Jedno szkolenie pracowników z danych osobowych wystarczy?

W zakresie bezpieczeństwa danych osobowych zastosowanie odpowiednich środków, takich jak cykliczne szkolenia, szyfrowanie nośników czy blokady portów USB, ma duże znaczenie. Przekonał się o tym jeden z administratorów danych osobowych, na którego w styczniu 2023 r. Prezes Urzędu Ochrony Danych Osobowych nałożył karę za zagubienie 3 nośników danych.

Wprowadzone środki ochrony danych muszą się uzupełniać

Jeden z pracowników sądu w Szczecinie zgubił 3 nośniki (pendrive) – służbowy szyfrowany oraz dwa prywatne nieszyfrowane. Na wszystkich nośnikach znajdowały się dane związane z sprawami sądowymi prowadzonymi w latach 2004-2020.

W organizacji były co prawda wdrożone środki organizacyjne związane z bezpieczeństwem danych osobowych, takie jak zasady korzystania z nośników informacji – w tym zakaz wykorzystywania prywatnych, niezabezpieczonych nośników w celach służbowych. Administrator nie wprowadził jednak środka technicznego w postaci blokady portów USB.

W efekcie pracownicy nadal mogli technicznie wykorzystywać prywatne nośniki, czego nie nadzorował administrator danych osobowych. Dlatego zdaniem organu nie można było przyjąć, że w szczecińskim sądzie zostały wdrożone odpowiednie środki bezpieczeństwa dla zminimalizowania ryzyka naruszenia ochrony danych.

Kara Prezesa UODO

W związku z naruszeniem bezpieczeństwa informacji w sądzie w Szczecinie, PUODO nałożył karę w wysokości 30 tysięcy zł na tamtejszego administratora danych osobowych[1]. Zdaniem PUODO nałożona kara spełnia funkcje represyjną oraz wymusi na administratorze przestrzeganie przepisów ochrony danych osobowych na przyszłość.

Administrator w ramach postępowania tłumaczył jednak, że pracownik, który dopuścił się naruszenia, został przeszkolony z zasad ochrony danych osobowych. Miało to jednak miejsce już po wystąpieniu naruszenia. W uzasadnieniu swojej decyzji PUODO podkreślił, że odebranie od pracownika oświadczenia, że zapoznał się z zasadami ochrony danych osobowych nie jest wystarczające. Zdaniem organu prawidłowo przeprowadzone szkolenia (warto podkreślić, że PUODO wspomina tu o liczbie mnogiej) przyczyniają się do wzrostu świadomości ochrony danych osobowych u pracowników i znacznie minimalizują ryzyko wystąpienia incydentu ochrony danych osobowych. Co istotne, zdaniem organu wyłącznie szkolenia przeprowadzane cyklicznie mogą stanowić adekwatny środek bezpieczeństwa.

szkolenia_ochrona danych osobowych

Konieczne regularne szkolenia z ochrony danych osobowych

Cyklicznie szkolenia pozwolą przypomnieć zasady ochrony danych osobowych oraz utrwalać je w świadomości pracowników. Najlepiej, jeśli wezmą w nich udział wszyscy upoważnieni do przetwarzania danych osobowych, a zakres każdego ze szkoleń będzie indywidualnie dostosowany do sposobu oraz specyfiki przetwarzania danych przez administratora.

To właśnie pracownik stanowi pierwsze ogniwo w przypadku wystąpienia naruszenia ochrony danych – dokonuje on jego identyfikacji oraz informuje administratora. Nieświadomy pracownik może nie być w stanie zidentyfikować potencjalnego naruszenia. W efekcie administrator nie będzie mógł szybko podjąć odpowiednich kroków dla zminimalizowania jego konsekwencji. A to właśnie na administratorze danych osobowych ciąży obowiązek odpowiedniego reagowania w przypadku incydentu. Brak świadomości i reakcji z jego strony jest okolicznością obciążającą i skłaniającą organ do nakładania wyższych kar.

Wnioski dla administratorów danych osobowych z kary UODO

Powyższa decyzja PUODO uczy, że wprowadzenie odpowiednich środków technicznych i organizacyjnych oraz budowanie świadomości pracowników jest kluczem do zapobiegania incydentom ochrony danych osobowych. Jednym ze skuteczniejszych rozwiązań są cykliczne szkolenia dla pracowników – również dla kadry z dłuższym stażem w firmie, którzy zostali już w tym temacie przeszkoleni.

W OW każdego roku przeprowadzamy kilkadziesiąt szkoleń w zakresie ochrony danych osobowych. Rolę bezpieczeństwa informacji podkreślamy na każdym etapie zatrudnienia – od onboardingu, będącego „otwarciem” drogi pracownika wśród danych osobowych, przez cykliczne szkolenia przypominające, także w opcji „e-Learningu”. W przypadku pytań lub zainteresowania tematem szkoleń z obszaru danych osobowych, zachęcamy do kontaktu z naszymi doradcami.


[1] https://www.uodo.gov.pl/decyzje/DKN.5131.12.2020

Autor: Katarzyna Serwatka

SENIOR ASSOCIATE | RADCA PRAWNY | OW LEGAL katarzyna.serwatka@olesinski.com Więcej

Autor: Żaneta Zniszczoł

ASSOCIATE | OW LEGAL zaneta.zniszczol@olesinski.com