Ochrona Danych WG » Zasady korzystania z internetu

Polityka korzystania z Internetu

Internet jest jednym z podstawowych narzędzi wykorzystywanych w działalności organizacji. Umożliwia komunikację, pozyskiwanie informacji, korzystanie z systemów zewnętrznych, obsługę usług online, kontakt z instytucjami, kontrahentami, klientami oraz realizację codziennych obowiązków służbowych. Jednocześnie korzystanie z Internetu wiąże się z istotnymi ryzykami, takimi jak nieuprawniony dostęp do danych, infekcja złośliwym oprogramowaniem, phishing, wyłudzenia, utrata poufności informacji, korzystanie z nieautoryzowanych usług chmurowych czy naruszenie ochrony danych osobowych.

Celem polityki korzystania z Internetu jest określenie zasad bezpiecznego, odpowiedzialnego i zgodnego z prawem używania zasobów internetowych w organizacji. Polityka ta ma na celu ochronę systemów informatycznych, danych osobowych, informacji poufnych, reputacji organizacji oraz zapewnienie zgodności z przepisami prawa, w tym z RODO i wewnętrznymi procedurami bezpieczeństwa.

Zasady ogólne korzystania z Internetu

Dostęp do Internetu udostępniany przez organizację powinien być wykorzystywany przede wszystkim do celów służbowych, związanych z wykonywaniem powierzonych obowiązków. Użytkownik powinien korzystać z Internetu w sposób odpowiedzialny, zgodny z przepisami prawa, zasadami współżycia społecznego, wewnętrznymi regulaminami, polityką bezpieczeństwa informacji oraz zasadami ochrony danych osobowych.

Niedopuszczalne jest wykorzystywanie służbowego dostępu do Internetu w sposób, który mógłby narazić organizację na szkodę, utratę danych, odpowiedzialność prawną, naruszenie reputacji lub zagrożenie dla systemów informatycznych. Użytkownik powinien zachować szczególną ostrożność podczas odwiedzania stron internetowych, pobierania plików, korzystania z formularzy online, usług chmurowych, komunikatorów, serwisów społecznościowych oraz systemów zewnętrznych.

Korzystanie z Internetu powinno odbywać się wyłącznie za pośrednictwem urządzeń, sieci i systemów zatwierdzonych przez organizację, chyba że odrębne procedury dopuszczają inne rozwiązania. W przypadku pracy zdalnej lub mobilnej użytkownik powinien korzystać z bezpiecznych połączeń, zgodnie z zasadami określonymi przez organizację, w szczególności z wykorzystaniem VPN, uwierzytelniania wieloskładnikowego oraz służbowych urządzeń zabezpieczonych zgodnie z wymaganiami bezpieczeństwa.

Bezpieczne korzystanie ze stron internetowych

Użytkownik powinien korzystać wyłącznie z wiarygodnych, legalnych i bezpiecznych stron internetowych. Przed wprowadzeniem danych, pobraniem pliku lub zalogowaniem się do systemu należy upewnić się, że adres strony jest prawidłowy, połączenie jest zabezpieczone, a strona nie budzi podejrzeń. Szczególną ostrożność należy zachować wobec stron przesyłanych w wiadomościach e-mail, komunikatorach, SMS-ach lub publikowanych w nieznanych źródłach.

Nie należy wprowadzać danych osobowych, loginów, haseł, numerów dokumentów, danych finansowych ani informacji służbowych na stronach, których autentyczność nie została potwierdzona. Użytkownik powinien zwracać uwagę na błędy w adresach domen, nietypowe rozszerzenia, fałszywe strony logowania, komunikaty o pilnej konieczności aktualizacji konta, wezwania do płatności lub prośby o podanie danych dostępowych.

W przypadku podejrzenia, że strona internetowa jest fałszywa, zainfekowana lub wykorzystywana do wyłudzenia danych, użytkownik powinien niezwłocznie przerwać korzystanie z niej i zgłosić zdarzenie osobie lub jednostce odpowiedzialnej za bezpieczeństwo informatyczne.

Pobieranie plików i instalowanie oprogramowania

Pobieranie plików z Internetu powinno odbywać się wyłącznie wtedy, gdy jest to uzasadnione wykonywaniem obowiązków służbowych i pochodzi z zaufanego źródła. Szczególną ostrożność należy zachować przy pobieraniu plików wykonywalnych, archiwów, rozszerzeń do przeglądarek, dokumentów z makrami, instalatorów, skryptów oraz plików pochodzących z nieznanych lub niezweryfikowanych stron.

Instalowanie oprogramowania na urządzeniach służbowych powinno być możliwe wyłącznie za zgodą organizacji lub przez osoby upoważnione do administracji systemami informatycznymi. Użytkownik nie powinien samodzielnie instalować aplikacji, dodatków, wtyczek, narzędzi do zdalnego dostępu, programów typu freeware/shareware ani oprogramowania pochodzącego z nieoficjalnych źródeł. Nieautoryzowane oprogramowanie może stanowić źródło złośliwego kodu, naruszać licencje, powodować utratę danych lub umożliwiać nieuprawniony dostęp do systemów.

Organizacja powinna zapewnić mechanizmy kontroli instalacji oprogramowania, aktualizacje systemów, ochronę antywirusową, filtrowanie ruchu internetowego oraz ograniczanie dostępu do stron i usług stwarzających podwyższone ryzyko.

Ochrona danych osobowych podczas korzystania z Internetu

Podczas korzystania z Internetu użytkownik powinien pamiętać, że dane osobowe mogą być przetwarzane nie tylko w systemach wewnętrznych, ale również za pośrednictwem formularzy online, portali zewnętrznych, usług chmurowych, komunikatorów, platform szkoleniowych, narzędzi do wideokonferencji, systemów rekrutacyjnych, portali administracji publicznej czy aplikacji biznesowych.

Wprowadzanie danych osobowych do zewnętrznych systemów lub usług powinno odbywać się wyłącznie wtedy, gdy organizacja dopuściła takie narzędzie do użytku i gdy istnieje odpowiednia podstawa prawna oraz organizacyjna do przekazania danych. Użytkownik nie powinien samodzielnie korzystać z przypadkowych usług internetowych do przetwarzania danych osobowych, przesyłania dokumentów, tłumaczenia treści, przechowywania plików, generowania dokumentów lub analizy danych, jeżeli narzędzia te nie zostały zatwierdzone przez organizację.

Szczególną ostrożność należy zachować przy korzystaniu z usług opartych na chmurze oraz narzędzi automatyzujących pracę, w tym narzędzi wykorzystujących sztuczną inteligencję. Dane osobowe, dane szczególnych kategorii, dane finansowe, informacje kadrowe, dokumenty wewnętrzne, tajemnice przedsiębiorstwa oraz informacje poufne nie powinny być wprowadzane do niezatwierdzonych narzędzi internetowych.

Korzystanie z usług chmurowych i narzędzi online

Usługi chmurowe, dyski internetowe, narzędzia do współdzielenia plików, komunikatory, systemy do zarządzania projektami oraz inne aplikacje online powinny być wykorzystywane wyłącznie wtedy, gdy zostały zatwierdzone przez organizację. Przed dopuszczeniem takiego narzędzia do użytku należy ocenić jego bezpieczeństwo, warunki przetwarzania danych, lokalizację serwerów, zasady dostępu, możliwość zawarcia umowy powierzenia danych oraz zgodność z RODO.

Użytkownik nie powinien przesyłać dokumentów służbowych ani danych osobowych do prywatnych usług chmurowych, prywatnych dysków internetowych, prywatnych kont pocztowych lub nieautoryzowanych komunikatorów. Takie działanie może prowadzić do utraty kontroli nad danymi, naruszenia poufności, problemów z realizacją praw osób, których dane dotyczą, oraz naruszenia obowiązków administratora danych.

Jeżeli konieczne jest udostępnienie plików innym osobom, powinno odbywać się to za pomocą zatwierdzonych narzędzi, z odpowiednim ograniczeniem dostępu, czasem ważności linku, hasłem, uprawnieniami tylko do odczytu, rejestrowaniem operacji oraz możliwością cofnięcia dostępu.

Media społecznościowe i publikowanie informacji

Korzystanie z mediów społecznościowych w celach służbowych powinno odbywać się zgodnie z zasadami określonymi przez organizację. Publikowanie treści w imieniu organizacji powinno być zastrzeżone dla osób upoważnionych. Użytkownik nie powinien publikować informacji poufnych, danych osobowych, zdjęć, dokumentów, komentarzy lub materiałów, które mogłyby naruszać prywatność osób, dobre imię organizacji, prawa autorskie, tajemnicę przedsiębiorstwa albo inne obowiązki wynikające z przepisów prawa.

Szczególną ostrożność należy zachować przy publikowaniu zdjęć i relacji z wydarzeń, szkoleń, spotkań, konferencji lub działań projektowych. Jeżeli na zdjęciach lub nagraniach widoczne są osoby fizyczne, należy upewnić się, że publikacja jest zgodna z przepisami o ochronie danych osobowych, prawem do wizerunku oraz wewnętrznymi zasadami organizacji.

Korzystanie z prywatnych kont społecznościowych na urządzeniach służbowych lub w czasie pracy powinno być ograniczone do zakresu dopuszczonego przez organizację i nie może wpływać na bezpieczeństwo systemów ani wykonywanie obowiązków służbowych.

Zakazane lub ograniczone sposoby korzystania z Internetu

W celu ochrony bezpieczeństwa informacji i zasobów informatycznych organizacja może wprowadzić ograniczenia dotyczące korzystania z określonych stron, usług lub kategorii treści. Niedopuszczalne powinno być w szczególności:

odwiedzanie stron zawierających treści nielegalne, szkodliwe lub naruszające dobre imię organizacji;
pobieranie i rozpowszechnianie materiałów naruszających prawa autorskie;
korzystanie z nielegalnego oprogramowania, generatorów kluczy, cracków lub nieautoryzowanych licencji;
uruchamianie gier, koparek kryptowalut, narzędzi omijających zabezpieczenia lub nieautoryzowanych usług zdalnego dostępu;
korzystanie z prywatnych dysków chmurowych do przechowywania danych służbowych;
przesyłanie danych osobowych do niezatwierdzonych narzędzi online;
udostępnianie danych logowania lub obchodzenie mechanizmów bezpieczeństwa;
korzystanie z narzędzi anonimizujących, proxy lub VPN niezatwierdzonych przez organizację;
podejmowanie działań mogących zakłócić pracę sieci, systemów lub usług.

Ograniczenia te mają na celu nie tylko zapewnienie dyscypliny organizacyjnej, ale przede wszystkim ochronę danych, systemów i osób, których dane są przetwarzane.

Korzystanie z urządzeń mobilnych i pracy zdalnej

W przypadku korzystania z Internetu poza siedzibą organizacji użytkownik powinien stosować szczególne środki ostrożności. Dostęp do systemów służbowych powinien odbywać się przez bezpieczne połączenia i zatwierdzone narzędzia. Nie należy korzystać z publicznych, niezabezpieczonych sieci Wi-Fi do przetwarzania danych osobowych lub logowania się do systemów służbowych, chyba że połączenie jest odpowiednio chronione, na przykład przez VPN.

Urządzenia mobilne wykorzystywane do pracy powinny być zabezpieczone hasłem, kodem PIN, biometrią lub innym mechanizmem autoryzacji. Powinny mieć aktualne oprogramowanie, ochronę przed złośliwym oprogramowaniem, możliwość zdalnego zablokowania lub usunięcia danych w przypadku utraty oraz ograniczony dostęp do danych zgodnie z zasadą minimalizacji.

Użytkownik powinien unikać logowania do systemów służbowych z komputerów publicznych, urządzeń współdzielonych lub sprzętu, którego bezpieczeństwa nie można zweryfikować. Dotyczy to w szczególności komputerów w hotelach, bibliotekach, kawiarniach, punktach usługowych lub na uczelniach.

Monitoring i kontrola korzystania z Internetu

Organizacja może monitorować korzystanie z Internetu w zakresie niezbędnym do zapewnienia bezpieczeństwa systemów informatycznych, ochrony danych, organizacji pracy oraz zapobiegania nadużyciom. Monitoring powinien być prowadzony zgodnie z przepisami prawa, w sposób proporcjonalny, przejrzysty i adekwatny do celu.

Użytkownicy powinni być poinformowani o zakresie i zasadach monitorowania, w szczególności o możliwości rejestrowania odwiedzanych stron, blokowania określonych kategorii treści, analizowania ruchu sieciowego, wykrywania złośliwego oprogramowania oraz reagowania na nietypowe zdarzenia. Monitoring nie powinien naruszać nadmiernie prywatności użytkowników i powinien być ograniczony do celów związanych z bezpieczeństwem oraz organizacją pracy.

Obowiązki użytkownika

Każdy użytkownik korzystający z Internetu w ramach zasobów organizacji powinien w szczególności:

korzystać z Internetu głównie do celów służbowych;
odwiedzać wyłącznie wiarygodne i bezpieczne strony;
nie pobierać plików z nieznanych źródeł;
nie instalować samodzielnie nieautoryzowanego oprogramowania;
nie wprowadzać danych osobowych do niezatwierdzonych usług online;
nie korzystać z prywatnych chmur do danych służbowych;
chronić loginy, hasła i dane dostępowe;
nie obchodzić zabezpieczeń organizacji;
zgłaszać podejrzane strony, komunikaty, infekcje i incydenty;
stosować się do zasad pracy zdalnej i korzystania z urządzeń mobilnych;
zachowywać poufność informacji uzyskanych podczas pracy;
przestrzegać przepisów prawa, RODO i wewnętrznych regulacji.

Obowiązki Organizacji

Organizacja powinna zapewnić odpowiednie środki techniczne i organizacyjne umożliwiające bezpieczne korzystanie z Internetu. Do podstawowych obowiązków organizacji należy wdrożenie zabezpieczeń sieciowych, ochrony antywirusowej, filtrowania treści, kontroli dostępu, aktualizacji systemów, zarządzania podatnościami, kopii zapasowych, monitorowania zdarzeń oraz procedur reagowania na incydenty.

Organizacja powinna również określić, które narzędzia internetowe są dopuszczone do użytku służbowego, jakie dane mogą być w nich przetwarzane, kto odpowiada za ich administrację oraz jakie zabezpieczenia muszą być stosowane. W przypadku usług zewnętrznych, które przetwarzają dane osobowe w imieniu organizacji, należy zadbać o odpowiednie umowy powierzenia, ocenę ryzyka oraz weryfikację dostawcy.

Istotnym obowiązkiem organizacji jest także szkolenie użytkowników. Pracownicy i współpracownicy powinni znać zasady bezpiecznego korzystania z Internetu, rozpoznawania phishingu, ochrony danych osobowych, bezpiecznego korzystania z usług chmurowych, reagowania na incydenty oraz postępowania z informacjami poufnymi.

Postępowanie w przypadku incydentu

Każde podejrzenie naruszenia bezpieczeństwa podczas korzystania z Internetu powinno zostać niezwłocznie zgłoszone zgodnie z obowiązującą procedurą. Dotyczy to w szczególności sytuacji takich jak wejście na podejrzaną stronę, pobranie nieznanego pliku, pojawienie się nietypowych komunikatów systemowych, podejrzenie infekcji złośliwym oprogramowaniem, ujawnienie danych logowania, utrata urządzenia, nieuprawnione przekazanie danych do usługi internetowej lub przypadkowe opublikowanie informacji poufnych.

Po zgłoszeniu incydentu organizacja powinna dokonać jego oceny, ustalić zakres zagrożenia, zabezpieczyć dowody, ograniczyć skutki zdarzenia, przywrócić prawidłowe działanie systemów oraz ocenić, czy doszło do naruszenia ochrony danych osobowych. W przypadku naruszenia danych administrator powinien rozważyć obowiązek zgłoszenia zdarzenia do organu nadzorczego oraz poinformowania osób, których dane dotyczą.

Podsumowanie

Polityka korzystania z Internetu jest istotnym elementem systemu bezpieczeństwa informacji i ochrony danych osobowych. Internet, mimo że jest niezbędnym narzędziem pracy, stanowi jednocześnie jedno z głównych źródeł zagrożeń dla organizacji. Niewłaściwe korzystanie z sieci może prowadzić do infekcji systemów, utraty danych, naruszenia poufności, wycieku danych osobowych, odpowiedzialności prawnej oraz szkód reputacyjnych.

Bezpieczne korzystanie z Internetu wymaga połączenia odpowiednich zabezpieczeń technicznych, jasnych zasad organizacyjnych oraz świadomego zachowania użytkowników. Każda osoba korzystająca z zasobów internetowych organizacji powinna działać ostrożnie, odpowiedzialnie i zgodnie z przyjętymi procedurami. Organizacja natomiast powinna zapewnić odpowiednie narzędzia ochrony, szkolenia, nadzór oraz procedury reagowania na incydenty.

Prawidłowo wdrożona polityka korzystania z Internetu wspiera zgodność z RODO, ogranicza ryzyko cyberzagrożeń, chroni dane osobowe i informacje poufne oraz wzmacnia bezpieczeństwo całego środowiska informatycznego organizacji.