Inspektor ochrony danych powinien szkolić pracowników z RODO. Jak to udokumentować

Ogólne rozporządzenie o ochronie danych (RODO) wprowadza wiele nowych obowiązków, które należy spełniać, aby uniknąć kar administracyjnych, ale przede wszystkim zabezpieczyć dane osobowe. Dodatkowo RODO, aby prawidłowo wypełnić obowiązki, uregulowało kilka zasad, którymi każdy administrator i podmiot przetwarzający powinien się kierować, wdrażając przepisy tego rozporządzenia. Bardzo ważną zasadą jest zasada rozliczalności. Reguluje ją art. 5 ust. 2 RODO. Właściwe jej stosowanie polega na tym, że administrator danych czy podmiot przetwarzający musi nie tylko przestrzegać wszystkich zasad i przepisów RODO, ale musi też umieć się rozliczyć z ich przestrzegania przed organem nadzorczym oraz swoim klientem/kontrahentem. Prawidłowo wdrożone przepisy RODO uzależnione są przede wszystkim jednak o zaznajomienia pracowników z przepisami i zasadami RODO. Powstaje jednak pytanie, jak udokumentować realizację tego obowiązku.

RODO wskazuje, że jednym z obowiązków inspektora ochrony danych jest prowadzenie szkoleń z zakresu ochrony danych osobowych personelu w danej jednostce (art. 39 ust. 1 pkt b RODO). W zakresie kodeksów branżowych również rekomenduje się wprowadzenie obowiązku prowadzenia właściwych szkoleń z zakresu ochrony danych dla personelu, który ma stały lub regularny dostęp do danych osobowych. Wynika z tego, że inspektor ochrony danych powinien przeszkolić personel, który bezpośrednio zajmuje się przetwarzaniem danych osobowych, czyli przede wszystkim działy administracyjne, kadrowe, księgowości, marketingowe. Szkolenie z zakresu ochrony danych osobowych może przeprowadzić inspektor ochrony danych lub jakakolwiek inna osoba, która ma odpowiednią wiedzę. Warto w takiej sytuacji przygotować listę osób, które odbyły szkolenie – może ona przykładowo wyglądać w ten sposób:

Pobierz >>

Taki dokument należy przechowywać, aby w razie kontroli móc przedłożyć go osobom kontrolującym.

Każdy nowo zatrudniony pracownik powinien odbyć również, poza szkoleniem np. z zakresu bhp, szkolenie z zakresu ochrony danych osobowych w danym podmiocie. Udokumentowanie takiego szkolenia może polegać na przygotowaniu karty szkolenia, uzupełnieniu jej i przechowywaniu w aktach osobowych pracownika. Taka karta może być sporządzona w następujący sposób:

Ważnym dokumentem, który powinien zostać przygotowany i wdrożony u administratora, jest polityka ochrony danych. Wprawdzie RODO nie wprowadza obowiązku wdrożenia takiego dokumentu, jednak jest on bardzo pomocny, także w zakresie udokumentowania zapoznania pracowników z przepisami tego RODO. Do 25 maja 2018 r. administratorzy danych opracowują polityki bezpieczeństwa (zgodnie z rozporządzeniem ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). Nic nie stoi na przeszkodzie, aby ten dokument stosować także po 25 maja 2018 r., pamiętając jednak o tym, aby polityka bezpieczeństwa zawierała zasady ochrony danych wynikające z RODO. Do tej pory polityka bezpieczeństwa składała się w szczególności z:

1) wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,

2) wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,

3) opisu struktury zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi,

4) sposobu przepływu danych pomiędzy poszczególnymi systemami,

5) określenia środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Samo wprowadzenie takiego dokumentu może nie być wystarczające. Zalecam dodatkowo przygotowanie listy, której podpisanie będzie oświadczeniem pracownika, że zapoznał się z zapisami w polityce, zrozumiał je i będzie stosował. Taki dokument może wyglądać następująco:

Pobierz >>

Bardzo ważnym aspektem z uwagi na ochronę danych oraz obowiązki, które zostaną wprowadzone razem z wejściem w życie przepisów wprowadzających RODO do polskiego porządku prawnego, będzie nowelizacja Kodeksu pracy w zakresie monitoringu w zakładach pracy. Proponowana wersja art. 22³ § 4 Kodeksu pracy zawiera następujące uregulowania:

„§ 4. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy nie później niż 14 dni przed uruchomieniem monitoringu. Pracodawca przed dopuszczeniem pracownika do pracy informuje go o stosowaniu monitoringu”.

W związku z tym, aby pracodawca również pod tym kątem mógł wykazać spełnienie takiego obowiązku, zaleca się, aby pracownicy otrzymali stosowne informacje oraz oświadczenia, które mogą wyglądać następująco:

Pobierz >>

Zgodnie z projektem nowelizującym Kodeks pracy monitoring nie może obejmować pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni.

Pobierz >>