Świadomość pracownika jako klucz do utrzymania zgodności z RODO – część II

  • 12.08.2019

  • Autor: Daria Worgut-Jagnieża

  • Analizy

Postrzeganie RODO wyłącznie przez pryzmat przygotowania dokumentacji jest niewystarczające. RODO wymaga, aby administrator jako organizacja podjął środki zapewniające działanie systemu ochrony danych osobowych, którego elementem jest dokumentacja. Elementem ważnym, ale nie wystarczającym, bo bez świadomości i zaangażowania pracowników cel ten nie zostanie zrealizowany. Dlatego też przeznaczenie nakładów czasowych i finansowych w budowanie świadomości pracowników powinno być postrzegane jako forma inwestycji w skuteczne działanie przyjętego systemu ochrony danych.

Jakimi działaniami budować świadomość pracowników?

1. Szkolenia.

Obserwując wiele wdrożeń zarówno RODO, jak i wcześniejszej ustawy o ochronie danych osobowych, widać bardzo różne podejścia do realizacji szkoleń dla pracowników.  Forma w większości jest bardzo podobna i ogranicza się do szkoleń stacjonarnych lub sesji e-learning. Wątpliwości w skuteczność szkoleń mogą budzić zawartość merytoryczna oraz właściwe dopasowanie szkolenia do grupy docelowej. Na tego rodzaju braki narażone są często organizacje międzynarodowe, które zdecydowały się na wdrożenie RODO na poziomie globalnym. Organizowane w tym trybie szkolenia często narzucają treści bez dostosowania ich do lokalnej rzeczywistości czy specyfiki organizacji.

Z doświadczenia wynika, że aktywność pracowników jest znacznie większa w organizacjach, gdzie szkolenia polegały na zwięzłym przedstawieniu odpowiedzialności i zadań przewidzianych w procedurach dla osób na poszczególnych stanowiskach niż szkoleń zawierających ogólne informacje o wymogach jakie stawia RODO.

Nie da się ukryć, że szkolenia o tematyce organizacyjno-administracyjnej, a do tej grupy można zaliczyć szkolenia z ochrony danych osobowych, często są traktowane przez pracowników jako przykry obowiązek. Dlatego najskuteczniejsze są szkolenia kierowane do poszczególnych grup odpowiedzialności, np. kierowników działów, pracowników działu HR, pracowników działu digital marektingu. Model ten pozwala skupić się na problemach, z którymi konkretna grupa spotyka się na co dzień oraz wyjaśnić w szczegółach na czym polegają ich obowiązki. Warto postarać się o szkolenia dedykowane kierownikom działów, którzy są odpowiedzialni za konsultacje nowych projektów w ramach podejścia privacy by design i privacy by default, dbałości o aktualizację uprawnień podległych pracowników w systemach IT czy instruowanie i przypominanie podległym pracownikom jakie są zasady bezpieczeństwa stosowane w dziale.

2. Infografiki.

Czytanie wielostronicowych procedur czy uczestnictwo w szkoleniach wymagają od pracowników poświęcenia  zbyt dużo czasu oraz utrzymania odpowiedniej uwagi przez ten czas. Zapisy wewnętrznej dokumentacji są bardzo ogólne, nie zawsze zrozumiałe. Dlatego warto pracownikom tłumaczyć te zasady na język ich codziennej pracy i prezentować w krótkiej, łatwej do przyswojenia
i zrozumiałej formie. Idealnie nadają się do tego infografiki, gdyż opisywanie obrazami upraszcza przekaz. Ponadto materiał atrakcyjny wizualnie przyciąga uwagę, zachęca do zapoznania się z nim
i ułatwia zapamiętywanie. Infografikę dedykowaną chociażby najważniejszym 10 zasadom bezpieczeństwa danych osobowych każdy pracownik może umieścić na swoim stanowisku pracy. Infografiki możemy rozsyłać pracownikom drogą mailową, umieszczać, np. w okolicy urządzeń drukujących, gdzie pracownicy oczekujący na wydruk mogą się z nią zapoznać, czy wyświetlać na telewizorach umieszczonych w korytarzach.

3. Newslettery.

Przez ostanie lata bardzo modne stało się prowadzenie newslettera wewnętrznego. Celem takiego działania jest głównie promowanie wizerunku organizacji, również jako pracodawcy. Tematyka newslettera często zawiera informację o nowościach w organizacji, nowych członkach zespołu lub zakończonych z sukcesem projektach. Newslettery wewnętrzne można z powodzeniem wykorzystać do budowania świadomości pracowników czy przypominania im o panujących w organizacji zasadach. Aby posty w newsletterze był czytane, muszą być pisane prostym i zrozumiałym językiem, nie mogą być długie i zbyt częste. Posty opisujące ciekawe przypadki, np. wycieku danych, a przemycające wskazówki jak się przed takimi działaniami zabezpieczać, będą budziły większą ciekawość niż suche wskazówki.

4. Dzień ochrony danych osobowych.

Wiele korporacji promując wdrożenie wymagań RODO i chcąc rozpowszechnić wiedzę i treść wprowadzonych procedur, organizowało wewnętrzny dzień dedykowany ochronie danych osobowych. Podczas takiego wydarzenia możemy przekazywać pracownikom materiały edukacyjne, np. na powitanie w biurze, organizować warsztaty tematyczne, quizy i konkursy. Niejednokrotnie do promocji samego wydarzenia i RODO wykorzystywane są plakaty, ulotki i banery.

5. Dostępność IOD.

Dla pracy nad rozwijaniem wiedzy pracowników w zakresie ochrony danych osobowych newralgiczna jest dostępność Inspektora Ochrony Danych lub innej osoby w organizacji odpowiedzialnej za ten obszar, czy posiadającej niezbędną wiedzę merytoryczną. Jeśli pracownicy wiedzą do kogo skierować swoje pytania i jednocześnie wiedzą, że sprawnie uzyskają rzeczową i pomocną odpowiedz, będą korzystali z takiej pomocy. W dłuższej pespektywie ich wiedza będzie coraz większa, gdyż
z każdym pytaniem zdobywają nowe informacje.

Jeśli nie jesteśmy w stanie skutecznie dotrzeć z działaniami uświadamiającymi do wszystkich pracowników, to warto rozważyć powołanie w poszczególnych działach czy zespołach osób wspierających Inspektorów Ochrony Danych, nazywanych często Privacy Steward. Nakierowujemy wtedy nasze działania na pracę nad ich wiedzą i świadomością. Jeśli cokolwiek zadzieje się na poziomie jednostki organizacyjnej, mamy lokalną osobę, która stoi na straży zgodności z RODO i wewnętrznymi procedurami.

Budowanie świadomości nie zawsze musi wiązać się z tym, aby pracownicy czy nawet wyżej zaproponowani Pivacy Stewardzi, posiadali rozległą merytoryczną wiedzę w zakresie przepisów prawa, przyjętych w organizacji procedur czy mechanizmów bezpieczeństwa. Celem realizacji działań budujących świadomość w zakresie ochrony danych osobowych jest to, aby w odpowiednich momentach pracownicy potrafili rozpoznać konieczność reakcji, która będzie polegała na:

  • Zajrzeniu do procedury w celu zweryfikowania jak należy dalej postępować.
  • Przekierowaniu sprawy do innej osoby w celu realizacji zadania (np. osoba z zespołu customer service przekieruje żądanie dotyczące realizacji praw podmiotów danych do Inspektora Ochrony Danych).
  • Dopytaniu kogoś innego w organizacji, np. Inspektora Ochrony Danych, dział prawny czy IT, którzy dostarczą wiedzy specjalistycznej.

Wiedza i świadomość pracowników w zakresie ochrony danych osobowych są newralgicznym elementem każdego systemu ochrony danych osobowych. Nawet jeśli administrator wdrożył najbardziej zaawansowane techniczne czy fizyczne środki bezpieczeństwa, to wciąż rola pracownika jako osoby zarządzającej nimi i monitorującej skuteczność ich działanie jest kluczowa. W związku z tym warto w ramach podejmowanych prac usprawniających wdrożone przez administratorów systemy ochrony danych osobowych, podejmować liczne działania, dzięki którym wzrośnie zaangażowanie pracownika i poczucie jego odpowiedzialności.

doradczymi w obszarze ochrony danych

Autor

Daria Worgut-Jagnieża

Od kilkunastu lat kieruje projektami audytowymi i doradczymi w obszarze ochrony danych osobowych oraz bezpieczeństwa informacji. Pełni funkcję Inspektora Ochrony Danych w wielu międzynarodowych korporacjach m.in. z branży farmaceutycznej.