Jak przeszkolić personel administratora – 9 rad dla IOD
Jednym z podstawowych zadań inspektora ochrony danych jest monitorowanie przestrzegania przepisów o ochronie danych, w tym podział obowiązków, działania zwiększające świadomość, a także szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Działalność szkoleniowa jest więc podstawowym obowiązkiem inspektora ochrony danych. Skorzystaj z praktycznych wskazówek dotyczących szkolenia personelu ADO.
Z tematu tygodnia dowiesz się m.in.:
- kogo musisz przeszkolić,
- jak często organizować szkolenia,
- jakie kwestie poruszyć na szkoleniu,
- czy organizować testy wiedzy,
- czy dzielić szkolenie na moduły.
Rada 1. Szkolić musisz tylko osoby przetwarzające dane
RODO wskazuje, że inspektor ochrony danych powinien szkolić członków personelu administratora uczestniczącego w operacjach przetwarzania. Nie ma bowiem potrzeby szkolić osób, które nie uczestniczą w procesie przetwarzania danych osobowych. Innymi słowy inspektor musi szkolić tylko tych członków personelu administratora, którzy zostali upoważnieni do przetwarzania danych osobowych, ponieważ takie osoby:
- są podległe administratorowi danych (stanowią personel administratora);
- uczestniczą w procesie przetwarzania danych osobowych.
Właśnie te dwie przesłanki formułuje RODO, obligując do szkolenia „personel biura uczestniczący w operacjach przetwarzania”.
Kogo powinien szkolić IOD?
|
osoby niepodlegające administratorowi |
NIE |
|
osoby podlegające administratorowi |
NIE |
|
osoby podlegające administratorowi i przetwarzające dane osobowe |
TAK |
Rada 2. Działania edukacyjne muszą być systematyczne
Jak wynika z art. 39 ust. 1 lit. a RODO inspektor ochrony danych ma obowiązek informować pracowników administratora, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie. Nie wystarczą więc szkolenia np. co rok. Działalność edukacyjna musi być prowadzona przez inspektora systematycznie i w miarę bieżących potrzeb.
Rada 3. Zadbaj o poufność
Inspektor ochrony danych powinien zachować w tajemnicy informacje uzyskiwane w toku wykonywania swoich zadań, w tym także wszelkie informacje powzięte w toku szkolenia – w szczególności w przypadku, gdy wykonuje swoją funkcję u więcej niż jednego administratora
Inspektor ochrony danych powziął informację o naruszeniu ochrony danych u administratora A. Jeżeli chce wykorzystać tę informację w celach edukacyjnych, tj. podczas szkolenia personelu administratora B, to powinien przedstawić ją po zanonimizowaniu (w formie abstrakcyjnego przykładu). Chodzi o to, aby słuchacze nie mogli się domyślić, w której jednostce doszło do naruszenia ochrony danych i kto konkretnie zawinił.
Rada 4. Nie musisz uzyskiwać zgody na przetwarzanie danych słuchaczy
Inspektor danych osobowych w związku ze szkoleniami będzie przetwarzał dane osobowe słuchaczy np. w postaci imienia i nazwiska na liście obecności. Przy czym zgodnie z zasadą minimalizacji dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (art. 5 ust. 1 lit. c RODO).
Na liście obecności podczas szkolenia prowadzonego przez IOD powinny się znaleźć jedynie te dane osobowe, które są niezbędne do zrealizowania celu, w jakim taka lista obecności jest prowadzona – a więc określenia, kto szkolenie ukończył.
Co istotne, nie ma konieczności wyrażania zgody przez uczestnika szkolenia prowadzonego przez IOD. Podstawę prawną przetwarzania danych pracownika stanowi art. 6 ust. 1 lit. c RODO w związku z art. 39 ust. 1 RODO. Wszak szkolenie personelu uczestniczącego w operacjach przetwarzania jest obowiązkiem IOD, a zatem przetwarzając dane osobowe członków tego personelu realizuje on obowiązek prawny.
Rada 5. Dostosuj tematykę szkolenia do słuchaczy
Działalność szkoleniowa nie może być oderwana od obowiązku informowania personelu administratora o obowiązkach wynikających z przepisów nie tylko RODO ale także innych dotyczących ochrony danych osobowych. W związku z tym inspektor powinien dostosowywać tematykę szkoleń charakterystyki działalności konkretnych podmiotów.
W grupie kapitałowej dochodzi do specjalizacji − poszczególne spółki zajmują się różnymi zadaniami, np. ochroną, dystrybucją, sprzedażą czy wytwarzaniem dóbr. To z kolei powoduje, że przetwarzanie danych osobowych odbywa się w różny sposób i zakres szkoleń powinien te fakty uwzględniać.
Jednocześnie początkowa część szkolenia powinna zawierać podstawy (wiedzę ogólną). Administrator powinien bowiem uwzględnić zróżnicowaną wiedzy poszczególnych pracowników (w tym nowo przyjętych) ale także to, że podstawowe konstrukcje prawne z RODO (np. prawa podmiotów danych czy środki zabezpieczające przetwarzanie) są takie same w każdym przypadku.
Celem szkolenia jest podniesienie świadomości prawnej członków personelu administratora. Dlatego podczas szkolenia IOD musi przedstawić nie tylko kwestie dotyczące RODO i krajowej ustawy o ochronie danych osobowych, ale także szczególne regulacje wiążące się ze specyfiką danego administratora.
IOD obsługuje szkołę publiczną prowadzoną przez jednostkę samorządu terytorialnego. Szkolenie dla personelu tej szkoły powinno również uwzględniać regulacje ustawy – Prawo oświatowe oraz rozporządzeń dotyczących tej ustawy, a przynajmniej te przepisy, których wykonywanie wiąże się z przetwarzaniem danych.
Przeprowadzając szkolenie, należy też pamiętać o zasadzie rozliczalności. Jeżeli dojdzie np. do naruszenia ochrony danych u danego administratora, to przeprowadzone szkolenie może być argumentem, które pomoże złagodzić odpowiedzialność ADO.
Rada 6. Połóż szczególny nacisk na zasady przetwarzania danych
Podczas ogólnej części szkolenia inspektor ochrony danych powinien szczególnie uczulić słuchaczy na zasady przetwarzania danych, takie jak minimalizacja, czy ograniczenie celu przetwarzania. Słuchacz, który w ramach upoważnienia przetwarza dane osobowe w zakładzie pracy, powinien bowiem wiedzieć nie tylko to, co ma zrobić z danymi, ale także rozumieć swoją rolę w obiegu tych danych. Nawet najlepiej napisane procedury wewnętrzne danego administratora danych osobowych (nie mówiąc już o przepisach prawa powszechnie obowiązującego) nie obejmą wszystkich możliwych stanów faktycznych, jakie zaistnieją. Dlatego niejednokrotnie pracownik musi podjąć samodzielnie decyzję i to niejednokrotnie natychmiastowo, a błąd może rodzić poważne konsekwencje dla administratora. W tym mają pomóc mu dobrze zrozumiane zasady przetwarzania danych.
Biuro sprzedaży w firmie jest usytuowane w innym miejscu niż magazyn. W konsekwencji po zakupie danego towaru (także przez internet) klient odbiera dokument WZ i udaje się z nim do magazynu celem odbioru towaru. biuro obsługi klienta działa w osobnym budynku niż magazyn. Po zakupie towaru klient udaje się z dokumentem WZ do magazynu i odbiera towar.
We wspomnianej firmie pewnego dnia do magazynu zgłosił się klient, który poprosił o informację, czy jego pracownik odebrał już zamówienie internetowe. Wspomniał też, że nie zapytał o tę kwestię w biurze obsługi klienta z uwagi na dużą kolejkę.
W takim przypadku prawidłowo przeszkolony pracownik magazynu powinien mieć świadomość, że udzielenie informacji klientowi może rodzić wyciek danych osobowych, a co za tym idzie – powinien odesłać klienta do biura sprzedaży. Będzie to reakcja zgodna z zasadą minimalizacji. W tym zakresie prowadzący szkolenie IOD powinien rozważyć wprowadzenie warsztatów praktycznych opartych na takich scenkach rodzajowych.
Dlaczego? To biuro obsługi klienta może sprawdzić tożsamość osoby pytającej. Pracownik magazynu nie ma natomiast takiej możliwości. biuro sprzedaży będzie sprawdzało tożsamość klienta i to, czy faktycznie w ogóle jest on osobą, za którą się podaje – magazynier nie ma takiej możliwości.
Rada 7. Rozbij szkolenie na moduły
Choć przepisy tej kwestii nie regulują, to jednak warto podzielić przeprowadzane szkolenie na moduły, które będą odzwierciedlać przekrój zagadnień z zakresu ochrony danych osobowych w danej organizacji. Pozwoli to na przyporządkowanie poszczególnych słuchaczy do określonych modułów.
Nie ma potrzeby szkolić pracowników IT z tego, jak postępować w przypadku zgłoszenia przez podmiot danych żądania „zapomnienia”. Tematyka ta będzie zdecydowanie bardziej przydatna działowi obsługi klienta. Dla IT ważniejsza jest tematyka zabezpieczeń danych osobowych oraz ograniczeń dostępu do poszczególnych ich kategorii (w tym uprawnień do konkretnych systemów IT w organizacji).
Rada 8. Szkolenie możesz przeprowadzić zdalnie
Tradycyjna formą szkolenia jest forma stacjonarna. Forma ta przydaje się zwłaszcza w przypadku części ogólnej szkolenia i części warsztatowej. Natomiast do modułów specjalistycznych bądź do sprawdzenia wiedzy lepsza wydaje się forma e-learningu.
Nie musisz przeprowadzać szkolenia osobiście, o ile nie obliguje Cię do tego umowa o świadczenie usług zawarta z administratorem. Możesz zlecić prowadzenie szkolenia osobie trzeciej.
Rada 9. Na koniec rozważ sprawdzenie wiedzy słuchaczy
Żaden przepis nie wymaga weryfikacji przez IOD wiedzy słuchaczy. Wszelkiego rodzaju testy, quizy lub inne sprawdziany wiedzy są więc fakultatywnie. Wydaje się jednak, że warto z nich skorzystać, ponieważ są swoistym środkiem bezpieczeństwa przetwarzania danych, który może zostać pozytywnie oceniony w razie ewentualnej kontroli UODO. W związku z tym warto też je udokumentować.
Nie ma natomiast sensu stawianie wymagania zdania testu. Jakie bowiem konsekwencje administrator miałby wysunąć względem pracownika, który nie zdał testu? Czy powinien zostać zwolniony lub przesunięty do innej pracy? Na przeszkodzie staną tutaj przepisy prawa pracy.
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
