Rozporządzenie
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), obowiązuje już ponad dwa lata. Wiąże się to z dodatkowymi obowiązkami nakładanymi na przedsiębiorców w związku z przetwarzaniem przez nich danych osobowych. Jednym z koniecznych w ocenie SDP przedsięwzięć koniecznych do osiągnięcia zgodności z wymogami RODO jest przeprowadzenie stosownych szkoleń dla pracowników. I choć nigdzie wprost taki obowiązek nie został zapisany (z jednym wyjątkiem), to w naszej ocenie jest to jeden z elementów niezbędnych, a konieczność prowadzenia szkoleń należy mimo wszystko interpretować z samej treści RODO.
Zgodnie z artykułem 24 RODO administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie RODO i aby móc to wykazać. Tym odpowiednim środkiem organizacyjnym stosownie do przywołanego przepisu w naszej ocenie będą m.in. regularne szkolenia pracowników. Jest to jednocześnie najprostszy i najłatwiejszy do wykazania środek organizacyjny, a zarazem zabezpieczenie danych. Należy przy tym pamiętać, że przeprowadzane szkolenia należy udokumentować aby móc wykazać, że przedsiębiorstwo wypełnia obowiązki wynikające z RODO. Wykazaniu przeprowadzenia szkolenia posłużyć może na przykład lista obecności uczestników szkolenia albo
stosowne sprawozdanie lub protokół. Paradoksalnie nie można zapomnieć, że lista uczestników to dokument zawierający dane osobowe, który także należy chronić.
W dalszej części RODO (art. 39) przeczytamy, że na Inspektora ochrony danych (o ile został powołany) nałożony jest obowiązek„szkolenia personelu uczestniczącego w operacjach przetwarzania”. Jest to jedyny zapis RODO wymieniający z nazwy „szkolenie” odnosząc się do każdego administratora danych, co prawda dotyczy przypadku, w którym IOD został wyznaczony, jednak daje to pewnego rodzaju odniesienie. Nawet w przypadku niepowołania przez przedsiębiorcę IOD przeszkolenie personelu z zakresu problematyki ochrony danych osobowych jest uzasadnione. Każdy pracownik to bezcenne aktywo pracodawcy, ale niestety również potencjalne źródło wycieku danych osobowych. Szkolenie jest pomocne, żeby minimalizować wskazane ryzyko nieumyślnego ujawnienia danych osobom nieuprawnionym. W trakcie szkolenia łatwo omówić sporządzone przez pracodawcę procedury, regulaminy i inne regulacje wewnętrzne, które żeby rzeczywiście funkcjonować na co dzień, musza zostać przyswojone przez pracowników i dopiero wtedy przez nich będą realizowane. I choć można polegać na dobrej woli pracownika, który zobowiązał się do przestrzegania każdej wewnętrznej regulacji to racjonalnie podchodząc do tematu w dzisiejszych czasach nie wielu z nas ma czas, żeby z uwagą przeczytać obszerne dokumenty. Szkolenia pozwolą osiągnąć pożądany efekt, którym jest odpowiednia świadomość personelu i znajomość przyjętych polityk i procedur. W dobie pandemii warto wspomnieć, że sama forma szkolenia jest dowolna – można polegać na prowadzeniu kursów w formie webinariów, quizów online, czy telekonferencji, a także, choć przy zachowaniu wymogów sanitarnych, pozostać przy klasycznej formie wykładu.
Wspomniany na wstępie wyjątek to przypadek przedsiębiorstwa, które przyjęło i zatwierdziło przed organem nadzorczym Wiążące Reguły Korporacyjne (czasem z ang. BCR – Binding Corporate Rules). W takich podmiotach prowadzenie szkoleń personelu jest obowiązkiem. Wniosek ten płynie z analizy art. 47 ust. 1 i 2 RODO. Wskazany przepis stanowi po pierwsze, że wyznaczony IOD lub osoba odpowiedzialna za monitoring Wiążących Reguł Korporacyjnych odpowiada również za „…monitorowanie szkoleń”, a także że warunkiem zatwierdzenia tekstu reguł korporacyjnych jest zapewnienie „…właściwych szkoleń z zakresu ochrony danych dla personelu mającego stały lub regularny dostęp do danych osobowych”. A więc warunkiem koniecznym do przyjęcia Wiążących Reguł Korporacyjnych jest cykliczne/stałe prowadzenie szkoleń personelu.
Reasumując (o ile nie jest się podmiotem w którym funkcjonują reguły korporacyjne) szkolenie personelu co prawda nie jest obowiązkiem wskazanym wprost w przepisach o ochronie danych. Jednak taka aktywność jest najprostszą interpretacją innych istniejących obowiązków administratora. A przede wszystkim stanowi w praktyce łatwy sposób na wykazanie zgodności z RODO, oraz jest realnym wsparciem dla pracownika, który w gąszczu interpretacji i przepisów nie ma całkowitej pewności co do prawidłowych rozwiązań jakie ma podjąć.
Niezależnie oceniając aspekt od strony czysto prawnej – regularne prowadzenie szkoleń stanowi element zabezpieczenia pracodawcy na gruncie cywilnopranym przed szkodą wyrządzoną przez jego pracownika wynikającą z naruszenia przepisów w zakresie ochrony danych osobowych. W tym miejscu należy pokrótce przypomnieć zasady odpowiedzialności pracowników wynikające z Kodeksu pracy.
Zgodnie z art. 114 Kodeksu pracy ”Pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność materialną według zasad określonych w przepisach niniejszego rozdziału.”
Stosownie do powyższego od strony pracodawcy najważniejsze jest aby pracownik był w pełni poinformowany o swoich obowiązkach, również tych wynikających z RODO. Wina w wyrządzeniu pracodawcy szkody jest bowiem warunkiem koniecznym, do ponoszenia przez pracownika odpowiedzialności, a tą skuteczniej można wykazać gdy pracownik był w pełni świadomy swoich obowiązków. Co więcej, właściwe przeprowadzone szkolenie z zakresu ochrony danych osobowych jest szczególnie ważne w kontekście odpowiedzialności pracownika do pełnej wysokości szkody.
Zgodnie z artykułem 122 Kodeksu pracy: „Jeżeli pracownik umyślnie wyrządził szkodę, jest obowiązany do jej naprawienia w
pełnej wysokości.”
Z uwagi na możliwość wyrządzenia przez pracownika poważnej szkody pracodawcy poprzez naruszenie przepisów o ochronie danych osobowych, pracodawca powinien zapewnić stosowne kursy. Zabezpiecza się w ten sposób, przed ewentualnymi argumentami pracownika, że ten nie wiedział o zasadach przetwarzania danych osobowych i w związku z tym nie ponosi odpowiedzialności za ewentualne naruszenia w tym obszarze. Dlatego też w najlepszym interesie pracodawcy jest organizowanie regularnych szkoleń w zakresie ochrony danych osobowych. Dobrze, jest też gdy szkolenia te mają określoną tematykę i kończą się sprawdzeniem podstawowej wiedzy pracownika w danym obszarze.
Mając powyższe na uwadze według SDP szkolenia pracowników to niezbędny element zachowania zgodności z RODO. Podnosi ono świadomość pracowników w zakresie przetwarzania danych osobowych, a także pozwala uniknąć wielu problemów z zakresu odpowiedzialności za naruszenie w przyszłości. Mamy nadzieję, że rozstrzygnęliśmy potencjalne wątpliwości dotyczące tego czy szkolić, czy nie szkolić pracowników. Zachęcamy jednocześnie do kontaktu z SDP – organizujemy szkolenia zarówno otwarte (dla różnych grup) jak i na życzenie dopasowane do potrzeb Klienta. Wszystkie szkolenia prowadzone przez fachowców, posiadający praktyczną wiedzę w zakresie RODO i przede wszystkim doświadczenie w dzieleniu się nią.