Zgodnie z treścią komunikatu Urzędu Ochrony Danych Osobowych z dnia 14 października 2024 r., z przeprowadzanych przez urząd analiz wynika, że 81% firm z sektora Małych i Średnich Przedsiębiorstw szkoli swoich pracowników z ochrony danych osobowych, ale niemal 3/5 z nich tylko raz – po przyjęciu do pracy.
Niepokojące jest przy tym, że aż 20% przedsiębiorców nie przeprowadza takich szkoleń w ogóle. Niestety takie podejście może wiązać się z licznymi negatywnymi konsekwencjami zarówno dla pracownika jak i samego pracodawcy.
Czy szkolenia z ochrony danych są obowiązkowe?
Jednym z podstawowym obowiązków administratora jest „wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami” (art. 24 ust. 1 RODO). Chociaż przepisy nie wskazują wprost na obowiązek przeprowadzania szkoleń dla pracowników, to jednak niewątpliwie są one obowiązkowym elementem pozwalającym na skuteczną ochronę danych osobowych. Bez właściwego przeszkolenia personelu, który ma do czynienia z danymi osobowymi, w praktyce nie jest możliwa efektywna ochrona danych.
Co więcej, w razie gdy administrator wyznaczył w organizacji Inspektora Ochrony Danych osobowych, do jego obowiązków należy m.in. podejmowanie działań zwiększających świadomość oraz szkolenie personelu uczestniczącego w operacjach przetwarzania.
Warto również pamiętać, że w przypadku pracy zdalnej, przepisy kodeksu pracy wskazują, że pracodawca powinien w miarę potrzeby przeprowadzić instruktaż i szkolenie w zakresie ochrony danych osobowych.
Nie tylko dla pracowników
Bez wątpienia szkolenia powinny przeprowadzane wobec wszystkich osób, które mają lub mogą mieć dostęp do danych osobowych – bez względu na formę współpracy. Szkolenia nie dotyczą tylko pracowników, ale również zleceniobiorców czy osób współpracujących na B2B.
Jak często przeprowadzać szkolenia?
Nie ma konkretnych wytycznych w tym zakresie. Warto jednak zwrócić uwagę, że w kampanii informacyjnej Ministerstwa Cyfryzacji wskazano, że zaleca, aby szkolenia dla pracowników z zakresu ochrony danych osobowych odbywały się co najmniej raz w roku. Z kolei w komunikacie po przeprowadzonym badaniu dotyczącym szkoleń pracowników, Urząd Ochrony Danych osobowych wprost wskazał, że przeprowadzanie szkoleń „sporadycznie” nie jest dobrą i pożądaną praktyką.
To administrator powinien ocenić jak często takie szkolenie jest konieczne, aby realnie wpływało ono na zwiększenie skuteczności ochrony danych osobowych. W praktyce zakres szkoleń i ich częstotliwość powinna być dostosowana do specyfiki organizacji i stanowiska pracy. Każdy pracownik powinien mieć chociaż podstawową wiedzę dotyczącą ochrony danych, jednak pracownicy, którzy mają większy dostęp do danych osobowych, powinni przejść bardziej szczegółowe szkolenie.
Wydaje się, że szkolenia powinny być przeprowadzane co najmniej – przed przystąpieniem pracownika do przetwarzania danych osobowych, w razie zmiany przepisów dotyczących ochrony danych osobowych, w przypadku nowych procesów przetwarzania danych w organizacji, jak również doraźnie – w razie wystąpienia incydentu naruszenia ochrony danych osobowych.
Dlaczego szkolenia są tak istotne?
Szkolenia z zakresu ochrony danych osobowych nie powinny być jedynie formalnością do „odhaczenia”, a realnym „przewodnikiem” dla pracowników, który pozwoli im na zapewnienie odpowiedniego poziomu ochrony danych.
Jednym z głównych celów szkolenia jest zwiększenie świadomości pracowników na temat zagrożeń związanych z naruszeniem danych. Cyberataki, phishing, czy nieautoryzowany dostęp do danych mogą prowadzić do poważnych konsekwencji, w tym strat finansowych, naruszenia wizerunku firmy oraz utraty zaufania klientów. Przeszkoleni pracownicy są w stanie lepiej rozpoznawać zagrożenia, unikać ryzykownych zachowań i odpowiednio reagować w sytuacjach kryzysowych. Każdy pracownik powinien być nadto przygotowany na szybką i właściwą reakcję w razie wystąpienia incydentu naruszenia ochrony danych osobowych. Wiedza o tym, jak postępować, jakie działania podjąć, z kim się skontaktować oraz jak informować klientów, może znacząco ograniczyć negatywne skutki naruszenia danych. Należy pamiętać, że przepisy bardzo konkretnie wskazują jak należy postąpić w razie naruszenia ochrony danych osobowych, a za niewywiązanie się z tych obowiązków administratorowi grożą kary pieniężne.