РОДО - этот термин проходит через многие сферы жизни. Однако зачастую мы не знаем о рисках, которые влечет за собой утечка наших персональных данных. Важно знать, что необходимо сделать в таком случае. Это может быть опасно как для нас самих, так и для компании, на которую мы работаем. Стоит пройти курс по защите данных, но вы можете задаться вопросом, является ли это обязательным. В этой статье мы рассмотрим юридические вопросы и включим наиболее важную информацию по данному вопросу.
Что охватывает RODO?
Мы соприкасаемся с обработкой персональных данных во многих случаях, когда находимся на работе. Сначала важно рассмотреть, что мы можем считать персональными данными. Это потому, что это информация, с помощью которой мы можем узнать что-то о конкретном человеке. Иногда нам достаточно одной части данных, чтобы узнать человека, например, название должности. Иногда, однако, нам требуется больше информации. Мы имеем дело с общими данными, такими как имя и фамилия, но есть и конфиденциальные данные, такие как религия или сексуальная ориентация. На рабочем месте мы можем обрабатывать персональные данные различными способами. Прежде всего, она включается в различные документы, которые направляются клиентам, например, договоры, жалобы. Мы также указываем их в именных счетах-фактурах. Их можно перерабатывать даже в небольших количествах, но работник все равно должен знать, о чем идет речь.
Обязательное обучение?
В RODO, Положении о защите данных, нет прямой информации об обязанности обучать сотрудников в этом отношении. Однако можно найти некоторые ссылки на это, например, в статье 39 указаны задачи инспектора по защите данных. Пункт 1b этой статьи указывает, что такой инспектор должен следить за соблюдением RODO и других законодательных актов ЕС. Под этим подразумевается, в частности, деятельность по повышению осведомленности, а также обучение сотрудников, чьи данные обрабатываются. Следует отметить, что не каждая компания обязана назначать ответственного за защиту данных. Тем не менее, обязанность по обучению для таких компаний также существует. Когда должность инспектора не назначена, его/ее задачи выполняет контролер персональных данных - это может быть владелец компании. Он или она обязаны внедрить соответствующие технические и организационные меры, чтобы действовать в соответствии с RODO. Такой мерой должно быть обучение, поэтому это можно считать обязанностью.
Для кого предназначен этот курс?
Начнем с того, кто должен проводить обучение по защите данных в целом. В целом, четких рекомендаций на этот счет не существует. В компании за это может отвечать сотрудник по защите данных, а если такого человека нет, то есть несколько вариантов. Для небольших компаний лучшим вариантом будет, если этим будет заниматься владелец, который хорошо разбирается в этом вопросе. Обучение также может быть проведено сотрудником, имеющим соответствующую квалификацию. Последний вариант - это курс, проводимый внешней компанией, и это лучшее решение, потому что в этом случае мы имеем дело со специалистами в данной области. Обучение должно соответствовать характеру компании и объему обрабатываемых ею данных. Если в компании есть отдельные отделы, например, отдел кадров или отдел по связям с общественностью, стоит рассмотреть возможность проведения курса для каждого отдела отдельно. В этом случае темы могут быть лучше подобраны в соответствии с должностью, на которой они работают.
Когда делать?
Мы можем назвать, по крайней мере, несколько ситуаций, в которых следует подходить к изучению курса. В первую очередь, это должно произойти до того, как сотрудник приступит к работе. Затем контролер персональных данных (ADO) обязан разрешить ему/ей работать с этими данными. Прежде чем выдать такое разрешение, ADO должен предоставить или направить на обучение. Другой случай - возможное изменение нормативных актов, регулирующих защиту данных, а также нормативных актов, регулирующих отрасль, в которой мы работаем. При изменении организационной структуры или изменении правил внутри компании также необходимо проводить обучение. На соответствующих должностях могут меняться обязанности, а также порядок документооборота. И политика безопасности компании может меняться по разным причинам. Последним ключевым аспектом для прохождения курса является инцидент, произошедший в результате утечки персональных данных на рабочем месте. Затем сотрудникам следует объяснить, почему это произошло, и показать последствия таких действий.
Неудачные действия сотрудников
89% нарушений безопасности происходит по вине сотрудников - согласно отчету об информационной безопасности за 2019 год. В каких ситуациях может произойти утечка данных? Вы должны быть начеку, когда речь идет о выносе офисного оборудования за пределы рабочего места. Оставлять документы без присмотра также опасно. Когда сотрудники не используют шредер, а выбрасывают листы с конфиденциальными данными в мусорную корзину, они также подвергают подрядчиков опасности утечки данных. Другие опасные для компании ситуации, связанные с корпоративными устройствами: оставление их в общественных местах, отсутствие защиты, например, пароля, отсутствие резервного копирования или доступ к частной почте на таком оборудовании. Кроме того, если сотрудник получает доступ к почтовому ящику компании на своем домашнем компьютере, мы подвергаем себя опасности. Распространенная ошибка - перепутать адрес электронной почты, что также приводит к нарушению. Так что таких ситуаций действительно много, и, на первый взгляд, они не предвещают ничего плохого. Если в вашей компании происходит хотя бы одно из этих событий, значит, обучение по защите данных просто необходимо.
Последствия утечки данных
После того как в компании произошел инцидент с утечкой данных, можно с уверенностью ожидать проверки со стороны Управления по защите данных. Такой орган может наложить на работодателя санкцию в виде штрафа. Кроме того, если такое дело увидит свет, пострадавшие лица могут потребовать компенсации. Их выплата, в зависимости от количества таких лиц, может подвергнуть компанию финансовым потерям, что может привести к необходимости массовых увольнений. Поэтому не стоит рисковать.
Если есть необходимость в обучении сотрудников с помощью внешней компании, Центр подготовки операторов ОГО предлагает курс по защите информации. Наш способ преподавания действительно эффективен. Для получения более подробной информации, пожалуйста, свяжитесь с нами по телефону или через контактную форму. Безопасность вашей компании очень важна, поэтому мы рекомендуем вам посетить этот учебный курс!