy jego tożsamość jest wystarczająco potwierdzona)?,
• czy rozumiem, jakiego zestawu akt dotyczy żądanie?,
• czy podana podstawa prawna naprawdę daje prawo dostępu do tak szerokiego zakresu dokumentów?,
• czy konieczne jest wyłączenie części akt (dane osób trzecich, tajemnice ustawowo chronione)?

Jeżeli wniosek jest zbyt ogólny („wszystko, co macie”), instytucja ma prawo i obowiązek dopytać, a czasem zawęzić zakres. Dostęp do akt nie jest polowaniem na informacje „na wszelki wypadek”.

Pełnomocnicy, dziennikarze i inni „pośredni” wnioskodawcy

Najwięcej praktycznych wątpliwości pojawia się przy tych, którzy działają „za kogoś” lub „w interesie ogółu”. Kilka grup wymaga szczególnego uporządkowania w procedurze.

Pełnomocnicy i reprezentanci

Pełnomocnik z zasady nie ma większych praw niż sama strona – po prostu wykonuje je w jej imieniu. Żeby jednak nie sprowadzało się to do stwierdzenia „pan X mówi, że ma pełnomocnictwo”, przydają się czytelne zasady:

• pełnomocnictwo powinno być dołączone do akt lub zarejestrowane w systemie, zanim dojdzie do udostępnienia,
• powinno wynikać z niego wprost, że obejmuje wgląd do akt i uzyskiwanie odpisów, a nie tylko np. reprezentowanie przed organem,
• w przypadku kancelarii prawnych i firm windykacyjnych dobrze jest ustalić standard identyfikacji osoby działającej (legitymacja, upoważnienie imienne, wpis do rejestru).

Zdarza się, że po kilku latach pełnomocnictwo wygasa (np. w wyniku odwołania) lub jego zakres się zmienia. Dlatego przy każdym większym udostępnieniu sensowne jest krótkie sprawdzenie, czy pełnomocnictwo jest aktualne, a nie poleganie na wspomnieniu „chyba kiedyś było”.

Dziennikarze i przedstawiciele mediów

Dziennikarskie prawo do informacji publicznej nie jest biletem „backstage” do wszystkich akt. Umożliwia dostęp do informacji, ale nie zawsze do pełnych, niezanonimizowanych dokumentów. Procedura powinna rozróżniać:

• prosty wniosek o informację publiczną (który realizuje się np. poprzez udzielenie odpowiedzi lub przekazanie wybranych dokumentów),
• szczególne uprawnienia wynikające z przepisów branżowych (np. dostęp do materiałów prasowych, protokołów organów kolegialnych),
• wgląd do akt postępowań, gdzie dużą rolę odgrywa ochrona prywatności uczestników i tajemnic prawnie chronionych.

Bezpieczny model to udostępnianie dziennikarzom zestawu dokumentów już przefiltrowanych – zanonimizowanych w niezbędnym zakresie, uzupełnionych o krótkie wyjaśnienie kontekstu. Dzięki temu minimalizuje się ryzyko, że w ferworze pracy dziennikarz zinterpretuje źle np. wewnętrzną notatkę roboczą jako decyzję.

Inne organy, służby, instytucje kontrolne

Przy żądaniach policji, prokuratury, sądów, organów kontroli, NIK, RIO i podobnych kluczowe są dwie rzeczy: podstawa prawna oraz zakres żądania. Nie każde pismo z pieczątką oznacza, że trzeba wydać komplet akt „od zawsze”.

W procedurze przydaje się zasada, że wnioski tych podmiotów są weryfikowane przez wyznaczoną osobę – np. inspektora ochrony danych, prawnika lub kierownika komórki. Chodzi nie o blokowanie współpracy, ale o to, by nie udostępniać więcej niż wynika z przepisu i konkretnego żądania. Jeżeli organ żąda dokumentów dotyczących jednej sprawy, nie ma potrzeby przekazywania dodatkowych segregatorów „bo może się przydadzą”.

Anonimizacja i pseudonimizacja – kiedy i jak „ukrywać” dane w aktach

Niemal każde udostępnienie akt osobom trzecim będzie wymagało jakiejś formy ograniczenia widoczności danych innych osób. Im prostsze zasady, tym mniejsze ryzyko, że każdy pracownik będzie „anonimizował po swojemu”.

Regulacja wewnętrzna powinna po kolei odpowiadać na pytania:

1. W jakich typach akt stosuje się anonimizację przed udostępnieniem (np. materiały z postępowań wyjaśniających, dokumentacja z danymi świadków)?
2. Jakie kategorie danych są co do zasady ukrywane (np. numery PESEL, adresy zamieszkania, numery telefonów, szczegółowe dane medyczne osób trzecich)?
3. Jaką metodą anonimizuje się dokumenty: technicznie (programy do „zaciemniania” PDF), czy ręcznie (kopia, zakrycie, opis „dane zanonimizowane”)?
4. Kto zatwierdza sporządzone kopie czy skany przed wydaniem (druga para oczu to często najlepszy „system bezpieczeństwa”)?

Przy dokumentach elektronicznych kluczowe jest, aby zaciemnianie było faktyczne, a nie „kosmetyczne”. Zdarzały się przypadki, gdy zakryto dane czarnym prostokątem w edytorze PDF, ale tekst nadal dało się skopiować. Dlatego procedura powinna wskazywać konkretny sposób techniczny (np. trwałe usunięcie warstwy tekstowej zamiast samego „malowania”).

Udostępnianie a zasada rozliczalności – jak dokumentować własne decyzje

Rozliczalność to słowo, które w praktyce oznacza: „pokaż, że podjąłeś rozsądną decyzję i potrafisz ją udokumentować”. Przy dostępie do akt sprowadza się to do kilku prostych zasad, które można zapisać w procedurze.

• Przy decyzjach nietypowych (odmowa, częściowe wyłączenie akt, nietypowy sposób udostępnienia) sporządza się krótką notatkę służbową z uzasadnieniem.
• Każdy spór lub zastrzeżenie wnioskodawcy (np. „powinniście mi to pokazać”) odnotowuje się w rejestrze lub protokole.
• Dla akt szczególnie wrażliwych (np. dyscyplinarnych) prowadzi się oddzielne oznaczenie w systemie lub rejestrze, tak by łatwo było odtworzyć historię wszystkich udostępnień.

Nie chodzi o biurokrację dla biurokracji. Gdy po roku czy dwóch ktoś podważa sposób udostępnienia, krótka, jednozdaniowa notatka „odmowa udostępnienia części dokumentów z uwagi na tajemnicę skarbową” potrafi uratować więcej niż najdłuższe wyjaśnienia „z pamięci”.

Szkolenia i uświadamianie pracowników – bez tego procedura zostanie w szufladzie

Najlepsze instrukcje bezpieczeństwa rozpadają się w zderzeniu z argumentem: „ale u nas zawsze tak było”. Żeby procedury udostępniania akt faktycznie działały, potrzebny jest choćby prosty program szkoleń i przypomnień.

Dobry plan obejmuje kilka elementów:

• krótkie szkolenie startowe dla nowych pracowników – nie tylko z obsługi systemu, ale i z zasad kontaktu z wnioskodawcą, ograniczeń w dostępie, odpowiedzialności za ujawnienie danych,
• okresowe odświeżanie zasad (np. raz w roku) – najlepiej w oparciu o realne przypadki z życia instytucji, a nie wyłącznie teorię,
• zwięzłe „ściągi” – np. jedną stronę A4 z najważniejszymi krokami przy udostępnianiu, dostępne przy stanowiskach obsługi interesanta,
• kanał pytań – ktoś, do kogo można zadzwonić lub napisać przy wątpliwości („czy to już można wysłać?”, „czy tę część anonimizujemy?”).

Dobrze działa też metoda „oswajania” procedury poprzez krótkie omówienia błędów: bez piętnowania osób, raczej w duchu „mieliśmy taką sytuację, zobaczmy, jak następnym razem zrobić to lepiej”. Ludzie dużo szybciej zapamiętują taką historię niż paragraf z instrukcji.

Udostępnianie akt w sytuacjach nadzwyczajnych

W każdej instytucji raz na jakiś czas zdarza się scenariusz: nagła kontrola, pilne żądanie sądu, awaria systemu, ewakuacja budynku. To właśnie w takich chwilach pojawia się największa pokusa „obejścia procedur”, bo „czas goni”. Lepiej zawczasu przewidzieć choćby ogólne reguły postępowania.

Awaria systemu lub brak dostępu do archiwum

Jeżeli część akt jest dostępna wyłącznie elektronicznie, a system leży, dobrze mieć prosty plan B:

• wskazanie, kto decyduje o dopuszczalnych „obejściach” (np. wykorzystanie kopii bezpieczeństwa, lokalnych zapisów),
• zasadę, że w razie braku systemu sporządza się minimum dokumentacji papierowej (adnotacje o wglądzie, potwierdzenia odbioru) i wprowadza ją później do systemu,
• ustalenie, jakie rodzaje wniosków mogą zostać odroczone, a jakie muszą być zrealizowane mimo awarii (np. żądania sądu, sytuacje zdrowotne).

Podobnie przy braku dostępu do pomieszczeń archiwum (remont, zalanie, awaria instalacji) przydaje się jasna informacja, że część usług będzie czasowo wstrzymana, a terminy realizacji – wydłużone. Lepiej uprzedzić, niż tłumaczyć się z opóźnień „po cichu”.

Pilne żądania organów ścigania lub sądów

Telefony w stylu „proszę natychmiast przysłać wszystko, bo jutro jest rozprawa” to codzienność wielu urzędów. Nawet w takim trybie warto zachować kilka zasad:

• żądanie potwierdza się na piśmie lub bezpiecznym kanałem elektronicznym – zwłaszcza gdy zakres jest szeroki,
• zakres przekazywanych akt odnotowuje się precyzyjnie (jakie teczki, jakie lata, jakie rodzaje dokumentów),
• jeżeli ze względu na czas nie da się wykonać pełnej anonimizacji, odnotowuje się w rejestrze, że przekazano kompletną dokumentację, powołując się na konkretny przepis lub postanowienie sądu.

Najczęściej zadawane pytania (FAQ)

Na jakiej podstawie prawnej urząd może udostępniać akta sprawy?

Udostępnianie akt w instytucji publicznej nie opiera się na jednym przepisie, lecz na kilku grupach regulacji. Kluczowe są: ustawa o dostępie do informacji publicznej, przepisy o ochronie danych osobowych (RODO i ustawa krajowa), procedury branżowe (np. Kodeks postępowania administracyjnego, Prawo oświatowe, ustawa o pomocy społecznej, przepisy o działalności leczniczej), a także ustawy archiwalne oraz regulacje o ochronie informacji niejawnych i tajemnic zawodowych.

W praktyce oznacza to, że przed udostępnieniem akt trzeba ustalić, czy wniosek dotyczy informacji publicznej, dostępu do akt konkretnej sprawy strony postępowania, czy np. dokumentacji archiwalnej. Dopiero wtedy można dobrać właściwą podstawę prawną i ocenić, jaki zakres udostępnienia jest dopuszczalny.

Kto ma prawo wglądu do akt w instytucji publicznej?

Najszersze uprawnienia ma strona postępowania (oraz jej pełnomocnik) – może co do zasady przeglądać akta swojej sprawy, sporządzać z nich notatki, odpisy, a także otrzymywać kopie dokumentów. Odrębną kategorią są osoby występujące z wnioskiem o informację publiczną – ich dostęp dotyczy jednak informacji o działalności instytucji, a nie wszystkiego, co znajduje się w teczce konkretnej osoby.

Do akt mogą też zaglądać uprawnione organy kontrolne czy nadzorcze (np. NIK, RIO, organy archiwalne), ale na podstawie własnych przepisów. Kluczowe jest więc każdorazowe sprawdzenie, kim jest wnioskodawca i w jakiej roli występuje – „pan mecenas” bez pełnomocnictwa nadal jest po prostu osobą trzecią.

Czy urząd może odmówić udostępnienia akt i w jakich sytuacjach?

Tak, instytucja publiczna może, a czasem wręcz musi odmówić udostępnienia części lub całości akt. Dzieje się tak przede wszystkim wtedy, gdy dokumenty zawierają informacje niejawne, dane osobowe osób trzecich bez podstawy do ich ujawnienia, tajemnice zawodowe (np. lekarską, adwokacką), tajemnicę przedsiębiorstwa albo inne informacje, których udostępnienie mogłoby naruszyć prawa i wolności innych osób.

Odmowa nie może jednak wynikać wyłącznie z „ostrożności” urzędu. Powinna być oparta na konkretnym przepisie, właściwie udokumentowana (np. decyzja administracyjna, pismo z uzasadnieniem) i – w miarę możliwości – ograniczona tylko do tych fragmentów akt, których naprawdę nie wolno ujawnić. Zasada „nic nie pokażemy, bo tak bezpieczniej” zwykle kończy się skargą.

Jak powinna wyglądać prawidłowa procedura udostępniania akt w urzędzie?

Minimalny, bezpieczny standard obejmuje kilka kroków: przyjęcie wniosku (pisemnego lub ustnego z odpowiednią notatką), weryfikację tożsamości i umocowania wnioskodawcy, sprawdzenie podstawy prawnej dostępu, przygotowanie akt (np. z wyłączeniami i zaczernieniami), udostępnienie w kontrolowanych warunkach oraz odnotowanie tego w rejestrze wraz z protokołem wydania i zwrotu.

W praktyce dobrze działa prosta zasada: nic nie wychodzi z teczki (ani z systemu elektronicznego) bez śladu w dokumentacji. Dotyczy to zarówno papierowych akt udostępnianych do wglądu w czytelni, jak i skanów czy plików przesyłanych elektronicznie.

Jakie są najczęstsze błędy przy udostępnianiu akt i jakie mogą być konsekwencje?

Najczęściej pojawiają się: brak wniosku lub jego udokumentowania, brak weryfikacji pełnomocnictwa, wydawanie całych teczek bez sprawdzenia, czy nie zawierają danych osób trzecich, udostępnianie oryginałów „na chwilę” bez rejestru oraz wysyłka dokumentów prywatnymi mailami bez zabezpieczeń. Tego typu „drobne ułatwienia” po kilku miesiącach zamieniają się w poważny bałagan i problemy dowodowe.

Konsekwencje mogą obejmować odpowiedzialność służbową czy dyscyplinarną pracownika, postępowania przed organem nadzorczym ds. ochrony danych, roszczenia cywilne ze strony osób, których dane ujawniono, a także przegrane skargi w sądach administracyjnych za bezzasadne odmowy. Krótko mówiąc – mniej improwizacji, więcej procedury.

Czy trzeba prowadzić rejestr udostępniania akt i protokoły wydania?

Nie zawsze wynika to wprost z jednego przepisu, ale z punktu widzenia bezpieczeństwa i odpowiedzialności instytucji rejestr i protokoły są absolutnym minimum. Dzięki nim można odtworzyć historię: komu, kiedy, na jakiej podstawie i w jakim zakresie udostępniono akta oraz czy zostały zwrócone w komplecie.

W praktyce dobrze sprawdza się prosty rejestr (papierowy lub elektroniczny) oraz krótki protokół, podpisany przez osobę udostępniającą i korzystającą z akt. Taki dokument bywa bezcenny przy kontrolach, reklamacjach czy sporach typu „kto ostatni miał tę teczkę w ręku?”.

Jak pogodzić jawność informacji z ochroną danych osobowych przy udostępnianiu akt?

Podstawą jest rozdzielenie dwóch rzeczy: prawa do informacji o działalności instytucji (jawność) i prawa do ochrony danych osobowych oraz tajemnic prawnie chronionych. Zazwyczaj oznacza to udostępnianie treści merytorycznej dokumentu przy jednoczesnym ograniczeniu danych, których ujawnić nie wolno, np. poprzez zaczernienie danych osób trzecich czy wyłączenie części dokumentów z wglądu.

W praktyce pomaga jasna procedura opisująca: jakie dane można ujawnić stronom postępowania, a jakie osobom trzecim; kiedy stosuje się anonimizację; kto decyduje o zakresie wyłączeń; w jaki sposób dokumentuje się ograniczenia. Dzięki temu pracownicy nie muszą „wróżyć z fusów”, tylko stosują spójne zasady.