58 proc. mikro-, małych i średnich przedsiębiorców nie wie, że wyciek danych osobowych trzeba zgłosić UODO.

Ponad jedna trzecia (35 proc.) mikro-, małych i średnich przedsiębiorstw (MŚP) obawia się o bezpieczeństwo przechowywanych danych osobowych. Ofiarą kradzieży lub próby kradzieży danych osobowych padło 12 proc. przedsiębiorstw MMŚP.

To wnioski z badania przeprowadzonego w maju 2024 r. przez TGM Research na zlecenie Krajowego Rejestru Długów Biura Informacji Gospodarczej i serwisu ChronPESEL.pl, pod patronatem Urzędu Ochrony Danych Osobowych.

Niewystarczające środki ostrożności

Prawie wszystkie firmy (95 proc.) zadeklarowały, że przechowują dane swoich pracowników. Połowa robi to w formie elektronicznej, a jedna trzecia – i papierowej, i elektronicznej.

Mikro-, małe i średnie przedsiębiorstwa gromadzą przede wszystkim takie dane, jak imię i nazwisko pracownika (86 proc. wskazań), numer telefonu (80 proc.), adres zamieszkania i numer PESEL (po 75 proc.), adres e-mail (70 proc.) oraz numer rachunku bankowego (68 proc.).

Trochę ponad połowa (51 proc.) przedstawicieli sektora MMŚP deklaruje, że dostęp do danych mają tylko osoby uprawnione.

- Cieszy, że w dużym odsetku firm (40 proc. - red.) pliki i foldery z danymi osobowymi są zabezpieczone hasłami – mówił Andrzej Kulik, dyrektor departamentu analiz rynkowych i komunikacji, rzecznik prasowy w Krajowym Rejestrze Długów - podczas webinarium, na którym zaprezentowano wyniki badania. - Ale po drugiej stronie mamy 60 proc. firm, gdzie takich zabezpieczeń nie ma – przyznał.

Inne środki ostrożności to zabezpieczenie siedziby firmy alarmami lub drzwiami antywłamaniowymi (36 proc.), programy antywirusowe (35 proc.) i chowanie ważnych dokumentów papierowych w sejfach lub skrytkach (28 proc.).

Bezpieczny komputer?

Spośród firm, które nie obawiają się wycieku danych osobowych, połowa przypisuje to wysokiemu poziomowi zabezpieczeń swoich komputerów. Z kolei 39 proc. opiera to na przekonaniu, że nie przetwarza dużej ilości danych.

Polisę na wypadek wycieku, kradzieży, utraty lub wyłudzenia danych posiada 13 proc. badanych. W podziale na wielkość firmy takie ubezpieczenie mają przeważnie średnie przedsiębiorstwa, tj. zatrudniające od 50 do 250 pracowników (deklaruje to 28 proc. z nich). Rzadziej wykupują polisy małe, zatrudniające osób przedsiębiorstwa od 10 do 50 pracowników (17 proc.) i mikrofirmy (13 proc.).

Tylko 42 proc. respondentów wie, że wyciek danych osobowych należy zgłosić do UODO. Jako kroki podejmowane w razie zagrożenia danych najczęściej wskazywano zgłoszenie kradzieży organom ścigania (59 proc.), a także zawiadomienie osób poszkodowanych i zmianę haseł dostępu na komputerach (po 57 proc.).

Za mało szkoleń

W dyskusji podsumowującej badanie Małgorzata Jagielska-Zabulska z departamentu kontroli i naruszeń Urzędu Ochrony Danych Osobowych wyraziła zaniepokojenie niską częstotliwością szkoleń z zakresu ochrony danych dla pracowników. W większości firm MMŚP (59 proc.) odbywają się one jedynie na początku zatrudnienia, natomiast 17 proc. badanych przyznaje, że nie ich wcale.

- Pomimo tego, że przedsiębiorca ma zapory i zabezpieczenia, może się wkraść błąd ludzki – mówiła Małgorzata Jagielska-Zabulska o przyczynach wycieków danych.

Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl i dyrektor departamentu rozwoju produktów B2C w Kaczmarski Group zaznaczył zaś, że małe firmy często pracują bezpośrednio na rzecz konsumentów i ci ostatni też mogą odczuć skutki ewentualnego zagrożenia bezpieczeństwa danych takiego przedsiębiorstwa.

- Hakerowi łatwiej jest zaatakować więcej małych firm niż „obrobić” jeden bank – porównywał.

Z kolei Małgorzata Dulińska-Majkowska, radczyni prawna, kierowniczka zespołu ochrony danych i prywatności w Kaczmarski Group, zwróciła uwagę, że z badania nie wynika duża świadomość sektora MMŚP w dziedzinie ochrony danych.

- Bardzo ważne jest, aby przedsiębiorcy, którzy przetwarzają dane osobowe, zdali sobie sprawę z tego, że są ich administratorami i są za nie odpowiedzialni – podkreślała.

Badanie przeprowadzono techniką wywiadów internetowych (CAWI) na reprezentatywnej próbie 400 przedstawicieli firm MMŚP w Polsce, spełniających kryterium decyzyjności (właściciel, współwłaściciel firmy, zarząd, dyrektor lub pracownik działu finansowego) oraz przetwarzających dane osobowe.