Jednym z obowiązków inspektora ochrony danych zgodnie z RODO jest monitorowanie przestrzegania jego przepisów. Ma się to odbywać m.in. poprzez szkolenie osób, które przetwarzają dane osobowe. Dowiedz się, jak uregulować realizację tego obowiązku.
Ogólne rozporządzenie o ochronie danych (RODO) wprowadza wiele nowych obowiązków, które należy spełniać, aby uniknąć kar administracyjnych, ale przede wszystkim zabezpieczyć dane osobowe. Dodatkowo RODO, aby prawidłowo wypełnić obowiązki, uregulowało kilka zasad, którymi każdy administrator i podmiot przetwarzający powinien się kierować, wdrażając przepisy tego rozporządzenia. Bardzo ważną zasadą jest zasada rozliczalności. Reguluje ją art. 5 ust. 2 RODO. Właściwe jej stosowanie polega na tym, że administrator danych czy podmiot przetwarzający musi nie tylko przestrzegać wszystkich zasad i przepisów RODO, ale musi też umieć się rozliczyć z ich przestrzegania przed organem nadzorczym oraz swoim klientem/kontrahentem. Prawidłowo wdrożone przepisy RODO uzależnione są przede wszystkim jednak o zaznajomienia pracowników z przepisami i zasadami RODO. Powstaje jednak pytanie, jak udokumentować realizację tego obowiązku.
RODO wskazuje, że jednym z obowiązków inspektora ochrony danych jest prowadzenie szkoleń z zakresu ochrony danych osobowych personelu w danej jednostce (art. 39 ust. 1 pkt b RODO). W zakresie kodeksów branżowych również rekomenduje się wprowadzenie obowiązku prowadzenia właściwych szkoleń z zakresu ochrony danych dla personelu, który ma stały lub regularny dostęp do danych osobowych. Wynika z tego, że inspektor ochrony danych powinien przeszkolić personel, który bezpośrednio zajmuje się przetwarzaniem danych osobowych, czyli przede wszystkim działy administracyjne, kadrowe, księgowości, marketingowe. Szkolenie z zakresu ochrony danych osobowych może przeprowadzić inspektor ochrony danych lub jakakolwiek inna osoba, która ma odpowiednią wiedzę. Warto w takiej sytuacji przygotować listę osób, które odbyły szkolenie – może ona przykładowo wyglądać w ten sposób:
Potwierdzenie uczestnictwa w szkoleniu
z zakresu ochrony danych osobowych z uwzględnieniem przepisów RODO
Niniejszym oświadczam, że w …………. uczestniczyłam/-em w szkoleniu z zakresu ochrony danych osobowych, w tym z zakresu RODO, przeprowadzonym przez ………………………………
Tytuł szkolenia: …………………………………………………………….
Lp. |
Imię i nazwisko uczestnika szkolenia |
Podpis |
1. |
||
2. |
||
3. |
||
4. |
Taki dokument należy przechowywać, aby w razie kontroli móc przedłożyć go osobom kontrolującym.
Każdy nowo zatrudniony pracownik powinien odbyć również, poza szkoleniem np. z zakresu bhp, szkolenie z zakresu ochrony danych osobowych w danym podmiocie. Udokumentowanie takiego szkolenia może polegać na przygotowaniu karty szkolenia, uzupełnieniu jej i przechowywaniu w aktach osobowych pracownika. Taka karta może być sporządzona w następujący sposób:
Karta szkolenia wstępnego z zakresu ochrony danych osobowych, w tym z zakresu przepisów RODO
Imię i nazwisko pracownika ……………………………… |
Szkolenie przeprowadzono ……………………………………… Tytuł szkolenia …………………………………………………… Imię i nazwisko przeprowadzającego szkolenie …………………………. Czas trwania szkolenia ……………………………………… |
W ramach szkolenia poruszone zostały następujące tematy i zagadnienia: 1. 2. |
Niniejszym oświadczam, że byłem uczestnikiem tego szkolenia, w pełni je zrozumiałem i zaakceptowałem. Ponadto zobowiązuję się przestrzegać zasad i przepisów, które zostały mi przedstawione podczas szkolenia.
……………………………………………………
(miejscowość, data, podpis osoby odbywającej szkolenie)
……………………………………
(administrator danych, nazwa, pieczątka)
Ważnym dokumentem, który powinien zostać przygotowany i wdrożony u administratora, jest polityka ochrony danych. Wprawdzie RODO nie wprowadza obowiązku wdrożenia takiego dokumentu, jednak jest on bardzo pomocny, także w zakresie udokumentowania zapoznania pracowników z przepisami tego RODO. Do 25 maja 2018 r. administratorzy danych opracowują polityki bezpieczeństwa (zgodnie z rozporządzeniem ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). Nic nie stoi na przeszkodzie, aby ten dokument stosować także po 25 maja 2018 r., pamiętając jednak o tym, aby polityka bezpieczeństwa zawierała zasady ochrony danych wynikające z RODO. Do tej pory polityka bezpieczeństwa składała się w szczególności z:
1) wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
2) wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
3) opisu struktury zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi,
4) sposobu przepływu danych pomiędzy poszczególnymi systemami,
5) określenia środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Samo wprowadzenie takiego dokumentu może nie być wystarczające. Zalecam dodatkowo przygotowanie listy, której podpisanie będzie oświadczeniem pracownika, że zapoznał się z zapisami w polityce, zrozumiał je i będzie stosował. Taki dokument może wyglądać następująco:
............................................................................
(dane administratora/podmiotu przetwarzającego)
Lista osób, które zapoznały się
z „Polityką w zakresie bezpieczeństwa danych osobowych”
w ……………………………………….
Lp. |
Imię i nazwisko |
Data |
Podpis |
1.
|
|||
2.
|
Bardzo ważnym aspektem z uwagi na ochronę danych oraz obowiązki, które zostaną wprowadzone razem z wejściem w życie przepisów wprowadzających RODO do polskiego porządku prawnego, będzie nowelizacja Kodeksu pracy w zakresie monitoringu w zakładach pracy. Proponowana wersja art. 223 § 4 Kodeksu pracy zawiera następujące uregulowania:
„§ 4. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy nie później niż 14 dni przed uruchomieniem monitoringu. Pracodawca przed dopuszczeniem pracownika do pracy informuje go o stosowaniu monitoringu”.
W związku z tym, aby pracodawca również pod tym kątem mógł wykazać spełnienie takiego obowiązku, zaleca się, aby pracownicy otrzymali stosowne informacje oraz oświadczenia, które mogą wyglądać następująco:
Oświadczenie o wprowadzeniu monitoringu
Niniejszym informuję, że od …………… od godz. ………. zostaje wprowadzony/znajduje się w części zakładu pracy obejmującej pomieszczenia ………………, teren …………………, monitoring z wykorzystaniem kamer przemysłowych. Przedmiotowy monitoring będzie obejmował zarówno wizję i/lub fonię.
Obraz zapisany w wyniku działania monitoringu ma na celu wyłącznie zwiększenie bezpieczeństwa pracy, pracowników oraz umożliwienie wykrywania zachowań szkodzących pracodawcy, pracownikom lub narażających pracodawcę na straty i nie zostaną wykorzystane w żadnym innym celu.
Do monitoringu ma dostęp/nie ma dostępu podmiot zajmujący się ochroną na terenie zakładu pracy
………………………………………
(data i czytelny podpis pracodawcy)
Zgodnie z projektem nowelizującym Kodeks pracy monitoring nie może obejmować pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni.
Oświadczenie pracownika
Oświadczam, że zostałem poinformowany o monitoringu mojego stanowiska pracy oraz terenu obejmującego ………………………………………………….
……………………………………..
(data i czytelny podpis pracownika)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl