Pracownik trzymający na clipboardzie dokument do podpisania
Źródło: Pexels | Autor: Mikhail Nilov
5/5 - (1 vote)

Rola oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji

Dlaczego w ogóle zbiera się oświadczenia od pracowników

Oświadczenie o zapoznaniu się z procedurą bezpieczeństwa informacji pełni równocześnie kilka funkcji: prawną, dowodową i organizacyjną. Dokument ten ma potwierdzać, że dana osoba zna określone zasady postępowania z informacjami, wie, jakie dane są chronione, jakich narzędzi używać i czego nie wolno robić. Bez takiego potwierdzenia trudno oczekiwać realnej odpowiedzialności i dyscypliny informacyjnej.

Z perspektywy prawnej oświadczenie pomaga wykazać spełnienie obowiązków wynikających z przepisów, przede wszystkim z RODO, kodeksu pracy oraz ustaw sektorowych (np. o systemie oświaty, o działalności leczniczej, o finansach publicznych). Administrator danych lub pracodawca może wówczas wskazać, że nie tylko przyjął procedury bezpieczeństwa, ale też zapoznał z nimi konkretne osoby, którym powierzył przetwarzanie informacji.

Od strony organizacyjnej oświadczenie porządkuje proces wdrażania zasad bezpieczeństwa. Pozwala zaplanować ścieżkę: opracowanie procedury → szkolenie → zapoznanie → podpisanie oświadczenia → wpis do rejestru. Bez tego często powstaje chaos: część pracowników zna aktualne procedury, część pamięta stare, a część nie wie, że w ogóle coś się zmieniło.

Procedura bezpieczeństwa a oświadczenie – dwa różne dokumenty

Częstym błędem jest traktowanie procedury bezpieczeństwa informacji i oświadczenia o zapoznaniu się z tą procedurą jako jednego dokumentu. To dwa odrębne elementy systemu bezpieczeństwa:

  • Procedura / polityka bezpieczeństwa informacji – opisuje zasady, czynności, odpowiedzialności, tryb postępowania przy przetwarzaniu i ochronie informacji. Jest dokumentem o charakterze instrukcyjno-organizacyjnym.
  • Oświadczenie o zapoznaniu się z procedurą bezpieczeństwa informacji – jest krótkim aktem woli osoby, która potwierdza, że zna treść procedury i zobowiązuje się do jej przestrzegania.

Procedura może mieć kilkanaście lub kilkadziesiąt stron, zawierać definicje, schematy, załączniki. Oświadczenie natomiast powinno być zwięzłe, czytelne i łatwe do przechowywania w aktach osobowych lub innym rejestrze. Nie warto łączyć ich w jeden obszerny dokument, ponieważ utrudnia to późniejszą wymianę samej procedury lub aktualizację treści oświadczenia.

W praktyce dobrze sprawdza się podejście, w którym każda wersja procedury bezpieczeństwa informacji ma swój numer i datę, a oświadczenie dokładnie wskazuje, z którą wersją dokumentu zapoznał się pracownik. Ułatwia to dowodzenie w czasie kontroli, jaki dokument obowiązywał w konkretnej dacie.

Funkcja dowodowa przy incydentach i kontrolach

Oświadczenie ma dużą wartość dowodową podczas incydentów bezpieczeństwa, skarg osób, kontroli UODO, PIP, NIK czy audytów wewnętrznych i zewnętrznych (np. ISO 27001). Gdy dojdzie do naruszenia, kluczowe pytania brzmią zwykle:

  • czy pracownik był upoważniony do przetwarzania danych lub pracy na danej informacji,
  • czy znał obowiązującą procedurę i czy był przeszkolony,
  • czy organizacja dochowała należytej staranności w zakresie wdrożenia zasad bezpieczeństwa.

Dobrze przygotowany wzór oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji pozwala udzielić na te pytania konkretnych odpowiedzi. W dokumentacji można szybko wskazać datę zapoznania, wersję procedury, rodzaj odbytych szkoleń, a czasem również potwierdzenie przyjęcia do wiadomości konsekwencji naruszeń.

Brak oświadczeń zwykle działa na niekorzyść organizacji. Trudno wtedy wykazać, że naruszenie nie wynika z zaniedbań systemowych, lecz z jednostkowego złamania zasad przez pracownika. Udokumentowane oświadczenia pomagają odróżnić sytuację, w której organizacja nie zbudowała systemu bezpieczeństwa, od tej, w której system działał poprawnie, a zawiódł czynnik ludzki.

Organizacja bez oświadczeń vs z ujednoliconym systemem potwierdzeń

Porównanie dwóch podejść najlepiej pokazuje, gdzie oświadczenie przynosi realną wartość.

ElementBrak oświadczeńUjednolicony system oświadczeń
Dowód zapoznania z procedurąOpiera się na ustnych deklaracjach, domysłach lub logach systemowych.Każda osoba ma podpisane oświadczenie przypisane do wersji procedury.
Reakcja na incydentTrudno ustalić, czy pracownik znał aktualne zasady.Można wskazać datę zapoznania, opis procedury i zakres odpowiedzialności.
Kontrola zewnętrznaKonieczność tłumaczenia nieformalnych rozwiązań.Przedstawia się rejestr oświadczeń, wzór oświadczenia i procedurę.
Wdrażanie zmianBrak jasnego momentu wejścia w życie nowych zasad.Nowa wersja procedury = nowy cykl zapoznania i nowe oświadczenia.
Odpowiedzialność pracownikaPracownik może twierdzić, że nie znał procedury.Można wykazać świadome przyjęcie obowiązujących zasad.

Ujednolicony system potwierdzeń nie wymaga skomplikowanych narzędzi. Wystarczą czytelny wzór oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji, prosty rejestr oświadczeń (np. w formie tabeli) oraz określona ścieżka postępowania przy wdrażaniu nowej wersji procedur.

Podstawy prawne i standardy – kiedy oświadczenie jest niezbędne, a kiedy tylko rozsądne

Wymogi wynikające z RODO i upoważnianie do przetwarzania danych

RODO nie narzuca wprost obowiązku zbierania pisemnych oświadczeń o zapoznaniu się z procedurą bezpieczeństwa informacji. Wskazuje jednak szereg wymogów, które w praktyce trudno spełnić bez udokumentowania takich działań. W szczególności znaczenie mają:

  • art. 24 RODO – odpowiedzialność administratora za wdrożenie odpowiednich środków technicznych i organizacyjnych oraz możliwość wykazania ich stosowania,
  • art. 29 RODO – obowiązek zapewnienia, by osoby działające z upoważnienia administratora przetwarzały dane wyłącznie na jego polecenie,
  • art. 32 RODO – obowiązek zapewnienia bezpieczeństwa przetwarzania, w tym m.in. poufności danych.

Wdrożenie tych wymogów zwykle obejmuje nadawanie upoważnień do przetwarzania danych osobowych oraz przekazanie odpowiednich instrukcji i procedur. Oświadczenie o zapoznaniu się z procedurą bezpieczeństwa informacji jest naturalnym dopełnieniem tego procesu. Pozwala wykazać, że osoba upoważniona zna nie tylko zakres swoich uprawnień, lecz również sposób ich realizacji zgodny z polityką bezpieczeństwa.

W wielu audytach RODO pojawia się pytanie: „W jaki sposób administrator dokumentuje fakt, że personel zna obowiązujące procedury bezpieczeństwa informacji?”. Przedłożenie dobrze przygotowanego wzoru oświadczenia oraz rejestru podpisanych oświadczeń jest jedną z najbardziej przejrzystych odpowiedzi.

Kodeks pracy i „BHP informacyjne”

Kodeks pracy nie operuje pojęciem „bezpieczeństwa informacji”, ale reguluje ochronę mienia pracodawcy, tajemnicy przedsiębiorstwa oraz obowiązek przestrzegania ustalonej organizacji i porządku w procesie pracy. W kontekście oświadczeń znaczenie mają m.in. przepisy dotyczące:

  • obowiązku dbałości pracownika o dobro zakładu pracy i ochronę jego mienia,
  • przestrzegania czasu pracy, regulaminu pracy i ustalonego porządku,
  • przestrzegania tajemnicy określonej w odrębnych przepisach.

Jeżeli pracodawca wprowadza procedurę bezpieczeństwa informacji jako część porządku organizacyjnego, to zapoznanie pracownika z tą procedurą i złożenie stosownego oświadczenia staje się analogiczne do zapoznania z regulaminem pracy czy instrukcjami BHP. Dzięki temu w razie sporu o naruszenie dyscypliny pracy można odwołać się do konkretnego dokumentu, a nie tylko do ogólnych zasad staranności.

Coraz częściej mówi się o „BHP informacyjnym” – zestawie reguł dotyczących korzystania z systemów IT, poczty, nośników danych, pracy zdalnej, kontaktu z klientami. Oświadczenie o zapoznaniu się z procedurą bezpieczeństwa informacji staje się w tym kontekście jednym z kluczowych dokumentów porządkujących relację między pracownikiem a pracodawcą w zakresie ochrony informacji.

Przepisy sektorowe: administracja, oświata, zdrowie, finanse

Oprócz ogólnych przepisów, w wielu sektorach funkcjonują dodatkowe normy odnoszące się do ochrony informacji. Różnią się one tym, jak szczegółowo opisują potrzebę dokumentowania szkoleń i zapoznania z procedurami.

Administracja publiczna – liczne rozporządzenia i wytyczne (np. w zakresie BIP, instrukcji kancelaryjnych, systemów teleinformatycznych) przewidują obowiązek opracowania instrukcji bezpieczeństwa oraz przeszkolenia personelu. W praktyce w urzędach stosuje się często standardowe wzory oświadczeń, powiązane z zarządzeniami kierownika jednostki o wdrożeniu polityki bezpieczeństwa informacji.

Sektor oświaty – szkoły i przedszkola przetwarzają dane uczniów, rodziców, nauczycieli, korzystają z dzienników elektronicznych. Część samorządów przygotowuje jednolite wzory oświadczeń dla wszystkich jednostek oświatowych, obejmujące zarówno RODO, jak i procedury bezpieczeństwa informacji. Zwykle wymagane jest podpisanie oświadczeń nie tylko przez nauczycieli, ale również pracowników administracji i obsługi.

Służba zdrowia – przepisy o dokumentacji medycznej, tajemnicy medycznej i bezpieczeństwie systemów teleinformatycznych są wyjątkowo rygorystyczne. Szpitale i przychodnie niemal zawsze dokumentują zapoznanie pracowników z procedurami bezpieczeństwa informacji, często w formie rozbudowanych formularzy łączących kilka oświadczeń (o poufności, o odpowiedzialności karnej za ujawnienie danych medycznych itp.).

Sektor finansowy – banki, firmy ubezpieczeniowe i instytucje płatnicze podlegają szczegółowym rekomendacjom nadzorczym. Standardem jest tu ścisłe dokumentowanie szkoleń, testów wiedzy i oświadczeń o zapoznaniu się z procedurami. Wzory oświadczeń są zwykle zintegrowane z systemami e-learningowymi i elektronicznym obiegiem dokumentów.

Dlaczego sam log systemowy lub e-learning to za mało

Duża część szkoleń z bezpieczeństwa informacji odbywa się dziś w formie e-learningu. Systemy rejestrują, że użytkownik zalogował się, ukończył moduł, zaliczył test. Zdarza się jednak, że podczas kontroli organy nadzorcze pytają nie tylko o logi szkoleń, ale także o sposób potwierdzenia zapoznania się z konkretnymi procedurami i regulacjami.

Log systemowy wskazuje, że użytkownik miał dostęp do materiału szkoleniowego, ale nie zawsze jednoznacznie dowodzi, że zna treść konkretnej procedury bezpieczeństwa informacji, obowiązującej w danej wersji i dacie. Z kolei oświadczenie, jeśli jest dobrze skonstruowane, obejmuje:

  • odwołanie do oznaczenia procedury (numer, tytuł, wersja),
  • datę zapoznania się z treścią,
  • świadome zobowiązanie do przestrzegania zasad,
  • czasem potwierdzenie ukończenia odpowiedniego szkolenia.

Najbezpieczniejsze jest podejście łączące oba elementy: system szkoleń e-learningowych oraz zwięzły wzór oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji, podpisywany elektronicznie lub papierowo. W razie sporu można wtedy przedstawić i logi szkoleń, i konkretne oświadczenie.

Oświadczenie a systemy zarządzania bezpieczeństwem (np. ISO 27001)

W organizacjach, które wdrożyły system zarządzania bezpieczeństwem informacji, np. zgodnie z normą ISO 27001, krytycznym elementem jest udokumentowane szkolenie i uświadamianie pracowników. Normy i dobre praktyki wymagają, by organizacja nie tylko ustanowiła polityki i procedury, ale również wykazała, że są one znane i stosowane przez personel.

Standardowym rozwiązaniem jest włączenie wzoru oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji do zestawu formularzy systemowych. Staje się on częścią:

  • procesu przyjęcia pracownika lub współpracownika (onboarding),
  • procesu aktualizacji procedur (nowe wersje polityk),
  • przygotowania do audytu certyfikującego lub nadzoru.

Audytorzy pytają często nie tylko o czy, ale również o jak organizacja potwierdza zapoznanie z procedurami. Przejrzysty, ustandaryzowany wzór oświadczenia znacząco ułatwia pozytywne przejście takiego audytu i zmniejsza ryzyko „miękkich” niezgodności związanych z dokumentowaniem szkoleń.

Dwie kobiety analizują formularz dokumentu przy biurku
Źródło: Pexels | Autor: Mikhail Nilov

Zakres oświadczenia – co faktycznie ma potwierdzić pracownik lub inna osoba

Minimum: zapoznanie i zobowiązanie do przestrzegania

Niezależnie od tego, jak bardzo rozbudowana będzie treść oświadczenia, jego absolutne minimum obejmuje dwa elementy:

Kluczowe Wnioski

  • Oświadczenie o zapoznaniu się z procedurą bezpieczeństwa informacji pełni jednocześnie funkcję prawną, dowodową i organizacyjną – bez niego trudno egzekwować odpowiedzialność pracowników za sposób obchodzenia się z informacjami.
  • Procedura bezpieczeństwa i oświadczenie to dwa odrębne dokumenty: pierwsza opisuje zasady i działania, drugie jest krótkim, indywidualnym potwierdzeniem ich znajomości i akceptacji; łączenie ich w jeden plik utrudnia aktualizacje i porządek w dokumentacji.
  • Każda wersja procedury powinna mieć swój numer i datę, a oświadczenie musi wskazywać konkretną wersję, z którą zapoznał się pracownik – dzięki temu podczas kontroli lub sporu można łatwo odtworzyć, jakie zasady obowiązywały w danym czasie.
  • Przy incydentach bezpieczeństwa i kontrolach (np. UODO, PIP, audyty ISO 27001) oświadczenia stanowią kluczowy dowód, że pracownik był upoważniony, przeszkolony i znał procedury; ich brak zwykle obciąża organizację, a nie pojedynczą osobę.
  • Organizacja bez systemu oświadczeń opiera się na domysłach i ustnych deklaracjach, podczas gdy ujednolicony system potwierdzeń daje jasny rejestr: kto, kiedy i z jaką wersją procedury się zapoznał, co ułatwia reakcję na incydenty, wdrażanie zmian i egzekwowanie odpowiedzialności.
  • Ujednolicony system nie wymaga zaawansowanych narzędzi – wystarczy prosty, czytelny wzór oświadczenia, nieskomplikowany rejestr (np. tabela) oraz ustalona ścieżka postępowania przy wprowadzaniu nowych wersji procedur.
Poprzedni artykułWzór wniosku o sprostowanie danych osobowych zgodnie z RODO
Następny artykułJak przygotować się duchowo do spowiedzi: praktyczny przewodnik dla zabieganych wiernych
Wiktoria Baran
Wiktoria Baran przygotowuje poradniki i wzory dokumentów dla osób, które prowadzą BIP w małych zespołach i łączą to z innymi obowiązkami. Skupia się na przejrzystości: jak pisać komunikaty, opisywać załączniki, ustawiać terminy publikacji i porządkować archiwum, by użytkownik szybko znalazł informację. W pracy redakcyjnej dba o zgodność z przepisami, a jednocześnie testuje rozwiązania pod kątem dostępności cyfrowej i czytelności języka. Jej materiały powstają na bazie praktycznych scenariuszy, najczęstszych pytań oraz weryfikacji, czy proponowane kroki da się wykonać bez specjalistycznych narzędzi.

1 KOMENTARZ

  1. Bardzo cenna publikacja dotycząca wzoru oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji. Bardzo doceniam klarowny przekaz i przejrzystość dokumentu, który pozwala łatwo zrozumieć, jakie wymogi obowiązują w zakresie bezpieczeństwa informacji. Jednakże mógłbym życzyć sobie większego zróżnicowania w przykładach i możliwość dostosowania wzoru do konkretnych potrzeb czy sytuacji. Pomimo tego, artykuł zdecydowanie warto przeczytać dla osób, które chcą bardziej świadomie korzystać z informacji oraz dbać o ich bezpieczeństwo.

Komentarze są aktywne tylko po zalogowaniu.