Od kilku lat są egzekwowane w Polsce przepisy wynikające z unijnego rozporządzenia o ochronie danych osobowych RODO oraz z polskich aktów prawnych odnoszących się do tematyki ochrony danych.
Zasady obowiązujące administratorów danych są złożone i często trudne do zrozumienia bez zgłębienia tematu i wyjaśnienia sposobów ich interpretacji. Dlatego warto przygotować pracowników do ich stosowania organizując odpowiednie szkolenie. Co warto o nim wiedzieć?
Czy szkolenie z RODO jest obowiązkowe?
Przestrzeganie i stosowanie w praktyce przepisów o ochronie danych osobowych wynikających z RODO jest obowiązkiem ich administratora. Obowiązek ten obejmuje między innymi wdrażanie odpowiednich środków technicznych i organizacyjnych, które to działanie administrator musi udokumentować i przedstawić podczas ewentualnej kontroli.
Nie jest on jednak w stanie zagwarantować, że każdy pracownik, którego zadaniem jest przetwarzanie danych osobowych, będzie je wykonywać prawidłowo i zgodnie z wymogami. Dlatego jego obowiązkiem jest dostarczenie pracownikom odpowiedniej wiedzy.
Szkolenia z RODO są analogiczne do szkoleń stanowiskowych i ogólnych BHP. Gdy dojdzie do wypadku przy pracy, w pierwszej kolejności sprawdza się, czy pracownik został odpowiednio poinstruowany.
Różnice polegają jednak na tym, że kursy BHP są obowiązkowe i potwierdzenie ich zaliczenia zawiera dokumentacja pracownicza. W przypadku RODO żadne przepisy nie wymieniają wprost, że taki kurs jest obowiązkowy.
Administrator danych powinien jednak wziąć pod uwagę fakt, że nieprzygotowanie pracowników do prawidłowego przetwarzania danych może skończyć się nieświadomym naruszeniem przepisów, a odpowiedzialność za to poniesie on sam. Ponadto artykuł 39 ust. 1 lit. b) rozporządzenia wymienia prowadzenie takich szkoleń jako jedno z zadań Inspektora Danych Osobowych.
Reasumując, chociaż przepisy nie nakładają wprost obowiązku przeszkolenia pracowników z zakresu RODO, administrator danych powinien nałożyć go na swoich podwładnych. Dzięki temu może wykazać się odpowiednim działaniem, które jest też sprawdzane w toku ewentualnych kontroli przez Prezesa Urzędu Ochrony Danych Osobowych jako przez organ nadzorczy. Zyskuje też większą pewność, że przepisy będą przestrzegane i ma podstawę do wyciągania konsekwencji wobec pracownika, który narusza swoje obowiązki.
Kiedy i dlaczego należy zrobić szkolenie RODO dla pracowników?
Szkolenia RODO dla pracowników powinny być organizowane przez pracodawcę (administratora danych osobowych) zawsze wtedy, gdy podwładni dopiero rozpoczynają swoją pracę albo muszą zapoznać się z nowymi zasadami postępowania w trakcie wykonywania obowiązków zawodowych.
Dotyczy to przede wszystkim nowych pracowników, którzy do tej pory nie mieli styczności z RODO i muszą się wdrożyć w jego stosowanie w praktyce.
Sytuacją, w której warto przeprowadzać szkolenia, jest też wejście w życie nowych aktów prawnych czy też zmiana przepisów już istniejących. W przypadku RODO zmiany są znaczne i dotyczą wielu grup zawodowych. Po rozpoczęciu obowiązywania rozporządzenia ogólnego o ochronie danych przekształceniu uległo ponad 160 aktów prawnych. Wiele z obowiązków, które pojawiły się na gruncie RODO oraz tych aktów prawnych, dotyczy konkretnych sytuacji, takich jak np.:
- podawanie imienia i nazwiska podczas rozmowy telefonicznej z telemarketerem,
- informowanie klienta o jego prawach podczas negocjowania umów handlowych i bankowych,
- obowiązek umieszczania informacji o RODO na stronie internetowej.
Dlaczego warto przeszkolić pracowników w takich sytuacjach? Ponieważ procedura RODO jest skomplikowana, a pracodawca odpowiada za przestrzeganie obowiązujących zasad, a także za ich wdrażanie.
Nie może on liczyć na to, że każdy jego podwładny z dobrej woli i samodzielnie podejmie się uzupełnienia wiedzy, ponieważ za przeszkolenie pracownika odpowiada pracodawca. Ponadto nawet spontaniczne samodoskonalenie nie zagwarantuje, że pracownik właściwie zrozumiał i zinterpretował przepisy.
Stosowanie zasad RODO nie odbywa się według jednego schematu. Każda firma charakteryzuje się specyficzną strukturą organizacyjną i wykonuje konkretne zadania. Dlatego jest to unikalne środowisko wymagające indywidualnego dostosowania programu szkoleniowego. Szkolenia RODO przeprowadzane przez IOD mogą przekazywać wiedzę niezbędną właśnie w tych konkretnych warunkach.
Kto powinien przeprowadzać szkolenia z RODO?
Szkolenia z RODO powinien przeprowadzać inspektor ochrony danych. Jest to również jedno z jego zadań wynikających z RODO. Powołanie IOD nie jest jednak obowiązkowe w każdej sytuacji, dlatego nie zawsze to właśnie jemu można zlecić przekazanie wiedzy podwładnym.
W takiej sytuacji za szkolenia odpowiada pracodawca i jednocześnie administrator danych osobowych. Nie musi on jednak samodzielnie dysponować wiedzą umożliwiającą przeszkolenie personelu czy umiejętnościami dydaktycznymi.
Szkolenie pracowników można zlecić firmie zewnętrznej specjalizującej się we wdrażaniu RODO w przedsiębiorstwach. Zamówienie takiej usługi niesie za sobą wiele korzyści. Są to m.in.:
- dostęp do fachowej wyselekcjonowanej wiedzy na temat RODO,
- szkolenie przeprowadzone z uwzględnieniem potrzeb i specyfiki konkretnego podmiotu,
- zajęcia prowadzone przez doświadczonych dydaktyków i specjalistów od ochrony danych osobowych.
Czym kierować się przy wyborze szkolenia dla pracowników?
RODO to przysłowiowy temat rzeka, który wiąże się z umiejętnością interpretacji poszczególnych zaleceń oraz dostosowania ich do konkretnych warunków środowiska pracy.
Innych zachowań i wiedzy oczekuje się od telemarketera, a innych od właściciela sklepu internetowego czy księgowej dużej firmy. Dlatego również szkolenia z RODO powinny być dobrane stosownie do okoliczności i potrzeb.
Kursy i warsztaty oferowane przez wyspecjalizowane firmy mogą mieć formę szkoleń podstawowych i specjalistycznych. Podstawowe szkolenie RODO przekazuje ogólną wiedzę obejmującą bezpieczeństwo i zakres ochrony danych osobowych, niezbędną pracownikom zajmującym się ich przetwarzaniem. Szkolenia RODO dla zaawansowanych są przeznaczone dla konkretnych osób i poruszają bardzo wąskie zagadnienia. Przykładem są warsztaty dla IOD, działu HR, szkolenia dotyczące naruszeń ochrony danych osobowych czy też oceny ryzyka.