Czy szkolenia RODO dla pracowników są obowiązkowe?
RODO stworzone zostało jako akt prawny o charakterze na tyle ogólnym, aby mógł podążać za zmieniającą się rzeczywistością. Dlatego też RODO formułuje często normy (zalecenia) o takim właśnie ogólnym (generalnym) charakterze. Nakazuje m.in., aby administrator wdrożył odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń. Jednym z takich środków organizacyjnych są właśnie szkolenia pracowników. Pracownicy muszą bowiem znać przynajmniej podstawowe zasady przetwarzania danych oraz procedury wewnętrzne obowiązujące w tym zakresie w przedsiębiorstwie. Tylko w takim wypadku, przedsiębiorca będzie mógł wykazać, że zadbał o to, żeby dane przetwarzane były zgodnie z wymogami RODO, a prawa osób, których dane dotyczą, były respektowane.
W przypadku, kiedy administrator wyznaczył Inspektora Ochrony Danych, wtedy jednym z jego obowiązków będzie przeszkolenie personelu uczestniczącego w operacjach przetwarzania danych. A co jeśli nie mamy IOD?
Czy wszyscy pracownicy danego przedsiębiorstwa muszą zostać przeszkoleni z RODO?
Szkolenia muszą odbyć wszyscy ci pracownicy, którzy uczestniczą w procesach przetwarzania danych, czyli ci, którzy w zakresie swoich obowiązków mają „pracę z danymi osobowymi”.
Skuteczne szkolenia powinny przedstawiać zasady postępowania z danymi osobowymi obowiązujące w danym przedsiębiorstwie, tj. powinny przykładowo odnosić się do kategorii danych faktycznie przetwarzanych, często wynikających z przedmiotu działalności przedsiębiorcy. Zatem np. szkolenie w podmiocie leczniczym, powinno dotyczyć w szczególności przetwarzania danych osobowych pacjentów, przy uwzględnieniu faktu, że zasady przetwarzania danych dotyczących stanu zdrowia reguluje nie tylko RODO, ale także przepisy branżowe.
Idealną sytuacją będzie taka – zwłaszcza w dużych przedsiębiorstwach – kiedy szkolenia kierowane są osobno do pracowników poszczególnych działów (komórek organizacyjnych). W inny sposób i z innymi danymi będą bowiem pracować pracownicy działu HR, z innymi pracownicy działu obsługi klienta, a z jeszcze innymi pracownicy księgowości.
Jak często powinny odbywać się szkolenia?
Przepisy nie wskazują, jak często powinno być przeprowadzane szkolenie RODO. Zgodnie z wytycznymi Ministerstwa Cyfryzacji, szkolenia dla pracowników z zakresu ochrony danych osobowych, powinny odbywać się przynajmniej raz w roku.
Taka sytuacja, czyli coroczne szkolenie „przypominające” byłaby oczywiście ideałem. Cykliczne szkolenia dla pracowników są cenne, albowiem aktualizują wiedzę, ale także utrwalają wiedzę już zdobytą. Jednak, jak to z ideałami bywa, taka sytuacja zdarza się rzadko.
W mojej ocenie, szkolenia na pewno trzeba przeprowadzać za każdym razem, kiedy zmieniają się procesy przetwarzania danych, w szczególności – kiedy wprowadzamy nowy proces. Np. rozpoczynamy wysyłkę newslettera. Pracownicy odpowiedzialni za ten proces, muszą znać związane z nim zasady przetwarzania danych osobowych, w tym prawa osób, których dane dotyczą.
Także w przypadku, kiedy zatrudniamy nowego pracownika, który będzie miał do czynienia z przetwarzaniem danych osobowych, powinniśmy zadbać o to, aby jeszcze przed przystąpieniem do przetwarzania danych, został przeszkolony z zakresu RODO.
O czym jeszcze należy pamiętać?
O tym, że obowiązek szkolenia nie dotyczy wyłącznie pracowników (w rozumieniu prawa pracy), ale wszystkie osoby upoważnione przez administratora do przetwarzania danych osobowych. Upoważnioną może być zarówno osoba zatrudniona na umowę o pracę, jak i na podstawie cywilnoprawnych form zatrudnienia. To nie forma prawna współpracy decyduje o charakterze „dopuszczenia” do przetwarzania danych osobowych. Cechą wyróżniającą osobę upoważnioną jest pewna zależność od administratora, rozumiana jako brak samodzielności w zakresie decydowania o przetwarzaniu. Chodzi o podmiot, który na zewnątrz jest nie do odróżnienia od pracowników administratora (np. posługuje się przydzielonym mu adresem mailowy). Wszystkie takie osoby powinny zostać przeszkolone analogicznie jak pracownicy.
I na koniec – dlaczego warto szkolić pracowników?
Dlatego, że za naruszenia ochrony danych odpowiedzialny jest administrator. Pracownik nieświadomy choćby podstawowych zasad ochrony danych osobowych może doprowadzić do poważnych konsekwencji, łącznie z wyciekiem lub utratą danych. To naraża administratora nie tylko na utratę klientów, ale także na postępowanie przez PUODO i konsekwencje finansowe w postaci kar przewidzianych w RODO.