Firmy wciąż udostępniają dokumenty BHP publicznymi linkami z chmur, nie wiedząc, że to jedno z największych naruszeń RODO. Wyjaśniamy, jakie ryzyka się z tym wiążą i jak powinno wyglądać bezpieczne przekazywanie dokumentów w 2026 roku.

Publiczne linki do dokumentów BHP – wygoda, która zamienia się w katastrofę

Udostępnienie dokumentu przez Google Drive czy OneDrive jednym kliknięciem wydaje się idealnym rozwiązaniem:

• szybko,
• bez maili,
• bez ZIP-ów,
• bez skanera.

Ale właśnie ta wygoda sprawia, że publiczne linki są jednym z najpoważniejszych błędów w kontekście BHP i RODO.

Dlaczego?

Bo dokumenty BHP zawierają:

• dane osobowe,
• dane medyczne,
• informacje o wypadkach,
• dane z ocen ryzyka zawodowego.

A publiczny link może otworzyć… właściwie każdy.

Ważna informacja: Udostępnienie danych przez publiczny link, nawet „przez przypadek”, jest traktowane jako naruszenie ochrony danych osobowych.

Dodatkowa informacja: UODO kilka razy ukarało firmy za publiczne linki – i to kary idące w dziesiątki tysięcy złotych.

Dlaczego publiczne linki są tak niebezpieczne?

1. Każdy, kto posiada link, może otworzyć dokument

To największa wada.

Publiczny link nie sprawdza:

• kto otwiera,
• skąd otwiera,
• czy ma do tego prawo.

Jeśli link wycieknie:

• wyszukiwarki mogą go zindeksować,
• pracownicy mogą go przekazać dalej,
• może trafić na cudzy laptop.

2. Publiczne linki często trafiają do wyszukiwarek

Google potrafi indeksować pliki udostępnione publicznie.

Skutek?

Twoje:

• ORZ,
• listy pracowników,
• protokoły powypadkowe,

mogą nagle pojawić się w wynikach wyszukiwania.

3. Linki udostępniane „dla wygody” nigdy nie są wyłączane

W wielu firmach wygląda to tak:

„Wyślę Ci link, a potem się zobaczy.”

I nikt nie zobaczył.
Link wisi publicznie przez miesiące, lata — a dokumenty są dostępne dla każdego.

4. Naruszenie zasady minimalizacji danych

Udostępniając publiczny link, nie masz kontroli nad:

• zakresem danych,
• kto je zobaczy,
• ile osób pobierze dokument.

Inspektor PIP może zobaczyć więcej, niż powinien.
Osoba postronna — jeszcze więcej.

5. Brak szyfrowania

Google Drive i OneDrive szyfrują dane „w spoczynku”, ale publiczny link nie jest szyfrowaniem dostępu.

To jak trzymanie kluczy w drzwiach.

6. Możliwość nieświadomego ujawnienia danych medycznych

Najczęstszy problem:

Dokument BHP ma kilka zakładek, a firma udostępnia całość.
PIP chciał jedną tabelę — dostaje pięć arkuszy z danymi medycznymi.

7. Brak logów, kto pobrał dokument

W przypadku kontroli lub incydentu:

• nie wiesz kto,
• nie wiesz kiedy,
• nie wiesz skąd.

A to kluczowe przy obowiązkach RODO.

8. WeTransfer – najgorszy możliwy wybór

WeTransfer nie jest:

• polską chmurą,
• europejskim procesorem danych (w standardowej wersji),
• systemem zgodnym z Twoją polityką bezpieczeństwa.

Dane wylatują poza EOG, a Ty tracisz nad nimi kontrolę.

9. Brak anonimizacji danych

W systemie BHP można ukryć dane wrażliwe.
W pliku udostępnianym publicznym linkiem — nie.

Jakie dokumenty najczęściej „wyciekają” przez publiczne linki?

• ORZ (oceny ryzyka),
• rejestry badań,
• rejestry szkoleń,
• protokoły powypadkowe,
• listy pracowników,
• dane medyczne,
• zgłoszenia wypadków,
• listy obecności ze szkolenia.

Każdy z nich to potencjalny incydent.

Jak NIE WOLNO udostępniać dokumentów BHP?

❌ Google Drive – link „każdy z linkiem ma dostęp”

❌ OneDrive – „wyślij link do edycji”

❌ WeTransfer – wysyłka bez szyfrowania

❌ Dropbox – link publiczny

❌ Udostępnianie plików przez Messengera/WhatsApp

❌ Publikowanie linku w SMS lub Slacku bez zabezpieczeń

To nie są bezpieczne metody.
To ryzyko kar, wycieków i odpowiedzialności pracodawcy.

Jak udostępniać dokumenty BHP prawidłowo?

METODA 1: System BHP (najlepsze rozwiązanie)

Idealnie, jeśli masz BHPAI lub podobny system:

• kontrola uprawnień,
• logi dostępu,
• szyfrowanie,
• brak publicznych linków,
• dokumenty nie opuszczają systemu.

METODA 2: Zaszyfrowane archiwum ZIP

Prosto:

1. Zbierasz dokumenty.
2. Wrzucasz do archiwum.
3. Nadajesz hasło.
4. Hasło wysyłasz innym kanałem.
5. Plik wysyłasz na oficjalny adres PIP.

METODA 3: Udostępnianie poprzez link z ograniczeniem czasowym

Tylko w chmurach firmowych.

Warunki:

• dostęp tylko dla konkretnego adresu inspektora,
• brak możliwości pobierania,
• wygaśnięcie linku po kilku dniach,
• logi otwarcia.

METODA 4: Serwer SFTP

Stabilna metoda techniczna:

• szyfrowanie,
• unikalne konta,
• pełna kontrola.

Jak wdrożyć w firmie zakaz publicznych linków?

1. Jasna polityka: „Publicznych linków NIE używamy”

Zero wyjątków.

2. Szkolenie dla BHP, HR, kadr i kierowników

Bo to oni najczęściej udostępniają dokumenty.

3. Instrukcja krok po kroku „Jak przekazywać dokumenty PIP”

Prosta do zastosowania, bez interpretacji.

4. Regularny audyt publicznych linków

Sprawdzanie:

• kto coś udostępnił,
• czy link nadal działa,
• czy nie ma wycieków.

5. System BHP → automatyczna alternatywa

Ludzie korzystają z linków dlatego, że… nie mają systemu.

Udostępnianie przez publiczne linki = najprostszy sposób na naruszenie danych

To wygodne, szybkie i absolutnie katastrofalne z punktu widzenia bezpieczeństwa.
W 2026 roku, przy rosnącej cyfryzacji, inspektorzy PIP i UODO patrzą na takie praktyki bardzo surowo.