iSecure logo
  • pl
  • en
    • Blog

    Dlaczego szkolenia z ochrony danych osobowych są ważne?

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Szkolenie pracowników, szczególnie dla jego uczestników, często wydaje się przykrym obowiązkiem. Zdarza się też, że pracownik wyciąga magiczną kartę: „ja już miałem szkolenie z RODO”, dzięki czemu rzekomo nie musi brać w nim udziału ponownie. Czy na pewno?

    Dlaczego szkolenie jest ważne?

    Podstawowa wiedza personelu z zasad ochrony danych osobowych, to jeden z kluczowych elementów prawidłowego wdrożenia RODO. Każda firma powinna zarówno na początku pracy, jak i okresowo w trakcie wykonywania obowiązków, przypominać pracownikom o takich kwestiach, jak np.:

    • zakres danych osobowych i kategorie osób, których dane podlegają wymogom RODO

    Zaskakujące, że do tej pory wiele osób błędnie zakłada, że dane jawne, upublicznione np. na firmowych stronach internetowych, na portalach społecznościowych (typu LinkedIn czy Facebook), czy powszechnie dostępnych rejestrach (KRS, CEIDG) nie są tymi samymi danymi osobowymi, co poufne dane zawarte w umowach, teczkach osobowych, czy kartotekach klientów.

    Ponadto, z mojej obserwacji wynika, że pracownicy skupiają się w dużej mierze na danych „personalnych”, typu imię, nazwisko, PESEL, adres zamieszkania, data urodzenia, jednak z pominięciem innych informacji identyfikujących daną osobę, np. numer umowy, numer faktury, identyfikator w systemie, numer klienta, itp.

    Jednym z klasyków, jest także pobłażliwe traktowanie danych dotyczących reprezentantów firm (pełnomocników, członków zarządów, prokurentów, prezesów), czy też osób fizycznych prowadzących działalność gospodarczą. A przecież pamiętajmy, że RODO dotyczy osób fizycznych, bez względu na to, czy jest to osoba prywatna, czy występująca jako profesjonalista.

    Brak uświadamiania pracowników o takich podstawowych wydawałoby się kwestiach prowadzi do tego, że w praktyce zbieranie tego typu danych może być w ogóle nie zgłaszane do konsultacji z IOD, przez co cały proces od samego początku jest obarczony ryzykiem niezgodności z RODO (chociażby poprzez brak analizy, czy np. wewnętrznie budowana baza kontaktów zebranych z konferencji, LinkedIn czy innego serwisu ma właściwe podstawy prawne, czy spełniono obowiązek informacyjny, czy ustalono okres przechowywania danych, itp.).

    Może się też zdarzyć, że w razie incydentu bezpieczeństwa dotyczącego tych informacji pracownik w ogóle go nie zgłosi, nie mając przekonania, że powinien.

     

    • przypadki, kiedy zbieranie danych nie wymaga zgody, a kiedy na pewno będzie wymagana

    To kolejny przykład, kiedy praktyka pracowników to jedno, a RODO (a za nim IOD) – to drugie. Wystarczy pobieżna analiza przykładowych formularzy rejestracyjnych, zakupowych, czy regulaminów usług, albo informacji dotyczących monitoringu wizyjnego, aby się zorientować, że zgoda jest nadmiernie zbierana.

    Warto, aby wszyscy pracownicy znali podstawy, z jakich mogą korzystać w przypadku danych, które przetwarzają w swoich działach i że przede wszystkim zgoda nie jest jedyną z nich. Doszkolenie pracowników z tych podstaw, omówienie przykładów wykorzystania danych i potwierdzenie, na jakich podstawach mogą się opierać w trakcie bieżącej pracy pomoże uniknąć sytuacji, kiedy każdy jeden formularz czy umowa zawiera błędne stwierdzenie, że np. „użytkownik wyraża zgodę na przetwarzanie danych w celu realizacji zamówienia”.

     

    • obowiązujące w firmie polityki ochrony danych i powiązane procedury

    Mimo opracowania kompletu dokumentów dotyczących zasad ochrony danych osobowych, często okazuje się, że pracownicy o nich po prostu nie wiedzą. Być może nawet mają dostęp do ich treści (np. zostały rozesłane na e-maile, są dostępne w Kadrach albo w Intranecie), ale ich objętość zniechęca do uważnego przeczytania. Taka sytuacja jest dla firmy niebezpieczna, bo oznacza, że wdrożenie RODO kończy się tylko na papierze. Pracownicy muszą być okresowo szkoleni z tego, jakie są zasady ochrony danych wynikające z RODO i jakie dedykowane procedury w firmie dotyczą tych zasad.

     

    • reagowanie na incydenty

    Aby IOD czy Dział IT prawidłowo ocenili incydent bezpieczeństwa przede wszystkim muszą posiadać o nim (lub o jego podejrzeniu) informację. Informacja taka z kolei może być przekazana tylko przez kogoś kto wie, jakie zdarzenie może być uznane za naruszenie bezpieczeństwa i jaki zakres informacji na pewno będzie potrzebny w minimalnym zakresie. Zatem każdy pracownik powinien posiadać kompletne informacje o tym, czym jest naruszenie ochrony danych i jak w takim przypadku postępować.

     

    • zabezpieczenie danych

    Chociaż temat wydaje się stary, jak świat, to nadal do wielu naruszeń dochodzi z powodu błędu w zabezpieczeniu lub braku wiedzy, co do prawidłowego zabezpieczenia danych. Szkolenie personelu z zabezpieczeń danych na miejscu pracy, zagrożeń podczas korzystania z sieci, czy ataków socjotechnicznych skutecznie podniesie poziom wiedzy w tym zakresie.

     

    Brak uświadamiania pracowników o takich podstawowych wydawałoby się kwestiach to duża luka w systemie ochrony danych osobowych, a tylko wstępne lub okresowe szkolenia mogą zapobiec jej pogłębianiu się.

     

    Jakie szkolenie wybrać i jak je przeprowadzić?

    Szkolenie może, ale nie musi być prowadzone przez IOD (może być np. zlecone zewnętrznej firmie z doświadczeniem w tym temacie). To do firmy należy wybór najbardziej efektywnego środka, ale aby szkolenie zapadło uczestnikom w pamięci warto wziąć pod uwagę to, żeby było dostosowane do potrzeb i przeprowadzone ciekawie. Moje propozycje to między innymi:

    1. szkolenie stacjonarne dla grup – z podziałem na konkretne działy lub obszary w firmie (np. Kierownictwo, HR, Marketing), aby omawiać tematy dotyczące „codziennego dnia” tych działów/obszarów. Dzięki temu pracownicy nie będą mieć poczucia, że mówimy o teoretycznej abstrakcji
    2. szkolenie typu „case study” – omawianie konkretnego przypadku, na praktycznym przykładzie
    3. zamiast szkoleń stacjonarnych – przeprowadzenie szkolenia on-line. Zdalna forma uczestniczenia w szkoleniu może się okazać atrakcyjna dla pracowników
    4. testy wiedzy – warto zakończyć szkolenie testem w zakresie tematu omawianego na szkoleniu
    5. interaktywny e-learning z quizem – często przyjemna forma i grafika sprawiają,
      że wiedza przyswaja się łatwiej i zostaje w głowie na dłużej

     

    Zarówno ja, jak i nasz Zespół iSecure przeprowadziliśmy już wiele szkoleń z zakresu ochrony danych osobowych i chętnie podzielimy się naszym doświadczeniem w tym zakresie 🙂

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Olga Jaworowska

    Formy wyrażenia zgody na przetwarzanie danych osobowych

    Celem jaki przyświecał Parlamentowi Europejskiemu i Radzie Unii Europejskiej podczas uchwalania ogólnego rozporządzenia o ochronie danych, oprócz wzmacniania i konwergencji gospodarek na rynku wewnętrznym, było także takie zorganizowanie przetwarzania danych osobowych, aby służyło ludzkości (motyw 4 RODO). RODO to nie tylko obowiązki i obostrzenia w zakresie ochrony danych osobowych dla administratorów danych. RODO wprowadziło także wiele […]

    Czytaj więcej
    Maciej Łukaszewicz

    Udostępnienie danych osobowych do organów publicznych – czy pracodawca może to zrobić?

    Jednym z wielu wyzwań, z którym mierzą się pracodawcy, zapewniając pełną zgodność organizacji z przepisami ogólnego rozporządzenie o ochronie danych osobowych (RODO), jest konieczność udostępniania danych osobowych pracowników do organów publicznych tj. Policja, Prokuratura, Sąd, Urzędy. Przy dużej organizacji zatrudniającej po kilkadziesiąt, a nawet kilkaset pracowników takie sytuacje występują dość regularnie. Czy pracodawca może udostępnić […]

    Czytaj więcej
    Agnieszka Rapcewicz

    Czy zgodnie z RODO można wysyłać kartki świąteczne do klientów lub potencjalnych klientów?

    Zbliżają się Święta Bożego Narodzenia, a firmy rozpoczynają wysyłkę kartek świątecznych do aktualnych, byłych lub potencjalnych klientów. Niekiedy do kartek dołączają oferty dotyczące świadczonych usług lub sprzedawanych produktów (zwłaszcza teraz, w czasie pandemii, chcąc pozyskać nowych klientów). Otrzymujemy w związku z tym pytania, czy takie działania są zgodne z RODO. W niniejszym wpisie wyjaśniamy, co […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki
    UWAGA!
    Informujemy, że w ostatnim czasie pojawiły się przypadki podszywania się pod naszą firmę. Oszuści wykorzystują naszą nazwę, adres, NIP oraz logo, wysyłając fałszywe faktury z nieprawidłowym numerem rachunku bankowego.
    ⚠️ Prosimy o zachowanie szczególnej ostrożności i dokładne weryfikowanie danych nadawcy oraz numeru konta przed dokonaniem płatności.
    Prawdziwe faktury wystawiane przez iSecure zawsze zawierają numer konta: PL62 1140 2004 0000 3202 7863 9118 (dla płatności w PLN) bądź PL17 1140 2004 0000 3612 0768 4683 (dla płatności w EUR).
    W razie wątpliwości prosimy o kontakt pod adresem: kontakt@isecure.pl
    Dziękujemy za czujność i współpracę.