Szkolenie personelu z RODO - co powinno obejmować ?

Formalne zapewnienie zgodności organizacji z RODO to dopiero połowa sukcesu. Teraz trzeba wdrożyć system ochrony danych osobowych zgodny z RODO. Najpowszechniejszą z metod wdrażania każdego nowego rozwiązania w organizacji są szkolenie personelu. Jednak jak przeprowadzić szkolenie by było ono skuteczne?

Dlaczego trzeba zapoznać pracowników z RODO ?

Przygotowana dokumentacja zgodności z RODO będzie na tyle skuteczna i przydatna w trakcie kontroli organu nadzorczego na ile osoby zostaną z nią zapoznane. Brak świadomości co do obowiązujących sposobów postępowania z danymi osobowymi przez personel może spowodować negatywny wynik kontroli. Dodatkowo w skrajnych przypadkach również naruszenie ochrony danych osobowych. Innymi słowy personel organizacji musi wiedzieć jakie są procedury związane z przetwarzaniem danych osobowych. Jak również jakie zabezpieczenia muszą być zastosowane w trakcie tego przetwarzania. Podniesienie poziomu świadomości nie koniecznie musi odbywać się w formie tradycyjnego szkolenia stacjonarnego. Wszystko zależy od wielkości organizacji i specyfiki przetwarzania danych osobowych. Może być to instruktarz stanowiskowy lub szkolenie w formie e-learningu. Może to być również wyciąg z dokumentacji zawierający najważniejsze zasady ochrony danych osobowych. Warto zaznaczyć, że istotny jest skutek a nie metoda jaką organizacja wybierze. Podsumowując szkolić trzeba ale nie dlatego, że przepisy nakładają taki obowiązek. Szkoli się dlatego, że RODO nakazuje wdrożenie odpowiednich zabezpieczeń w tym wewnętrznej dokumentacji zgodności z RODO jeżeli została opracowana. Jednym z najważniejszych zabezpieczeń danych osobowych są środki organizacyjne, czyli miedzy innymi procedury postępowania z danymi osobowymi, które zostaną wdrożone tylko wtedy, gdy personel będzie o nich wiedział.

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.”

Art. 24 ust. 1 i 2 RODO

Co powinno obejmować szkolenie z RODO ?

Z jednej strony zakresem szkolenia powinny być objęte najważniejsze przepisy RODO. Tak by pracownicy rozumieli dlaczego takie, a nie inne regulacje obowiązują. Z drugiej strony szkolenie nie powinno obejmować suchej teorii i samych przepisów (RODO i wewnętrznych), gdyż będzie nieskuteczne. Podział zawartości merytorycznej szkolenia powinien być dopasowany zarówno do branży organizacji jak i do słuchaczy. Tylko wtedy osiągniemy zamierzony cel jakim jest podniesienie poziomu świadomości osób. Poniżej przykład 10 obszarów tematycznych szkolenia z RODO, których nie powinniśmy pominąć.

Przykładowy zakres tematyczny wewnetrznego szkolenia RODO.

Szkolenie wewnętrzne czy zewnetrzne ?

Część organizacji wychodzi z założenia, że tylko szkolenia zewnętrzne pozwalają osiągnąć cel. Bo tylko takie kończą się zaświadczeniami o ukończeniu szkolenia. Nic bardziej mylnego. Te organizacje, które posiadają w swoich szeregach Inspektora Ochrony Danych (IOD) powinny do niego się zwrócić o przeprowadzenie szkolenia. Zgodnie z RODO jest to jego obowiązek.

„Inspektor ochrony danych ma następujące zadania: […] b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;”

Art. 39 ust. 1 RODO

Z drugiej strony IOD nie koniecznie może czuć się na siłach by takie szkolenie przeprowadzić. Nie zawsze IOD posiada predyspozycje to wystąpień publicznych. Czasami po prostu nie posiada umiejętności przekazywania wiedzy. W takim przypadku szkolenia zewnętrzne mogą się okazać dobrym rozwiązaniem. Jednak zawsze należy pamiętać by szkolenie było jak najbardziej dedykowane. Tj. dopasowane do słuchaczy swoją zawartością merytoryczną.

Szkolenia personelu z RODO to jedno z najistotniejszych zagadnień jakie się pojawia przy wdrożeniu RODO. Postaram się niniejszy wpis rozbudować o różne metodyki podnoszenia poziomu świadomości personelu. Proszę o umieszczanie własnych doświadczeń w komentarzach.

Konrad Gałaj-Emiliańczyk

Konrad Gałaj-Emiliańczyk

Ekspert ds. ochrony danych
tel. 514 747 434
mail. kontakt@chron-dane.eu