Jak skutecznie szkolić z ochrony danych osobowych?

Czy warto szkolić?

Odpowiedź na tak postawione pytanie jest oczywista. Warto, a nawet trzeba szkolić. Dwa najważniejsze powody to:

  • Po pierwsze, zapoznanie pracowników z przepisami i regulacjami dotyczącymi ochrony danych osobowych, jest obecnie obowiązkiem przewidzianym w ustawie o ochronie danych osobowych. Obowiązek jest niezależny od tego czy wyznaczono Administratora Bezpieczeństwa Informacji (ABI) czy też nie.

Do zadań administratora bezpieczeństwa informacji należy m.in. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.

Art. 36a oraz art. 36 b Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922, dalej uodo)

  • Równie ważną motywacją dla administratora danych powinna być chęć zabezpieczenia przetwarzanych danych osobowych. W swoim raporcie za pierwsze półrocze 2016 roku, Agencja Infowatch szacuje, że aż 66% wycieków danych przypisuje się działaniom pracowników (źródło: https://infowatch.com/report2016_half#). Działania te mogą być celowe bądź niezamierzone. Autorzy raportu szacują, że ilość działań zamierzonych i przypadkowych, jest dość podobna.

Wyniki badań przedstawione przez Infowatch są zgodne z naszym wieloletnim doświadczeniem zawodowym w zakresie ochrony danych osobowych. Zdecydowana większość incydentów ochrony danych osobowych, którym musieliśmy stawić czoła, powodowana była różnego rodzaju błędami ludzkimi.

Najczęstsze niezamierzone błędy mogą polegać na:

  • Wyrzucaniu dokumentacji zawierające dane osobowe luzem do śmieci, bez uprzedniego zniszczenia w niszczarce
  • Recykling papieru, polegający na dwustronnym druku. Połączony z brakiem selekcji materiału i wręczaniu podwójnie zadrukowanych kartek papieru z danymi np. klientów.
  • Zbyt liberalne podejście do udostępniania informacji osobom wnioskującym. Mogą to być interesanci ubiegający się o informację w trybie ustawy o dostępie do informacji publicznej. W przypadku przedsiębiorstw mogą być to np. współmałżonkowie zainteresowani tym, do ja
  • Wysyłanie masowej korespondencji wielu odbiorcom w kopii odkrytej
  • Nie respektowanie praw osób, których dane są przetwarzane. Np. prawa do informacji.
  • Nieodpowiedzialne korzystanie z mobilnych nośników danych, które szczególnie podczas transportu narażone są na zgubienie: laptopów, smartfonów, pendrive’ow, itd.

Świadome działania mogą przybierać różną formę:

  • Wykradanie nośników danych,
  • Udostępnianie haseł i loginów osobom trzecim,
  • Kopiowanie baz danych i sprzedaż konkurencji / firmom marketingowym,
  • Udostępnianie informacji wewnętrznych pracownikom do tego nieuprawnionym,

Motywacja świadomych działań również bywa bardzo różna. Mogą to być działania podyktowane chęcią zysku (sprzedaż bazy danych). Czasem mogą być formą „zemsty” na pracodawcy lub byłych współpracownikach.

Na niezamierzone błędy i świadome działania, najlepszym środkiem zapobiegawczym są szkolenia. Trening, który pogłębi świadomość zagrożeń oraz odpowiedzialności.

Co na temat szkoleń mówi europejskie Rozporządzenie o ochronie danych z 6 kwietnia 2016 (dalej: RODO)? Nowe przepisy nie są obojętne na kwestie związane ze świadomością i treningiem. Jednym z zadań Inspektora Ochrony Danych, jest szkolenie personelu przetwarzającego dane osobowe.

 art. 39 ust. 1 pkt b RODO

Jakie formy szkolenia zastosować?

Najczęściej stosowane w praktyce formy treningu to:

  • Szkolenie stacjonarne
  • E-learningi
  • Webinaria
  • Auto-szkolenie: wysyłanie pracownikom materiałów do samodzielnej nauki

Kolejność nie jest przypadkowa. Szkolenia uporządkowałem od tych najbardziej efektywnych do tych, których efektywność jest niższa.

Ale też nie we wszystkich przypadkach, najbardziej kosztowne szkolenie stacjonarne, będą najlepszym rozwiązaniem.

Dlatego przy doborze formy szkolenia, zastanówmy się nad następującymi kryteriami:

  • Efektywność przekazywanej wiedzy. To bardzo ważne kryterium. Nic nie zastąpi realnego kontaktu z żywym człowiekiem. Jeśli ABI prowadzi szkolenie osobiście, dużym walorem jest sam fakt poznania osoby odpowiedzialnej za bezpieczeństwo danych osobowych. Nawiązanie relacji przekłada sie później na budowanie zaufania i zgłaszanie realnych problemów do ABIego.

Dzięki temu ABI ma szerszy wgląd w kwestie bezpieczeństwa. Organizacja daje też wyraźny komunikat swoim pracownikom: „o bezpieczeństwo danych osobowych należy dbać, a prowadzący szkolenie, to człowiek odpowiedzialny za dane osobowe.”

  • Jakość. Szkolenie szkoleniu nierówne. Dotyczy to każdej formy przekazywania wiedzy. Nie każdy ABI jest urodzonym trenerem i w niektórych jego szkolenia mogą wywołać efekt odwrotny od zamierzonego – w najlepszym wypadku uśpić uczestników, a w najgorszym – zniechęcić ich do tematu ochrony danych osobowych.

Tak samo nie każde szkolenie e-learningowe jest „lekkostrawne” dla użytkownika. Na rynku jest cała masa e-szkoleń tworzonych na zasadzie – „kopiuj-wklej z ustawy”. Tworzone w ten sposób „slajdumenty” liczące niemal 100 stron mają zerową skuteczność, nikt ich nie czyta, a jedyny efekt jaki wywołują to słuszna irytacja ze strony użytkownika. W końcu odciągamy go od codziennych obowiązków!

Dlatego zalecamy korzystanie z nowoczesnych form e-learningowych, angażujących użytkowników (gry, interakcje, animacje), zawierających tylko niezbędną wiedzę i podanych w „lekkostrawnej” i estetycznej formie. Zobacz na przykład wersję demo e-learningów które oferujemy swoim Klientom:

Przygotuj swoich pracowników do RODO

Skorzystaj z naszych innowacyjnych, interaktywnych e-szkoleń. Przekonaj się, że e-learningi nie muszą być nudnymi, brzydkimi blokami tekstu, których pracownik nie zapamięta. Brzmi interesująco? Zapraszamy do naszego e-sklepu 😉 Kup e-szkolenia
  • Koszt szkolenia. Trudną do zaakceptowania sytuacją byłoby, gdyby koszt szkoleń był większy niż korzyści z nich płynące. Dlatego kryterium kosztu, ma również bardzo duże znaczenie.

W „organizacji idealnej” wszyscy pracownicy znają ABIego i są przez niego osobiście szkoleni. Jednak jak powszechnie wiadomo, ideały w przyrodzie raczej nie występują. Koszty szkoleń stacjonarnych są zdecydowanie największe. Dlatego w wielu przypadkach konieczne jest znalezienie rozsądnego kompromisu. Takim kompromisem mogą być szkolenia w formie e-learningu lub webinaria.

  • Elastyczność. Pod tym pojęciem rozumiem możliwość szybkiej realizacji szkolenia np. dla pojedynczych nowo zatrudnionych pracowników. Jest to szczególnie istotne w zakładach pracy, gdzie występuje duże rozproszenie terytorialne oraz/lub duża rotacja. Oczywiście w tej kategorii zdecydowanie przodują e- learningi i auto – szkolenia.

 Która forma najlepiej sprawdzi się w mojej organizacji?

Nie ma idealnej formy szkoleniowej. Albo będzie taniej i bardziej elastycznie (e-learningi) ale za to nieco mniej efektywnie. Choć tutaj efektywność w dużej mierze zależy od jakości e-szkolenia. Albo będzie drożej i mniej elastycznie ale za to bardziej efektywnie (szkolenia stacjonarne).

Dlatego zanim postanowimy rozpocząć realizację szkoleń, zaplanujmy ten proces długofalowo. Co z tego, że przeszkolimy solidnie pracowników obecnie przetwarzających dane osobowe, jeśli nowo zatrudniane osoby w ogóle nie będą szkolone.

Jeśli nasza organizacja posiada oddziały na terenie całego kraju, to też jest to argument za wdrożeniem którejś z form szkoleń zdalnych np. webinariów czy e-learningów.

U wielu z naszych Klientów znakomicie sprawdza się system, który polega na osobistym przeszkoleniu kierowników oddziałów. Jednym z ich obowiązków jest zgłaszanie każdorazowo nowego pracownika oddziału do przeszkolenia e-learningowego.

Jeśli nasza organizacja posiada jedną lokalizację – to na pewno jest to argument za szkoleniem stacjonarnym. W takiej sytuacji koszt szkoleń stacjonarnych może być porównywalny z webinariami czy szkoleniami e-learningowymi.

Zupełnie osobną kwestią są tzw. Auto – szkolenia. Takie rozwiązanie polecam tylko w ostateczności. W zdecydowanej większości przypadków po prostu się ono nie sprawdza.

Pracownicy co prawda podpisują fakt przyjęcia do wiadomości pewnych instrukcji czy procedur. Jednak w praktyce często ich nie rozumieją. Zdarza się, że zapominają treść już następnego dnia od realizacji „szkolenia”.

Materia jest dość trudna i skomplikowana, każąc pracownikom, którzy w większości nie są prawnikami, czytać z głębokim zrozumieniem regulaminy czy ustawy i rozporządzenia, nie oczekujmy od nich dużego zaangażowania i przyswojenia materiału.

Kto powinien szkolić?

I tutaj po raz kolejny, mamy do wyboru kilka rozwiązań. I jak w przypadku doboru formy, każde z nich będzie miało swoje atuty.

Najczęściej spotykane rozwiązania to:

  • ABI szkoli osobiście,
  • Szkolenie realizowane przez trenera zewnętrznego,
  • Szkolenie realizowane przez trenera wewnętrznego,

Jestem zwolennikiem realizowania szkoleń przez Administratora Bezpieczeństwa Informacji osobiście.

Pozwala to na nawiązanie bezpośredniej relacji z pracownikami. ABI przestaje być anonimową osobą. Co więcej w trakcie dobrze zrealizowanego szkolenia, ABI uzyska bardzo cenną informację zwrotną o stosowanych zabezpieczeniach i ich słabych punktach.

Niestety realizowanie szkoleń często łączy się z dużym poziomem stresu. Potrzebna jest także umiejętność przekazywania wiedzy i wysokie zdolności interpersonalne. Szacuje się, że tylko znikomy procent populacji, potrafi działać skutecznie będąc wystawionymi na tak dużą „ekspozycję społeczną”.

Nie powinniśmy więc zmuszać ABIego do realizowania szkoleń. Administrator danych może ewentualnie pomóc ABIemu poprzez odpowiednie szkolenie trenerskie.

Jeśli szkolenie nie będzie realizowane przez ABIego osobiście, możemy zaangażować trenera zewnętrznego. Takie rozwiązanie często też pomaga ABIemu „przełamać pierwsze lody”. W wielu organizacjach pracownicy odnoszą się sceptycznie do wielu obowiązków, ustanowionych przez ABIego. W takich przypadkach często argumenty pochodzące od „osoby z zewnątrz” mogą przekonać wielu opornych.

Jeśli ABI nie ma odpowiednio dużego autorytetu, trener zewnętrzny może bardzo pomóc w takiej sytuacji. Ekspert zewnętrzny, który przedstawi i pokaże, że działania ABIego są wymogiem prawnym i dają wiele praktycznych korzyści, uwiarygodni świeżo upieczonego ABIego i pomoże mu w pracy.

W dużych korporacjach często zatrudniani są wewnętrzni trenerzy. To osoby z dużą wiedzą i przygotowaniem merytorycznym do prowadzenia szkoleń. Niestety, z reguły bez głębszej wiedzy w zakresie ochrony danych osobowych. Brak wiedzy nie będzie tu jednak problemem, jeśli ta wiedza zostanie przekazana trenerowi np. przez ABIego.

Szkolenie może być wtedy skutecznie realizowane w duecie – ABI – trener. I również być bardzo efektywne.

Jak odpowiednio dobrać cele szkoleniowe?

Jednym z najczęstszych błędów popełnianych przez trenerów, zajmujących się ochroną danych osobowych, jest realizacja szkolenia bez uprzedniego zastanowienia się nad celami szkolenia.

Zastanówmy się krótko, jakie mogą być cele szkolenia z zakresu ochrony danych osobowych:

  • Wyjaśnienie podstawowych definicji,
  • Kształtowanie świadomości,
  • Wprowadzenie do organizacji Administratora Bezpieczeństwa Informacji (nawiązanie relacji z pracownikami),
  • Poinformowanie o odpowiedzialności,
  • Przekazanie informacji dotyczących obowiązków szkolonych osób (np. konieczność zgłaszania ABI planowanego tworzenia nowych zbiorów danych),
  • Przekazanie informacji nt. praktycznych zasad bezpiecznego przetwarzania danych osobowych w formie papierowej i elektronicznej,
  • Ćwiczenia warsztatowe, dotyczące konkretnych przypadków przetwarzania danych osobowych (np. dla infolinii czy marketingu),

Im więcej celów sobie wyznaczymy, tym dłużej szkolenie będzie trwało. Najbardziej czasochłonne będą oczywiście elementy szkolenia związane ćwiczeniami warsztatowymi.

Cele zdecydowanie powinniśmy dobierać w zależności od tego, kogo będziemy szkolić.

W przypadku grupy pracowników zajmujących się ochroną danych osobowych, jedynie w sposób incydentalny czy poboczny, ćwiczenia warsztatowe będą najczęściej zbędne.

Grupami mogącymi wymagać ćwiczeń warsztatowych mogą być np. pracownicy działów marketingu, kadr czy infolinii.

Jak dobrać adekwatny czas szkolenia?

Przy doborze czasu szkolenia stacjonarnego, zachowajmy pewną elastyczność.

Czas trwania szkolenia powinien zależeć przede wszystkim od tego, jaki cel stawiamy realizowanemu szkoleniu.

W zależności od koncentracji na różnych celach szkoleniowych, wyróżniam następujące rodzaje szkoleń:

  • Szkolenie informacyjne, mające na celu przekazanie podstawowych informacji dotyczących definicji i podstawowych procedur. A także nawiązania bezpośredniego kontaktu z Administratorem Bezpieczeństwa Informacji. Główne cele: przyswajanie podstawowej wiedzy (szkolenie informacyjne).
  •  Szkolenie informacyjne, połączone z częścią warsztatową, dotyczącą konkretnego zagadnienia. Np. dla pracowników infolinii. Główne cele: przyswajanie podstawowej wiedzy oraz praktyczne wykorzystanie zdobywanej wiedzy, (szkolenie informacyjno – warsztatowe).
  • Szkolenie warsztatowe dla pracowników posiadających już podstawową wiedzę z zakresu ochrony danych osobowych. Główne cele: praktyczne wykorzystanie zdobywanej lub już posiadanej wiedzy, (szkolenie warsztatowe).

Zdecydowanie najczęściej realizowanym szkoleniem, będzie szkolenie informacyjne. Jeśli szkolenie będzie trwało zbyt krótko, nie zdążymy przekazać wszystkich ważnych informacji. Co więcej, prowadzący szkolenie będzie się dodatkowo stresował, bo każda nieprzewidziana sytuacja czy dodatkowe pytanie „z sali”, sprawi, że zabraknie czasu na podstawowy program szkolenia.

Dlatego ćwicząc szkolenie warto założyć pewien margines czasowy.

Zbyt długie i zbyt „przeładowane” niepotrzebną wiedzą szkolenie, sprawi, że uczestnicy będą się nudzili. Co więcej zabierzemy im wtedy czas, potrzebny na ich codzienne obowiązki, co często wywołuje frustrację wśród szkolonych osób.

Podstawowe szkolenie informacyjne, na którym pracownicy dowiedzą się o kluczowych definicjach oraz o tym kto pełni funkcję ABI, może trwać ok 2h zegarowych.

Szkolenia warsztatowe bądź częściowo warsztatowe, mogą trwać dłużej. Ilość czasu będzie tutaj zależna od ilości warsztatów i stopnia skomplikowania zagadnienia.

Proponuję następujące wymiary czasów szkoleń:

  • Szkolenie informacyjne (1,5 – 2h)
  • Szkolenie informacyjno – warsztatowe ( 2-4h)
  • Szkolenie warsztatowe (4-6h)

Grupa szkoleniowa

Jeśli wiemy już jakie cele chcemy zrealizować naszym szkoleniem i ile czasu poświęcimy na szkolenie, zastanówmy sie nad doborem odpowiedniej grupy szkoleniowej.

Warto pamiętać o kilku uniwersalnych zasadach:

  • Do szkoleń o charakterze czysto informacyjnym, nie bójmy się wybierać dużych grup szkoleniowych. Dużych, czyli liczących 30 – 60 osób. Powyżej takiej liczby szkolenie zamieni się w wykład.
  • Im większa grupa szkoleniowa, tym mniejsza szansa na dyskusje i bezpośrednią wymianę informacji między prowadzącym, a uczestnikami.
  • Jeśli chcemy realizować cele szkoleniowe w formie warsztatów, dobierajmy małe grupy szkoleniowe: 10 -25 osób.
  • Bardzo małe grupy szkoleniowe, nie zawsze przekładają się na efektywność szkolenia. Szkolenie dwóch osób niekoniecznie będzie bardziej efektywne, niż 10.
  • Szkolenie dużych grup jest bardziej męczące dla samej osoby prowadzącej. Utrzymanie porządku i dyscypliny jest wtedy znacznie trudniejsze.

Warto również przemyśleć dobór grupy szkoleniowej pod kątem obszaru specjalizacji zawodowej. Np. w szpitalu dobrym pomysłem może być odrębne przeszkolenie lekarzy, pielęgniarek i personelu administracyjnego.

W dużych korporacjach korzystne może być osobne przeszkolenie pracowników kadr, marketingu i pracowników infolinii.

Z kolei w mniejszych i średnich przedsiębiorstwach, takie podziały byłyby sztuczne i skutkowałyby odrębnymi szkoleniami dla grup np. 5 osobowych, co też niekoniecznie byłoby korzystne.

Sala i narzędzia szkoleniowe

Wbrew pozorom, odpowiedni dobór sali szkoleniowej, również jest ważnym elementem, wpływającym na jakość szkolenia.

Jeśli sala będzie zbyt mała i uczestnicy będą „wchodzili sobie na głowy”, gwarantuję, że poziom szkolenia znacząco spadnie. Duża część energii prowadzącego zostanie poświęcona na dyscyplinowanie grupy.

Dostępność i wielkość sal szkoleniowych powinna również być czynnikiem, decydującym o liczebności grupy szkoleniowej.

Na rynku możemy znaleźć cały arsenał narzędzi wspomagających pracę trenera. Ja osobiście, za niezbędnik trenera, uznaję trzy z nich:

  • Projektor,
  • Pilot do zdalnego przełączania slajdów,
  • Flipchart,

Organizatorzy szkolenia czasem zapominają o wygodzie i komforcie samego prowadzącego szkolenie. Trener również powinien mieć gdzie usiąść. Powinien mieć także nieco przestrzeni oddzielającej go od uczestników.

Jeśli trener nie zadba o własny komfort pracy, będzie to z pewnością niekorzystne również dla uczestników szkolenia.

Podsumowanie

Przystępując do realizacji szkoleń z ochrony danych osobowych, proponuję zastosować poniższy schemat działania:

  • Zastanawiamy się nad formą szkolenia (stacjonarne, e-learning etc.),
  • Wybieramy osobę prowadzącą szkolenie / rozwiązanie e-learningowe,
  • Dobieramy cele szkoleniowe,
  • Ustalamy czas trwania szkolenia,
  • W zależności od dostępności i wielkości sal oraz od samych uczestników – dobieramy odpowiednią liczebność grup szkoleniowych.

Po przeanalizowaniu i przemyśleniu wszystkich powyższych „zmiennych”, będziemy prawie gotowi do realizacji pierwszego szkolenia.

Prawie, dlatego, że brakuje nam jeszcze jednego bardzo ważnego elementu.

Nie mamy jeszcze koncepcji na przekazanie wiedzy. Nie wiemy też w jaki sposób przygotować dobrą prezentację.

O tym wszystkim napiszę już w kolejnym artykule.

Źródła:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922),
  • Kilka tysięcy godzin szkoleniowych z tematu „ochrona danych osobowych”
  • Raport Infowatch: https://infowatch.com/report2016_half# 

 

Powiązane artykuły

Lista lektur prawniczych Inspektora Ochrony Danych

7 Odpowiedzi

    1. Kancelaria Lex Artist

      Witamy 🙂 w tym przypadku warto spytać bezpośrednio Administratora Danych czyli firmę rekrutacyjną. Co do zasady jeśli ustał cel przetwarzania danych powinny być one usunięte. pozdrawiamy

  1. Marek

    Dzień dobry. Rozporządzenie o ochronie osób fizycznych… jest z 27 kwietnia 2016 roku. Ale nie to jest najważniejsze. Szukam odpowiedzi na pytanie: jaka jest podstawa do prowadzenia szkoleń z zakresu ochrony danych osobowych zgodnie z RODO? Co prawda w artykule jest wskazany art. 39 ust. 1 pkt b RODO, ale znalazłem interpretacje sugerujące, że IOD monitoruje przestrzeganie RODO pod względem przeprowadzania szkoleń, tzn. sprawdza, czy skzolenia są przeprowadzane.
    Proszę o odpowiedź.
    Pozdrawiam.
    Marek Kuziak

    1. Kancelaria Lex Artist

      Dzień dobry. Podąża Pan dobrym tropem. 🙂 Podstawa prawna, którą Pan wskazał jak właściwą dla przeprowadzania szkoleń w ramach RODO. Przy czym wyróżnia się dwa aspekty tej sprawy – w przepisie są podane po pierwsze „działania zwiększające świadomość” a po drugie „szkolenia personelu uczestniczącego w operacjach przetwarzania”. Natomiast w przepisie jest też sformułowanie „monitorowanie przestrzegania niniejszego rozporządzenia” – to jednak pojęcie szersze i bardziej ogólne. Tak więc ostatecznie – RODO nakłada na IOD-a obowiązek monitorowania przestrzegania RODO, w tym zawierają się jego działania podnoszące świadomość, a jednym z nich jest szkolenie personelu, który bierze udział w czynnościach przetwarzania. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO