Poradnik Przedsiębiorcy

Szkolenia dla pracowników z ochrony danych osobowych - czy konieczne?

Szkolenia dla pracowników z ochrony danych osobowych to ważny element systemu ochrony danych osobowych w każdej firmie. Często to właśnie człowiek jest najsłabszym ogniwem, które bywa przyczyną poważnych incydentów mających wpływ na bezpieczeństwo przetwarzanych danych. W najgorszym przypadku błąd pracownika może skutkować utratą renomy firmy czy dotkliwą karą pieniężną.

Czy każdy administrator danych osobowych musi przeprowadzać szkolenia dla pracowników?

RODO nie mówi wprost o obowiązku szkolenia pracowników w zakresie ochrony danych osobowych, jednak w kilku miejscach wyraźnie się do tego odnosi. Jednym z najistotniejszych punktów jest artykuł 39 określający zadania inspektora ochrony danych. Inspektor odpowiada za monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora, lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.

Co prawda nie można interpretować powyższego zapisu jako jednoznacznego nakazu przeprowadzenia szkoleń, ponieważ nie każdy podmiot gospodarczy musi powoływać inspektora ochrony danych. Nie oznacza to jednak, że w przypadku braku inspektora, obowiązku szkoleń nie ma. W takiej sytuacji jego obowiązki realizuje administrator danych osobowych (czyli np. właściciel firmy). Rzeczą oczywistą jest, że główny ciężar odpowiedzialności za ochronę danych osobowych spoczywa właśnie na nim. To administrator odpowiada za to, kto przetwarza dane osobowe w jego imieniu, każdorazowo nadając upoważnienia wszystkim osobom w przedsiębiorstwie, które mają do tych danych dostęp. W interesie administratora leży, by te osoby miały odpowiednią wiedzę i kwalifikacje. Nie sposób oczekiwać, by wszyscy pracownicy znali przepisy regulujące przetwarzanie danych osobowych i dodatkowo potrafili wcielić te przepisy w życie, uwzględniając specyfikę przedsiębiorstwa, w którym są zatrudnieni.

Szkolenia należy zatem uznać za obowiązkowy element działalności gospodarczej. Powinność ta dotyczy każdej firmy, która przetwarza dane osobowe, chociażby w najmniejszym zakresie. W obecnych czasach trudno wyobrazić sobie przedsiębiorstwo, które działa bez wykorzystania takich danych. Wyjątek stanowią niewielkie firmy, w których właściciel odpowiada za wszystkie aspekty formalne związane z działalnością gospodarczą. Zatrudnia on wówczas osoby, które nie mają dostępu do danych osobowych.

Przykład 1.

Przedsiębiorca prowadzi warsztat samochodowy. Zatrudnia dwóch pracowników, którzy zajmują się naprawianiem aut i nie kontaktują się w żaden sposób z klientami. W takiej sytuacji szkolenia są całkowicie zbędne, ponieważ jedynie administrator danych osobowych (tj. właściciel) przetwarza dane osobowe w postaci danych pracowników oraz klientów warsztatu.

Powyższy przykład jest jednak mało prawdopodobny. W praktyce trudno całkowicie pozbawić pracowników dostępu do danych osobowych. Dużo bardziej realna jest sytuacja opisana w kolejnym przykładzie.

Przykład 2.

Przedsiębiorca prowadzi warsztat samochodowy. Zatrudnia dwóch pracowników, którzy zajmują się naprawianiem aut i co do zasady nie kontaktują się w żaden sposób z klientami. Właściciel odpowiada za kontakty z klientami, tj. umawia godziny naprawy, wystawia faktury itd. Jednak incydentalnie, na przykład pod nieobecność właściciela warsztatu, zdarzają się następujące sytuacje:

  • pracownik powiadamia klienta telefonicznie o możliwości odbioru naprawionego samochodu;

  • pracownik prosi klienta o podanie danych z dowodu rejestracyjnego pojazdu, aby zweryfikować poprawność zamówienia złożonego na część samochodową;

  • pracownik przekazuje klientowi imienną fakturę za wykonanie usługi.

Każda z wymienionych powyżej czynności wiąże się z dostępem do danych osobowych. W takiej sytuacji pracownik powinien mieć więc wiedzę na temat tego, jak z nimi postępować. Tym samym właściciel musi przeszkolić pracowników w zakresie procedur ochrony danych osobowych klientów.

Kto powinien przeprowadzać szkolenia dla pracowników?

Nie ma dokładnych wytycznych dotyczących sylwetki osoby przeprowadzającej szkolenia dla pracowników w zakresie ochrony danych osobowych. Bez wątpienia powinna być ona kompetentna, czyli wykazująca się odpowiednią wiedzą i umiejętnościami. Jest kilka możliwości:

  1. Jeśli w przedsiębiorstwie został powołany inspektor ochrony danych, to właśnie on powinien być osobą odpowiedzialną za szkolenia z racji posiadania największych kompetencji (chociaż nie oznacza to, że nie może być wsparty w tym zakresie np. przez zewnętrzną firmę specjalizującą się w świadczeniu usług szkoleniowych).

  2. Jeśli w przedsiębiorstwie nie ma inspektora ochrony danych, do wyboru jest kilka opcji:

    1. szkolenia przeprowadza właściciel, który powinien na własną rękę pozyskać niezbędną wiedzę (rozwiązanie właściwe dla małych podmiotów);

    2. szkolenie przeprowadza wyznaczony pracownik (przy czym należy zadbać o odpowiednie kompetencje wyznaczonego pracownika);

    3. podmiot zewnętrzny zajmujący się szkoleniami z zakresu danych osobowych.

Przy wyborze odpowiedniego rozwiązania każdorazowo należy wziąć pod uwagę skalę przetwarzania oraz jego zakres. Jeśli działalność przedsiębiorstwa opiera się w dużej mierze na przetwarzaniu danych osobowych, a do tego podstawy przetwarzania wynikają np. z rozbudowanych przepisów prawa, warto powierzyć szkolenie pracowników wykwalifikowanym specjalistom z tej dziedziny.

Kiedy przeprowadzać szkolenia dla pracowników z ochrony danych osobowych?

Szkolenia dla pracowników powinny mieć charakter ciągły. To oznacza, że należy je organizować wtedy, gdy zaistnieje taka potrzeba. Można wyróżnić przynajmniej cztery sytuacje, w których przeprowadzenie szkolenia można uznać za niezbędne.

Pierwsza sytuacja to moment przed rozpoczęciem pracy przez pracownika. Administrator danych osobowych, nadając upoważnienie pracownikowi, stwierdza, że jest on gotowy do pracy z danymi osobowymi. Z tego powodu, zanim to uczyni, powinien przeprowadzić szkolenie.

Druga sytuacja to zmiana przepisów prawa. Zaznaczyć przy tym należy, że nie chodzi tylko i wyłącznie o zmianę ustawy o ochronie danych osobowych czy RODO. Mowa też o przepisach branżowych, które często stanowią podstawę przetwarzania danych.

Kolejna sytuacja, po zaistnieniu której należy przeprowadzić szkolenie, to zmiana przepisów wewnętrznych lub struktury organizacyjnej firmy. Przepisami wewnętrznymi może być chociażby polityka bezpieczeństwa. Natomiast zmiana struktury przedsiębiorstwa może wiązać się ze zmianą zadań na poszczególnych stanowiskach lub zmianą obiegu dokumentów zawierających dane osobowe. W każdym z tych przypadków szkolenie dla pracowników będzie wysoce pożądane.

Ostatni, wyraźny powód do przeprowadzenia szkolenia dla pracowników, to wystąpienie incydentu związanego z danymi osobowymi. W takiej sytuacji istotnym elementem działań naprawczych będzie szkolenie wskazujące pracownikom na przyczyny i konsekwencje niewłaściwego postępowania z danymi osobowymi oraz procedury pozwalające na uniknięcie podobnych zagrożeń w przyszłości.

W jakiej formie przeprowadzać szkolenia dla pracowników?

Podobnie jak w przypadku osoby prowadzącej szkolenie oraz częstotliwości szkoleń, również ich forma zależy w dużej mierze od wyboru przedsiębiorcy. Podstawowe rodzaje szkolenia to szkolenie bezpośrednie i pośrednie. Pierwsze z nich polega na osobistym szkoleniu pracownika lub grupy pracowników przez wykwalifikowaną osobę. Taka forma kontaktu ma wiele zalet, spośród których najważniejszą jest możliwość interakcji z pracownikami. Szkolenia pośrednie opierają się na sukcesywnym przekazywaniu materiałów szkoleniowych lub przeprowadzaniu szkoleń w postaci e-learningu. Ta forma jest dużo łatwiejsza do przeprowadzenia, zwłaszcza w dużych firmach, jednak skuteczność takiego szkolenia na pewno będzie znacznie mniejsza. Niezależnie od formy szkolenia, warto podzielić pracowników ze względu na procesy przetwarzania danych osobowych, w których biorą oni udział. Na przykład osobno przeszkolić pracowników działu marketingu, działu kadr, kadrę kierowniczą itd. Dzięki temu treść szkolenia można w większym stopniu dostosować do specyfiki zajmowanego stanowiska.

Podsumowanie

Każdy administrator danych osobowych powinien organizować szkolenia dla pracowników w zakresie danych osobowych. Wyjątek stanowią przedsiębiorcy, którzy zatrudniają pracowników niemających żadnego kontaktu z danymi osobowymi. W doborze osoby przeprowadzającej szkolenie kluczowe są kompetencje. Nie ma wymaganej prawem, określonej częstotliwości szkoleń. Powinno się je jednak organizować przed przystąpieniem pracownika do pracy, po zmianach prawa powszechnie obowiązującego lub procedur przyjętych w przedsiębiorstwie, a także po wystąpieniu incydentu. Formę szkolenia należy dostosować do możliwości organizacyjnych w danym przedsiębiorstwie, pamiętając jednocześnie o tym, że najważniejsza jest jego efektywność.