Aktualny

Wiedza to podstawa. Jak szkolić personel ADO – 10 rad dla IOD

Marcin Sarna

Autor: Marcin Sarna

Dodano: 24 lutego 2020
4ee5592cc4b26e984fb2daef8cbd72db60bd2a13-xlarge(1)

Jednym z podstawowych zadań inspektora ochrony danych jest monitorowanie przestrzegania przepisów o ochronie danych oraz polityk biura, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu biura uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. A zatem obowiązek przeprowadzania szkoleń personelu ADO został wprost przewidziany w przepisach. Nic dziwnego – wszak to personel administratora uczestniczy w procesach przetwarzania danych, a ewentualny błąd pracownika rzutuje na odpowiedzialność ADO za naruszenie ochrony danych. Kompleksowe szkolenia pozwalają zaś na zminimalizowanie ryzyka „wpadki” przy przetwarzaniu danych. Sprawdź, jak je zorganizować.

W temacie tygodnia:

  • 10 wskazówek dla każdego IOD,
  • 10 przykładów „z życia wziętych”,
  • 2 przydatne dokumenty.

Nie każdego musisz przeszkolić

Szkoleniu powinien podlegać „personel uczestniczący w operacjach przetwarzania”. Personel czyli kto? Najłatwiej zidentyfikować tę grupę, sprawdzając, kogo upoważniamy do przetwarzania danych, a komu powierzamy ich przetwarzanie. Personel to grupa, która jest upoważniana do przetwarzania danych, a więc mieszcząca się w strukturach tego administratora danych osobowych. IOD nie szkoli natomiast osób niepodlegających administratorowi, ponieważ nie jest to jego personel.

Przykład

Administrator XYZ sp. z o.o. korzysta z usług firmy outsourcingowej ABC Sp. z o.o., która dostarcza mu wykwalifikowanych specjalistów. Specjaliści ci są jednak zatrudnieni przez ABC Sp. z o.o. Obowiązkiem IOD nie jest szkolenie tych specjalistów, ponieważ nie są oni personelem administratora. Za przeszkolenie odpowiada firma outsourcingowa.

Jednak nie każdy członek personelu polega szkoleniu. IOD powinien przeszkolić wyłącznie osoby biorące udział w operacjach przetwarzania.

Przykład

Administrator zatrudnia 3 pracowników na stanowisku operatora tokarki. Pracownicy ci nie uczestniczą w procesach przetwarzania danych (np. nie zajmują się kontaktami z klientami administratora), a więc ich przeszkolenie przez IOD jest bezcelowe.

Uwaga

IOD ma obowiązek szkolić osoby:

  • podległe administratorowi danych osobowych a jednocześnie
  • uczestniczące w procesie przetwarzania danych osobowych.

To Ty jako IOD ustalasz temat szkolenia

Specyficzny status inspektora ochrony danych wiąże się z tym, że administrator musi zapewnić aby inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO) np. informując go, jakie błędy w procesach przetwarzania danych popełnia jego personel. Na tej podstawie inspektor powinien ustalić zakres tematyczny szkolenia dla poszczególnych grup pracowników. Z drugiej strony inspektor nie może otrzymywać instrukcji dotyczących wykonywania zadań, co oznacza, że administrator nie może ingerować w zakres szkolenia (art. 38 ust. 3 RODO).

Uwaga

Tak długo jak IOD działa w granicach RODO, administrator nie może odwoływać go ani karać za przeprowadzanie szkoleń (art. 38 ust. 3 RODO).

Zwróć się do ADO o zapewnienie warunków do prowadzenia szkoleń

Jednocześnie ADO musi wspierać inspektora w wypełnianiu przez niego jego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

Przykład

Administrator powinien zapewnić IOD np. salę do prowadzenia szkolenia lub budżet na wynajęcie miejsca prowadzenia szkolenia poza siedzibą organizacji, materiały edukacyjne i narzędzia do pracy (system informacji prawnej, literatura fachowa itd.).

Zachowuj w tajemnicy informacje uzyskane podczas szkolenia

Inspektor ochrony danych powinien zachować w tajemnicy informacje uzyskiwane w toku wykonywania swoich zadań, w tym także wszelkie informacje powzięte w trakcie szkolenia.

Przykład

Jeżeli IOD dowie się, że jeden z członków personelu ADO popełnił błąd w procesie przetwarzania danych, to informacji tej nie powinien wykorzystywać np. podczas szkolenia u innego administratora, chyba że przedstawi ją w formie abstrakcyjnego przykładu, niepozwalającego powiązać się z konkretną osobą i administratorem.

Nie potrzebujesz zgody uczestnika szkolenia

Przeprowadzenie szkolenia wiąże się z koniecznością weryfikacji obecności członka personelu ADO na tym szkoleniu. IOD zyskuje więc dostęp do imion i nazwisk uczestników szkolenia.

Zgoda nie stanowi prawidłowej przesłanki przetwarzania danych osoby szkolonej. przetwarzanie danych uczestnika szkolenia powinno bowiem odbywać na podstawie art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego ciążącego na administratorze) w zw. z art. 39 ust. 1 RODO.

Uwaga

Wobec tego na liście obecności powinny się znaleźć jedynie te dane osobowe, które są niezbędne do zrealizowania celu w jakim taka lista obecności jest prowadzona – a więc określenia kto szkolenie ukończył (art. 5 ust. 1 lit. c RODO – zasada minimalizacji).

Przykład

IOD pobrał zgody uczestników szkolenia na przetwarzanie ich danych na liście obecności. Tymczasem jeden z uczestników szkolenia, tuż przed jego rozpoczęciem, cofnął zgodę. Czy zatem nie powinien on brać udziału w szkoleniu. Absolutnie nie, ponieważ istnieje inna podstawa przetwarzania jego danych. Z drugiej strony IOD nie powinien pozyskiwać zgody na przetwarzanie danych od słuchaczy.

Nie ograniczaj się do informacji podstawowych

Niewątpliwie w pewnym zakresie szkolenie powinno zawierać podstawy.  Wszak podstawowe instytucje RODO (np. prawa podmiotów danych czy środki zabezpieczające przetwarzanie) są takie same w każdym przypadku. Niemniej jednak baza musi być uzupełniona o szczególne przepisy dotyczące danego administratora. Oznacza to, że administrator powinien także zapoznawać słuchaczy z regulacjami wewnętrznymi organizacji, zwłaszcza procedurami w zakresie zabezpieczenia danych osobowych i realizacji praw podmiotów danych.

Przykład

IOD zatrudniony w urzędzie gminy pełni swoją funkcję także w szkołach i przedszkolach będących jednostkami organizacyjnymi gminy. Szkoląc pracowników tych jednostek, inspektor kładzie duży nacisk na ochronę danych osobowych w związku z zadaniami wykonywanymi na podstawie ustawy – Prawo oświatowe.

Rozważ podział szkolenia na moduły

Dobrym rozwiązaniem jest rozbicie szkolenia na moduły (bloki tematyczne). Moduły te powinny wówczas odzwierciedlać przekrój zagadnień z zakresu ochrony danych osobowych z jakim ma on do czynienia w swojej organizacji. Dzięki takiemu rozwiązaniu IOD będzie mógł przypisać personel z określonych działów do odpowiednich bloków szkoleniowych.

Przykład

IOD przydziela pracowników działu sprzedaży i obsługi klienta do bloku tematycznego „Prawa podmiotów danych”. Nie planuje natomiast tego bloku dla działu IT – wiedza na temat realizacji praw podmiotów danych np. prawa do bycia zapomnianym nie jest dla nich aż tak istotna.  Dział IT ma natomiast przypisany blok „Zabezpieczenia przetwarzania danych”.

Możesz przeprowadzać e-szkolenia

RODO nie obliguje do przeprowadzania szkoleń wyłącznie w tradycyjnej, stacjonarnej formule. Oczywiście formuła stacjonarna jest najczęściej stosowana (IOD powinien tu dysponować przynajmniej salką z projektorem, a także wstępnie przygotowanymi materiałami wydrukowanymi dla uczestników).

Można jednak skorzystać też z e-learningu, np. na platformie zapewnionej przez administratora. Będzie to dobre rozwiązania dla modułów specjalistycznych oraz dla sprawdzenia wiedzy.

Przykład

IOD nagrywa godzinne prezentacje szkoleniowe dotyczące środków bezpieczeństwa przetwarzania danych dla działów marketingu, kadr i IT. Prezentacje są udostępnione w serwisie YouTube na koncie firmowym ADO. Nagrania nie są dostępne publiczne. Aby je odtworzyć, należy dysponować linkiem do filmu. Taki link poszczególne działy otrzymują mailowo.

Nie zawsze musisz prowadzić szkolenie osobiście

Nie każdy IOD ma predyspozycje do przeprowadzenia szkolenia, co wiąże się z występowaniem publicznie. Nie ma przeszkód, by IOD zorganizował szkolenie z wykorzystaniem zewnętrznych zasobów.

Przykład

IOD świadczy usługi na rzecz administratora, prowadząc działalność gospodarczą. W ramach tej firmy zatrudnia dwóch pracowników. IOD może przysłać jednego z pracowników celem przeszkolenia personelu ADO.

Przy czym musi na to zezwalać zawarta z inspektorem umowa cywilnoprawna. Zaś w przypadku, gdy IOD jest zatrudniony na podstawie umowy o pracę, wówczas przeprowadzenie szkolenia osobiście jest konieczne.

Sprawdzaj wiedzę słuchaczy

Inspektor ochrony danych może mieć wątpliwości, czy na koniec szkolenia należy zweryfikować wiedzę słuchaczy np. przeprowadzając test. Z jednej strony RODO nie wymaga weryfikacji wiedzy uczestników szkolenia. Z drugiej, wydaje się, że przeprowadzenie testu stanowiłoby realizację zasady rozliczalności i jednocześnie byłoby środkiem bezpieczeństwa przetwarzania danych (zgodnie z art. 32 RODO).

W ocenie autora, przeprowadzenie sprawdzianu wiedzy na koniec szkolenia ma sens. Przede wszystkim należy udokumentować taki sprawdzian i przechowywać, najlepiej do czasu kolejnego szkolenia personelu ADO. Nie powinniśmy jednak przeprowadzać sprawdzianu w formule „zdał – nie zdał”. Nic nam to nie da – wszak brak należytej wiedzy o ochronie danych osobowych nie może stanowić przesłanki odmowy dopuszczenia już zatrudnionego pracownika do pracy. Ewentualnie mogłoby posłużyć do zmiany stanowiska pracy pracownika, ale takowa wymaga zastosowania wypowiedzenia zmieniającego.

Przykład

Dobrym rozwiązaniem jest ustalenie dolnego limitu punktów, poniżej którego IOD powinien wdrożyć względem pracownika dodatkowe działania np. przeprowadzić indywidualny instruktaż na konkretnym stanowisku pracy.

Pobierz:

  • Listę kontrolną – Sprawdź, jak zapoznać pracowników z RODO
  • Kartę szkolenia wstępnego z zakresu ochrony danych osobowych
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x