Firmy nie korzystają ze szkoleń RODO dla pracowników – niepokojące wyniki badań

Opracowanie: Michał Kowalski

Wspomniane we wstępie badanie zostało przeprowadzone w maju 2024 r. przez TGM Research na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Prezesa Urzędu Ochrony Danych Osobowych (UODO). Zrealizowano je techniką wywiadów internetowych (CAWI) na próbie 400 przedstawicieli mikro- a także małych i średnich przedsiębiorstw spełniających kryterium decyzyjności oraz przetwarzających dane osobowe.

Z przeprowadzonego badania wynika, że wprawdzie 81% firm z sektora prowadzi szkolenia dla swoich pracowników dotyczące ochrony danych osobowych, jednak niemal 60% z nich odbywa się tylko raz – na etapie zatrudnienia pracownika. Co więcej, niepokojące jest to, że aż 20% przedsiębiorców w ogóle nie organizuje takich szkoleń.

Niestety tylko 22% ankietowanych przyznaje, że powtarza szkolenia dla pracowników w trakcie ich zatrudnienia. Co ciekawe, lepsze wyniki osiągają małe firmy (41%) w porównaniu do średnich (35 %) i mikroprzedsiębiorstw (21%). Jednym z możliwych powodów może być niższa rotacja pracowników. Na tym tle wyróżniają się przedsiębiorstwa z sektora produkcyjnego (57%), handlowego (35%) oraz transportowego (34%). Częściej są to spółki (31%) niż jednoosobowi przedsiębiorcy (12%).

Co może budzić niepokój, to fakt, że aż 20% respondentów wykazuje wyjątkowo lekceważące podejście, nie przeprowadzając szkoleń dla pracowników dotyczących ochrony danych osobowych. Wśród nich największy problem mają mikrofirmy (20%), a nieco mniejszy małe (18%) i średnie (14%).

Zgodnie z informacjami od respondentów, 86% przedsiębiorstw z sektora MŚP przetwarza imię i nazwisko swoich pracowników. Nieco rzadziej zbierane są numery telefonów (80%), adresy zamieszkania oraz numery PESEL (po 75%). Następnie w kolejności znajdują się adresy e-mail (70%), numery kont bankowych (68%), numery dowodów osobistych (62%) oraz dane dotyczące zdrowia (43% – na przykład dotyczące absencji lub przebytych chorób).

12% badanych przyznaje, że w ich firmach miały miejsce próby kradzieży danych osobowych. W rezultacie około 281,5 tysiąca przedsiębiorstw z sektora MŚP mogło być narażonych na atak. Co więcej, co czwarty uczestnik badania (3%) informuje, że cyberprzestępcy zdołali pomyślnie przeprowadzić włamanie. W efekcie hakerzy mogli uzyskać dostęp do danych z 70,4 tysiąca firm.
Należy jednak pamiętać, że mówimy tylko o przypadkach, które zostały wykryte.

Spośród respondentów, którzy deklarują, że doszło w nich do próby kradzieży danych, nieco częściej ma to miejsce w średnich firmach (10%) w porównaniu do mikro (9%) i małych (7%). Wśród nich dwukrotnie więcej jest spółek (12%) niż jednoosobowych działalności gospodarczych (6%), które na rynku funkcjonują od 5 do 10 lat.

Cyberprzestępcy szczególnie upodobali sobie przedsiębiorstwa z branży transportowej, do których zgodnie z deklaracjami respondentów zdecydowanie najczęściej usiłowali się włamać (32%). Z kolei kradzież danych osobowych zakończyła się sukcesem w przypadku 19% przedsiębiorstw z sektora produkcyjnego. Wynika to z dużej liczby zamówień realizowanych w tych branżach i przetwarzania danych osobowych dużej liczby klientów.

Na pierwszy rzut oka może się wydawać, że przedsiębiorcy są świadomi, jakie działania należy podjąć w obliczu prób lub po dokonaniu kradzieży, wycieku, utraty bądź wyłudzenia danych osobowych przez hakerów. Niestety, liczba takich osób jest niewystarczająca. 59% badanych zgłosiłoby ten incydent organom ścigania. Z kolei 57% respondentów powiadomiłoby poszkodowanych oraz zmieniłoby hasła dostępu do komputerów. Natomiast 52% zwiększyłoby swoje zabezpieczenia. Niestety, to oznacza, że ponad 40% właścicieli badanych firm nie wie, jak właściwie zareagować w przypadku cyberataku.

Niepokojący jest fakt, że tylko 42% ankietowanych przyznaje, iż w przypadku kradzieży danych zgłosiłoby to do Urzędu Ochrony Danych Osobowych. Choć zgodnie z przepisami przedsiębiorcy jako administratorzy mają taki obowiązek, gdy istnieje większe niż niewielkie prawdopodobieństwo szkodliwego wpływu na osoby, których dane dotyczą. Jeśli nie będą przestrzegać tego obowiązku, a wystąpi ryzyko, na przykład kradzieży tożsamości osób, których dane zostały skradzione, to narażają się na wysokie kary nałożone przez Prezesa UODO. To może sugerować, że niemal co druga firma może próbować zminimalizować skutki utraty lub zatajenia kradzieży danych. Z kolei 41 % ankietowanych w przypadku kradzieży lub wycieku danych zadeklarowało chęć wsparcia poszkodowanych poprzez sfinansowanie przez firmę usługi monitorowania użycia numeru PESEL. Natomiast 15% zdecydowałoby się na wynajęcie prawników.

Wyniki badań prowadzą do niepokojącej konkluzji. Otóż wielu właścicieli małych i średnich przedsiębiorstw ignoruje zagrożenie ze strony hakerów, sądząc, że nie stanowią oni interesującego celu dla ataków. Jak wskazuje Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl, przedsiębiorcy często nie zdają sobie sprawy, że to ludzie są najsłabszym ogniwem w konfrontacji z cyberprzestępcami. W rezultacie, nawet jeśli przedsiębiorcy wprowadzają solidne zabezpieczenia, brak odpowiednich szkoleń dla pracowników znacznie zwiększa ryzyko popełnienia błędu, co może prowadzić do kradzieży lub wycieku danych. Dotyczy to nie tylko informacji własnych pracowników, ale także danych klientów i partnerów biznesowych.