95% mikro, małych i średnich przedsiębiorców przetwarza dane swoich pracowników, a ponad połowa firm z sektora MŚP udostępnia te dane współpracującym z nimi biurom księgowo-rachunkowym.
Z badania przeprowadzonego w maju 2024 r. (techniką wywiadów internetowych (CAWI) na próbie 400 przedstawicieli firm MMŚP spełniających kryterium decyzyjności oraz przetwarzających dane osobowe) na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych wynika, że 88% firm z tej grupy przyznaje, że są one przez podwykonawców prawidłowo zabezpieczone przed dostępem niepowołanych osób, a z drugiej jednak strony aż 45% respondentów boi się, że dane mogą zostać skradzione. Natomiast aż 23% ankietowanych przedsiębiorstw z tej grupy uważa, że przekazuje wrażliwe dane pracowników w sposób niezabezpieczony.
Coraz częściej przedsiębiorstwa z sektora MŚP przekazują dane osobowe pracowników w formie elektronicznej innym podmiotom, np. biurom księgowo-rachunkowym. Jednak lekceważenie zasad cyberbezpieczeństwa naraża na niebezpieczeństwo część pracowników. Na czym ono polega:
– 31% respondentów wysyła szyfrowane e-maile z załącznikiem chronionym hasłem dostępu do pliku (najczęściej tego typu zabezpieczenie stosują średnie firmy (38%), rzadziej małe i mikro (po 31%)
– 22% przedsiębiorców przesyła szyfrowane e-maile z załącznikiem. Te e-maile nie są zabezpieczone hasłem
– 16% firm przechowuje szyfrowane dokumenty w chmurze, które następnie udostępnia zewnętrznym partnerom
Szyfrowana komunikacja e-mailowa ma sens jedynie wtedy, gdy załączane do niej pliki z danymi osobowymi pracowników będą dodatkowo chronione hasłem.
Przykład! Nadawca pomyli adres odbiorcy, dane trafiają do osoby nieupoważnionej i dochodzi do naruszenia ochrony danych.
– 14% przedsiębiorców wysyła podwykonawcom nieszyfrowane e-maile z załącznikiem bez wymaganego hasła dostępu do pliki (dotyczy to małych firm (23%) z branży handlowej (25%) i transportowej (21%), które są obecne na rynku powyżej 10 lat (32%). Zdecydowanie częściej funkcjonują w formie spółek (19%) niż jednoosobowych działalności gospodarczych (5%).
– 9% ankietowanych przechowuje nieszyfrowane dokumenty w chmurze, a następnie udziela do niej dostępu firmom zewnętrznym (dotyczy to średnich firm (19%) z branży produkcyjnej (81%) i budowlanej (22%))
– 5% firm przekazuje dokumenty pracowników na pendrive lub zewnętrznym dysku
Administrator jest zobowiązany przeprowadzić analizę ryzyka i zidentyfikować zagrożenia, jeżeli udostępnia dane na nośnikach typu pendrive. Analiza taka powinna wykazać konieczność odpowiedniego zabezpieczenia takich urządzeń, np. korzystanie z szyfrowanych nośników tego typu. Pliki mogą zostać również zaszyfrowane, co w przypadku zgubienia pendrive czy jego kradzieży uniemożliwi albo utrudni zapoznanie się z danymi bez znajomości hasła.
Dane, które są najczęściej przetwarzane przez mikro, małe i średnie firmy, to imię i nazwisko zatrudnianych pracowników (86 proc.) i numer telefonu (80 proc.). Rzadziej przetwarzany jest adres zamieszkania i numer PESEL (po 75 proc.), a w dalszej kolejności adres e-mail (70 proc.), numer rachunku bankowego (68 proc.) i dowodu osobistego (62 proc.), oraz dane zdrowotne o absencjach czy przebytych chorobach (43 proc.).
Nieprzestrzeganie zasad bezpieczeństwa, w tym słaby poziom zabezpieczeń w wielu MŚP powoduje, że hakerzy w prosty sposób mogą wykraść komplet danych osobowych, który jest potrzebny do popełnienia przestępstwa.
Joanna Mikulczyńska – radca prawny | ekspert ds. ochrony danych osobowych
NK Legal Partners
