BHPAI – Early Access już dostępny! Dołącz teraz →

Centrum Wiedzy

🤖 Digitalizacja BHP, automatyzacja i sztuczna inteligencja

Cyberbezpieczeństwo w BHP: jak unikać wycieków danych i błędów, które mogą kosztować firmę fortunę

11 grudnia 2025
5 min czytania
62 wyświetleń
#szkolenia bhp #rodo #ryzyko zawodowe #cyberbezpieczeństwo #dane pracowników #phishing #procedury #polityki bezpieczeństwa

Wyciek danych pracowników może zacząć się od jednego niewinnego maila. W poradniku wyjaśniamy, jak chronić dane w firmie, jak unikać phishingu i jakie obowiązki ma pracodawca w kontekście cyber-BHP.

Cyberbezpieczeństwo jako element BHP: dlaczego to już nie jest tylko problem działu IT

Bezpieczeństwo pracy to nie tylko kaski i gaśnice. W 2026 roku jednym z największych zagrożeń dla firm są wycieki danych, phishing, fałszywe wiadomości oraz przesyłanie poufnych dokumentów w nieodpowiedni sposób. To wszystko ma bezpośredni wpływ na bezpieczeństwo pracowników, a więc staje się integralną częścią BHP.

Wielu pracowników codziennie korzysta z komputera, systemów kadrowych, poczty elektronicznej, dokumentów cyfrowych. W takich warunkach cyberzagrożenia stają się ryzykiem zawodowym, które pracodawca ma obowiązek ocenić i nadzorować.

Jakie dane firmowe są najczęściej narażone?

  • Dane osobowe pracowników (imię, nazwisko, PESEL, adres, numer telefonu)
  • Skany badań lekarskich i orzeczeń lekarza medycyny pracy
  • Listy płac i informacje o wynagrodzeniach
  • Dane związane z wypadkami (dokumentacja powypadkowa)
  • Informacje kadrowe przesyłane firmie BHP lub zewnętrznym partnerom
  • Wewnętrzne raporty, procedury i formularze

Niestety większość tych danych krąży w firmach drogą mailową, często bez szyfrowania, bez zabezpieczeń i bez świadomości ryzyk.

Skąd biorą się incydenty?

  1. Brak szkolenia pracowników z cyber-BHP
  2. Klikanie w podejrzane linki w mailach
  3. Przesyłanie dokumentów PDF i Excel bez zabezpieczeń
  4. Wysyłanie danych do niewłaściwych odbiorców
  5. Brak procedur i jasnych zasad
  6. Używanie prywatnych kont mailowych do celów służbowych

Ważna informacja: Nawet drobny incydent, taki jak wysłanie orzeczenia lekarskiego nie do tej osoby, jest wyciekiem danych i może skutkować karami.

Dodatkowa informacja: Pracodawca ponosi odpowiedzialność za brak środków organizacyjnych zapobiegających wyciekom.

Bezpieczne przesyłanie danych pracowników: podstawowe zasady

Chociaż firmy często traktują to jako „nadgorliwość”, istnieją proste kroki, które wyraźnie ograniczają ryzyka.

1. Nigdy nie przesyłaj danych wrażliwych w zwykłym mailu

Dane takie jak orzeczenia lekarskie, protokoły powypadkowe czy karty oceny ryzyka nie powinny być przesyłane otwartym mailem.

Jak robić to poprawnie?

  1. Używać szyfrowanych kanałów (SFTP, platforma BHP, dedykowany system)
  2. Jeśli już trzeba wysłać maila – zaszyfrować plik hasłem
  3. Przesłać hasło innym kanałem, np. SMS-em
  4. Nigdy nie wysyłać jednej wiadomości do wielu niepowiązanych odbiorców

Ważna informacja: Zwykły załącznik PDF to nie jest zabezpieczenie.

Więcej zaleceń UODO

2. Phishing w kontekście BHP – jak łatwo zainfekować firmę?

Pracownicy często otrzymują wiadomości typu:

  • „Pobierz nowy regulamin pracy”
  • „Wypełnij ankietę BHP”
  • „Twoje szkolenie wygasło – kliknij, aby przedłużyć”
  • „Nowa kontrola PIP – wymagane dokumenty”

Takie wiadomości są jednym z najpopularniejszych sposobów wyłudzania danych.

Jak uczyć pracowników rozpoznawać zagrożenia?

  1. Sprawdzać adres nadawcy
  2. Nie otwierać załączników z rozszerzeniem .doc, .exe, .html
  3. Nie klikać linków z nieznanych źródeł
  4. Zgłaszać podejrzane wiadomości przełożonemu lub działowi BHP/IT

Dodatkowa informacja: Nawet 1 kliknięcie może zainfekować komputer i doprowadzić do wycieku danych.

3. Procedury cyber-BHP jako element oceny ryzyka zawodowego

W firmie powinny istnieć jasne zasady:

  • jak przetwarzamy dane pracowników,
  • jak przekazujemy dokumenty firmie BHP,
  • jakie kanały komunikacji są dopuszczone,
  • kiedy można korzystać z prywatnego sprzętu,
  • jak wygląda proces zgłaszania incydentów.

Co powinna zawierać procedura?

  1. Zasady przesyłania dokumentów
  2. Zasady przechowywania danych
  3. Wytyczne dotyczące haseł i MFA
  4. Wymóg szyfrowania plików
  5. Algorytm postępowania po incydencie

Ważna informacja: Brak procedur organizacyjnych może być traktowany jako naruszenie obowiązków pracodawcy.

4. Szkolenie wstępne BHP a cyberbezpieczeństwo

Zgodnie z programem szkolenia wstępnego, pracownik musi poznać:

  • zagrożenia związane z pracą przy komputerze,
  • zasady bezpiecznego korzystania z poczty i sieci,
  • sposoby ochrony danych osobowych.

Szkolenie BHP może (i powinno) obejmować podstawy cyber-higieny, ponieważ to realny element bezpieczeństwa pracy.

Co powinno znaleźć się na szkoleniu?

  1. Jak sprawdzić, czy mail jest prawdziwy
  2. Dlaczego nie wysyłamy dokumentów otwartym tekstem
  3. Czym są dane wrażliwe
  4. Jak zgłaszać incydenty bezpieczeństwa
  5. Jak chronić swoje hasła i dostęp do systemów

Dodatkowa informacja: Coraz więcej firm wprowadzających kontrole PIP ma zastrzeżenia do sposobu ochrony dokumentacji pracowniczej.

5. Jak przygotować firmę na incydenty cyber-BHP?

Nawet najlepsze procedury nie wyeliminują ryzyka, dlatego trzeba przygotować scenariusze na sytuacje awaryjne.

Plan reagowania na incydenty:

  1. Zatrzymanie wycieku danych
  2. Zabezpieczenie urządzenia
  3. Powiadomienie przełożonego
  4. Ocenę ryzyka i skalę incydentu
  5. Podjęcie działań naprawczych
  6. Zgłoszenie naruszenia do UODO (jeśli wymagane)

Ważna informacja: Opóźnienie w zgłoszeniu może pogorszyć sytuację i zwiększyć odpowiedzialność firmy.

Przykład naruszeń danych osobowych

Kluczowe wnioski

Cyberbezpieczeństwo staje się integralną częścią BHP. Firmy muszą dbać nie tylko o fizyczne bezpieczeństwo pracowników, ale również o ochronę danych, procedury oraz świadomość zagrożeń informatycznych. Odpowiednie szkolenia, procedury i bezpieczne kanały komunikacji znacząco zmniejszają ryzyko incydentów i kar.

Najczęściej zadawane pytania

Czy pracownik może wysłać skan badań lekarskich mailem?

Co do zasady nie powinien. Dane zdrowotne są szczególnie chronione i powinny być przekazywane przez bezpieczne kanały, najlepiej szyfrowane.

Czy phishing może być uznany za zagrożenie zawodowe?

Tak. Jeśli praca obejmuje korzystanie z komputera i poczty, zagrożenia informacyjne są elementem ryzyka zawodowego.

Jak zabezpieczyć protokół powypadkowy przesyłany do firmy BHP?

Najlepiej szyfrować dokument, hasło wysłać osobnym kanałem lub użyć bezpiecznej platformy wymiany danych.

Czy firma może ponieść karę za wysłanie danych pracowników niewłaściwej osobie?

Tak, jest to naruszenie RODO i może skutkować karą oraz obowiązkiem powiadomienia UODO.

Czy pracownik musi przejść szkolenie z cyber-bezpieczeństwa?

W ramach szkolenia BHP pracownik powinien poznać zasady bezpiecznej pracy z komputerem, w tym podstawy cyberhigieny.

Jak rozpoznać fałszywy mail z „PIP”?

Należy sprawdzić adres nadawcy, unikać klikania linków i potwierdzić wiadomość na oficjalnej stronie instytucji.

Czy PDF może być niebezpieczny?

Tak. PDF-y potrafią zawierać złośliwe skrypty lub phishingowy link ukryty pod przyciskiem.

Czy można korzystać z prywatnej poczty do celów służbowych?

Raczej nie. Zwiększa to ryzyko wycieku danych i zwykle jest niezgodne z polityką bezpieczeństwa.

Co zrobić, jeśli pracownik kliknie podejrzany link?

Natychmiast zgłosić incydent, odłączyć urządzenie od sieci i powiadomić osoby odpowiedzialne za bezpieczeństwo.

Czy każda firma powinna mieć procedurę cyber-BHP?

Tak. Nawet mała firma przetwarzająca dane pracowników powinna mieć podstawowy zestaw zasad bezpieczeństwa.

Wypróbuj BHPAI już w styczniu 2026

Zapisz się do Early Access i otrzymaj pierwszeństwo we wdrożeniu systemu

Dołącz do Early Access