RODO – to pojęcie przewija się w wielu dziedzinach życia . Często jednak nie zdajemy sobie sprawy z zagrożenia, jakie za sobą niesie wyciek naszych danych osobowych. Należy mieć świadomość tego, co trzeba zrobić w takim przypadku. Może to być niebezpieczne zarówno dla nas samych, jak i dla firmy, dla której pracujemy. Warto odbyć kurs z ochrony danych osobowych, jednak można się zastanawiać, czy jest on obowiązkowy. W tym artykule poruszymy kwestie prawne i zawrzemy najważniejsze informacje na ten temat.
Co obejmuje RODO?
Z przetwarzaniem danych osobowych mamy styczność w wielu przypadkach, gdy jesteśmy na stanowisku pracy. Trzeba najpierw się zastanowić nad tym, co możemy uznać za dane osobowe. Są to bowiem informacje, dzięki którym można dowiedzieć się czegoś o konkretnej osobie. Czasami wystarczy nam jakaś jedna dana, aby kogoś rozpoznać, np. szczególne stanowisko pracy. Bywa jednak i tak, że musimy mieć więcej informacji. Mamy do czynienia z danymi ogólnymi takimi jak imię i nazwisko, ale też są dane wrażliwe, czyli religia czy orientacja seksualna. Na stanowisku pracy dane osobowe możemy przetwarzać na różne sposoby. Przede wszystkim, umieszczane są one na różnych dokumentach, które są wysyłane do klientów, np. umowach, reklamacjach. Także na fakturach imiennych mamy je uwidocznione. Można je przetwarzać nawet w małej ilości, ale i tak pracownik powinien być świadom, co się za tym kryje.
Obowiązek szkolenia?
W RODO, czyli w rozporządzeniu o ochronie danych osobowych nie ma zawartej jednoznacznie informacji o obowiązku przeszkolenia pracowników w tym zakresie. Można jednak znaleźć pewne odniesienia do tego, np. w art. 39 mamy podane zadania inspektora danych osobowych. Punkt 1b tego artykułu określa, że taki inspektor musi monitorować przestrzeganie RODO i innych przepisów unijnych. Przez to rozumie się m.in. działania, które zwiększają świadomość, a także szkolenia pracowników, których dane są przetwarzane. Należy zaznaczyć, że nie każda firma ma obowiązek powołania inspektora ochrony danych osobowych. Mimo to, obowiązek szkolenia dla takich przedsiębiorstw także istnieje. Kiedy nie ma wyznaczonego stanowiska inspektora, jego zadania wypełnia administrator danych osobowych – może to być właściciel przedsiębiorstwa. On ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby działać w zgodzie z RODO. Takim właśnie środkiem powinno być szkolenie, zatem można to uznać za obowiązek.
Dla kogo jest kurs?
Zacznijmy od tego, kto w ogóle powinien przeprowadzić szkolenie z ochrony danych osobowych. Ogólnie nie ma klarownych wytycznych na ten temat. W firmie za to odpowiedzialny może być inspektor ochrony danych osobowych, a jeśli nie ma takiej osoby, jest kilka możliwości. Dla małych firm najlepszym rozwiązaniem byłoby zrobienie tego przez właściciela, który ma odpowiednią wiedzę na ten temat. Szkolenie może też przeprowadzić odpowiednio wykwalifikowany pracownik. Ostatnią opcją jest kurs prowadzony przez zewnętrzną firmę i jest to najlepsze rozwiązanie, ponieważ wtedy mamy do czynienia ze specjalistami w tej dziedzinie. Szkolenie powinno być dostosowane do charakteru firmy, a także do tego, ile danych się w niej przetwarza. Jeśli w przedsiębiorstwie są osobne działy, np. kadr czy public relations, warto rozważyć przebycie kursu dla każdego z nich osobno. W takim przypadku zagadnienia można lepiej dopasować do stanowiska, na którym pracują.
Kiedy robić?
Możemy podać co najmniej kilka sytuacji, w których należy podejść do kursu. W pierwszej kolejności powinno się to odbyć, zanim pracownik zacznie pracę. Wtedy administrator danych osobowych (ADO) ma obowiązek upoważnienia go do pracy z danymi. Przed wystawieniem takiego upoważnienia, ADO musi przeprowadzić lub skierować na szkolenie. Kolejnym przypadkiem jest ewentualna zmiana przepisów regulujących ochronę danych osobowych, a także tych, które dotyczą branży, w jakiej pracujemy. Kiedy mamy do czynienia ze zmianą struktury organizacyjnej lub zmianą przepisów w firmie, także trzeba podjąć się szkolenia. Na danych stanowiskach może zmienić się zakres obowiązków, jak również sposób przepływu dokumentów. Natomiast polityka bezpieczeństwa danego przedsiębiorstwa z różnych powodów może ulegać zmianom. Ostatnim aspektem kluczowym do przeprowadzenia kursu jest incydent, który wystąpił przez wyciek danych osobowych w zakładzie pracy. Należy wtedy uświadomić pracowników, dlaczego tak się stało oraz uwidocznić konsekwencje takich czynów.
Złe działania pracowników
89% naruszeń bezpieczeństwa wywołują pracownicy – według raportu o bezpieczeństwie informacji za 2019 rok. W jakiej sytuacji może dojść do wycieku danych? Należy mieć się na baczności, gdy w firmie dochodzi do wynoszenia sprzętu biurowego poza stanowisko pracy. Równie niebezpieczne jest pozostawienie dokumentów bez nadzoru. Kiedy pracownicy nie korzystają z niszczarki, tylko wyrzucają kartki z poufnymi danymi do kosza na śmieci, także narażają kontrahentów na wyciek danych. Innymi sytuacjami związanymi z urządzeniami służbowymi, które są niebezpieczne dla firmy, są: zostawianie ich w miejscach publicznych, brak zabezpieczeń np. za pomocą hasła, niewykonanie kopii zapasowej takiego urządzenia czy wchodzenie na prywatną pocztę na takim sprzęcie. Również, gdy pracownik korzysta ze służbowej skrzynki mailowej na swoim domowym komputerze, narażamy się na niebezpieczeństwo. Częstym błędem jest mylenie adresu e-mail, które również powoduje naruszenie. Zatem takich sytuacji jest naprawdę wiele i z pozoru nie zapowiadają niczego złego. Jeśli w firmie dochodzi do którejś z nich, oznacza to, że szkolenie z zakresu ochrony danych osobowych jest konieczne.
Konsekwencje wycieku danych
Kiedy już dojdzie do incydentu związanego z wyciekiem danych w firmie, na pewno można się spodziewać kontroli z Urzędu Ochrony Danych Osobowych. Taki urząd może nałożyć sankcję na pracodawcę w postaci kary pieniężnej. Dodatkowo, jeśli taka sprawa ujrzy światło dzienne, osoby pokrzywdzone mogą domagać się odszkodowania. Ich wypłacanie, w zależności od liczby takich osób, może narazić firmę na straty finansowe, a to może spowodować konieczność masowych zwolnień. Nie warto zatem ryzykować.
Jeśli jest potrzeba przeszkolenia pracowników w firmie zewnętrznej, Ośrodek Szkolenia Operatorów OSO oferuje kurs z ochrony danych osobowych. Nasz sposób nauczania jest naprawdę skuteczny. Aby poznać więcej szczegółów, zapraszamy do kontaktu telefonicznego lub poprzez formularz kontaktowy. Bezpieczeństwo firmy jest ważne, dlatego zachęcamy do wzięcia udziału w tym szkoleniu!