Rola oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji
Dlaczego w ogóle zbiera się oświadczenia od pracowników
Oświadczenie o zapoznaniu się z procedurą bezpieczeństwa informacji pełni równocześnie kilka funkcji: prawną, dowodową i organizacyjną. Dokument ten ma potwierdzać, że dana osoba zna określone zasady postępowania z informacjami, wie, jakie dane są chronione, jakich narzędzi używać i czego nie wolno robić. Bez takiego potwierdzenia trudno oczekiwać realnej odpowiedzialności i dyscypliny informacyjnej.
Z perspektywy prawnej oświadczenie pomaga wykazać spełnienie obowiązków wynikających z przepisów, przede wszystkim z RODO, kodeksu pracy oraz ustaw sektorowych (np. o systemie oświaty, o działalności leczniczej, o finansach publicznych). Administrator danych lub pracodawca może wówczas wskazać, że nie tylko przyjął procedury bezpieczeństwa, ale też zapoznał z nimi konkretne osoby, którym powierzył przetwarzanie informacji.
Od strony organizacyjnej oświadczenie porządkuje proces wdrażania zasad bezpieczeństwa. Pozwala zaplanować ścieżkę: opracowanie procedury → szkolenie → zapoznanie → podpisanie oświadczenia → wpis do rejestru. Bez tego często powstaje chaos: część pracowników zna aktualne procedury, część pamięta stare, a część nie wie, że w ogóle coś się zmieniło.
Procedura bezpieczeństwa a oświadczenie – dwa różne dokumenty
Częstym błędem jest traktowanie procedury bezpieczeństwa informacji i oświadczenia o zapoznaniu się z tą procedurą jako jednego dokumentu. To dwa odrębne elementy systemu bezpieczeństwa:
- Procedura / polityka bezpieczeństwa informacji – opisuje zasady, czynności, odpowiedzialności, tryb postępowania przy przetwarzaniu i ochronie informacji. Jest dokumentem o charakterze instrukcyjno-organizacyjnym.
- Oświadczenie o zapoznaniu się z procedurą bezpieczeństwa informacji – jest krótkim aktem woli osoby, która potwierdza, że zna treść procedury i zobowiązuje się do jej przestrzegania.
Procedura może mieć kilkanaście lub kilkadziesiąt stron, zawierać definicje, schematy, załączniki. Oświadczenie natomiast powinno być zwięzłe, czytelne i łatwe do przechowywania w aktach osobowych lub innym rejestrze. Nie warto łączyć ich w jeden obszerny dokument, ponieważ utrudnia to późniejszą wymianę samej procedury lub aktualizację treści oświadczenia.
W praktyce dobrze sprawdza się podejście, w którym każda wersja procedury bezpieczeństwa informacji ma swój numer i datę, a oświadczenie dokładnie wskazuje, z którą wersją dokumentu zapoznał się pracownik. Ułatwia to dowodzenie w czasie kontroli, jaki dokument obowiązywał w konkretnej dacie.
Funkcja dowodowa przy incydentach i kontrolach
Oświadczenie ma dużą wartość dowodową podczas incydentów bezpieczeństwa, skarg osób, kontroli UODO, PIP, NIK czy audytów wewnętrznych i zewnętrznych (np. ISO 27001). Gdy dojdzie do naruszenia, kluczowe pytania brzmią zwykle:
- czy pracownik był upoważniony do przetwarzania danych lub pracy na danej informacji,
- czy znał obowiązującą procedurę i czy był przeszkolony,
- czy organizacja dochowała należytej staranności w zakresie wdrożenia zasad bezpieczeństwa.
Dobrze przygotowany wzór oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji pozwala udzielić na te pytania konkretnych odpowiedzi. W dokumentacji można szybko wskazać datę zapoznania, wersję procedury, rodzaj odbytych szkoleń, a czasem również potwierdzenie przyjęcia do wiadomości konsekwencji naruszeń.
Brak oświadczeń zwykle działa na niekorzyść organizacji. Trudno wtedy wykazać, że naruszenie nie wynika z zaniedbań systemowych, lecz z jednostkowego złamania zasad przez pracownika. Udokumentowane oświadczenia pomagają odróżnić sytuację, w której organizacja nie zbudowała systemu bezpieczeństwa, od tej, w której system działał poprawnie, a zawiódł czynnik ludzki.
Organizacja bez oświadczeń vs z ujednoliconym systemem potwierdzeń
Porównanie dwóch podejść najlepiej pokazuje, gdzie oświadczenie przynosi realną wartość.
| Element | Brak oświadczeń | Ujednolicony system oświadczeń |
|---|---|---|
| Dowód zapoznania z procedurą | Opiera się na ustnych deklaracjach, domysłach lub logach systemowych. | Każda osoba ma podpisane oświadczenie przypisane do wersji procedury. |
| Reakcja na incydent | Trudno ustalić, czy pracownik znał aktualne zasady. | Można wskazać datę zapoznania, opis procedury i zakres odpowiedzialności. |
| Kontrola zewnętrzna | Konieczność tłumaczenia nieformalnych rozwiązań. | Przedstawia się rejestr oświadczeń, wzór oświadczenia i procedurę. |
| Wdrażanie zmian | Brak jasnego momentu wejścia w życie nowych zasad. | Nowa wersja procedury = nowy cykl zapoznania i nowe oświadczenia. |
| Odpowiedzialność pracownika | Pracownik może twierdzić, że nie znał procedury. | Można wykazać świadome przyjęcie obowiązujących zasad. |
Ujednolicony system potwierdzeń nie wymaga skomplikowanych narzędzi. Wystarczą czytelny wzór oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji, prosty rejestr oświadczeń (np. w formie tabeli) oraz określona ścieżka postępowania przy wdrażaniu nowej wersji procedur.
Podstawy prawne i standardy – kiedy oświadczenie jest niezbędne, a kiedy tylko rozsądne
Wymogi wynikające z RODO i upoważnianie do przetwarzania danych
RODO nie narzuca wprost obowiązku zbierania pisemnych oświadczeń o zapoznaniu się z procedurą bezpieczeństwa informacji. Wskazuje jednak szereg wymogów, które w praktyce trudno spełnić bez udokumentowania takich działań. W szczególności znaczenie mają:
- art. 24 RODO – odpowiedzialność administratora za wdrożenie odpowiednich środków technicznych i organizacyjnych oraz możliwość wykazania ich stosowania,
- art. 29 RODO – obowiązek zapewnienia, by osoby działające z upoważnienia administratora przetwarzały dane wyłącznie na jego polecenie,
- art. 32 RODO – obowiązek zapewnienia bezpieczeństwa przetwarzania, w tym m.in. poufności danych.
Wdrożenie tych wymogów zwykle obejmuje nadawanie upoważnień do przetwarzania danych osobowych oraz przekazanie odpowiednich instrukcji i procedur. Oświadczenie o zapoznaniu się z procedurą bezpieczeństwa informacji jest naturalnym dopełnieniem tego procesu. Pozwala wykazać, że osoba upoważniona zna nie tylko zakres swoich uprawnień, lecz również sposób ich realizacji zgodny z polityką bezpieczeństwa.
W wielu audytach RODO pojawia się pytanie: „W jaki sposób administrator dokumentuje fakt, że personel zna obowiązujące procedury bezpieczeństwa informacji?”. Przedłożenie dobrze przygotowanego wzoru oświadczenia oraz rejestru podpisanych oświadczeń jest jedną z najbardziej przejrzystych odpowiedzi.
Kodeks pracy i „BHP informacyjne”
Kodeks pracy nie operuje pojęciem „bezpieczeństwa informacji”, ale reguluje ochronę mienia pracodawcy, tajemnicy przedsiębiorstwa oraz obowiązek przestrzegania ustalonej organizacji i porządku w procesie pracy. W kontekście oświadczeń znaczenie mają m.in. przepisy dotyczące:
- obowiązku dbałości pracownika o dobro zakładu pracy i ochronę jego mienia,
- przestrzegania czasu pracy, regulaminu pracy i ustalonego porządku,
- przestrzegania tajemnicy określonej w odrębnych przepisach.
Jeżeli pracodawca wprowadza procedurę bezpieczeństwa informacji jako część porządku organizacyjnego, to zapoznanie pracownika z tą procedurą i złożenie stosownego oświadczenia staje się analogiczne do zapoznania z regulaminem pracy czy instrukcjami BHP. Dzięki temu w razie sporu o naruszenie dyscypliny pracy można odwołać się do konkretnego dokumentu, a nie tylko do ogólnych zasad staranności.
Coraz częściej mówi się o „BHP informacyjnym” – zestawie reguł dotyczących korzystania z systemów IT, poczty, nośników danych, pracy zdalnej, kontaktu z klientami. Oświadczenie o zapoznaniu się z procedurą bezpieczeństwa informacji staje się w tym kontekście jednym z kluczowych dokumentów porządkujących relację między pracownikiem a pracodawcą w zakresie ochrony informacji.
Przepisy sektorowe: administracja, oświata, zdrowie, finanse
Oprócz ogólnych przepisów, w wielu sektorach funkcjonują dodatkowe normy odnoszące się do ochrony informacji. Różnią się one tym, jak szczegółowo opisują potrzebę dokumentowania szkoleń i zapoznania z procedurami.
Administracja publiczna – liczne rozporządzenia i wytyczne (np. w zakresie BIP, instrukcji kancelaryjnych, systemów teleinformatycznych) przewidują obowiązek opracowania instrukcji bezpieczeństwa oraz przeszkolenia personelu. W praktyce w urzędach stosuje się często standardowe wzory oświadczeń, powiązane z zarządzeniami kierownika jednostki o wdrożeniu polityki bezpieczeństwa informacji.
Sektor oświaty – szkoły i przedszkola przetwarzają dane uczniów, rodziców, nauczycieli, korzystają z dzienników elektronicznych. Część samorządów przygotowuje jednolite wzory oświadczeń dla wszystkich jednostek oświatowych, obejmujące zarówno RODO, jak i procedury bezpieczeństwa informacji. Zwykle wymagane jest podpisanie oświadczeń nie tylko przez nauczycieli, ale również pracowników administracji i obsługi.
Służba zdrowia – przepisy o dokumentacji medycznej, tajemnicy medycznej i bezpieczeństwie systemów teleinformatycznych są wyjątkowo rygorystyczne. Szpitale i przychodnie niemal zawsze dokumentują zapoznanie pracowników z procedurami bezpieczeństwa informacji, często w formie rozbudowanych formularzy łączących kilka oświadczeń (o poufności, o odpowiedzialności karnej za ujawnienie danych medycznych itp.).
Sektor finansowy – banki, firmy ubezpieczeniowe i instytucje płatnicze podlegają szczegółowym rekomendacjom nadzorczym. Standardem jest tu ścisłe dokumentowanie szkoleń, testów wiedzy i oświadczeń o zapoznaniu się z procedurami. Wzory oświadczeń są zwykle zintegrowane z systemami e-learningowymi i elektronicznym obiegiem dokumentów.
Dlaczego sam log systemowy lub e-learning to za mało
Duża część szkoleń z bezpieczeństwa informacji odbywa się dziś w formie e-learningu. Systemy rejestrują, że użytkownik zalogował się, ukończył moduł, zaliczył test. Zdarza się jednak, że podczas kontroli organy nadzorcze pytają nie tylko o logi szkoleń, ale także o sposób potwierdzenia zapoznania się z konkretnymi procedurami i regulacjami.
Log systemowy wskazuje, że użytkownik miał dostęp do materiału szkoleniowego, ale nie zawsze jednoznacznie dowodzi, że zna treść konkretnej procedury bezpieczeństwa informacji, obowiązującej w danej wersji i dacie. Z kolei oświadczenie, jeśli jest dobrze skonstruowane, obejmuje:
- odwołanie do oznaczenia procedury (numer, tytuł, wersja),
- datę zapoznania się z treścią,
- świadome zobowiązanie do przestrzegania zasad,
- czasem potwierdzenie ukończenia odpowiedniego szkolenia.
Najbezpieczniejsze jest podejście łączące oba elementy: system szkoleń e-learningowych oraz zwięzły wzór oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji, podpisywany elektronicznie lub papierowo. W razie sporu można wtedy przedstawić i logi szkoleń, i konkretne oświadczenie.
Oświadczenie a systemy zarządzania bezpieczeństwem (np. ISO 27001)
W organizacjach, które wdrożyły system zarządzania bezpieczeństwem informacji, np. zgodnie z normą ISO 27001, krytycznym elementem jest udokumentowane szkolenie i uświadamianie pracowników. Normy i dobre praktyki wymagają, by organizacja nie tylko ustanowiła polityki i procedury, ale również wykazała, że są one znane i stosowane przez personel.
Standardowym rozwiązaniem jest włączenie wzoru oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji do zestawu formularzy systemowych. Staje się on częścią:
- procesu przyjęcia pracownika lub współpracownika (onboarding),
- procesu aktualizacji procedur (nowe wersje polityk),
- przygotowania do audytu certyfikującego lub nadzoru.
Audytorzy pytają często nie tylko o czy, ale również o jak organizacja potwierdza zapoznanie z procedurami. Przejrzysty, ustandaryzowany wzór oświadczenia znacząco ułatwia pozytywne przejście takiego audytu i zmniejsza ryzyko „miękkich” niezgodności związanych z dokumentowaniem szkoleń.

Zakres oświadczenia – co faktycznie ma potwierdzić pracownik lub inna osoba
Minimum: zapoznanie i zobowiązanie do przestrzegania
Niezależnie od tego, jak bardzo rozbudowana będzie treść oświadczenia, jego absolutne minimum obejmuje dwa elementy:
Kluczowe Wnioski
- Oświadczenie o zapoznaniu się z procedurą bezpieczeństwa informacji pełni jednocześnie funkcję prawną, dowodową i organizacyjną – bez niego trudno egzekwować odpowiedzialność pracowników za sposób obchodzenia się z informacjami.
- Procedura bezpieczeństwa i oświadczenie to dwa odrębne dokumenty: pierwsza opisuje zasady i działania, drugie jest krótkim, indywidualnym potwierdzeniem ich znajomości i akceptacji; łączenie ich w jeden plik utrudnia aktualizacje i porządek w dokumentacji.
- Każda wersja procedury powinna mieć swój numer i datę, a oświadczenie musi wskazywać konkretną wersję, z którą zapoznał się pracownik – dzięki temu podczas kontroli lub sporu można łatwo odtworzyć, jakie zasady obowiązywały w danym czasie.
- Przy incydentach bezpieczeństwa i kontrolach (np. UODO, PIP, audyty ISO 27001) oświadczenia stanowią kluczowy dowód, że pracownik był upoważniony, przeszkolony i znał procedury; ich brak zwykle obciąża organizację, a nie pojedynczą osobę.
- Organizacja bez systemu oświadczeń opiera się na domysłach i ustnych deklaracjach, podczas gdy ujednolicony system potwierdzeń daje jasny rejestr: kto, kiedy i z jaką wersją procedury się zapoznał, co ułatwia reakcję na incydenty, wdrażanie zmian i egzekwowanie odpowiedzialności.
- Ujednolicony system nie wymaga zaawansowanych narzędzi – wystarczy prosty, czytelny wzór oświadczenia, nieskomplikowany rejestr (np. tabela) oraz ustalona ścieżka postępowania przy wprowadzaniu nowych wersji procedur.







Bardzo cenna publikacja dotycząca wzoru oświadczenia o zapoznaniu się z procedurą bezpieczeństwa informacji. Bardzo doceniam klarowny przekaz i przejrzystość dokumentu, który pozwala łatwo zrozumieć, jakie wymogi obowiązują w zakresie bezpieczeństwa informacji. Jednakże mógłbym życzyć sobie większego zróżnicowania w przykładach i możliwość dostosowania wzoru do konkretnych potrzeb czy sytuacji. Pomimo tego, artykuł zdecydowanie warto przeczytać dla osób, które chcą bardziej świadomie korzystać z informacji oraz dbać o ich bezpieczeństwo.
Komentarze są aktywne tylko po zalogowaniu.