Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Szkolenia jako ważny element ochrony danych osobowych

14-09-2018 Autor: Piotr Topolski

Można mieć najlepsze systemy bezpieczeństwa, procedury opisujące każdą czynność przetwarzania, lecz bez świadomych, odpowiedzialnych i dokształconych ludzi nadal nie będzie bezpiecznie. Jak prowadzić dla nich szkolenia? Jaką metodę wybrać? Wyjaśniamy w niniejszym artykule.

 

Wiele instytucji i przedsiębiorstw ogranicza swoją działalność w zakresie danych osobowych do opracowania dokumentacji oraz do zabezpieczenia infrastruktury informatycznej. W ten sposób popełniają jeden z poważniejszych błędów, jakim jest brak odpowiednich szkoleń z zakresu ochrony danych osobowych dla pracowników. Bardzo często zarząd nie ma świadomości faktu, że najwięcej naruszeń bezpieczeństwa informacji spowodowanych jest błędem ludzkim, który stanowi prawie 80% wszystkich incydentów. Ponadto, jak pokazuje codzienność, pracownicy bardzo często robią kopie danych lub dokumentów i wynoszą je poza firmę. Często się słyszy o przypadkach, kiedy pracownik, odchodząc z firmy, zabiera „pakiet” swoich klientów, cennik lub inne informacje biznesowe, w tym dane osobowe. Takie zachowanie jest najczęściej spowodowane niewiedzą, beztroską lub poczuciem bezkarności pracowników. Zmienić to może jedynie cykliczne uświadamianie i prowadzenie szkoleń z zakresu przepisów ochrony danych osobowych, polityki bezpieczeństwa, istniejących zagrożeń, które uformują właściwy model zachowania pracujących osób.

Ustawodawca w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w art. 36a ust. 2 pkt 1c nakładał na administratora bezpieczeństwa informacji obowiązek zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami dotyczącymi ochrony.


Jest to niezbędne i konieczne minimum, które w obecnych warunkach nie jest wystarczające. Dlatego też zarówno norma ISO 27001 wyznaczająca standardy systemów zarządzania bezpieczeństwem, jak i Krajowe Ramy Interoperacyjności (dalej: KRI) zakładają prowadzenie cyklicznych szkoleń. Wskazują także ich zakres tematyczny. Rozszerzają go o przedstawienie procedur i środków stosowanych do zabezpieczenia informacji, omówienia możliwych zagrożeń. Nakazują także zapoznanie osób przetwarzających dane ze skutkami i odpowiedzialnością prawną w przypadku naruszenia zasad bezpieczeństwa informacji. Faktem, który należy podkreślić, jest to, że o ile KRI nakłada obowiązki na instytucje państwowe, o tyle wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) oraz normy ISO 27001 w przedsiębiorstwach prywatnych jest dobrowolne.

Prawodawca unijny w przepisach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzUrz UE L 119 z 04.05.2016; dalej: rodo) zasadniczo wzmacnia znaczenie szkoleń. W art. 39 rodo nakłada na inspektorów ochrony danych obowiązek podejmowania działań zwiększających świadomość, nadzorowania szkoleń pracowników oraz wykonywanie czy monitorowanie audytów przeprowadzonych działań. W art. 47 rodo opisuje obowiązki inspektora względem korporacji, w ramach których uwzględnione jest prowadzenie właściwych szkoleń dla personelu mającego stały lub regularny kontakt z przetwarzaniem danych. W art. 47 rodo podkreśla również realizację wymogów wynikających z art. 37 rodo w stosunku do korporacji lub grupy administratorów.

Z przedstawionych przepisów wynika, że przeprowadzanie szkoleń oraz weryfikacja ich jakości jest obowiązkiem wszystkich administratorów danych osobowych.

Formy realizacji szkolenia

Szkolenia można realizować na wiele sposobów. Wybór metody powinien być determinowany poprzez takie czynniki, jak efektywność, czas realizacji, a także koszt. Zatem można realizować szkolenia w formie tradycyjnej jako spotkanie z pracownikami. Jeśli jest to wykład prowadzony dla dużej grupy, to można przekazać właściwie tylko wiedzę. W małych i średnich grupach istnieje możliwość poprowadzenia dyskusji oraz analizy przypadku. Takie szkolenia poza przekazaniem wiedzy pozwalają wykształcić także postawy. Podział na małe grupy powoduje wzrost liczby szkoleń, w przypadku dużych instytucji może oznaczać to permanentne prowadzenie szkoleń. Zatem ich wadą jest czas realizacji pełnego cyklu oraz koszt.
 
Alternatywą dla tradycyjnych form nauczania są szkolenia online, tzw. e-learning. Zalety nauczania na odległość to przede wszystkim swoboda czasu, w jakim realizowane jest szkolenie. Kursanci realizują materiał w dogodnej dla nich porze. Kolejnym atutem jest dostępność całego szkolenia i możliwość wracania do niego w dowolnej chwili. Forma tradycyjna wydaje się w tym zakresie uboższa, ponieważ daje jedynie wydrukowane materiały i notatki. Największą przewagą e-learningu jest indywidualna nauka. Osoba ucząca musi odpowiedzieć na każde zadane pytanie i samodzielnie znaleźć na nie odpowiedź. To dzięki temu osoby kształcące się samodzielnie na platformach e-learningowych mają statystycznie lepsze wyniki niż osoby uczące się metodami tradycyjnymi. Szkolenia online mogą mieć też bogatszą treść i formę. Możliwe jest realizowanie scen sytuacyjnych, symulacji, dokładniejsze sprawdzanie wiedzy poprzez różnego rodzaju testy, pytania typu prawda lub fałsz czy inne formy interakcji.

[...]

Autor jest wieloletnim pracownikiem i wykładowcą Uniwersytetu Łódzkiego, w latach 2003–2005 był administratorem systemu USOS na Uniwersytecie Łódzkim, od 2010 r. jest kierownikiem Zespołu Informatycznego Wydziału Prawa i Administracji, inspektorem ochrony danych osobowych UŁ, redaktorem naczelnym BIP UŁ.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.