Jednym z podstawowych zadań inspektora ochrony danych jest monitorowanie przestrzegania przepisów o ochronie danych oraz polityk biura, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu biura uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. A zatem obowiązek przeprowadzania szkoleń personelu ADO został wprost przewidziany w przepisach. Nic dziwnego – wszak to personel administratora uczestniczy w procesach przetwarzania danych, a ewentualny błąd pracownika rzutuje na odpowiedzialność ADO za naruszenie ochrony danych. Kompleksowe szkolenia pozwalają zaś na zminimalizowanie ryzyka „wpadki” przy przetwarzaniu danych. Sprawdź, jak je zorganizować.
W temacie tygodnia:
Szkoleniu powinien podlegać „personel uczestniczący w operacjach przetwarzania”. Personel czyli kto? Najłatwiej zidentyfikować tę grupę, sprawdzając, kogo upoważniamy do przetwarzania danych, a komu powierzamy ich przetwarzanie. Personel to grupa, która jest upoważniana do przetwarzania danych, a więc mieszcząca się w strukturach tego administratora danych osobowych. IOD nie szkoli natomiast osób niepodlegających administratorowi, ponieważ nie jest to jego personel.
Administrator XYZ sp. z o.o. korzysta z usług firmy outsourcingowej ABC Sp. z o.o., która dostarcza mu wykwalifikowanych specjalistów. Specjaliści ci są jednak zatrudnieni przez ABC Sp. z o.o. Obowiązkiem IOD nie jest szkolenie tych specjalistów, ponieważ nie są oni personelem administratora. Za przeszkolenie odpowiada firma outsourcingowa.
Jednak nie każdy członek personelu polega szkoleniu. IOD powinien przeszkolić wyłącznie osoby biorące udział w operacjach przetwarzania.
Administrator zatrudnia 3 pracowników na stanowisku operatora tokarki. Pracownicy ci nie uczestniczą w procesach przetwarzania danych (np. nie zajmują się kontaktami z klientami administratora), a więc ich przeszkolenie przez IOD jest bezcelowe.
IOD ma obowiązek szkolić osoby:
Specyficzny status inspektora ochrony danych wiąże się z tym, że administrator musi zapewnić aby inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO) np. informując go, jakie błędy w procesach przetwarzania danych popełnia jego personel. Na tej podstawie inspektor powinien ustalić zakres tematyczny szkolenia dla poszczególnych grup pracowników. Z drugiej strony inspektor nie może otrzymywać instrukcji dotyczących wykonywania zadań, co oznacza, że administrator nie może ingerować w zakres szkolenia (art. 38 ust. 3 RODO).
Tak długo jak IOD działa w granicach RODO, administrator nie może odwoływać go ani karać za przeprowadzanie szkoleń (art. 38 ust. 3 RODO).
Jednocześnie ADO musi wspierać inspektora w wypełnianiu przez niego jego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
Administrator powinien zapewnić IOD np. salę do prowadzenia szkolenia lub budżet na wynajęcie miejsca prowadzenia szkolenia poza siedzibą organizacji, materiały edukacyjne i narzędzia do pracy (system informacji prawnej, literatura fachowa itd.).
Inspektor ochrony danych powinien zachować w tajemnicy informacje uzyskiwane w toku wykonywania swoich zadań, w tym także wszelkie informacje powzięte w trakcie szkolenia.
Jeżeli IOD dowie się, że jeden z członków personelu ADO popełnił błąd w procesie przetwarzania danych, to informacji tej nie powinien wykorzystywać np. podczas szkolenia u innego administratora, chyba że przedstawi ją w formie abstrakcyjnego przykładu, niepozwalającego powiązać się z konkretną osobą i administratorem.
Przeprowadzenie szkolenia wiąże się z koniecznością weryfikacji obecności członka personelu ADO na tym szkoleniu. IOD zyskuje więc dostęp do imion i nazwisk uczestników szkolenia.
Zgoda nie stanowi prawidłowej przesłanki przetwarzania danych osoby szkolonej. przetwarzanie danych uczestnika szkolenia powinno bowiem odbywać na podstawie art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego ciążącego na administratorze) w zw. z art. 39 ust. 1 RODO.
Wobec tego na liście obecności powinny się znaleźć jedynie te dane osobowe, które są niezbędne do zrealizowania celu w jakim taka lista obecności jest prowadzona – a więc określenia kto szkolenie ukończył (art. 5 ust. 1 lit. c RODO – zasada minimalizacji).
IOD pobrał zgody uczestników szkolenia na przetwarzanie ich danych na liście obecności. Tymczasem jeden z uczestników szkolenia, tuż przed jego rozpoczęciem, cofnął zgodę. Czy zatem nie powinien on brać udziału w szkoleniu. Absolutnie nie, ponieważ istnieje inna podstawa przetwarzania jego danych. Z drugiej strony IOD nie powinien pozyskiwać zgody na przetwarzanie danych od słuchaczy.
Niewątpliwie w pewnym zakresie szkolenie powinno zawierać podstawy. Wszak podstawowe instytucje RODO (np. prawa podmiotów danych czy środki zabezpieczające przetwarzanie) są takie same w każdym przypadku. Niemniej jednak baza musi być uzupełniona o szczególne przepisy dotyczące danego administratora. Oznacza to, że administrator powinien także zapoznawać słuchaczy z regulacjami wewnętrznymi organizacji, zwłaszcza procedurami w zakresie zabezpieczenia danych osobowych i realizacji praw podmiotów danych.
IOD zatrudniony w urzędzie gminy pełni swoją funkcję także w szkołach i przedszkolach będących jednostkami organizacyjnymi gminy. Szkoląc pracowników tych jednostek, inspektor kładzie duży nacisk na ochronę danych osobowych w związku z zadaniami wykonywanymi na podstawie ustawy – Prawo oświatowe.
Dobrym rozwiązaniem jest rozbicie szkolenia na moduły (bloki tematyczne). Moduły te powinny wówczas odzwierciedlać przekrój zagadnień z zakresu ochrony danych osobowych z jakim ma on do czynienia w swojej organizacji. Dzięki takiemu rozwiązaniu IOD będzie mógł przypisać personel z określonych działów do odpowiednich bloków szkoleniowych.
IOD przydziela pracowników działu sprzedaży i obsługi klienta do bloku tematycznego „Prawa podmiotów danych”. Nie planuje natomiast tego bloku dla działu IT – wiedza na temat realizacji praw podmiotów danych np. prawa do bycia zapomnianym nie jest dla nich aż tak istotna. Dział IT ma natomiast przypisany blok „Zabezpieczenia przetwarzania danych”.
RODO nie obliguje do przeprowadzania szkoleń wyłącznie w tradycyjnej, stacjonarnej formule. Oczywiście formuła stacjonarna jest najczęściej stosowana (IOD powinien tu dysponować przynajmniej salką z projektorem, a także wstępnie przygotowanymi materiałami wydrukowanymi dla uczestników).
Można jednak skorzystać też z e-learningu, np. na platformie zapewnionej przez administratora. Będzie to dobre rozwiązania dla modułów specjalistycznych oraz dla sprawdzenia wiedzy.
IOD nagrywa godzinne prezentacje szkoleniowe dotyczące środków bezpieczeństwa przetwarzania danych dla działów marketingu, kadr i IT. Prezentacje są udostępnione w serwisie YouTube na koncie firmowym ADO. Nagrania nie są dostępne publiczne. Aby je odtworzyć, należy dysponować linkiem do filmu. Taki link poszczególne działy otrzymują mailowo.
Nie każdy IOD ma predyspozycje do przeprowadzenia szkolenia, co wiąże się z występowaniem publicznie. Nie ma przeszkód, by IOD zorganizował szkolenie z wykorzystaniem zewnętrznych zasobów.
IOD świadczy usługi na rzecz administratora, prowadząc działalność gospodarczą. W ramach tej firmy zatrudnia dwóch pracowników. IOD może przysłać jednego z pracowników celem przeszkolenia personelu ADO.
Przy czym musi na to zezwalać zawarta z inspektorem umowa cywilnoprawna. Zaś w przypadku, gdy IOD jest zatrudniony na podstawie umowy o pracę, wówczas przeprowadzenie szkolenia osobiście jest konieczne.
Inspektor ochrony danych może mieć wątpliwości, czy na koniec szkolenia należy zweryfikować wiedzę słuchaczy np. przeprowadzając test. Z jednej strony RODO nie wymaga weryfikacji wiedzy uczestników szkolenia. Z drugiej, wydaje się, że przeprowadzenie testu stanowiłoby realizację zasady rozliczalności i jednocześnie byłoby środkiem bezpieczeństwa przetwarzania danych (zgodnie z art. 32 RODO).
W ocenie autora, przeprowadzenie sprawdzianu wiedzy na koniec szkolenia ma sens. Przede wszystkim należy udokumentować taki sprawdzian i przechowywać, najlepiej do czasu kolejnego szkolenia personelu ADO. Nie powinniśmy jednak przeprowadzać sprawdzianu w formule „zdał – nie zdał”. Nic nam to nie da – wszak brak należytej wiedzy o ochronie danych osobowych nie może stanowić przesłanki odmowy dopuszczenia już zatrudnionego pracownika do pracy. Ewentualnie mogłoby posłużyć do zmiany stanowiska pracy pracownika, ale takowa wymaga zastosowania wypowiedzenia zmieniającego.
Dobrym rozwiązaniem jest ustalenie dolnego limitu punktów, poniżej którego IOD powinien wdrożyć względem pracownika dodatkowe działania np. przeprowadzić indywidualny instruktaż na konkretnym stanowisku pracy.
Pobierz:
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
