Firmy wciąż wysyłają dokumenty BHP mailem: protokoły powypadkowe, badania, zgłoszenia, rejestry. To wygodne, ale często niezgodne z RODO i obarczone dużym ryzykiem. Wyjaśniamy, kiedy wolno, kiedy nie i jakie są bezpieczne alternatywy.

Wysyłanie dokumentów BHP mailem – powszechna praktyka, duże ryzyko

Mimo rozwoju systemów BHP, firmy nadal korzystają z poczty elektronicznej do przekazywania:

• protokołów powypadkowych,
• wyników badań,
• informacji o urazach,
• list pracowników,
• dokumentacji szkoleniowej,
• zgłoszeń i ocen ryzyka.

Problem polega na tym, że mail nie jest bezpiecznym kanałem przetwarzania danych, szczególnie danych wrażliwych.

Ważna informacja: Dane BHP często zawierają informacje medyczne – a te są ściśle chronione i nie mogą być przesyłane zwykłym e-mailem.

Dodatkowa informacja: Większość naruszeń zgłaszanych do UODO wynika z błędnego przesyłania danych.

Jakie dokumenty BHP są szczególnie narażone?

1. Protokół powypadkowy

Zawiera:

• urazy,
• przebieg leczenia,
• ograniczenia medyczne.

To dane medyczne – przesyłanie mailem stwarza ryzyko naruszenia RODO.

2. Orzeczenia lekarskie i badania

To jedne z najwrażliwszych danych, których nie wolno przesyłać w sposób niezaszyfrowany.

3. Ocena ryzyka zawodowego

Zawiera informacje o:

• zagrożeniach,
• stanowiskach,
• niekiedy przeciwwskazaniach pracowników.

4. Rejestry szkoleń i badań

Często zawierają PESEL, daty urodzenia, dane medyczne.

5. Zgłoszenia powypadkowe

Pracownicy często wysyłają je z prywatnych skrzynek.

Każdy z tych dokumentów może stać się podstawą incydentu bezpieczeństwa.

Jakie są najczęstsze błędy przy wysyłaniu dokumentów mailem?

1. Wysłanie dokumentu do złego odbiorcy

Typowy błąd:

• autouzupełnianie adresów,
• podobne nazwy kontaktów,
• wysłanie „do wszystkich”.

2. Wysyłanie z prywatnych skrzynek pracowników

To ogromne ryzyko, bo firma:

• nie kontroluje skrzynki,
• nie ma logów,
• nie może wymusić kasowania danych.

3. Brak szyfrowania załączników

PDF wysłany jako załącznik jest jak kartka włożona w otwartą kopertę.

4. Przesyłanie plików przez komunikatory

Jeszcze gorsze niż mail. Dane często trafiają:

• na serwery poza UE,
• do aplikacji bez szyfrowania,
• do nieautoryzowanych podmiotów.

5. Brak procedur

Pracownicy nie wiedzą:

• co wolno,
• czego nie wolno,
• jak zabezpieczać dokumenty.

Czy wysyłanie dokumentów BHP mailem jest legalne?

1. RODO dopuszcza przesyłanie danych mailem, ale…

Tylko pod warunkiem zastosowania odpowiednich zabezpieczeń, takich jak:

• szyfrowanie,
• kontrola dostępu,
• polityka haseł.

W praktyce większość firm tego nie stosuje.

2. Dane medyczne muszą być przetwarzane ze szczególną ochroną

Dlatego UODO wielokrotnie wskazywał, że zwykły e-mail:

• nie zapewnia wystarczającej ochrony,
• nie gwarantuje integralności danych,
• nie nadaje się do przesyłania załączników medycznych.

3. Kodeks pracy nakłada obowiązki ochrony danych pracownika

Przesłanie badań „na Gmaila” pracownika to naruszenie przepisów.

4. PIP może zakwestionować taki sposób obiegu dokumentów

Szczególnie przy:

• protokołach powypadkowych,
• badaniach,
• zgłoszeniach zdarzeń.

Jakie są konsekwencje dla firmy?

1. Naruszenie RODO

Firma może być zmuszona do:

• zawiadomienia UODO,
• poinformowania pracowników,
• wdrożenia planu naprawczego.

2. Kary finansowe

Za niewłaściwe przetwarzanie danych medycznych – bardzo wysokie.

3. Chaos w dokumentacji

Pliki w skrzynkach różnych pracowników = brak kontroli.

4. Ujawnienie danych osobowych osobom trzecim

Częsty incydent:

dokument trafia do „Jan Kowalski” zamiast „Jan Kowalik”.

5. Strata reputacji

Naruszenia związane z danymi medycznymi mają największy wpływ na zaufanie pracowników.

Jak bezpiecznie przekazywać dokumentację BHP?

1. System BHP z kontrolą dostępu

Najbezpieczniejsze rozwiązanie:

• każdy dokument ma ograniczony dostęp,
• logi pokazują kto i kiedy pobrał plik,
• dane są szyfrowane.

2. Zaszyfrowane pliki

Jeśli już musisz wysłać maila — minimalna forma ochrony.

3. Dedykowany kanał komunikacji

Szyfrowanie end-to-end, certyfikowane platformy, system firmowy.

4. Portale pracownicze

Dokumenty są przekazywane poprzez konto pracownika, a nie mail.

5. Polityka pracy z danymi

Każdy pracownik musi wiedzieć:

• jakie dane są wrażliwe,
• czego nie wolno wysyłać,
• jakie narzędzia są dopuszczone.

Jak ograniczyć wysyłanie dokumentów mailem?

1. Wygodne narzędzia = mniej kombinowania

Jeśli system BHP jest szybki i intuicyjny — pracownicy nie szukają skrótów.

2. Automatyzacja procesów

Przypomnienia, rejestry, raporty w systemie redukują potrzebę maili.

3. Szkolenia z cyberhigieny

Pracownicy muszą wiedzieć, jakie ryzyko powoduje mail.

4. Procedura wysyłki danych

Jeśli już wysyłasz — rób to zgodnie z wytycznymi.

5. Monitoring ryzyk

Regularna analiza:

• incydentów,
• nieprawidłowości,
• błędnie wysłanych maili,

pozwala eliminować problemy.

Mail to ryzyko – ale można je kontrolować

Wysyłanie dokumentów BHP mailem nie jest zakazane, ale jest wysoce ryzykowne.
Firmy muszą stosować:

• dedykowane systemy,
• szyfrowanie,
• szkolenia,
• polityki bezpieczeństwa.

Najlepszym rozwiązaniem jest odejście od maila na rzecz systemów BHP umożliwiających bezpieczny obieg dokumentów.