RODO - denna term löper genom många områden i livet . Ofta är vi dock inte medvetna om de risker som läckage av våra personuppgifter medför. Det är viktigt att vara medveten om vad som behöver göras i ett sådant fall. Det kan vara farligt både för oss själva och för det företag vi arbetar för. Det är värt att gå en kurs i dataskydd, men du kanske undrar om det är obligatoriskt. I den här artikeln kommer vi att ta upp de juridiska frågorna och ge den viktigaste informationen i ämnet.
Vad omfattar RODO?
Vi kommer i kontakt med behandling av personuppgifter i många fall när vi är ute i arbetslivet. Det är viktigt att först fundera över vad vi kan betrakta som en personuppgift. Det är nämligen information genom vilken vi kan ta reda på något om en viss person. Ibland räcker det med en enda uppgift för att vi ska kunna känna igen någon, t.ex. en viss yrkestitel. Ibland behöver vi dock mer information. Det handlar om allmänna uppgifter som för- och efternamn, men det finns också känsliga uppgifter som religion eller sexuell läggning. På arbetsplatsen kan vi behandla personuppgifter på olika sätt. För det första finns de med på olika dokument som skickas till kunder, t.ex. avtal, reklamationer. Vi har dem också synliga på namngivna fakturor. De kan till och med behandlas i små mängder, men den anställde ska ändå vara medveten om vad det handlar om.
Obligatorisk utbildning?
Det finns ingen uttrycklig information i RODO, dataskyddsförordningen, om skyldigheten att utbilda anställda i detta avseende. Det finns dock vissa hänvisningar till detta, t.ex. i artikel 39 där dataskyddsombudets uppgifter anges. I punkt 1b i denna artikel anges att en sådan inspektör ska övervaka efterlevnaden av RODO och annan EU-lagstiftning. Med detta avses bl.a. aktiviteter som ökar medvetenheten samt utbildning av anställda vars uppgifter behandlas. Det bör noteras att inte alla företag är skyldiga att utse ett dataskyddsombud. Utbildningsskyldigheten gäller dock även för sådana företag. När det inte finns någon utsedd befattning för en inspektör, fullgörs hans/hennes uppgifter av den personuppgiftsansvarige - detta kan vara företagets ägare. Han eller hon är skyldig att genomföra lämpliga tekniska och organisatoriska åtgärder för att agera i enlighet med RODO. En sådan åtgärd bör vara utbildning, så detta kan betraktas som en skyldighet.
Vem är kursen till för?
Låt oss börja med vem som bör tillhandahålla utbildning i dataskydd i allmänhet. I allmänhet finns det inga tydliga riktlinjer i detta ämne. I ett företag kan det finnas ett dataskyddsombud som ansvarar för detta, eller om det inte finns någon sådan person finns det flera alternativ. För små företag är det bästa alternativet att detta görs av ägaren, som har tillräcklig kunskap i ämnet. Utbildningen kan också genomföras av en anställd med lämplig kompetens. Det sista alternativet är en kurs som drivs av ett externt företag och det är den bästa lösningen eftersom vi då har att göra med specialister inom området. Utbildningen bör vara anpassad till företagets karaktär och hur mycket data som behandlas. Om företaget har separata avdelningar, t.ex. personalavdelning eller PR-avdelning, är det värt att överväga att hålla en kurs för varje avdelning separat. I så fall kan ämnena bättre anpassas till den befattning de arbetar inom.
När ska man göra det?
Vi kan ge åtminstone några exempel på situationer där kursen bör genomföras. I första hand bör den äga rum innan den anställde börjar arbeta. Den personuppgiftsansvarige (ADB) är då skyldig att ge honom/henne tillstånd att arbeta med uppgifterna. Innan ett sådant tillstånd utfärdas måste ADB tillhandahålla eller hänvisa till utbildning. Ett annat fall är när det finns en möjlig förändring i de bestämmelser som styr dataskydd, liksom de som styr den bransch där vi arbetar. När det sker en förändring av organisationsstrukturen eller en förändring av reglerna inom företaget måste utbildning också genomföras. Ansvarsförhållandena kan förändras i de aktuella befattningarna, liksom dokumentflödet. Och ett företags säkerhetspolicy kan ändras av olika skäl. Den sista viktiga aspekten för att genomföra en kurs är en incident som har inträffat genom att personuppgifter har läckt ut på arbetsplatsen. Medarbetarna ska då göras medvetna om varför det hände och konsekvenserna av sådana handlingar ska synliggöras.
Misskötsamhet bland anställda
89% säkerhetsöverträdelser orsakas av anställda - enligt Information Security Report 2019. I vilka situationer kan dataläckage uppstå? Du bör vara på din vakt när det gäller att ta med dig kontorsutrustning utanför arbetsplatsen. Det är lika farligt att lämna dokument utan uppsikt. När anställda inte använder en dokumentförstörare utan slänger ark med konfidentiella uppgifter i papperskorgen utsätter de också entreprenörer för dataläckage. Andra situationer som rör företagets enheter och som är farliga för företaget är att de lämnas på allmänna platser, inte skyddas med t.ex. ett lösenord, inte säkerhetskopieras eller att man kommer åt privat e-post på sådan utrustning. Om en anställd öppnar företagets e-postlåda på sin hemdator utsätter vi oss också för fara. Ett vanligt misstag är att förväxla en e-postadress, vilket också orsakar ett intrång. Det finns alltså många sådana situationer, och på ytan förebådar de inte något ont. Om något av dessa inträffar i ditt företag innebär det att utbildning i dataskydd är ett måste.
Konsekvenser av dataläckage
När ett företags dataläckage väl har inträffat kan en inspektion från Datainspektionen säkert förväntas. En sådan myndighet kan ålägga arbetsgivaren en sanktion i form av böter. Om ett sådant fall kommer upp i ljuset kan dessutom de drabbade personerna kräva ersättning. Beroende på antalet personer kan utbetalningen av ersättningen leda till att företaget drabbas av ekonomiska förluster, vilket kan leda till massuppsägningar. Det är därför inte värt risken.
Om det finns behov av att utbilda medarbetare hos ett externt företag, OSO Operatörsutbildningscenter erbjuder en kurs i dataskydd. Vårt sätt att undervisa är verkligen effektivt. För mer information är du välkommen att kontakta oss per telefon eller via kontaktformuläret. Säkerheten för ditt företag är viktig, så vi uppmuntrar dig att delta i denna utbildning!
