Czy każda firma musi mieć politykę bezpieczeństwa informacji?

RODO nie wymaga wprost dokumentu o nazwie „polityka bezpieczeństwa informacji”, lecz nakłada na administratora obowiązek wdrożenia adekwatnych środków technicznych i organizacyjnych (art. 24 i 32 RODO) i wykazania ich stosowania (zasada rozliczalności, art. 5 ust. 2 RODO). Prezes Urzędu Ochrony Danych Osobowych (PUODO) traktuje brak takiego dokumentu jako brak środka organizacyjnego i okoliczność pogarszającą sytuację administratora w postępowaniu kontrolnym. W praktyce każdy podmiot przetwarzający dane osobowe pracowników lub klientów powinien posiadać politykę bezpieczeństwa — nawet jeśli jest to krótki, kilkustronicowy dokument zatwierdzony przez zarząd.

Czym różni się polityka bezpieczeństwa informacji od polityki prywatności?

Polityka bezpieczeństwa informacji jest dokumentem wewnętrznym, skierowanym do pracowników i podmiotów przetwarzających, który określa zasady i procedury ochrony danych i systemów wewnątrz organizacji. Polityka prywatności jest dokumentem zewnętrznym, skierowanym do osób, których dane dotyczą (klientów, użytkowników strony), który informuje o zasadach przetwarzania ich danych i realizuje obowiązek informacyjny z art. 13-14 RODO. Oba dokumenty są konieczne — brak któregokolwiek stanowi naruszenie RODO.

Co to jest privacy by design i jak go wdrożyć w Polsce?

Privacy by design (art. 25 ust. 1 RODO) to zasada uwzględniania ochrony danych od etapu projektowania systemu lub procesu przetwarzania. W praktyce oznacza: uwzględnienie wymogów bezpieczeństwa przed zakupem lub wdrożeniem oprogramowania, projektowanie formularzy zbierających tylko niezbędne dane, domyślne szyfrowanie przechowywanych danych, budowanie interfejsów ułatwiających realizację praw użytkownika. Privacy by default (art. 25 ust. 2 RODO) oznacza, że domyślne ustawienia systemu muszą gwarantować przetwarzanie minimalnej ilości danych — np. pola nieobowiązkowe w formularzach muszą być puste, a nie pre-wypełnione. PUODO uznaje privacy by design za jeden z kluczowych wyznaczników dojrzałości systemu ochrony danych.

Co to jest ocena skutków dla ochrony danych (DPIA) i kiedy jest obowiązkowa?

Ocena skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA) to analiza ryzyka przeprowadzana przez administratora przed wdrożeniem operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw i wolności osób (art. 35 RODO). DPIA jest obowiązkowa m.in. przy systematycznej ocenie aspektów osobistych (profilowaniu) na dużą skalę, przetwarzaniu szczególnych kategorii danych (art. 9 RODO) na dużą skalę, monitorowaniu na dużą skalę publicznie dostępnych obszarów. Prezes Urzędu Ochrony Danych Osobowych (PUODO) opublikował wykaz rodzajów operacji wymagających DPIA. Jeśli DPIA wykaże, że ryzyko jest wysokie i nie można go zredukować — administrator ma obowiązek skonsultować przetwarzanie z PUODO (uprzednie konsultacje, art. 36 RODO) przed jego uruchomieniem.

Jak często należy aktualizować politykę bezpieczeństwa informacji?

Politykę bezpieczeństwa informacji należy przeglądać co najmniej raz w roku, a ponadto przy każdej istotnej zmianie systemu IT, procesu przetwarzania, przepisów prawa lub po wystąpieniu incydentu bezpieczeństwa. Art. 24 ust. 1 RODO wymaga, aby środki bezpieczeństwa były w razie potrzeby poddawane przeglądom i uaktualniane. Polityka, która nie była aktualizowana od roku 2018 (wejście RODO w życie) lub wcześniej, z bardzo wysokim prawdopodobieństwem nie odpowiada aktualnemu stanowi systemów i przepisów. Archiwizacja poprzednich wersji polityki z datami obowiązywania jest dowodem regularności przeglądów wymaganym przez zasadę rozliczalności.

Czy polityka bezpieczeństwa informacji musi być podpisana przez pracowników?

RODO nie wymaga wprost podpisania polityki przez pracowników, lecz art. 29 RODO i art. 28 ust. 3 lit. b RODO wymagają, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności. W praktyce PUODO oczekuje, że pracownicy zostaną zapoznani z polityką bezpieczeństwa i potwierdzą to podpisem (oświadczenie o zapoznaniu się). Brak tego potwierdzenia naraża pracodawcę na zarzut, że pracownicy nie wiedzą o obowiązujących zasadach bezpieczeństwa, co samo w sobie może być uznane za brak środka organizacyjnego z art. 32 RODO.

Jakie sankcje grożą za brak polityki bezpieczeństwa informacji?

Brak polityki bezpieczeństwa informacji lub jej niewystarczająca treść mogą skutkować administracyjną karą pieniężną PUODO na podstawie art. 83 ust. 4 lit. a RODO — do 10 mln EUR lub 2% rocznego obrotu globalnego — za naruszenie przepisów o bezpieczeństwie przetwarzania (art. 32 RODO). Przy narusząchniach naruszających podstawowe zasady przetwarzania (art. 5 RODO) kary mogą sięgnąć 20 mln EUR lub 4% obrotu (art. 83 ust. 5 RODO). PUODO nakładał kary na polskie podmioty m.in. za brak adekwatnych środków bezpieczeństwa prowadzący do wycieku danych — bez formalnej polityki bezpieczeństwa administrator nie może wykazać, że wdrożył wymagane środki przed incydentem.

Polityka bezpieczeństwa informacji

Rzeczpospolita Polska — RODO art. 24, art. 25, art. 32 oraz ustawa z 10.05.2018 o ochronie danych osobowych

Tytuł

POLITYKA BEZPIECZEŃSTWA INFORMACJI

[Nazwa organizacji] | Wersja: [Wersja dokumentu] | Obowiązuje od: [Data wejścia w życie]

Właściciel dokumentu: [Właściciel dokumentu]

Cel i zakres

§ 1. CEL, ZAKRES I PODSTAWA PRAWNA

Polityka bezpieczeństwa informacji [Nazwa organizacji] z siedzibą pod adresem [Adres siedziby] określa zasady ochrony danych osobowych i informacji przetwarzanych przez organizację, realizując wymogi art. 24 (odpowiedzialność administratora), art. 25 (uwzględnianie ochrony danych w fazie projektowania) i art. 32 (bezpieczeństwo przetwarzania) rozporządzenia (UE) 2016/679 (RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.).

Zakres stosowania polityki obejmuje: [Zakres systemów].

Inspektor Ochrony Danych wyznaczony: [IOD wyznaczony].

Zasady bezpieczeństwa

§ 2. ZASADY BEZPIECZEŃSTWA INFORMACJI

Organizacja przetwarza informacje zgodnie z zasadami RODO (art. 5 RODO): zgodności z prawem i rzetelności, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności oraz rozliczalności.

Zasada potrzeby wiedzy (need-to-know): pracownicy uzyskują dostęp wyłącznie do danych niezbędnych do realizacji powierzonych zadań.
Zasada minimalnych uprawnień: systemy informatyczne konfigurowane są z przyznawaniem uprawnień minimalnych wymaganych do wykonywania zadań.
Zasada bezpiecznego domyślnego stanu (privacy by default, art. 25 ust. 2 RODO): domyślnie przetwarzane są wyłącznie dane niezbędne dla konkretnego celu.
Zasada uwzględnienia ochrony danych w fazie projektowania (privacy by design, art. 25 ust. 1 RODO): nowe systemy i procesy projektowane są z uwzględnieniem wymogów ochrony danych od początku.

Środki bezpieczeństwa

§ 3. ŚRODKI TECHNICZNE I ORGANIZACYJNE (art. 32 RODO)

Stosowane środki techniczne: [Środki techniczne].

Stosowane środki organizacyjne: [Środki organizacyjne].

Środki bezpieczeństwa są adekwatne do stanu wiedzy technicznej, kosztu wdrożenia, charakteru przetwarzania oraz prawdopodobieństwa i dotkliwości ryzyka naruszenia praw i wolności osób fizycznych (art. 32 ust. 1 RODO). Regularność przeglądu: [Częstotliwość przeglądu].

Incydenty bezpieczeństwa

§ 4. INCYDENTY BEZPIECZEŃSTWA I NARUSZENIA OCHRONY DANYCH

Każdy pracownik lub współpracownik, który wykryje lub podejrzewa naruszenie bezpieczeństwa informacji, zobowiązany jest niezwłocznie zgłosić ten fakt osobie odpowiedzialnej za bezpieczeństwo informacji lub IOD. Administrator ocenia naruszenie i w razie konieczności zgłasza je Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) w terminie 72 godzin (art. 33 RODO) oraz informuje osoby, których naruszenie dotyczy, jeśli może skutkować wysokim ryzykiem dla ich praw i wolności (art. 34 RODO).

Przegląd i aktualizacja

§ 5. PRZEGLĄD, AKTUALIZACJA I SZKOLENIA

Polityka bezpieczeństwa informacji podlega przeglądowi z częstotliwością: [Częstotliwość przeglądu], a także po każdym istotnym incydencie bezpieczeństwa, zmianie przepisów prawa lub zmianie architektury systemów informatycznych. Wszyscy pracownicy mający dostęp do danych osobowych przechodzą szkolenie z zakresu ochrony danych przed udzieleniem im dostępu i następnie co najmniej raz w roku. Potwierdzenie zapoznania się z polityką odbywa się przez podpisanie stosownego oświadczenia.

Zatwierdzający (Zarząd / ADO)

________________

Signature

Właściciel dokumentu (IOD / Dział IT)

________________

Signature

Prowadzone przez Vladislav Sergienko, Założyciel·Szablon ostatnio zmodyfikowany: 2026-06-23·Zgłoś błąd

Czym jest Polityka bezpieczeństwa informacji?

Polityka bezpieczeństwa informacji w Polsce to dokument strategiczny, który określa zasady, standardy i procedury ochrony danych osobowych i innych informacji przetwarzanych przez organizację, realizując obowiązki wynikające z art. 24, art. 25 i art. 32 rozporządzenia (UE) 2016/679 (RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.). Dokument stanowi fundament systemu zarządzania bezpieczeństwem informacji (ISMS — Information Security Management System) i jest punktem wyjścia dla wszystkich szczegółowych procedur i instrukcji ochrony danych stosowanych w organizacji.

Polityka bezpieczeństwa informacji odpowiada na wymóg art. 24 ust. 1 RODO, który nakłada na administratora obowiązek wdrożenia odpowiednich technicznych i organizacyjnych środków ochrony danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Art. 25 RODO wprowadza zasadę uwzględniania ochrony danych w fazie projektowania (privacy by design) — nowe systemy i procesy przetwarzania muszą już od etapu projektowania uwzględniać wymogi bezpieczeństwa — oraz zasadę domyślnej ochrony danych (privacy by default) — domyślnie przetwarzane powinny być wyłącznie dane niezbędne dla konkretnego celu. Art. 32 RODO konkretyzuje obowiązki w zakresie środków bezpieczeństwa, wymieniając pseudonimizację i szyfrowanie, zapewnienie ciągłości przetwarzania, regularne testowanie i ocenę skuteczności środków.

Polityka bezpieczeństwa informacji jest dokumentem obowiązkowym, choć RODO nie używa wprost tej nazwy — wynika ona z praktyki Prezesa Urzędu Ochrony Danych Osobowych (PUODO) i Europejskiej Rady Ochrony Danych (EROD) jako minimalny dowód wdrożenia zasady rozliczalności (art. 5 ust. 2 RODO). Podczas kontroli PUODO administrator, który nie dysponuje polityką bezpieczeństwa, ma trudność z wykazaniem, że stosuje środki bezpieczeństwa adekwatne do ryzyka. Warto odróżnić politykę bezpieczeństwa informacji od polityki prywatności (której adresatem są osoby zewnętrzne, których dane dotyczą) — polityka bezpieczeństwa jest dokumentem wewnętrznym, skierowanym do pracowników, zarządu i podmiotów przetwarzających.

W Polsce obowiązki w zakresie bezpieczeństwa informacji uzupełniają przepisy branżowe: ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560 ze zm.) dla operatorów usług kluczowych i dostawców usług cyfrowych, norma ISO/IEC 27001 jako dobrowolny standard zarządzania bezpieczeństwem informacji uznawany przez PUODO za dowód odpowiednich środków bezpieczeństwa, a od 2024 r. również dyrektywa NIS2 transponowana do prawa polskiego. Polityka bezpieczeństwa informacji, powiązana z rejestrem czynności przetwarzania (art. 30 RODO), umowami powierzenia (art. 28 RODO) i procedurą zgłaszania naruszeń (art. 33-34 RODO), tworzy kompletny system ochrony danych, który jest oceniany przez PUODO całościowo, a nie przez pryzmat pojedynczych dokumentów.

Kiedy potrzebujesz Polityka bezpieczeństwa informacji?

Polityka bezpieczeństwa informacji w Polsce jest niezbędna każdemu podmiotowi przetwarzającemu dane osobowe w celach niezwiązanych z czysto osobistą lub domową aktywnością. Obowiązek jej posiadania wynika z ogólnej zasady rozliczalności (art. 5 ust. 2 RODO) i wymogów art. 24 i 32 RODO.

**Każda firma z pracownikami.** Pracodawca przetwarza dane osobowe pracowników (imię, nazwisko, PESEL, adres, dane do ZUS, wynagrodzenie, historia zatrudnienia) i jest zobowiązany do zastosowania środków bezpieczeństwa adekwatnych do ryzyka (art. 32 RODO). Polityka bezpieczeństwa informacji formalizuje te środki i określa obowiązki pracowników, zapobiegając przypadkowym naruszeniom ochrony danych.

**Sklepy internetowe i e-commerce.** Przetwarzanie danych klientów (zamówienia, adresy, dane płatnicze) w systemach IT o złożonej infrastrukturze (hosting, bramki płatności, systemy CRM) wymaga formalnego określenia zasad bezpieczeństwa. Prezes Urzędu Ochrony Danych Osobowych (PUODO) w decyzjach dotyczących naruszeń ochrony danych w sklepach internetowych wielokrotnie wskazywał brak polityki bezpieczeństwa jako naruszenie art. 24 RODO.

**Przedsiębiorcy przetwarzający szczególne kategorie danych.** Gabinety lekarskie, kancelarie prawne, firmy ubezpieczeniowe, szkoły i inne podmioty przetwarzające dane wrażliwe (art. 9 RODO) — dane o zdrowiu, dane karne — są zobowiązane do stosowania środków bezpieczeństwa o podwyższonym standardzie, co wymaga formalnej polityki.

**Typowe sytuacje wymagające polityki bezpieczeństwa informacji:** - wdrożenie nowego systemu informatycznego (ERP, CRM, HR) - certyfikacja ISO 27001 lub przygotowanie do audytu zewnętrznego - audyt RODO lub kontrola PUODO - praca zdalna lub hybrydowa (nowe wektory zagrożeń) - onboarding nowych pracowników lub współpracowników B2B - nawiązanie współpracy z podmiotami przetwarzającymi - incydent bezpieczeństwa lub naruszenie ochrony danych - przystąpienie do przetargu publicznego wymagającego RODO compliance

**Operatorzy usług kluczowych i dostawcy usług cyfrowych.** Na podstawie ustawy o krajowym systemie cyberbezpieczeństwa (KSC) podmioty zakwalifikowane jako operatorzy usług kluczowych lub dostawcy usług cyfrowych mają obowiązki w zakresie bezpieczeństwa cybernetycznego, które uzupełniają wymogi RODO — polityka bezpieczeństwa informacji jest jednym z dokumentów wymaganych przez organ właściwy ds. cyberbezpieczeństwa. Gotowy wzór polityki bezpieczeństwa informacji dla polskich firm, zgodny z wymogami RODO i PUODO, udostępnia forms-legal.com.

Co powinien zawierać Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji w Polsce powinna zawierać szereg kluczowych elementów, które razem tworzą kompletny system zarządzania bezpieczeństwem danych osobowych i innych informacji organizacji.

**1. Zakres stosowania i definicje.** Precyzyjne określenie, jakie systemy, zasoby informacyjne i podmioty (pracownicy, współpracownicy B2B, podmioty przetwarzające) są objęte polityką. Zakres może obejmować zarówno systemy elektroniczne (serwery, komputery, urządzenia mobilne, oprogramowanie), jak i dokumenty papierowe (archiwa, teczki osobowe, wydruki). Definicje kluczowych pojęć (dane osobowe, administrator, procesor, naruszenie ochrony danych) powinny być zgodne z art. 4 RODO.

**2. Cele i zasady bezpieczeństwa.** Powiązanie celów polityki z zasadami RODO (art. 5 RODO): integralność i poufność (lit. f), ograniczenie celu (lit. b), minimalizacja danych (lit. c) oraz rozliczalność (ust. 2). Zasada potrzeby wiedzy (need-to-know), zasada minimalnych uprawnień, zasada privacy by design (art. 25 ust. 1 RODO) i privacy by default (art. 25 ust. 2 RODO).

**3. Środki techniczne i organizacyjne (art. 32 RODO).** Szczegółowy wykaz stosowanych środków: szyfrowanie dysków i transmisji danych (SSL/TLS, AES-256), pseudonimizacja, uwierzytelnianie wieloskładnikowe (MFA), systemy zapobiegania włamaniom (IDS/IPS), oprogramowanie antywirusowe i EDR, monitorowanie zdarzeń bezpieczeństwa (SIEM), regularne kopie zapasowe (backup 3-2-1), kontrola dostępu fizycznego do pomieszczeń. Środki organizacyjne: polityka haseł, polityka czystego biurka i ekranu, bezpieczne niszczenie dokumentów (niszczarki klasy P-4 lub P-5 wg normy DIN 66399), upoważnienia do przetwarzania danych, szkolenia pracowników.

**4. Zarządzanie dostępem i upoważnienia.** Procedura nadawania, modyfikowania i odbierania dostępu do systemów i danych. Każdy pracownik uzyskujący dostęp do danych osobowych powinien posiadać pisemne upoważnienie udzielone przez administratora lub IOD. Rejestry dostępu (logi) powinny być przechowywane przez określony czas i chronione przed modyfikacją.

**5. Procedura incydentów bezpieczeństwa i naruszeń RODO.** Tryb zgłaszania incydentów wewnątrz organizacji, ocena ryzyka naruszenia, obowiązek zgłoszenia naruszenia do PUODO w 72 godziny (art. 33 RODO), obowiązek zawiadomienia osób, których dane dotyczą, jeśli naruszenie może skutkować wysokim ryzykiem (art. 34 RODO). Rejestr naruszeń ochrony danych prowadzony wewnętrznie niezależnie od tego, czy naruszenie jest zgłaszane do PUODO.

**6. Ocena skutków dla ochrony danych (DPIA — art. 35 RODO).** Obowiązek przeprowadzenia DPIA przed wdrożeniem nowego systemu lub procesu przetwarzania, które mogą powodować wysokie ryzyko dla praw i wolności osób fizycznych. DPIA jest obowiązkowy m.in. przy profilowaniu na dużą skalę, przetwarzaniu szczególnych kategorii danych i monitorowaniu publicznie dostępnych obszarów. PUODO prowadzi listę rodzajów operacji wymagających DPIA. Narzędzie do tworzenia polityk bezpieczeństwa informacji zgodnych z RODO dla Polski — forms-legal.com — umożliwia generowanie dokumentów uwzględniających aktualny stan prawny i praktykę PUODO.

**7. Szkolenia i świadomość bezpieczeństwa.** Obowiązek szkolenia pracowników przed udzieleniem dostępu do danych i co najmniej raz w roku. Szkolenie powinno obejmować zasady ochrony danych, identyfikację zagrożeń (phishing, inżynierię społeczną), politykę haseł, zgłaszanie incydentów i konsekwencje naruszenia. Dokumentacja szkoleń (lista obecności, testy) stanowi dowód realizacji obowiązku szkoleniowego wymaganego przez art. 29 RODO.

**8. Przeglądy, audyty i aktualizacja.** Harmonogram regularnych przeglądów polityki (co najmniej raz w roku), procedura aktualizacji po incydencie, zmianie przepisów lub zmianie systemów. Prawo do przeprowadzania wewnętrznych i zewnętrznych audytów bezpieczeństwa. Wyniki audytów dokumentowane i adresowane przez właściciela dokumentu (IOD lub dział IT).

Jak wypełnić Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji w Polsce wypełniana jest przez dostosowanie wzoru do faktycznej architektury systemów informatycznych i organizacji pracy w konkretnej firmie — nie przez skopiowanie cudzej polityki bez weryfikacji.

**Krok 1: Dane organizacji i właściciel dokumentu.** Wpisz pełną firmę, adres siedziby i dane osoby odpowiedzialnej za bezpieczeństwo informacji (IOD, kierownik IT, zarząd). Polityka musi być zatwierdzona przez osobę uprawnioną do zarządzania organizacją — zazwyczaj zarząd lub prokurent. Brak podpisu zatwierdzającego oznacza, że polityka nie ma mocy wiążącej wewnątrz organizacji.

**Krok 2: Zakres systemów.** Opisz wszystkie systemy i zasoby objęte polityką: nazwa systemu (np. CRM, ERP, poczta elektroniczna), platforma (np. Microsoft Azure, serwer on-premise), kategorie przetwarzanych danych i użytkownicy. Uwzględnij zarówno systemy elektroniczne, jak i dokumenty papierowe (archiwa, teczki osobowe). Pominięcie systemu IT w zakresie oznacza, że polityka nie reguluje przetwarzania w tym systemie.

**Krok 3: Środki techniczne.** Zaznacz wyłącznie te środki, które są faktycznie wdrożone i działają. Fałszywe deklarowanie środków technicznych (np. wskazanie szyfrowania, gdy dysków nie zaszyfrowano) naraża administratora na poważne konsekwencje podczas kontroli PUODO, jeśli dojdzie do naruszenia. Dla każdego środka technicznego warto dołączyć jako załącznik krótką notatkę techniczną lub wskazanie narzędzia.

**Krok 4: Środki organizacyjne.** Wskaż środki organizacyjne i upewnij się, że mają swoje odzwierciedlenie w praktyce: czy pracownicy faktycznie podpisują upoważnienia? Czy szkolenia są przeprowadzane i dokumentowane? Czy polityka haseł jest wymuszana technicznie przez system? Deklaracje organizacyjne bez dowodów wdrożenia nie spełniają wymogu rozliczalności (art. 5 ust. 2 RODO).

**Krok 5: Data, wersja i przeglądy.** Wpisz datę wejścia w życie polityki i numer wersji. Ustal harmonogram przeglądów — minimum raz w roku i po każdym istotnym incydencie lub zmianie systemów. Archiwizuj poprzednie wersje polityki z datami obowiązywania — jest to dowód historii zarządzania bezpieczeństwem wymagany przez zasadę rozliczalności.

**Krok 6: Zatwierdzenie i dystrybucja.** Po wypełnieniu politykę zatwierdza zarząd (lub upoważniona osoba) i dystrybuuje do wszystkich pracowników mających dostęp do danych osobowych. Każdy pracownik potwierdza zapoznanie się z polityką podpisem na stosownym oświadczeniu lub przez akceptację w systemie HR. Lista pracowników zaznajomionych z polityką jest dokumentem wewnętrznym przechowywanych przez czas trwania stosunku pracy plus 3 lata.

Wymogi prawne dla Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji w Polsce musi odpowiadać wymogom RODO w zakresie środków bezpieczeństwa i odpowiedzialności administratora.

**Art. 24 RODO — odpowiedzialność administratora.** Administrator wdraża odpowiednie środki techniczne i organizacyjne, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Polityka bezpieczeństwa informacji jest dowodem realizacji tego obowiązku.

**Art. 25 RODO — privacy by design i privacy by default.** Administrator wdraża odpowiednie środki techniczne i organizacyjne zarówno przy określaniu sposobów przetwarzania (etap projektowania), jak i podczas samego przetwarzania. Domyślnie przetwarzane powinny być wyłącznie dane niezbędne dla konkretnego celu. Polityka bezpieczeństwa powinna formalnie ustanawiać te zasady jako obowiązujące w organizacji.

**Art. 32 RODO — bezpieczeństwo przetwarzania.** Administrator i procesor wdrażają środki bezpieczeństwa adekwatne do ryzyka, w tym: pseudonimizację i szyfrowanie danych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów, zdolność do szybkiego przywrócenia dostępności danych po incydencie fizycznym lub technicznym (RTO, RPO), regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych.

**Art. 33 i 34 RODO — zgłaszanie naruszeń.** Polityka bezpieczeństwa musi zawierać procedurę identyfikacji i zgłaszania naruszeń ochrony danych. Naruszenie zgłasza się PUODO w terminie 72 godzin (art. 33 ust. 1 RODO) — administrator musi mieć procedurę umożliwiającą dotrzymanie tego terminu. Naruszenia o wysokim ryzyku dla osób wymagają dodatkowo zawiadomienia tych osób (art. 34 RODO) bez zbędnej zwłoki.

**Art. 35 RODO — ocena skutków (DPIA).** Gdy planowane przetwarzanie może powodować wysokie ryzyko dla praw i wolności, administrator przeprowadza ocenę skutków dla ochrony danych (DPIA). PUODO prowadzi wykaz rodzajów operacji przetwarzania podlegających DPIA — jeśli nowy system lub proces jest na tej liście, DPIA jest obowiązkowe przed wdrożeniem.

**Ustawa o krajowym systemie cyberbezpieczeństwa (z 5.07.2018 r.).** Operatorzy usług kluczowych (np. w sektorze energetyki, transportu, zdrowia, bankowości) i dostawcy usług cyfrowych (platformy internetowe, wyszukiwarki, usługi w chmurze) mają dodatkowe obowiązki w zakresie środków bezpieczeństwa cybernetycznego, zbieżne z wymogami RODO, lecz o szerszym zakresie — obejmującym bezpieczeństwo sieci i systemów informacyjnych, a nie tylko ochronę danych osobowych.

Najczęstsze błędy w Polityka bezpieczeństwa informacji

Polityki bezpieczeństwa informacji w Polsce zawierają szereg typowych błędów, które prowadzą do nieskuteczności dokumentu i niezgodności z wymogami RODO podczas kontroli PUODO.

**Polityka skrojona pod poprzednią ustawę (UODO z 1997 r.).** Wiele firm nadal stosuje polityki bezpieczeństwa oparte na nieobowiązującej już ustawie o ochronie danych osobowych z 1997 r. (UODO), która zawierała wymóg prowadzenia „Polityki Bezpieczeństwa” i „Instrukcji Zarządzania Systemem Informatycznym” jako odrębnych dokumentów. RODO nie wymaga tej konkretnej struktury — wymaga natomiast adekwatnych środków bezpieczeństwa i rozliczalności. Stara polityka nie wymienia środków wymaganych przez art. 32 RODO (np. pseudonimizacji, szyfrowania, testowania) i nie zawiera procedury DPIA.

**Deklaracje bez dowodów wdrożenia.** Polityka, która opisuje rozbudowane środki bezpieczeństwa (szyfrowanie, SIEM, MFA), lecz które nie są faktycznie wdrożone — nie spełnia wymogu rozliczalności (art. 5 ust. 2 RODO). PUODO podczas kontroli weryfikuje faktyczny stan systemów, nie tylko treść dokumentu.

**Brak procedury incydentów z określonymi terminami.** Polityka opisująca „obowiązek zgłaszania incydentów” bez wskazania: do kogo, w jakim terminie, w jakiej formie i kto podejmuje decyzję o zgłoszeniu do PUODO — jest nieskuteczna w sytuacji rzeczywistego naruszenia. Termin 72 godzin z art. 33 RODO jest nieprzekraczalny i wymaga wcześniejszego przygotowania procedury.

**Brak aktualizacji po zmianie systemów.** Polityka, która nie odzwierciedla aktualnego stanu systemów IT (np. nie uwzględnia przejścia na cloud, wdrożenia nowych narzędzi SaaS, zmiany struktury organizacyjnej) — jest dokumentem historycznym, nie dowodem bieżącej zgodności.

**Nieczytelna lub zbyt ogólna treść.** Polityka napisana językiem prawniczym lub technicznym niezrozumiałym dla pracowników nie realizuje celu edukacyjnego i prewencyjnego. Art. 12 ust. 1 RODO (przejrzystość) stosuje się analogicznie do dokumentów wewnętrznych — pracownik musi rozumieć swoje obowiązki.

Cytuj tę stronę

Powołaj się na ten darmowy szablon w artykule, programie zajęć lub notatce badawczej:

APA

Forms Legal. (2026). Polityka bezpieczeństwa informacji (Polska) [Legal document template]. Forms Legal. https://forms-legal.com/pl/polska/business/policies/polityka-bezpieczenstwa-informacji

MLA

"Polityka bezpieczeństwa informacji (Polska)." Forms Legal, 2026, https://forms-legal.com/pl/polska/business/policies/polityka-bezpieczenstwa-informacji.

BibTeX

@misc{formslegal-polityka-bezpieczenstwa-informacji,
  author       = {{Forms Legal}},
  title        = {Polityka bezpieczeństwa informacji (Polska)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/pl/polska/business/policies/polityka-bezpieczenstwa-informacji}},
  note         = {Free legal document template}
}

Najczęściej zadawane pytania

Szablon z odniesieniami do przepisów — Szablon ostatnio zmodyfikowano w czerwiec 2026

Niniejszy szablon ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przepisy różnią się w zależności od jurysdykcji i zmieniają się z czasem. W sprawie porady dostosowanej do Twojej sytuacji skonsultuj się z wykwalifikowanym prawnikiem.Pełne zastrzeżenie prawne

Znalazłeś błąd? Daj nam znać