09 sie Jedno szkolenie pracowników z danych osobowych wystarczy?
W zakresie bezpieczeństwa danych osobowych zastosowanie odpowiednich środków, takich jak cykliczne szkolenia, szyfrowanie nośników czy blokady portów USB, ma duże znaczenie. Przekonał się o tym jeden z administratorów danych osobowych, na którego w styczniu 2023 r. Prezes Urzędu Ochrony Danych Osobowych nałożył karę za zagubienie 3 nośników danych.
Wprowadzone środki ochrony danych muszą się uzupełniać
Jeden z pracowników sądu w Szczecinie zgubił 3 nośniki (pendrive) – służbowy szyfrowany oraz dwa prywatne nieszyfrowane. Na wszystkich nośnikach znajdowały się dane związane z sprawami sądowymi prowadzonymi w latach 2004-2020.
W organizacji były co prawda wdrożone środki organizacyjne związane z bezpieczeństwem danych osobowych, takie jak zasady korzystania z nośników informacji – w tym zakaz wykorzystywania prywatnych, niezabezpieczonych nośników w celach służbowych. Administrator nie wprowadził jednak środka technicznego w postaci blokady portów USB.
W efekcie pracownicy nadal mogli technicznie wykorzystywać prywatne nośniki, czego nie nadzorował administrator danych osobowych. Dlatego zdaniem organu nie można było przyjąć, że w szczecińskim sądzie zostały wdrożone odpowiednie środki bezpieczeństwa dla zminimalizowania ryzyka naruszenia ochrony danych.
Kara Prezesa UODO
W związku z naruszeniem bezpieczeństwa informacji w sądzie w Szczecinie, PUODO nałożył karę w wysokości 30 tysięcy zł na tamtejszego administratora danych osobowych[1]. Zdaniem PUODO nałożona kara spełnia funkcje represyjną oraz wymusi na administratorze przestrzeganie przepisów ochrony danych osobowych na przyszłość.
Administrator w ramach postępowania tłumaczył jednak, że pracownik, który dopuścił się naruszenia, został przeszkolony z zasad ochrony danych osobowych. Miało to jednak miejsce już po wystąpieniu naruszenia. W uzasadnieniu swojej decyzji PUODO podkreślił, że odebranie od pracownika oświadczenia, że zapoznał się z zasadami ochrony danych osobowych nie jest wystarczające. Zdaniem organu prawidłowo przeprowadzone szkolenia (warto podkreślić, że PUODO wspomina tu o liczbie mnogiej) przyczyniają się do wzrostu świadomości ochrony danych osobowych u pracowników i znacznie minimalizują ryzyko wystąpienia incydentu ochrony danych osobowych. Co istotne, zdaniem organu wyłącznie szkolenia przeprowadzane cyklicznie mogą stanowić adekwatny środek bezpieczeństwa.
Konieczne regularne szkolenia z ochrony danych osobowych
Cyklicznie szkolenia pozwolą przypomnieć zasady ochrony danych osobowych oraz utrwalać je w świadomości pracowników. Najlepiej, jeśli wezmą w nich udział wszyscy upoważnieni do przetwarzania danych osobowych, a zakres każdego ze szkoleń będzie indywidualnie dostosowany do sposobu oraz specyfiki przetwarzania danych przez administratora.
To właśnie pracownik stanowi pierwsze ogniwo w przypadku wystąpienia naruszenia ochrony danych – dokonuje on jego identyfikacji oraz informuje administratora. Nieświadomy pracownik może nie być w stanie zidentyfikować potencjalnego naruszenia. W efekcie administrator nie będzie mógł szybko podjąć odpowiednich kroków dla zminimalizowania jego konsekwencji. A to właśnie na administratorze danych osobowych ciąży obowiązek odpowiedniego reagowania w przypadku incydentu. Brak świadomości i reakcji z jego strony jest okolicznością obciążającą i skłaniającą organ do nakładania wyższych kar.
Wnioski dla administratorów danych osobowych z kary UODO
Powyższa decyzja PUODO uczy, że wprowadzenie odpowiednich środków technicznych i organizacyjnych oraz budowanie świadomości pracowników jest kluczem do zapobiegania incydentom ochrony danych osobowych. Jednym ze skuteczniejszych rozwiązań są cykliczne szkolenia dla pracowników – również dla kadry z dłuższym stażem w firmie, którzy zostali już w tym temacie przeszkoleni.
W OW każdego roku przeprowadzamy kilkadziesiąt szkoleń w zakresie ochrony danych osobowych. Rolę bezpieczeństwa informacji podkreślamy na każdym etapie zatrudnienia – od onboardingu, będącego „otwarciem” drogi pracownika wśród danych osobowych, przez cykliczne szkolenia przypominające, także w opcji „e-Learningu”. W przypadku pytań lub zainteresowania tematem szkoleń z obszaru danych osobowych, zachęcamy do kontaktu z naszymi doradcami.
[1] https://www.uodo.gov.pl/decyzje/DKN.5131.12.2020