Preskočiť na obsah
advokát » Aktuality a články » Školenie GDPR pre zamestnancov – je povinné a čo má obsahovať?

Školenie GDPR pre zamestnancov – je povinné a čo má obsahovať?

Nariadenie GDPR sa na území Slovenskej republiky uplatňuje od 25. mája 2018. Väčšina firiem má dnes vypracovanú dokumentáciu k ochrane osobných údajov, často aj v dostatočnej kvalite podľa štandardov GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov. V praxi sa však opakovane stretávame s tým istým problémom: dokumentácia existuje, ale zamestnanci ju nepoznajú a nevedia ju správne aplikovať. Celkové povedomie o ochrane osobných údajov tak zostáva nízke – a práve ľudská chyba je najčastejšou príčinou porušenia ochrany osobných údajov.

Riešením je pravidelné školenie GDPR pre zamestnancov. V tomto článku vysvetlíme, prečo je vzdelávanie zamestnancov v oblasti ochrany osobných údajov de facto povinnosťou, aké sankcie hrozia pri jej zanedbaní, ako často školiť a čo má kvalitné GDPR školenie obsahovať.

Kontaktujte nás a nezáväzne si vyžiadajte ponuku školenia pre vašu firmu. Radi vám pripravíme návrh obsahu, rozsahu aj termínu – prezenčne u vás alebo online.

Je školenie GDPR povinné?

GDPR výslovne nehovorí „raz ročne preškoľte zamestnancov“. Povinnosť však vyplýva z viacerých ustanovení nepriamo a v praxi sa jej nevyhnete:

  • Podľa čl. 32 GDPR je prevádzkovateľ aj sprostredkovateľ povinný prijať primerané technické a organizačné opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov. Vzdelávanie poverených osôb (zamestnancov a iných osôb, ktoré prichádzajú do kontaktu s osobnými údajmi) je typickým organizačným opatrením personálnej povahy.
  • Podľa čl. 39 GDPR patrí medzi úlohy zodpovednej osoby (DPO) aj zvyšovanie povedomia a odborná príprava personálu zapojeného do spracovateľských operácií.
  • Zásada zodpovednosti (čl. 5 ods. 2 GDPR) vyžaduje, aby prevádzkovateľ vedel súlad s GDPR preukázať. Záznam o vykonanom školení zamestnancov je jedným z najjednoduchších a najpresvedčivejších dôkazov.

Pri kontrole zo strany Úradu na ochranu osobných údajov SR alebo pri riešení bezpečnostného incidentu je otázka „boli vaši zamestnanci preškolení?“ prakticky vždy jednou z prvých. Ak odpoveď znie nie, je ťažké preukázať, že prevádzkovateľ prijal primerané organizačné opatrenia.

Čo hrozí zamestnávateľovi, ak zamestnancov neškolí?

Neexistencia školení sama osebe nie je samostatnou skutkovou podstatou, ale pri porušení ochrany osobných údajov (napríklad únik údajov spôsobený zamestnancom) sa absencia vzdelávania hodnotí ako zanedbanie organizačných opatrení. Sankcie podľa GDPR pritom nie sú zanedbateľné:

  • za porušenie bezpečnosti spracúvania hrozí pokuta až do 10 000 000 eur alebo do 2 % celkového svetového ročného obratu,
  • za porušenie základných zásad spracúvania alebo práv dotknutých osôb až do 20 000 000 eur alebo do 4 % celkového svetového ročného obratu, podľa toho, ktorá suma je vyššia.

Okrem správnych pokút treba počítať aj s reputačným rizikom, nákladmi na riešenie incidentu a možnými nárokmi dotknutých osôb na náhradu škody. Pravidelné školenie je v porovnaní s týmito rizikami minimálna investícia.

Ako často školiť zamestnancov v oblasti ochrany osobných údajov?

Odporúčaným štandardom je vykonať školenie aspoň raz ročne a vždy pri nástupe nového zamestnanca, ktorý bude prichádzať do kontaktu s osobnými údajmi. Mimoriadne školenie môže byť pre vás vhodné zaradiť aj vtedy, keď:

  • dôjde k zmene právnej úpravy alebo k vydaniu nových metodických usmernení Úradu na ochranu osobných údajov SR či Európskeho výboru pre ochranu údajov (EDPB),
  • zavádzate nové spracovateľské operácie alebo technológie (nový informačný systém, kamerový systém, dochádzkový systém, nástroje umelej inteligencie a pod.),
  • vo firme došlo k bezpečnostnému incidentu alebo k opakovaným chybám pri práci s osobnými údajmi.

Pre koho je školenie GDPR určené?

Školenie ochrany osobných údajov je relevantné pre každého, kto sa podieľa na akejkoľvek spracovateľskej operácii. V praxi ide najmä o:

  • personalistov a mzdové oddelenia,
  • marketingové oddelenia a e-shopy (newslettre, cookies, profilovanie, vernostné programy),
  • recepcie, asistentky a klientske centrá (prvý kontakt s osobnými údajmi zákazníkov),
  • IT oddelenia a správcov informačných systémov,
  • manažment a štatutárov, ktorí za súlad s GDPR v konečnom dôsledku zodpovedajú,
  • špecifické sektory ako zdravotníctvo, školstvo či účtovníctvo, kde sa spracúvajú osobitné kategórie údajov.

Čo má obsahovať školenie GDPR pre zamestnancov?

Rozsah školenia prispôsobíme vašim individuálnym potrebám a preferenciám. Do základného rozsahu školenia vo všeobecnosti patria tieto oblasti:

  • predstavenie základného rámca právnej úpravy ochrany osobných údajov (GDPR a zákon č. 18/2018 Z. z.),
  • vysvetlenie základných pojmov – osobný údaj, informačný systém, spracúvanie, prevádzkovateľ, sprostredkovateľ, poverená osoba, dotknutá osoba a ďalšie,
  • práva a povinnosti prevádzkovateľa, poverenej osoby a dotknutej osoby aplikované na konkrétne spracovateľské operácie, ktoré uskutočňujete,
  • zodpovednosť za porušenie GDPR a zákona č. 18/2018 Z. z., správne pokuty a sankcie,
  • postup pri bezpečnostnom incidente a pri uplatnení práv dotknutej osoby (komu incident hlásiť, lehoty, čo nerobiť),
  • konkrétne praktické prípady, s ktorými sa u vás zamestnanci stretávajú – spoločne si priblížime správny postup v jednotlivých situáciách,
  • spracovateľské operácie v rámci pracovnoprávnej agendy, napríklad monitorovanie zamestnancov, kamerový systém na pracovisku či zverejňovanie osobných údajov zamestnancov na webe zamestnávateľa.

Každé školenie zakončíme priestorom na otázky a účastníkom vystavíme potvrdenie o absolvovaní školenia, ktoré slúži ako dôkaz splnenia povinností pre prípad kontroly.

Prezenčné alebo online školenie GDPR?

Školenie vieme uskutočniť priamo vo vašej prevádzke, v našich priestoroch alebo online formou webinára. Prezenčná forma sa osvedčila najmä pri praktických prípadových štúdiách a diskusii, online forma je zase vhodná pre firmy s viacerými pobočkami alebo so zamestnancami na home office. Obsah aj rozsah školenia prispôsobíme vašim potrebám v oboch formách.

Objednajte si školenie GDPR na mieru

Ponúkame školenie GDPR pripravené podľa vašich individuálnych potrieb – so zameraním na spracovateľské operácie, ktoré reálne vykonávate, a na situácie, s ktorými sa vaši zamestnanci denne stretávajú.

Kontaktujte nás a nezáväzne si vyžiadajte ponuku školenia pre vašu firmu. Radi vám pripravíme návrh obsahu, rozsahu aj termínu – prezenčne u vás alebo online.

Často kladené otázky o školení GDPR (FAQ)

Je školenie GDPR zo zákona povinné?

GDPR výslovnú povinnosť školiť neukladá, ale vzdelávanie zamestnancov je štandardným organizačným opatrením podľa čl. 32 GDPR a jeho absencia sa pri kontrole alebo incidente môže hodnotiť ako zanedbanie povinností prevádzkovateľa.

Ako často treba školenie opakovať?

Odporúča sa minimálne raz ročne, pri nástupe každého nového zamestnanca a vždy pri významnej zmene legislatívy alebo interných procesov.

Kto musí školenie absolvovať?

Každá poverená osoba – teda každý zamestnanec alebo iná osoba, ktorá pri svojej práci prichádza do kontaktu s osobnými údajmi, bez ohľadu na pozíciu.

Dostanú účastníci potvrdenie o absolvovaní?

Áno, po školení vám môžeme vystaviť záznam a potvrdenia o absolvovaní, ktoré slúžia ako dôkaz splnenia povinností pre prípad kontroly Úradu na ochranu osobných údajov SR.

Viete školenie prispôsobiť nášmu odvetviu?

Áno, obsah školenia vždy prispôsobujeme konkrétnym spracovateľským operáciám klienta – či už ide o e-shop, výrobný podnik, zdravotnícke zariadenie alebo školu.

Prečítajte si aj:

Konanie o ochrane osobných údajov

Nezákonné GPS sledovanie zamestnancov

Náhrada škody za porušenie GDPR

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Značky:

Nie je možné kopírovať obsah tejto stránky.