Uwaga #1: Ochrona danych - wstęp

Procedura/Regulamin w zakresie bezpieczeństwa i ochrony informacji

Przedsiębiorca / Zarząd Spółki / Wspólnik prowadzący jej sprawy ponosi odpowiedzialność z najróżniejszych tytułów za ochronę danych. Powszechnie mówi się o ochronie informacji, którą są różne dane w kategoriach podmiotowych i przedmiotowych. Dane od strony podmiotowej to oczywiście dane osobowe, ale także w wielu przypadkach dane handlowe np. o kontrahentach, klientach, ich zamówieniach, potrzebach, kontach, banku itp.
Dane od strony przedmiotowej to informacje obejmujące dane i wiedzę, chronione ze względu na najróżniejsze okoliczności, w tym podlegające tajemnicy skarbowej, bankowej, postępowań administracyjnych, podatkowych, cywilnych, tajemnice zawodowe, jak np. lekarska, adwokacka, radcowska. Wreszcie dane chronione ze względu na interes przedsiębiorcy i jego przedsiębiorstwa, a więc różne tajemnice przemysłowe, handlowe, organizacyjne, korporacyjne. Część z tych danych przedsiębiorca ma obowiązek chronić i nie ma tu swobody wyboru, co do zakresu danych i intensywności ochrony. Natomiast w zakresie jego danych i jego przedsiębiorstwa sam decyduje o tym, co i w jakim zakresie oraz w jakim terminie obejmie ochroną. Z tych względów przedsiębiorca ma obowiązek dokonać wewnętrznej regulacji, aby chronić dane, których ochrony wymaga prawo i dane, które sam we własnym interesie, interesie swojego przedsiębiorstwa, interesie swoich klientów, konsumentów powinien strzec.
Regulacja w tym zakresie u przedsiębiorcy może co do zasady mieć różną formę i charakter. Mogą to być obowiązki rozpisane i nakładane na pracowników, zleceniobiorców, usługodawców, wykonawców, które są wprowadzane do umów o pracę, księgi służb, Regulaminu organizacyjnego, Regulaminu zarządzania oraz poszczególnych Umów zlecenia, umów o dzieło, umów o wykonanie usług, umów akwizycyjnych, agencyjnych itp. Może też być to jedna spójna regulacja obejmująca zarówno aspekty ochrony informacji przed nieuprawnionym udostępnieniem, czyli upublicznieniem bądź ujawnieniem osobom niepowołanym oraz jednocześnie regulacja ochrony przed utratą, zniszczeniem, uszkodzeniem lub zniekształceniem danych w rozumieniu ochrony fizycznej baz danych i nośników danych, pamięci masowych, dysków twardych, optycznych, elastycznych, magnetycznych, CD-romów, pen-drivów, jak też urządzeń dostępowych, peryferyjnych oraz samych serwerów, komputerów i sieci wewnętrznych, czy Intranetu. Trzeba przy tym pamiętać, że zagrożeniem dla przedsiębiorcy jest nie tylko udostępnienie nieuprawnionym danych chronionych, np. osobowych, czy skarbowych, ale także utrata bądź uszkodzenie nośników lub danych zawierających informacje niezbędne dla funkcjonowania przedsiębiorstwa i prowadzenia prawidłowo jego ksiąg, w tym danych księgowych, rachunkowych, handlowych czy danych dotyczących procesów technologicznych, receptur, projektów reklamowych lub marketingowych.
Z uwagi na potrzebę rozwoju technik przenoszenia i utrwalania informacji oraz w znacznej mierze odstępowanie od nośników papierowych i ich archiwizowania coraz ważniejsze jest zapewnianie ochrony informacji w formach cyfrowych i elektronicznych urządzeń do utrwalania i przenoszenia informacji.
W świetle powyższego istotne jest, aby wymagania prawne były postrzegane i przestrzegane w ramach jednego, kompleksowego systemu zarządzania bezpieczeństwem informacji w przedsiębiorstwie. W tym kontekście szczególnego znaczenia nabierają regulacje wewnętrzne, które w sposób całościowy i elastyczny (dostosowany do warunków danego przedsiębiorstwa) wprowadzają i porządkują zagadnienia bezpieczeństwa informatycznego. Ogólnie można je określić terminem "zarządzanie bezpieczeństwem informacji". Przedsiębiorca, który chce należycie zabezpieczyć swoje informacje, powinien dążyć do zastosowania podejścia systemowego, w ramach którego będzie zarządzać kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dot. bezpieczeństwa informacji.
Temu służy opracowanie i wdrożenie przedstawionej Procedury w zakresie bezpieczeństwa i ochrony informacji, dokumentów, materiałów oraz danych (informacje chronione i bezpieczeństwo informatyczne). Trzeba tu wyraźnie zastrzec, że przygotowany projekt stanowi wersję bardzo rozbudowaną, która oczywiście w zależności od konkretnych warunków i potrzeb danego przedsiębiorcy może być wykorzystywana i stosowana w wersji zmodyfikowanej, z pominięciem niektórych zapisów, czy zmianą (dostosowaniem) innych.
Dotyczy to w szczególności projektowanych zapisów pkt II.2.1. i II.2.2., pkt III, pkt VI i pkt VII odnośnie zakresu i rodzaju tajemnicy przedsiębiorcy, podziału obowiązków w zakresie nadzoru i kontroli.
W praktyce powyższe zapisy będą uwarunkowane wprost zakresem i rodzajem prowadzonej działalności gospodarczej oraz formą i strukturą przedsiębiorstwa. Podane w projekcie procedury i zapisy zostały opracowane przy zastosowaniu podejścia standardowego, dla średniego przedsiębiorcy, w tym spółek prawa handlowego, z możliwością stosowania u indywidualnego przedsiębiorcy (patrz także: Instrukcja: Jaka forma prawna będzie odpowiednia dla Twojej działalności?).

Mając na uwadze te wszystkie okoliczności rekomendujemy jednolitą regulację w całym zakresie ochrony informacji, oczywiście dostosowaną odpowiednio do wielkości przedsiębiorstwa.

Powrót do dokumentu