Ogólne rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, potocznie zwane RODO, obowiązuje już od przeszło dwóch lat. Pojawiają się jednak wątpliwości czy szkolenia RODO dla pracowników są obowiązkowe. Dodatkowo niejasnym jest kto posiada uprawnienia do przeprowadzania takich szkoleń oraz jak wykazać fakt odbycia ich w razie kontroli.
Obowiązki wynikające z RODO
Wdrożenie przepisów RODO w Polsce wywołało sporo nerwów, szczególnie wśród przedsiębiorców. Powodem tego były nowe warunki przetwarzania danych osobowych oraz rodziły się pytania czy z powodu RODO będą oni narażeni na dodatkowe koszty. Wszyscy liczyli na wyjaśnienia organu nadzorczego, którym był do czasu wejścia w życie nowych przepisów Generalny Inspektor Ochrony Danych Osobowych. Niestety urząd zajął się w dużej mierze problemem własnego przekształcania, ponieważ po rozpoczęciu obowiązywania nowych przepisów zmieniała się jego struktura na Prezesa Urzędu Ochrony Danych Osobowych. Dlatego też przedsiębiorcy nie doczekali się szerokiej i czytelnej akcji informacyjnej.
Podstawowym pytaniem, jakie pojawiało się w przestrzeni publicznej było czy przedsiębiorca musi przeszkolić pracowników z zakresu ochrony danych osobowych oraz kto jest władny do przeprowadzania takich szkoleń. Niestety pomocną dłoń do przedsiębiorców nie wyciągnął sam… tekst rozporządzenia, ponieważ jest to akt europejski, bezpośrednio stosowany we wszystkich państwach Wspólnoty. Taka konstrukcja powoduje niekiedy problemy w bezpośrednim tłumaczeniu przepisów. Niemniej jednak na administratorze danych, którym jest przedsiębiorca, spoczywa obowiązek zapewnienia prawidłowego przetwarzania danych osobowych w swojej organizacji, a tym samym przeszkolenia pracowników.
Kto może szkolić pracowników?
Wymagania co do formy szkolenia RODO dla pracowników nie zostały określone w przepisach. Wynika z nich jedynie, że w sytuacji powołania w przedsiębiorstwie Inspektora Ochrony Danych Osobowych to na nim ciąży obowiązek przeprowadzania szkoleń. Jeśli taka funkcja w zakładzie pracy nie została wyznaczona, szkolenia powinien zapewnić administrator danych, a więc pracodawca.
Należy uważać na pojawiających naciągaczy, żerujących na niewiedzy. Często oferują oni „jedyne prawidłowe szkolenie”, które pozwoli na uniknięcie kary nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych. Podkreślić należy, że nie zostały określone prawne wytyczne, w jaki sposób takie szkolenie powinno zostać przeprowadzone. Tym samym nie istnieją żadne firmy uprawnione czy certyfikujące z zakresu szkoleń.
Przyjmuje się, iż administrator danych osobowych lub inspektor ochrony danych powinien zapoznać swoich pracowników ze standardami panującymi w firmie w zakresie ochrony danych. Nie ma prawnego obowiązku posiadania jakichkolwiek certyfikatów czy zaświadczeń wydanych przez zewnętrzne podmioty!
Pracownicy powinni zostać zapoznani z obowiązkiem zachowania w tajemnicy informacji o danych osób, które przetwarzają w związku z wykonywaną pracą. Dodatkowo nie mogą ujawniać informacji osobom postronnym oraz powinni dążyć do uniemożliwienia odczytania danych pozostałym klientom.
Częstotliwość przeprowadzania szkoleń
Przedsiębiorcy obawiają się w znacznej mierze, że poprzez nieprawidłowe przeszkolenie zostanie w razie kontroli, nałożona na nich kara finansowa. Należy podkreślić z całą stanowczością, iż pracownik przed przystąpieniem do czynności powinien zostać przeszkolony z zakresu ochrony danych osobowych. Nie można doprowadzić do sytuacji, w której pracodawca powierzy pracownikowi zadania, podczas których będzie on miał styczność z danymi, bez wcześniejszego przeszkolenia. Taka sytuacja może doprowadzić do nałożenia kary przez UODO na pracodawcę.
A co w przypadku, gdy pracownicy zostali już przeszkoleni? Czy istnieją wymagania mówiące o okresach pomiędzy, którymi pracownicy powinni zostać ponownie przeszkoleni? Na to pytanie RODO również nie odpowiada wprost. Jednak z pomocą przedsiębiorcom przyszło Ministerstwo Cyfryzacji, czyli podmiot wdrażający przepisy w Polsce. Ministerstwo w swojej akcji informacyjnej sugeruje, aby szkolenie odbywało się raz do roku, w celu utrwalenia wiedzy wśród pracowników. Jednak jest to sugestia, która nie stanowi wiążącej wytycznej.
Co w razie kontroli?
Kontrola przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych sprowadza się głównie do weryfikacji dokumentów dotyczących ochrony danych. Tym samym, również kontrolerzy, zwrócą w szczególności, uwagę na to czy szkolenia z ochrony danych zostały przeprowadzone. W jaki sposób udowodnić, że pracownik został prawidłowo przeszkolony?
Tutaj również z pomocą, ponownie przychodzą wytyczne ministerstwa – wg. nich pracodawca powinien podczas formalnych czynności zatrudniania pracownika, do umowy o pracę i innych dokumentów, przekazać do podpisania również oświadczenie o zapoznaniu się z dokumentacją z zakresu ochrony danych osobowych. Kolejnym obowiązkiem pracodawcy będzie przeprowadzenie szkolenia RODO i również otrzymanie oświadczenia o udziale osoby na piśmie.
W przypadku szkoleń okresowych istnieje również możliwość zebrania odpowiednich oświadczeń. Trudność wystąpi w firmach, w których zatrudniona jest większa liczba pracowników. Wtedy zasadnym będzie, jedynie przygotowanie stosownego dokumentu potwierdzającego fakt przeprowadzenia szkolenia oraz opisu jego zakresu. Taki dokument można dołączyć do dokumentacji z zakresu ochrony danych osobowych, prowadzonej w organizacji i okazać w razie kontroli urzędu.