Skip to content

Wymagania prawne i regulacyjne ISO 9001, a doskonalenie

Edyta Nogaj

W pierwszym artykule zapowiedziałam, że każdy z Was może mieć swój udział w tym cyklu publikacji. Dlatego cieszę się z komentarzy, które pojawiły się pod artykułem. A cieszę się tym bardziej, że napisali je praktycy. A przecież  wiedzę praktyczną, wykształcenie poparte doświadczeniem cenimy najbardziej. Zgadzacie się ze mną?

Niemal wszystkie komentarze skupiały się wokół tego samego obszaru, mianowicie problemu małych i średnich przedsiębiorstw ze spełnieniem wymagań prawnych i regulacyjnych. Oto przykłady:

“Artykuł rzeczowy i dokładny, uświadamia że małe firmy są skazane na korzystanie “wirtualne” nie stać ich na opłacenie i ciągłe aktualizowanie wiedzy (wiem to z doświadczenia). bo koszty tego są duże, nie wiem czy pamiętacie próbę wprowadzenia przepisu o strażaku w każdej firmie ( nie wspomnę kto to wymyślił ), i zadałem pytanie na spotkaniu z pewną instytucją państwową – firma jednoosobowa czyszcząca ręcznie rowy melioracyjne … i strażak . Odpowiedzi nie będę cytował. Artykuł oki …. ale dla dużych. Czekam na dalsze części wiedzy dla dużych.“

inż. Dariusz Nowicki

‘Myślę też, że małe firmy nie mają możliwości żeby to wszystko ogarniać, aktualizować i wprowadzać w życie. Nie każdego małego przedsiębiorcę stać na usługi fachowca od tych spraw. Co innego duże firmy które mogą sobie pozwolić na zatrudnienie osoby do tego dedykowanej.”

mgr inż. Artur Pukacz

Czy identyfikujecie się z tymi stwierdzeniami? Czy również są Wasze?

O ile “…ISO jest dostępne dla firm o różnych rozmiarach i branżach. Normy ISO można dostosować do potrzeb i możliwości każdej organizacji, niezależnie od jej skali działania.”[1], czego dowodem jest każde kolejne wydanie np. Normy ISO 9001 i jej ograniczające działanie względem obowiązkowej dokumentacji.

“Bardzo często standardy ISO kojarzone są z systemami zarządzania wdrażanymi w wielkich firmach działających w przemyśle. To stereotyp powszechny nie tylko w świadomości właścicieli firm w Polsce, ale jak się okazuje – na całym świecie. Problem ten dostrzegł Międzynarodowy Komitet Normalizacyjny, który w swojej nowej broszurze “10 good things for SMEs” opublikował wypowiedzi managerów małych firm działających w różnorodnych branżach w 10 krajach na świecie. Opowiadają, w jaki sposób standardy ISO wpłynęły na sukces ich organizacji.”[2]

Treść broszury pt.: “10 good things for SMEs” jest dostępna na stronie: ISO – 10 good things for SMEs.

O tyle wymagania prawne są coraz bardziej rozbudowane, wprowadzają coraz to nowe i nowe regulacje, ustawy, rozporządzenia itd.; do tego dochodzą nowe kierunki, trendy w obszarach, których dotyczą, np. HR w kontekście ustawy o ochronie sygnalistów. Rzeczywiście można w pewnym momencie przestać panować nad tymi ciągłymi zmianami.

A tutaj jeszcze miałam czelność postawić tezy w pierwszym artykule:

  • od organizacji wymaga się czegoś więcej niż tylko samo przestrzeganie wymagań prawnych!
  • norma oczekuje efektów, a nie starań!

Przecież to jest sprzeczność! To rzecz niemożliwa do pogodzenia! A przynajmniej dla małych przedsiębiorstw.

Zgadza się, zarządzanie firmą, a szczególnie małą, to bycie specjalistą w każdej dziedzinie. Mam jednak na uwadze, że “Obecnie w Polsce aktywnych jest ok. 4,3 mln działalności gospodarczych oraz ok. 600 tys. spółek (dane GUS), co przekłada się na prawie 5 mln przedsiębiorców…”[3]i w tym artykule nie podam złotego środka na rozwiązanie problemu małych przedsiębiorstw ze spełnieniem wymagań prawnych i regulacyjnych. Z całą odpowiedzialnością mogę jedak powiedzieć, że decydując się na podjęcie działalności gospodarczej ta decyzja wiąże się, począwszy od etapu planowania, ze świadomym kształtowaniem kultury organizacyjnej i jakościowej organizacji na każdym etapie jej rozwoju.

Uważam, że bardzo dobrą okazją do poruszania trudnych tematów i wymiany doświadczeń są wydarzenia, które gromadzą przedsiębiorstwa, jak np. organizowany od 2011 roku Europejski Konkres Małych i Średnich Przedsiębiorstw (ekmsp.eu). Jest to również sposobność na powzięcie inicjatyw w tematach, które mogłyby ułatwić działalność w tym sektorze.

Z doświadczenia wiem również, że fakt posiadania przez firmę zasobów (w tym finansowych) nie gwarantuje zgodności z wymaganiami prawnymi i regulacyjnymi. Przykłady? Gabinet podologiczny zlecił kancelarii prawnej zaprojektowanie Systemu Ochrony Danych Osobowych. Dokumentacji przetwarzania danych osobowych, którą mi przedłożono do podpisania jako klientowi (ale również konsultantowi, wdrożeniowcowi i audytorowi w obszarze ochrony danych osobowych), nie przyjęłam, ponieważ kategorycznie nie spełniała wymagań Europejskiego rozporządzenia o ochronie danych osobowych (RODO). Mówiąc kolokwialnie, nawet koło niego nie leżała. Fakt, że firma kupuje pakiet dokumentacji od kancelarii prawnej i to bez audytu zerowego, nie tylko nie daje gwarancji zgodności z wymaganiami, ale może okazać się całkowicie nieprzydatny.

Inny przykład: duży przedsiębiorca, czyli taki, który zatrudnia 250 lub więcej pracowników, przez lata posługuje się faksymilą (czyli pieczątką z podpisem) behapowca na dokumentach potwierdzających szkolenia pracowników z bezpieczeństwa i higieny pracy, jeszcze przed ich realizacją.

Wracając jednak do przewodniego tematu publikacji: Wymagania prawne i regulacyjne ISO 9001 a doskonalenie – przyjęłam klucz porządkujący to zagadnienie. Mianowicie, pierwszy artykuł będzie dotyczył korzyści z przestrzegania przedmiotowych wymagań, drugi – szkód wynikających z ich nierespektowania, a trzeci – doskonalenia w tym obszarze. Aby czytelnie powiązać Normę ISO 9001 z wymaganiami i regulacjami prawnymi, posłużę się siedmioma zasadami zarządzania jakością i wybrane z nich powiążę z konkretnymi przykładami stosowania przepisów prawa w organizacji.

Przypomnę jedynie, że podczas gdy norma ISO 9001:2015 w pkt. 0.2 “Zasady zarządzania jakością” wymienia wszystkie zasady z nazwy, to w pkt. 0.4 “Powiązania z innymi normami dotyczącymi systemów zarządzania” odwołuje się m.in. do ISO Quality Management Systems – Fundamentals and Vocabulary (PN-EN ISO 9000:2015-10 – wersja polska, Systemy zarządzania jakością – podstawy i terminologia). Oprócz terminów i podstawowych pojęć, w pkt. 2.3 “Zasady zarządzania jakością” norma opisuje je szczegółowo według schematu:

  • Deklaracja
  • Uzasadnienie
  • Główne korzyści
  • Możliwe działania

Pierwsza zasada: orientacja na klienta


Spełnienie wymagań klienta oraz podejmowanie starań, aby wykraczać poza jego oczekiwania, to serce zarządzania jakością. Organizacja może osiągnąć trwały sukces tylko wtedy, gdy zyskuje i utrzymuje zaufanie klientów oraz innych stron zainteresowanych. Na ten sukces pracuje cała organizacja, a każdy aspekt interakcji z klientem należy traktować jako szansę na stworzenie wartości dodanej dla klienta. Przykład z życia – stosowanie kasków ochronnych przez firmę, która wykonuje roboty budowlane i instalacje elektryczne.

Podstawowe przepisy:

• Dyrektywa Rady 89/656/EWG z dnia 30 listopada 1989 r. dotycząca minimalnych wymagań w zakresie bezpieczeństwa i zdrowia przy używaniu środków ochrony indywidualnej przez pracowników

• Rozporządzenie Ministra Pracy i Polityki Społecznej z dnia 26 września 1997 r. w sprawie ogólnych przepisów bezpieczeństwa i higieny pracy

• Polska Norma PN-EN 397

Oznaczenia kolorystyczne kasków nie są ujednolicone przepisami, choć istnieje kilka powszechnie stosowanych schematów. Klient wysunął nietypowe żądanie, aby pracownicy firmy używali kasków ochronnych do prac na wysokości w kolorze niebieskim. W tym przypadku firma, po konsultacji z pracownikami (stroną zainteresowaną), wybrała i zamówiła kaski spełniające wymagania prawne, oczekiwania klienta oraz preferencje pracowników. Pracownicy zostali ponownie przeszkoleni w zakresie prawidłowego noszenia, konserwacji i użytkowania kasków ochronnych.

Kiedy czytacie te gładkie zdania, wszystko wydaje się proste, prawda? Ale w rzeczywistości takie nie było! Przede wszystkim, na polskim rynku nagle zabrakło niebieskich kasków, więc trzeba było je zamówić w Niemczech. Specyficzny kolor wybranego modelu wpłynął na wydłużony czas oczekiwania. No i cena – oczywiście wysoka. Jednak koniec końców wymagania klienta i pracowników zostały spełnione, warunki współpracy zrealizowane, co przyczyniło się do pomyślnego zakończenia kontraktu tak dla klienta, jak i dla firmy realizującej zlecenie. Jestem przekonana, że miało to istotny wpływ na kontynuowanie współpracy między stronami.

Druga zasada: przywództwo


W poprzednim artykule – zwiastunie – zapowiadałam obecność pana st. kpt. Mariusza Basiaka z Centralnej Szkoły PSP w Częstochowie w tym cyklu publikacji. Pan kapitan jest ekspertem, dydaktykiem, osobą o ogromnej wiedzy i doświadczeniu, a także moim mentorem. Dlatego z ogromną przyjemnością zamieszczam jego wypowiedź na ten temat.

“Właściwe zarządzanie firmą w kontekście wymagań ochrony przeciwpożarowej jest sprawą priorytetową, ponieważ chodzi o bezpieczeństwo nas samych oraz naszych pracowników. Już na początku naszych działań z pomocą przychodzą przepisy prawa, a konkretnie Art. 3 ust. 1 i 2 Ustawy z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej (Dz. U. 1991 Nr 81, poz. 351 z późn. zm.), które wskazują, kto odpowiada za przestrzeganie przepisów przeciwpożarowych na terenie przedsiębiorstwa. Dodatkowo, Art. 4 ust. 1 i ust. 1a tej samej Ustawy stanowią odpowiednio:

Art. 4.1.


Właściciel budynku, obiektu budowlanego lub terenu, zapewniając ich ochronę przeciwpożarową, jest obowiązany:

  1. przestrzegać przeciwpożarowych wymagań techniczno-budowlanych, instalacyjnych i technologicznych;
  2. wyposażyć budynek, obiekt budowlany lub teren w wymagane urządzenia przeciwpożarowe i gaśnice;
  3. zapewnić przeglądy techniczne, konserwacje oraz naprawy urządzeń przeciwpożarowych i gaśnic, w sposób gwarantujący ich sprawne i niezawodne funkcjonowanie;
  4. zapewnić osobom przebywającym w budynku, obiekcie budowlanym lub na terenie bezpieczeństwo i możliwość ewakuacji;
  5. przygotować budynek, obiekt budowlany lub teren do prowadzenia akcji ratowniczej;
  6. zapoznać pracowników z przepisami przeciwpożarowymi;
  7. ustalić sposoby postępowania na wypadek pożaru, klęski żywiołowej lub innego miejscowego zagrożenia.

Art. 4.1a.


Odpowiedzialność za realizację obowiązków z zakresu ochrony przeciwpożarowej, o których mowa w ust. 1, stosownie do obowiązków i zadań powierzonych w odniesieniu do budynku, obiektu budowlanego lub terenu, przejmuje – w całości lub w części – ich zarządca lub użytkownik na podstawie zawartej umowy cywilnoprawnej ustanawiającej zarząd lub użytkowanie. W przypadku, gdy umowa taka nie została zawarta, odpowiedzialność za realizację obowiązków z zakresu ochrony przeciwpożarowej spoczywa na faktycznie władającym budynkiem, obiektem budowlanym lub terenem.”

Powyższe zapisy, choć ogólne, wskazują, że zarządzanie i dbanie o bezpieczeństwo w naszych miejscach pracy jest sprawą niezwykle istotną. Aby odpowiednio podejść do tego tematu, trzeba bezwzględnie mieć świadomość odpowiedzialności, która na nas spoczywa. Szczególnie, że jak mówi przysłowie, „przykład idzie z góry” – slogan, który, choć bardzo często używany, bez właściwego zarządzania na poziomie przywódczym (dowódczym), pozostaje jedynie pustym frazesem.

Innymi słowy, to właściciel firmy, zarządzający nią i kierujący zespołem, powinien w pierwszej kolejności wykazywać zainteresowanie utrzymaniem odpowiedniego poziomu bezpieczeństwa w przedsiębiorstwie, bez względu na jego wielkość. Jeśli szef lub lider bagatelizuje pewne kwestie, pracownicy również będą je ignorować. Kluczowym słowem w tym przypadku jest świadomość, a zaraz za nią powinny iść działania zmierzające do osiągnięcia nadrzędnego celu, jakim jest bezpieczne, stabilne i dobrze zorganizowane przedsiębiorstwo.

Często skala nieprawidłowości, zaniechań lub po prostu niedbalstwa powoduje poważne problemy, które mogą objawić się w postaci wniosków poaudytowych lub pokontrolnych. Możemy je oczywiście zbagatelizować, ale z czasem mogą przerodzić się w sytuacje, które nas przerosną, prowadząc do tragedii – miejmy nadzieję, że tylko materialnej, a nie takiej, w której ktoś traci życie lub zdrowie. Właściwe zarządzanie jakością, zaczynając od samej góry, jest więc sprawą kluczową.

Absolutnie nie powinniśmy obawiać się, że w przypadku starszych obiektów, które chcemy zmodernizować lub zaadaptować do nowych celów, napotkamy trudności nie do pokonania. Przepisy polskiego prawa oferują możliwość wprowadzenia rozwiązań zamiennych, co pozwala § 2 Rozporządzenia Ministra Infrastruktury z dnia 12 kwietnia 2002 r. w sprawie warunków technicznych, jakim powinny odpowiadać budynki i ich usytuowanie (Dz. U. Nr 75, poz. 690 z późn. zm.). W przepisach przeciwpożarowych znajdziemy odniesienie do tego paragrafu, co umożliwia spełnienie wymagań techniczno-budowlanych przy projektowaniu, budowie, przebudowie oraz zmianie sposobu użytkowania budynków, w sposób inny niż określony w rozporządzeniach – zgodnie z ekspertyzą techniczną opracowaną przez uprawnione organy. Jest to bardzo przydatne, zwłaszcza w przypadku istniejących budynków, których konstrukcja lub usytuowanie stwarza pewne ograniczenia. Pamiętajmy jednak, że w takim przypadku musimy wdrożyć proponowane i zaakceptowane przez odpowiednie instytucje rozwiązania, aby nasza firma mogła funkcjonować bezpiecznie i sprawnie.

Przykładem może być miejsce przetwarzania i magazynowania odpadów w hali o konstrukcji stalowej, gdzie zastosowano rozwiązania wzmacniające konstrukcję nośną (np. farby pęczniejące), stałe urządzenia gaśnicze, które reagują na pierwszą fazę pożaru, oraz zbiornik przeciwpożarowy na potrzeby działań ratowniczo-gaśniczych. Oczywiście, takie rozwiązania generują koszty, które na początku mogą wydawać się wysokie. Jednak w perspektywie czasu przyniosą zysk w postaci podniesienia poziomu bezpieczeństwa i stabilnego rozwoju firmy.

Konsekwencje braku świadomości i odpowiednich działań w tym zakresie zostaną szczegółowo omówione w kolejnym artykule, na który w imieniu swoim oraz autorki serdecznie zapraszam.

Trzecia zasada: zaangażowanie ludzi

Ludzie na wszystkich poziomach, szczeblach powinni być kompetentni, upoważnieni i zaangażowani w realizację działań i budowanie wartości organizacji. Uznanie, przydzielanie uprawnień i zwiększanie kompetencji to warunek konieczny do przyjęcia aktywnej postawy ludzi do osiągania celów jakościowych organizacji. Angażowanie ich w proces decyzyjny, docenianie ich indywidualnych osiągnięć oraz promowanie ich umiejętności i wiedzy są zatem przejawami przywództwa ukierunkowanego na skuteczność i efektywność.[4]

Gdzie możemy znaleźć potwierdzenie, że ludzie na wszystkich poziomach i szczeblach są kompetentni, upoważnieni i zaangażowani? Najprostszy sposób to zajrzeć do tzw. teczki osobowej pracownika. Wymagania prawne korelują z wymaganiami normy ISO 9001:2015, a mianowicie punkt 7.2 d) wskazuje, że organizacja powinna przechowywać odpowiednie udokumentowane informacje jako dowód kompetencji (pkt. 7.5).

Podstawowe przepisy:

  • Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej, Dz. U. 2018, poz. 2369.
  • Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy, Dz. U. 1974 nr 24 poz. 141.

Akta osobowe składają się z pięciu części: A, B, C, D i E. Każda z tych części zawiera różne dokumenty związane z zatrudnieniem i pracą danego pracownika. Na przykład, w części A znajdują się dokumenty zgromadzone podczas procesu rekrutacyjnego, takie jak te potwierdzające kwalifikacje pracownika.

W ww. rozporządzeniu znajdziemy przepisy dotyczące prowadzenia, przechowywania i udostępniania dokumentów pracowniczych, natomiast sposób wydawania kopii całości lub części dokumentacji pracowniczej reguluje Kodeks Pracy.

Prawo umożliwia prowadzenie elektronicznych teczek pracowniczych (jako jedynej formy dokumentacji pracownika), co obniża koszty związane z prowadzeniem tradycyjnych archiwów, takich jak czas przeszukiwania dokumentacji, automatyzacja generowania dokumentów pracowniczych, koszty utrzymania pomieszczeń, sprzętu biurowego, zużycia papieru itp., a także zapewnia bezpieczeństwo danych. Wszystkie akta pracownicze w formie papierowej powinny zostać zeskanowane i opatrzone:

  • kwalifikowanym podpisem elektronicznym pracodawcy lub
  • kwalifikowaną pieczęcią elektroniczną pracodawcy lub
  • kwalifikowanym podpisem elektronicznym osoby upoważnionej, potwierdzającym zgodność odwzorowania cyfrowego z dokumentem papierowym.

Przygotowane druki należy wprowadzić do programu, który dedykowany jest do przechowywania akt pracowniczych w formie elektronicznej. W przypadku podpisywania nowych dokumentów nie ma potrzeby tworzenia ich w formie papierowej, jeżeli pracownik i pracodawca posiadają podpis w formie elektronicznej. W takim wypadku w ogóle rezygnuje się z przechowywania dokumentacji pracowniczej w postaci fizycznej.’[5]

Widzimy więc, że jest to korzystne rozwiązanie, ale przede wszystkim dla dużych przedsiębiorstw. Kompetencje są już identyfikowane na etapie projektowania stanowisk pracy (job design) i budowania ról – definiowania stanowisk pracy, czyli określania zakresu obowiązków i odpowiedzialności oraz relacji, jakie istnieją między pracownikami na poszczególnych stanowiskach a innymi ludźmi w organizacji. Budowanie ról polega na określaniu obszarów wyników (accountabilities) i wymagań dotyczących kompetencji oraz delegowaniu uprawnień (empowerment) do pracowników, tak by mieli możliwość odegrania swoich ról i wypracowania własnego wkładu.

Dokumentacja pracownicza może dostarczyć nam, audytorom, dowodów na zgodność z wieloma wymaganiami normy ISO 9001:2015, chociażby tymi zawartymi w pkt. 5.3: Role, odpowiedzialność i uprawnienia w organizacji, 6: Planowanie, 7.1: Zasoby, 7.2: Kompetencje, 7.3: Świadomość, 7.4: Komunikacja, oraz związanymi z punktami 4.2: Zrozumienie potrzeb i oczekiwań stron zainteresowanych, 7.5: Udokumentowane informacje, 8.2.1: Komunikacja z klientem, 8.4.3: Informacje dla zewnętrznych dostawców, 8.6: Zwolnienie wyrobów i usług, 8.7: Nadzór nad niezgodnymi wyjściami, 9.1.2: Zadowolenie klienta, 9.3: Przegląd zarządzania.

Moje doświadczenia z audytów i wdrożeń, a także obserwacje z życia, pokazują, że norma ISO 9001 może skutecznie uzupełniać pewne luki w regulacjach prawnych i dostarczać cennych wskazówek organizacjom do doskonalenia.

Przykład nr 1: Osoba na kierowniczym stanowisku w organizacji, gdzie system zarządzania jakością zgodnie z ISO 9001 funkcjonuje już blisko 15 lat, zachorowała. Jej absencja trwała prawie dwa miesiące. W tym czasie nie zapewniono zastępstwa. Najpilniejsze obowiązki była zmuszona wykonywać zdalnie, czy to leżąc w szpitalu, czy w domu.

Przykład nr 2: Duża, międzynarodowa korporacja, której główną działalnością jest regeneracja i sprzedaż narzędzi skrawających, posiada kadrę pracowników obsługujących tokarkę/frezarkę do metalu. Ci pracownicy mieli w ciągu kilku miesięcy przejść na emeryturę. Zorganizowano rekrutację. Niestety, wszyscy nowi, młodzi pracownicy po krótkim okresie przyuczenia odchodzili. Ciągłość produkcji została poważnie zagrożona.

Niestety, problem ten nie jest odosobniony. Wymóg takiej regulacji zapewnienia zastępstwa czy ciągłości pracy na danym stanowisku nie wynika z Kodeksu Pracy (art. 94). Rozporządzenie Nr 1 Prezesa Rady Ministrów z dnia 7 stycznia 2011 r. w sprawie zasad dokonywania opisów i wartościowania stanowisk pracy w służbie cywilnej, wraz ze wzorami opisów stanowisk pracy, również traktuje ten aspekt po macoszemu. Podobnie Ustawa z dnia 21 listopada 2008 r. o pracownikach samorządowych.

Można więc wyciągnąć wniosek, że pracodawca musi samodzielnie wypracować projektowanie zastępstw i zapewnianie ciągłości pracy w organizacji.

Norma ISO 9001:2015 przychodzi z rozwiązaniami na tę okazję. Domaga się jasnego zdefiniowania czynników zewnętrznych, m.in. stanu demograficznego w danym regionie oraz wewnętrznych – płynności zatrudnienia. Warto określić i śledzić wymagania stron zainteresowanych, w tym przypadku kadry pracowników. Warto, aby w opisie stanowiska pracy oraz w zakresie obowiązków pracownika znalazły się jasne zapisy, kogo zastępuje, przez kogo jest zastępowany i w jakim obszarze. Zastępstwa nie muszą być jeden do jeden. Obowiązki jednego pracownika może przecież przejąć kilka osób. Najważniejsze jest, aby nieobecność nie spowodowała przerwania ciągłości pracy, a co gorsza, dostaw do klienta produktów czy usług.


Siódma zasada: zarządzanie relacjami

Wg jednej z definicji zarządzanie to “Sztuka łączenia różnych środków, którymi dysponuje przedsiębiorstwo, tak aby osiągnęło ono swoje cele z maksymalną skutecznością. Zarządzanie nie powinno być mylone z kierowaniem, które stanowi istotę decydowania. Jest to zespół czynności zmierzających do osiągnięcia pozytywnych rezultatów finansowych przy końcu określonych okresów, wybór, podział i zastosowanie środków przedsiębiorstwa, jak również stosunki wszelkiego rodzaju, jakie może ono utrzymywać z innymi osobami prawnymi (Caude R., Moles A., Methodologie vers une science de l’action, Paryż 1964, s. 450; za T. Pszczołowskim)”[6] I właśnie te ” stosunki”, a właściwie – relacje z klientami, dostawcami, pracownikami, partnerami biznesowymi, inwestorami i innymi stronami zainteresowanymi, są przedmiotem siódmej zasady zarządzania jakością. Identyfikacja i zrozumienie ich potrzeb, i wspólnych wartości, komunikacja, wzajemne zaufanie, realizacja projektów przynoszących obopólną korzyść w zakresie rozwoju i doskonalenia, stabilny przepływ wyrobów i usług są kluczowe. Wszyscy chcą, aby komunikacja (jakimi kanałami  nie byłaby prowadzona i jakie ślady by nie pozostawiała) była bezpieczna. Znaczenie bezpieczeństwa udokumentowanej informacji podkreśla również Norma 9001:2015 w pkt. 7.5.3 Nadzór nad udokumentowanymi informacjami, gdzie pochyla się nad ich odpowiednią ochroną (m.in. przed utratą poufności, tj. nieautoryzowanym ujawnieniem; niewłaściwym użyciem czy utratą integralności, tj. własność danych wyklucza wprowadzenie do nich zmian w nieautoryzowany sposób).

Ta “odpowiednia ochrona” ma za sojusznika m. in. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO), ale również know how w biznesie i rosnącą świadomość biznesową, i jakościową kadry zarządzającej.

Podstawowe przepisy:

  • Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r.
  • Rozporządzenie Rady Ministrów z 20.03.2019 r. w sprawie wzoru legitymacji służbowej pracownika UODO
  • Ustawa z 10 maja 2018 r. o ochronie danych osobowych
  • Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO
  • Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO
  • Ustawa o ochronie danych osobowych przetwarzanych w zw. z zapobieganiem i zwalczaniem przestępczości
  • Dyrektywa 2016/680
  • Rozporządzenie 2016/679 (RODO) i akty towarzyszące
  • Ustawa o ochronie sygnalistów – konsultacje

Nie zmienia to faktu, że nadal czytamy prasowe czy internetowe nagłówki podobne do tego: “Ataki ransomware zyskują na sile. Wiele organizacji nie ma wyjścia i płaci okup — od 1 do nawet 40 mln dolarów.”[7]

Czym jest ransomware wyjaśnia portal www.gov.pl:

“Ransomware (ang. ransom – okup, ang. software – oprogramowanie) to program należący do rodziny szkodliwego oprogramowania. Powoduje blokadę lub zaszyfrowanie plików znajdujących się na urządzeniu. Jak wygląda atak? Siadasz do komputera, pijesz poranną kawę i… na ekranie wyświetla się komunikat informujący, że Twoje dane zostały zaszyfrowane. W razie niezapłacenia okupu cyberprzestępcy grożą całkowitą utratą dostępu do danych bądź urządzenia.”[8] W tym samym miejscu czytamy: “Coraz częściej cyberprzestępcy nie tylko szyfrują dane, ale także wykradają je, by następnie szantażować ofiarę, grożąc ich ujawnieniem lub poinformowaniem innych o ataku, np. partnerów biznesowych, instytucji współpracujących czy opinię publiczną w przypadku nie zapłacenia okupu. ” – czyli nasze potencjalne strony zainteresowane.

Ransomware jest szczególnie niebezpieczny dla firm czy podmiotów publicznych, które nie wykonują kopii zapasowych danych. W przypadku utraty danych nie mogą normalnie funkcjonować, co może skutkować nawet wypadnięciem z rynku i upadłością. Towarzyszy temu ryzyko utraty wiarygodności. Pamiętajmy, że firma przechowuje w wersji elektronicznej dane osobowe, ale bardzo często chociażby dokumentację techniczną otrzymaną od klienta.

Statystycznie rzecz biorąc najwięcej ataków przypada na małe i średnie przedsiębiorstwa.

I tutaj być może Was zaskoczę, ale najlepszym sposobem ochrony przed atakami oprogramowania ransomware jest budowanie i zwiększanie świadomości pracowników poprzez regularne szkolenia na temat chociażby nt. socjotechnik, które stosują hakerzy. “Hakerzy zwykle zaczynają od zawirusowanego maila, dzięki któremu będą mogli szybko poruszać się po całej sieci. Wirus może być przesłany jako załącznik do maila, który po otwarciu może próbować uszkodzić system komputerowy, na którym się znalazł, wykraść z niego dane lub przejąć nad nim kontrolę i przyłączyć go do sieci komputerów zainfekowanych złośliwym oprogramowaniem.”[9] Innym sposobem wprowadzenia wirusa do firmy jest wykorzystanie odnośnika (linku) zawartego w mailu, reklam internetowych (tzw. Malvertising), sklepów internetowych (oczywiście w rzeczywistości nieistniejących) czy np. darmowych artykułów. 

Nawet jeżeli firma spełni wszystkie obowiązki, jakie w zakresie przetwarzania danych osobowych nakłada na nią RODO, a w szczególności zastosuje skuteczne zabezpieczenia organizacyjne, techniczne i fizyczne przetwarzanych informacji, to i tak, powtarzam, najlepszym sposobem ochrony przed atakami oprogramowania ransomware jest budowanie i zwiększanie świadomości pracowników poprzez regularne szkolenia i to nie tylko tych, mających dostęp do danych osobowych, ale wszystkich, którzy mają dostęp do sieci komputerowej mogącej łączyć się z Internetem, oraz komputerów z portami USB (tworzenie nieautoryzowanych kopii).

Szkolenia dla pracowników lub inne formy budowania świadomości z zakresu przestrzegania bezpieczeństwa stanowią część odpowiedzialności biznesowej, która przekłada się na zarządzanie relacjami. Niewątpliwą korzyścią z takiego działania jest minimalizowanie ryzyka utraty reputacji i innych negatywnych konsekwencji, o których piszę wyżej.

Mam nadzieję, że udało mi się pokazać na przykładach korzyści z przestrzegania wymagań prawnych i regulacyjnych, ale także ich przenikanie się z wymaganiami Normy ISO 9001:2015.

Zgadzam się ze słowami,  które cytuje pan Marek Derlatka w eseju pt. “Posłuszeństwo normom prawnym”, że: “Przestrzeganie prawa to coś więcej niż mechaniczne stosowanie przepisów prawa i zapewnienie, że są one przestrzegane. To także odkrywanie innych elementów, które składają się na pojęcie „prawo”, wartości i zasad ogólnych oraz łączenie ich jako substratu argumentacyjnego[10],.

Poprzez ten cykl publikacji chcę przekazać, że choć mamy tendencję do traktowania prawa jako “zła koniecznego” to jednak możemy go również wykorzystać do rozwoju organizacji, do budowania wzajemnego szacunku i przy odpowiednim podejściu może on przynieść efekt synergii.

Jeżeli macie pytania dot. wymagań prawnych i regulacyjnych w odniesieniu do Normy ISO 9001:2015 postaram się na nie odpowiedzieć, wedle mojej najlepszej wiedzy z uwzględnieniem konkretnych podstaw prawnych.

Dzielcie się też, proszę, swoimi spostrzeżeniami, doświadczeniami związanymi z wymaganiami prawnymi i regulacyjnymi ISO 9001, i ich zastosowaniem w doskonaleniu audytu organizacji.

Wszyscy chcemy się przecież rozwijać, a jednym z lepszych na to sposobów jest dzielenie się wiedzą, ale także zadawanie pytań!


[1]Co to jest ISO w firmie, online: Poradnik pracodawcy, 16.04.2023r., Co to jest ISO w firmie – Poradnik Pracodawcy , dostęp: 18.10.2024r.

[2]Korzyści dla małych i średnich przedsiębiorstw stosujących standardy ISO, online: Korzyści dla małych i średnich przedsiębiorstw stosujących standardy ISO,  20.07.2011r., online: Korzyści dla małych i średnich przedsiębiorstw stosujących standardy ISO , dostęp: 18.10.2024r.

[3]Piotr Ciepiński, Prawo przedsiębiorców – najważniejsze przepisy, Poradnik Biznesu, 22.08.2023r., Prawo przedsiębiorców – najważniejsze przepisy (poradnikbiznesu.pl) , dostęp: 19.10.2024r.

[4]Ute Droege, Siedem zasad zarządzania jakością, online: 31.05.2022 r., https://www.dqsglobal.com/pl-pl/nauka/blog/siedem-zasad-zarzadzania-jakoscia?fbclid=IwAR0RaNuOJKEGrvUFl3zQWQdo9PAxHFcmiMiqkIXSDGRLMuqiiWWTvVVuPYo, dostęp: 21.10.2024r.

[5]Aleksandra Kozieł, Elektroniczna dokumentacja pracownicza. E-teczki 2024., E-dokumentacja pracownicza, Elektroniczna dokumentacja pracownicza. E-teczki 2024 • HRappka.pl , dostęp: 22.10.2024r.

[6]Zarządzanie, Encyklopedia Zarządzania, Sławomir Wawak i Patrycja Babiarz; Zarządzanie – Encyklopedia Zarządzania (mfiles.pl), dostęp: 20.10.2024 r.

[7]Grzegorz Kubera, “Ataki ransomware zyskują na sile. Wiele organizacji nie ma wyjścia i płaci okup – od 1 do nawet 40 mln dolarów.” Computerworld, 14.10.2024 r., Ataki ransomware zyskują na sile. Wiele organizacji nie ma wyjścia i płaci okup — od 1 do nawet 40 mln dolarów | Computerworld.pl , dostęp: 21.10.2024 r.

[8]Ransomware – jedno z najpoważniejszych zagrożeń w cyberprzestrzeni”, Baza wiedzy Serwis Rezczypospolitej Polskiej, 24.10.2022r., Ransomware – jedno z najpoważniejszych zagrożeń w cyberprzestrzeni – Baza wiedzy – Portal Gov.pl (www.gov.pl) , dostęp: 21.10.20224r.

[9]Dariusz Łydziński, Skrzynki mailowe wciąż zagrożone, 8.09.2015r., Skrzynki mailowe wciąż zagrożone | LinkedIn , dostęp: 21.10.2024r.

[10] T. T. Koncewicz, „Prawo” jako autonomiczna racja argumentacyjna i walor „strategii sądowych” w prawie europejskim. Przypadek „Gazociągu Północnego”, Palestra 2010, nr 5–6, s. 176.