Co to jest ISO 15489 i czego dotyczy?

ISO 15489-1:2016 to międzynarodowy standard zarządzania dokumentacją (records management). Określa zasady zarządzania dokumentami przez cały cykl ich życia – od tworzenia i rejestrowania, przez przechowywanie i udostępnianie, aż po brakowanie lub trwałe zachowanie. Aktualna wersja pochodzi z 2016 roku i kładzie większy nacisk na zarządzanie metadanymi i integrację z systemami cyfrowymi niż poprzednia edycja z 2001 roku.

Jaka jest różnica między ISO 15489 a ISO 27001?

ISO 15489-1:2016 normuje zarządzanie dokumentacją – określa jak zarządzać dokumentami przez cały cykl ich życia. ISO/IEC 27001:2022 normuje bezpieczeństwo informacji – określa wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji opartego na filarach poufności, integralności i dostępności. Obie normy wzajemnie się uzupełniają: ISO 15489 mówi jak prowadzić dokumentację, a ISO 27001 jak ją chronić.

Jak długo należy przechowywać dokumenty pracownicze w Polsce?

Od 1 stycznia 2019 r. dokumentacja pracownicza dla pracowników nowo zatrudnionych jest przechowywana przez 10 lat (wcześniej obowiązywał okres 50 lat). Podstawą prawną jest Kodeks pracy oraz Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z 2018 r. w sprawie dokumentacji pracowniczej.

Jakie kary grożą za nieprawidłową archiwizację dokumentów?

RODO nakłada kary administracyjne w wysokości do 20 milionów euro lub 4% całkowitego rocznego obrotu przedsiębiorstwa – w zależności, która kwota jest wyższa. Dokumentacja papierowa bez kontroli dostępu lub przechowywana w nieodpowiednich warunkach jest klasycznym przykładem braku odpowiednich środków technicznych i organizacyjnych wymaganych przez RODO.

Jakie warunki środowiskowe są wymagane przy przechowywaniu dokumentów papierowych?

Zgodnie z normą ISO 15489-1:2016 dokumenty papierowe wymagają kontroli temperatury na poziomie optymalnie 16–20°C oraz wilgotności względnej na poziomie optymalnie 45–55%. Dokumenty przechowywane w nieodpowiednich warunkach mogą ulec zniszczeniu lub utracić wartość dowodową przed upływem wymaganego okresu retencji.

Jak długo należy przechowywać dokumenty księgowe?

Zgodnie z Ustawą o rachunkowości dokumenty księgowe przechowuje się co do zasady przez 5 lat. Okres liczony jest od początku roku następnego po roku obrotowym, którego dokumenty dotyczą.

Bezpieczna Archiwizacja Dokumentów [ISO 15489 i ISO 27001]

ISO 15489 i ISO 27001 – Bezpieczna Archiwizacja Dokumentów w praktyce

Bezpieczna Archiwizacja Dokumentów – Normy ISO 15489 i ISO 27001 w Praktyce

Regulacje RODO i postępująca cyfryzacja sprawiają, że wiele firm koncentruje uwagę wyłącznie na zabezpieczeniu danych elektronicznych. Tymczasem papierowe archiwum wciąż jest jednym z najbardziej wrażliwych obszarów każdej organizacji. W ciągu ponad dwudziestu lat pracy w branży archiwizacyjnej widziałem firmy, które straciły umowy warte miliony złotych — nie przez atak hakerski, ale przez zalanie piwnicy, w której trzymały dokumenty w kartonowych pudłach.

Pożar, zalanie, nieuprawniony dostęp do teczek, zagubienie kluczowej umowy — to ryzyka, których nie da się wyeliminować za pomocą kopii zapasowej w chmurze.

Bezpieczna archiwizacja dokumentów nie polega jedynie na przechowywaniu akt w magazynie. Obejmuje zestaw jasno zdefiniowanych procedur, odpowiednie zabezpieczenia techniczne oraz kontrolę dostępu do dokumentacji. Podstawą takich systemów są dwa międzynarodowe standardy: ISO 15489-1:2016, który opisuje zasady zarządzania dokumentacją w całym cyklu jej życia, oraz ISO/IEC 27001:2022, określający wymagania dotyczące Systemu Zarządzania Bezpieczeństwem Informacji.

To właśnie te normy — w ich aktualnych, obowiązujących wersjach — stanowią fundament bezpiecznego i zgodnego z przepisami przechowywania dokumentów.

ISO 15489-1:2016 – Biblia zarządzania dokumentacją

Norma ISO 15489 to międzynarodowy standard określający zasady zarządzania dokumentacją (records management) w organizacjach każdego typu. Jej aktualna wersja pochodzi z 2016 roku — warto to podkreślić, ponieważ wiele firm i operatorów archiwów wciąż powołuje się na nieaktualną edycję z 2001 roku. Różnica nie jest kosmetyczna: nowsza wersja kładzie większy nacisk na zarządzanie metadanymi i integrację z systemami cyfrowymi.

Standard normuje pełny cykl życia dokumentu — od momentu jego powstania aż po ostateczną likwidację lub trwałe zachowanie.

Etap 1: Tworzenie i przejmowanie

Każdy dokument trafiający do archiwum musi zostać zarejestrowany w ewidencji. Norma ISO 15489-1:2016 precyzuje zasady nadawania sygnatur i opisywania metadanych. Bez tego etapu niemożliwe jest sprawne odszukanie dokumentu ani wykazanie jego istnienia podczas audytu zgodności.

Z praktyki: najczęstszy błąd, który widzę u nowych klientów, to brak konsekwentnego systemu nadawania sygnatur. Teczki opisane ręcznie, różnymi długopisami, różnymi skrótami — przez trzy osoby w ciągu pięciu lat. Odtworzenie historii takiego archiwum to tygodnie pracy. Właśnie dlatego proponujemy usługę archiwizacji i porządkowania akt, która obejmuje pełną inwentaryzację i nadanie sygnatur zgodnych z normą.

Etap 2: Przechowywanie i zabezpieczanie

Dokumenty papierowe są bardzo wrażliwe na warunki środowiskowe. Dlatego kontrola temperatury (optymalnie 16–20°C) i wilgotności względnej (optymalnie 45–55%) w archiwum jest koniecznością, a nie dodatkową opcją. Dokumenty przechowywane w nieodpowiednich warunkach mogą ulec zniszczeniu lub utracić wartość dowodową jeszcze przed upływem wymaganego okresu retencji.

Etap 3: Dostęp i odzysk

Osoby uprawnione powinny mieć możliwość odnalezienia potrzebnego dokumentu w przewidywalnym czasie. Odpowiednio zaprojektowany system ewidencji pozwala szybko zlokalizować konkretną teczkę i przekazać ją do wglądu — nawet w archiwach obejmujących miliony stron dokumentacji.

Etap 4: Brakowanie

Po upływie okresu retencji dokument musi zostać usunięty w udokumentowany i nieodwracalny sposób: z protokołem, uzyskanymi zgodami i wybraną metodą niszczenia. Brakowanie bez procedur naraża firmę na zarzut naruszenia przepisów o ochronie danych osobowych. Szczegółową procedurę opisujemy w artykule brakowanie akt i dokumentów — procedura i przepisy.

Okresy retencji w Polsce — czego norma ISO nie zastąpi

Tu zaczyna się obszar, który często jest pomijany w artykułach o archiwizacji. ISO 15489 mówi jak zarządzać dokumentami. Polskie prawo mówi jak długo musisz je przechowywać — i to jest informacja, która bezpośrednio wpływa na Twoją odpowiedzialność prawną. Temat ten szczegółowo omawiamy w naszym kompletnym przewodniku jak długo przechowywać dokumenty firmowe.

Najważniejsze przepisy w tym zakresie to:

Kodeks pracy — od 1 stycznia 2019 r. dokumentacja pracownicza dla nowo zatrudnionych jest przechowywana przez 10 lat (wcześniej 50 lat).
Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach — reguluje zasady brakowania dokumentacji niearchiwalnej i określa kategorie akt.
Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z 2018 r. w sprawie dokumentacji pracowniczej — precyzuje formę i warunki przechowywania akt osobowych.
Ustawa o rachunkowości — dokumenty księgowe co do zasady przez 5 lat.
RODO — nakłada obowiązek zdefiniowania terminów retencji i stosowania zasady minimalizacji danych. Więcej na ten temat w artykule archiwizacja dokumentów a RODO.

ISO/IEC 27001:2022 – Twierdza dla danych na każdym nośniku

Norma ISO 27001 określa wymagania dotyczące budowy i utrzymania Systemu Zarządzania Bezpieczeństwem Informacji. Jej aktualna wersja pochodzi z 2022 roku. Organizacje certyfikowane na starą wersję miały czas na przejście na ISO 27001:2022 do 31 października 2025 r..

W kontekście archiwizacji dokumentów zasady bezpieczeństwa opierają się na trzech filarach:

Filar	Definicja	Realizacja w archiwum
Poufność	Informacja dostępna wyłącznie dla uprawnionych osób	Strefy wydzielone, kontrola dostępu, monitoring CCTV
Integralność	Informacja nie może zostać zmieniona ani zniszczona bez autoryzacji	Plombowanie pudeł, logi dostępu, protokoły wydań
Dostępność	Uprawniony podmiot otrzymuje dostęp wtedy, gdy tego potrzebuje	Elektroniczna ewidencja, sprawne procesy zamówień, SLA na czas wydania

Jednym z podstawowych wymagań normy ISO 27001:2022 jest regularna analiza ryzyka związanego z bezpieczeństwem informacji. Dowiedz się, jak chronić dane wrażliwe w firmie i budować kompleksowy system bezpieczeństwa informacji.

Fizyczne zabezpieczenie dokumentów — standardy techniczne

Ochrona przeciwpożarowa

Systemy wczesnej detekcji dymu VESDA — reagują na cząsteczki dymu, zanim pojawi się płomień.
Systemy gaszenia gazem — eliminują pożar bez użycia wody, chroniąc dokumenty przed zalaniem środkami gaśniczymi.
Strefy pożarowe — wydzielone konstrukcyjnie obszary, często certyfikowane wg normy EN 1047.

Kontrola dostępu

Karty dostępu i czytniki biometryczne.
Monitoring CCTV rejestrujący każde wejście i wyjście z archiwum.
Systemy alarmowe reagujące na próby włamania.

Co się dzieje, gdy system zawodzi — przykłady z praktyki

Przypadek 1: Wilgoć w piwnicy. Firma produkcyjna straciła dokumentację pracowniczą sprzed lat z powodu pleśni, co wygenerowało ogromne koszty odtworzenia danych. Profesjonalne przechowywanie i archiwizacja akt w kontrolowanych warunkach środowiskowych całkowicie eliminuje to ryzyko.

Przypadek 2: Brak protokołu brakowania. Wyrzucenie dokumentów z danymi wrażliwymi bez certyfikowanej metody zniszczenia skutkowało postępowaniem UODO. Profesjonalne niszczenie dokumentów zawsze kończy się wydaniem certyfikatu zniszczenia i protokołu — dowodu, który chroni firmę podczas kontroli.

Przypadek 3: Brak kontroli dostępu. Brak logów i monitoringu uniemożliwił ustalenie, kto wyniósł kluczowe umowy z firmy handlowej. Więcej o tym, dlaczego bezpieczne niszczenie dokumentów jest tak ważne, piszemy w osobnym artykule.

Kary za naruszenia — liczby, które robią wrażenie

RODO nakłada kary administracyjne w wysokości do 20 milionów euro lub 4% całkowitego rocznego obrotu przedsiębiorstwa. Dokumentacja papierowa bez kontroli dostępu jest klasycznym przykładem braku odpowiednich środków technicznych i organizacyjnych. Szczegółowo o finansowych konsekwencjach zaniedbań piszemy w artykule ile kosztuje wyciek danych.

Pamiętaj też, że procedury RODO dotyczą nie tylko przechowywania, ale i niszczenia dokumentów — każdy etap cyklu życia dokumentu musi być objęty kontrolą.

Pamiętaj: koszt braku norm jest wyższy niż koszt profesjonalnej usługi. Sprawdź nasz cennik usług archiwizacyjnych lub skontaktuj się z nami — bezpłatnie ocenimy stan Twojego archiwum i zaproponujemy rozwiązanie dopasowane do branży i skali działalności.