UODO podkreśla wagę szkoleń, jako element ochrony danych osobowych
UODO podczas kontroli Urzędu Miasta i Gminy po naruszeniu bezpieczeństwa danych kolejny raz podkreśla wagę szkoleń, jako jednego z ważnych elementów organizacyjnych zapewniających bezpieczeństwo danych osobowych.
W swojej decyzji o nałożeniu na Burmistrza administracyjnej kary pieniężnej UODO wskazuje, że:
„(…) prawidłowo przeprowadzone szkolenia pozwalają osobom szkolonym na właściwe zrozumienie zasad przetwarzania danych osobowych określonych przez Administratora, a w konsekwencji przyczyniają się do ograniczenia ryzyka wystąpienia naruszeń w tym obszarze. Podnieść również należy, że przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem. Ponadto, w takich szkoleniach muszą brać udział wszystkie osoby upoważnione do przetwarzania danych osobowych, a samo szkolenie musi obejmować swoim programem wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia. Pominięcie któregoś z tych elementów spowoduje, że szkolenie nie spełni swojej roli, bowiem część osób nie zostanie w ogóle przeszkolona albo uczestnicy szkolenia nie otrzymają pełnej wiedzy w danym zakresie. Konsekwencją powyższego może być naruszenie ochrony danych osobowych, tak jak w sprawie będącej przedmiotem niniejszego postępowania. Co więcej, brak przeprowadzania szkoleń w opisany wyżej sposób oznacza, że ten środek bezpieczeństwa w praktyce nie obniża ryzyka wystąpienia naruszeń ochrony danych osobowych, co niewątpliwie przyczynia się do osłabienia poziomu ochrony danych osobowych i przesądza o konieczności uznania naruszenia przepisów rozporządzenia 2016/679 odnoszących do obowiązków administratora w zakresie bezpieczeństwa danych.(…)”
UODO podkreśla, że regularność przeprowadzania przez administratora szkoleń, umożliwia mu skontrolowanie stanu wiedzy pracowników w zakresie zasad ochrony danych osobowych, co może mieć wpływ na identyfikację słabszych elementów ochrony danych i poprawę zabezpieczeń.
Ważny jest też element rozliczalności – Administrator powinien być w stanie udowodnić, że poszczególni pracownicy byli właściwie przeszkoleni w zakresie stosowania przepisów regulujących kwestię ochrony danych osobowych.
Należy więc zadbać o to, by pracownicy systematycznie uczestniczyli w szkoleniach i dysponowali wiedzą pozwalającą im na przetwarzanie danych w sposób zapewniający ich odpowiednie bezpieczeństwo.
Zachęcamy do udziału w organizowanych przez nasz szkoleniach w formie stacjonarnej, online lub samokształcenia obejmujące całość zagadnień związanych z ochroną danych osobowych lub wybrane obszary – w zależności od potrzeb administratora.
Źródło: https://uodo.gov.pl/decyzje/DKN.5131.44.2022