РОДО - цей термін проходить через багато сфер життя. Однак часто ми не усвідомлюємо ризиків, які тягне за собою витік наших персональних даних. Важливо знати, що потрібно робити в такому випадку. Це може бути небезпечно як для нас самих, так і для компанії, в якій ми працюємо. Пройти курс із захисту даних варто, але ви можете задатися питанням, чи є він обов'язковим. У цій статті ми розглянемо юридичні питання та надамо найбільш важливу інформацію з цього приводу.
На що поширюється програма RODO?
Ми стикаємося з обробкою персональних даних у багатьох випадках під час виконання своїх службових обов'язків. Важливо спочатку розглянути, що ми можемо вважати персональними даними. Тому що це інформація, через яку ми можемо дізнатися щось про конкретну людину. Іноді для того, щоб розпізнати особу, нам достатньо лише однієї інформації, наприклад, певної посади, яку вона обіймає. Однак іноді нам потрібно більше інформації. Ми маємо справу із загальними даними, такими як ім'я та прізвище, але існують також конфіденційні дані, такі як релігія або сексуальна орієнтація. На робочому місці ми можемо обробляти персональні дані різними способами. Перш за все, вона міститься на різних документах, які надсилаються клієнтам, наприклад, контрактах, скаргах. У нас вони також є на іменних інвойсах. Вони можуть оброблятися навіть у невеликих обсягах, але працівник все одно повинен знати, про що йдеться.
Обов'язкове навчання?
У RODO, Регламенті про захист даних, немає чіткої інформації про обов'язок навчати працівників у цьому відношенні. Однак можна знайти деякі посилання на це, наприклад, у статті 39 ми маємо завдання інспектора із захисту даних. У пункті 1b цієї статті зазначено, що такий інспектор повинен стежити за дотриманням RODO та іншого законодавства ЄС. Під цим мається на увазі, серед іншого, діяльність, спрямована на підвищення обізнаності, а також навчання працівників, чиї дані обробляються. Слід зазначити, що не кожна компанія зобов'язана призначати відповідального за захист даних. Тим не менш, зобов'язання проводити навчання для таких компаній також існує. Якщо посада інспектора не передбачена, його/її завдання виконує контролер персональних даних - це може бути власник компанії. Він зобов'язаний впровадити відповідні технічні та організаційні заходи, щоб діяти відповідно до RODO. Таким заходом має бути навчання, тому це можна вважати обов'язком.
Для кого цей курс?
Почнемо з того, хто взагалі має проводити навчання з питань захисту персональних даних. Загалом, чітких вказівок з цього приводу немає. В компанії за це може відповідати відповідальний за захист даних, або якщо такої особи немає, є кілька варіантів. Для невеликих компаній найкращим варіантом було б, щоб це робив власник, який володіє достатніми знаннями з цього питання. Навчання також може проводити працівник, який має відповідну кваліфікацію. Останній варіант - це курс, який проводить зовнішня компанія, і це найкраще рішення, тому що тоді ми маємо справу з фахівцями в цій галузі. Навчання має бути адаптоване до характеру компанії та обсягу даних, які вона обробляє. Якщо компанія має окремі відділи, наприклад, відділ кадрів або відділ зв'язків з громадськістю, варто розглянути можливість проведення курсу для кожного відділу окремо. У цьому випадку теми можуть краще відповідати посаді, на якій вони працюють.
Коли робити?
Можна навести принаймні кілька ситуацій, в яких слід звертатися до курсу. В першу чергу, це має відбуватися до того, як працівник приступить до роботи. Після цього розпорядник персональних даних (ADO) зобов'язаний надати йому дозвіл на роботу з даними. Перед видачею такого дозволу АДО повинен забезпечити або направити на навчання. Інший випадок - коли можлива зміна нормативно-правових актів, що регулюють захист персональних даних, а також тих, що регулюють галузь, в якій ми працюємо. При зміні організаційної структури або зміні нормативно-правових актів всередині компанії також необхідно провести навчання. На відповідних посадах можуть змінюватися обов'язки, а також порядок документообігу. А політика безпеки компанії може змінюватися з різних причин. Останнім ключовим аспектом для проходження курсу є інцидент, який стався через витік персональних даних на робочому місці. Потім працівники повинні бути поінформовані про те, чому це сталося, і наслідки таких дій повинні бути зрозумілими.
Неправильні дії працівників
89% порушень безпеки відбувається з вини співробітників - за даними Звіту про інформаційну безпеку за 2019 рік. В яких ситуаціях може статися витік даних? Ви повинні бути обережними, коли справа доходить до винесення офісного обладнання за межі робочого місця. Не менш небезпечно залишати документи без нагляду. Коли працівники не використовують шредер, а викидають аркуші з конфіденційними даними у смітник, вони також наражають підрядників на ризик витоку даних. Іншими ситуаціями, пов'язаними з пристроями компанії, які є небезпечними для компанії, є: залишення їх у громадських місцях, незахищеність, наприклад, паролем, відсутність резервного копіювання такого пристрою або доступ до приватної пошти на такому обладнанні. Також, коли працівник отримує доступ до поштової скриньки компанії на своєму домашньому комп'ютері, ми наражаємо себе на небезпеку. Поширеною помилкою є переплутування адреси електронної пошти, що також призводить до порушення. Так що таких ситуацій дійсно багато і, на перший погляд, вони не віщують нічого поганого. Якщо у вашій компанії трапляються такі випадки, це означає, що навчання у сфері захисту персональних даних є обов'язковим.
Наслідки витоку даних
Після того, як в компанії стався інцидент витоку даних, безумовно, можна очікувати на перевірку з боку Управління з питань захисту даних. Такий орган може накласти на роботодавця санкцію у вигляді штрафу. Крім того, якщо така справа побачить світ, постраждалі особи можуть вимагати компенсації. Їх виплата, в залежності від кількості таких осіб, може призвести до фінансових втрат підприємства, що може спричинити необхідність масових звільнень. Тому не варто ризикувати.
Якщо є потреба у навчанні співробітників із зовнішньою компанією, Центр підготовки операторів OSO пропонує курс із захисту персональних даних. Наш спосіб викладання дійсно ефективний. За більш детальною інформацією, будь ласка, звертайтеся до нас за телефоном або через контактну форму. Безпека Вашої компанії є важливою, тому ми рекомендуємо Вам відвідати цей навчальний курс!