Zamknij
Zamknij
ODO 24 logo
EN
PL
Strona główna  •  Wiedza  •  Blog  •  Jak szkolić pracowników z RODO i cyberbezpieczeństwa – obowiązki i dobre praktyki

Jak szkolić pracowników z RODO i cyberbezpieczeństwa – obowiązki i dobre praktyki

6 lutego 2026, Cyberbezpieczeństwo, Compliance

Szkolenia – jedni je lubią, inni ich unikają. Są jednak nieodłącznym elementem funkcjonowania każdej bezpiecznej organizacji. W czasach, gdy błąd ludzki jest najczęstszą przyczyną naruszeń ochrony danych osobowych i incydentów bezpieczeństwa, szkolenia nabierają szczególnego znaczenia. Dlaczego są tak ważne? Jak powinny wyglądać? Jak prawidłowo wypełniać obowiązki wynikające z RODO w tym zakresie? W artykule znajdziesz odpowiedzi na wszystkie te pytania.
Autor:
r.pr. Karolina Kukielska
Szkolenie z cyberbezpieczeństwa

W dobie postępującej cyfryzacji, rozwoju sztucznej inteligencji i rosnącego znaczenia danych administratorzy stają przed coraz poważniejszymi zagrożeniami. Szkolenia personelu to ważny środek organizacyjny ograniczający ryzyka w tym obszarze. Powinny one stanowić element kultury organizacyjnej, a podnoszenie świadomości pracowników powinno należeć do priorytetów kadry zarządzającej.

Szkolenie pracowników z RODO jest kluczem do tego, by przyjęte w organizacji polityki i procedury funkcjonowały prawidłowo, a stosowane środki techniczne i organizacyjne były skuteczne. Jeśli kadra nie rozumie swoich obowiązków ani ich znaczenia, nie da się realnie wdrożyć ustaleń wynikających z polityk i procedur oraz stosować przyjętych zabezpieczeń. Tylko dobrze przeszkolony pracownik może skutecznie zapobiegać incydentom bezpieczeństwa lub szybko je wykrywać.

Kogo dotyczą szkolenia?

Bezpieczeństwo organizacji oraz przetwarzanych w niej informacji wymaga zadbania o odpowiednią świadomość wszystkich osób z nią związanych – niezależnie od podstawy prawnej współpracy. Dotyczy to więc nie tylko pracowników, lecz także zleceniobiorców, wolontariuszy, praktykantów, stażystów i innych osób wykonujących zadania na rzecz organizacji. Na potrzeby tego artykułu wszelkie odniesienia do pracowników obejmują także pozostałe grupy osób.

Odpowiednio przeszkolone powinny być wszystkie osoby mające dostęp do zasobów organizacji. Im bardziej świadomy pracownik, tym większe szanse na uniknięcie zagrożeń. Wśród szkoleń, którymi z pewnością powinni zostać objęci pracownicy, są te z zakresu RODO, bezpieczeństwa informacji i cyberbezpieczeństwa, a w przypadku podmiotów podlegających pod dyrektywę NIS2 – również szkolenia dotyczące obszarów wskazanych w tej dyrektywie oraz w znowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa.

Kto musi przejść szkolenie RODO?

Szkolenia z zakresu RODO muszą bezwzględnie odbywać pracownicy, którzy w swojej pracy przetwarzają dane osobowe. Szkolenia powinny przejść także osoby, których praca co do zasady nie wiąże się z przetwarzaniem danych osobowych, ale które mogą mieć z nimi okazjonalny kontakt, np. przez listy obecności, identyfikatory, systemy rejestracji czasu pracy, a także w ramach dostępu do dokumentacji technicznej lub informacji o zamówieniach czy klientach. Przykładem takich osób są pracownicy produkcyjni. Również oni powinni wiedzieć, jakie wymogi wynikają z RODO, jak obchodzić się z materiałami zawierającymi dane osobowe oraz jak zachować się na przykład w razie znalezienia dokumentów pozostawionych w widocznym miejscu przez inną osobę (czyli w sytuacji potencjalnego naruszenia ochrony danych osobowych).

Wszyscy pracownicy powinni przechodzić również szkolenia z bezpieczeństwa informacji – w zakresie odpowiednim dla swoich zadań. Szkolenia te powinny dotyczyć nie tylko danych osobowych, lecz także wszystkich informacji przetwarzanych w organizacji, niezależnie od ich formy. Mogą to być zarówno informacje na papierze, jak i w systemach czy przekazywane ustnie.

Aby szkolenia były skuteczne, muszą być dopasowane do specyfiki pracy poszczególnych grup pracowników i do ryzyk, które są charakterystyczne dla tych grup. Inaczej zatem powinno wyglądać szkolenie osób, których codzienna praca polega na przetwarzaniu dużej ilości danych osobowych, a inaczej – szkolenie pracowników produkcyjnych, których styczność z tymi danymi jest zdecydowanie mniejsza i występuje w konkretnych okolicznościach. 

ZOBACZ WIĘCEJ: Szkolenie zamknięte RODO dla pracowników

Czy szkolenia RODO są niezbędne – i co dają organizacji?

Szkolenia dla pracowników z RODO są niezbędne dla bezpieczeństwa całej organizacji oraz osób, których dane są w niej przetwarzane. Naruszenia w tym zakresie mogą skutkować poważnymi konsekwencjami zarówno dla organizacji (m.in. finansowymi i wizerunkowymi), jak i dla podmiotów danych w przypadku wystąpienia naruszenia ochrony danych osobowych (np. ujawnienia danych nieuprawnionym podmiotom czy wykradzenia informacji wskutek ataku hakerskiego).

Administrator danych musi przetwarzać dane zgodnie z obowiązującymi przepisami. RODO zawiera szereg zasad i związanych z nimi obowiązków, do których przestrzegania administrator jest zobowiązany. Żeby organizacja mogła te wymogi spełnić, jej kadra musi je znać i rozumieć. Szkolenia z zakresu ochrony danych osobowych pozwalają pracownikom zapoznać się z wymaganiami, uświadamiają, jak istotne są kwestie związane z bezpieczeństwem danych, oraz pokazują im, jak bardzo ich zaangażowanie w te procesy przekłada się na bezpieczeństwo nie tylko samej organizacji, lecz także osób, których dane organizacja przetwarza.

Właściwe prowadzenie i dokumentowanie procesów szkoleniowych oraz innych działań podnoszących świadomość pracowników stanowi element zasady rozliczalności wymaganej przez RODO (a w odniesieniu do szkoleń z zakresu cyberbezpieczeństwa – także przez dyrektywę NIS2 i znowelizowaną ustawę o krajowym systemie cyberbezpieczeństwa). Prawidłowa dokumentacja pozwala organizacji na wykazanie przed organem, że wywiązuje się ona z nałożonych obowiązków. Zarówno brak realizacji obowiązku szkoleniowego, jak i niedokumentowanie może skutkować nałożeniem na organizację kar finansowych.

Skąd wynika obowiązek szkoleń i czy dotyczy on pracodawcy?

Realizacja szkoleń stanowi wypełnienie obowiązków wynikających bezpośrednio lub pośrednio z przepisów prawa (np. RODO lub dyrektywy NIS2). W niektórych przypadkach obowiązek ten wynika także z przyjętych przez organizację standardów (np. normy ISO), które wymagają zapewnienia pracownikom odpowiednich kompetencji i podnoszenia ich świadomości.

W kwestii przetwarzania danych osobowych obowiązują jasne zasady, które zostały wskazane w art. 5 RODO. Aby móc je realizować, osoby przetwarzające dane osobowe muszą mieć o nich wiedzę. Obowiązek organizacji w tym zakresie wynika z art. 24 i 32 RODO. Przepisy te dotyczą wdrażania adekwatnych środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzanych danych. Szkolenia należy traktować właśnie jako taki środek. Wskazuje na to sam Prezes Urzędu Ochrony Danych Osobowych w swoich decyzjach.

Obowiązek szkoleń pojawia się także w kontekście ochrony danych w fazie projektowania (art. 25 RODO). Europejska Rada Ochrony Danych w wytycznych nr 4/2019 dotyczących artykułu 25 „Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych” wymienia szkolenia wśród środków organizacyjnych.

Kwestia podnoszenia świadomości i szkoleń personelu uczestniczącego w operacjach przetwarzania pojawia się w RODO również jako zadanie inspektora ochrony danych osobowych. Do jego obowiązków należy monitorowanie tego obszaru (art. 39 ust. 1 lit. b RODO).

Ponadto RODO wskazuje wymogi dotyczące wiążących reguł korporacyjnych, czyli zestawu zasad i procedur, które mogą zostać przyjęte przez grupę przedsiębiorstw działających w różnych krajach, aby legalnie przekazywać w ramach tej grupy dane osobowe poza EOG. Wśród tych wymogów pojawia się obowiązek zapewnienia właściwych szkoleń z zakresu ochrony danych personelowi mającemu stały lub regularny dostęp do danych oraz monitorowania wykonywania tego obowiązku (art. 47 ust. 2 lit. h oraz n RODO).

W przypadku podmiotów podlegających pod dyrektywę NIS2 i znowelizowaną ustawę o krajowym systemie cyberbezpieczeństwa (po jej wejściu w życie) obowiązek szkoleń wynika także z tych aktów prawnych. Kierownictwo podmiotów kluczowych i podmiotów ważnych musi przechodzić co najmniej coroczne szkolenia z zakresu cyberbezpieczeństwa oraz obowiązków wynikających ze znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa. Takie szkolenia powinny dotyczyć m.in. zarządzania ryzykiem, raportowania incydentów czy odpowiedzialności prawnej i finansowej. Przepisy nakładają również wymóg podnoszenia świadomości personelu w zakresie cyberzagrożeń, obowiązku stosowania zasad cyberhigieny i reagowania na incydenty oraz ich zgłaszania (art. 20 ust. 2 i art. 21 ust. 2 lit. g dyrektywy NIS2 oraz art. 8d pkt 3 i art. 8e znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa).

E-learning RODO dla pracowników

Jak szkolić?

RODO nie zawiera wytycznych co do tego, jak powinien wyglądać proces szkoleniowy osób przetwarzających dane osobowe. Wskazuje jednak na efekt, jaki administrator powinien osiągnąć dzięki stosowaniu odpowiednich środków technicznych i organizacyjnych (do środków organizacyjnych zalicza się m.in. szkolenia i inne działania podnoszące świadomość kadry). Tym efektem jest zapewnienie stopnia bezpieczeństwa, który odpowiada grożącemu ryzyku (art. 24 i 32 RODO). Dlatego też planowanie szkoleń powinno odbywać się z uwzględnieniem istniejących ryzyk.

Administrator ma dużą swobodę w kształtowaniu procesu szkoleniowego. Powinien jednak uwzględnić stanowiska Prezesa Urzędu Ochrony Danych Osobowych, który w wielu swoich decyzjach odnosi się do tej tematyki. Sposób realizacji szkoleń jest jednym ze standardowo weryfikowanych obowiązków w postępowaniach prowadzonych przez UODO.

Stanowiska PUODO dotyczące szkoleń

W decyzji DKN.5131.44.2022 PUODO wskazuje:

„Prawidłowo przeprowadzone szkolenia pozwalają osobom szkolonym na właściwe zrozumienie zasad przetwarzania danych osobowych określonych przez Administratora, a w konsekwencji przyczyniają się do ograniczenia ryzyka wystąpienia naruszeń w tym obszarze. Podnieść również należy, że przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem. Ponadto, w takich szkoleniach muszą brać udział wszystkie osoby upoważnione do przetwarzania danych osobowych, a samo szkolenie musi obejmować swoim programem wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia. Pominięcie któregoś z tych elementów spowoduje, że szkolenie nie spełni swojej roli, bowiem część osób nie zostanie w ogóle przeszkolona albo uczestnicy szkolenia nie otrzymają pełnej wiedzy w danym zakresie. (…) Co więcej, brak przeprowadzania szkoleń w opisany wyżej sposób oznacza, że ten środek bezpieczeństwa w praktyce nie obniża ryzyka wystąpienia naruszeń ochrony danych osobowych, co niewątpliwie przyczynia się do osłabienia poziomu ochrony danych osobowych i przesądza o konieczności uznania naruszenia przepisów rozporządzenia 2016/679 odnoszących do obowiązków administratora w zakresie bezpieczeństwa danych. (…) regularne przeprowadzanie przez administratora szkoleń w zakresie omawianej tematyki umożliwia mu skontrolowanie stanu wiedzy pracowników w tym zakresie. (…) Administrator nie posiadał wiedzy, czy pracownicy są właściwie przeszkoleni w omawianym zakresie i dysponują wiedzą pozwalającą im na przetwarzanie danych w sposób zapewniający ich odpowiednie bezpieczeństwo”.

Wnioski wynikające z przywołanych fragmentów są następujące:

  • szkolenia dla pracowników z RODO muszą być realizowane cyklicznie,
  • w szkoleniu muszą uczestniczyć wszystkie osoby upoważnione do przetwarzania danych osobowych w organizacji,
  • program szkolenia musi obejmować wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia (kompleksowość szkolenia),
  • wiedza pracowników pozyskana podczas szkolenia powinna być sprawdzana (np. za pomocą testu),
  • administrator powinien kontrolować, czy wszyscy pracownicy odbyli szkolenie.

W odniesieniu do cykliczności szkoleń jako pewną wskazówkę można potraktować terminy wskazane przez brytyjski organ ochrony danych (ICO), który za idealne rozwiązanie uznaje coroczne szkolenia. Jednocześnie zastrzega jednak, że szkolenia nie powinny być realizowane rzadziej niż co dwa lata. Z kolei polski organ nadzorczy nie wskazuje, co dokładnie rozumie przez cykliczność, lecz w jednej ze swoich decyzji (o której mowa w dalszej części artykułu) za zbyt długą uznał przerwę w szkoleniach trwającą 17 miesięcy. Powszechnie przyjmuje się, że szkolenia powinny być powtarzane nie rzadziej niż co 12 miesięcy.

Ostatecznie to na administratorze spoczywa obowiązek wykazania odpowiedniości odstępów czasowych poszczególnych cyklów szkoleń. Celem szkoleń jest utrwalenie i pogłębienie wiedzy. Kilkuletnie przerwy między szkoleniami nie spełniają wymogu cykliczności, która ma być gwarantem aktualności wiedzy pracowników.

Aby środek bezpieczeństwa w postaci szkoleń uznać za odpowiedni, pracodawca powinien zidentyfikować, jakiego rodzaju szkolenia są potrzebne oraz kogo i na jakim poziomie przeszkolić. W zależności od tego, do jakiego zakresu danych mają dostęp poszczególni pracownicy, różny może być zakres szkolenia, które powinni przejść. W obecnych czasach trudno o sytuację, by pracownik nie miał w swojej pracy styczności z jakimikolwiek danymi. Zatem warto powtórzyć, że zalecane jest przeszkolenie całej organizacji, a różnice powinny wynikać z zakresu szkolenia poszczególnych grup pracowników.

Szkolenia muszą mieć odpowiednią tematykę. Powinny obejmować wszystkie zagadnienia związane z ochroną danych poruszane w ramach ustalonego tematu. Tematyka szkoleń powinna być dobierana z uwzględnieniem ryzyk, z którymi mierzą się organizacja i poszczególne grupy pracownicze (kompleksowość szkoleń).

Administrator powinien móc wykazać, że dana osoba odbyła szkolenie (rozliczalność szkoleń). Samo oświadczenie w tym zakresie nie wystarczy. Dowodem mogą być na przykład podpisane listy obecności, certyfikaty ukończenia czy raporty z platform e-learningowych.

Administrator musi sprawować kontrolę nad przeszkoleniem pracowników i stopniem ich wiedzy. Oznacza to, że powinien pilnować, by wszystkie osoby przetwarzające dane przeszły szkolenia, a ponadto weryfikować ich wiedzę, np. za pomocą testu wiedzy wypełnianego po szkoleniu.

Z innych decyzji PUODO wynikają kolejne wnioski dotyczące kwestii szkoleń pracowniczych.

Decyzja ZSOŚS.421.25.2019

  1. Monitorowanie przez administratora i inspektora ochrony danych przestrzegania przepisów, w tym działania mające na celu zwiększanie świadomości w zakresie ochrony danych osobowych oraz szkolenie pracowników biorących udział w operacjach przetwarzania danych, powinno się odbywać z uwzględnieniem ryzyka dla praw i wolności osób fizycznych.
  2. Działania edukacyjne powinny być weryfikowane przez administratora i inspektora ochrony danych.
  3. Działania edukacyjne powinny być dostosowane do specyfiki pracy kadry.
  4. Administrator, jako pracodawca, dysponuje instrumentami prawnymi na podstawie obowiązujących przepisów, pozwalającymi na zmobilizowanie pracownika do uczestniczenia w szkoleniu, zwłaszcza że jest ono związane z jego obowiązkami służbowymi.
  5. Administrator jest odpowiedzialny w całości za wdrożenie zasad i procesów wynikających z przepisów o ochronie danych osobowych, w tym za pełnienie nad nimi nadzoru, nawet w sytuacji, gdy został wyznaczony inspektor ochrony danych.
  6. Administrator powinien być w stanie wykazać monitorowanie procesu szkolenia, w tym dysponować potwierdzeniem odbycia szkoleń.
  7. W przypadku nieobecności pracownika na szkoleniu (np. z powodu długoterminowego urlopu) administrator powinien podjąć skuteczne działania w celu przeszkolenia go w zaplanowanym zakresie, np. przez zapewnienie odpowiedniej formy kształcenia.
  8. Administrator nie wypełnia obowiązku szkoleniowego należycie, jeśli nie dostosowuje formy szkoleń do specyfiki pracy pracowników. Zarówno brak takiego dostosowania, jak i niezapewnienie wystarczającej rozliczalności w zakresie szkoleń przeprowadzanych dla pracowników wpływają negatywnie na system bezpieczeństwa i ochrony danych osobowych w organizacji.
  9. Budowanie świadomości bezpieczeństwa danych w organizacji i koncentrowanie uwagi pracowników na kwestiach z nim związanych zmniejsza ryzyko dla przetwarzania danych osobowych. W interesie administratora jest odpowiednie przeszkolenie osób dopuszczonych do przetwarzania danych osobowych, w szczególności tych danych, których przetwarzanie jest obarczone większym ryzykiem ze względu na ich skalę, zakres i kontekst.

Decyzja DKN.5131.17.2022

  1. Szkolenia mają znaczenie w przypadku zmian w procedurach wprowadzanych przez organizację, w szczególności po stwierdzeniu naruszenia ochrony danych osobowych.
  2. Po naruszeniu administrator powinien dokonać zmian w procedurze, polegających na wprowadzeniu zasad bezpieczeństwa adekwatnych do zidentyfikowanego ryzyka (w omawianej sprawie: zasad obowiązujących w razie konieczności transportu dokumentacji medycznej poza siedzibą placówki medycznej, w tym w trakcie wizyt domowych), a następnie przeprowadzić szkolenia pracowników obejmujące aktualizację tej procedury.
  3. Bez przeprowadzenia szkoleń sama aktualizacja dokumentacji nie odniosłaby pożądanego skutku, gdyż kluczowy jest czynnik ludzki – w praktyce to pracownik ma stosować przyjęte procedury.
  4. Podjęcie przez administratora stosownych działań naprawczych, wdrożenie odpowiednich środków bezpieczeństwa oraz przeszkolenie pracowników może zostać uznane przez PUODO za okoliczność łagodzącą, wpływającą na obniżenie wysokości wymierzonej kary (co znalazło odzwierciedlenie w tej sprawie).

Decyzja DKN.5110.14.2022

  1. Samo tematyczne zestawienie zagadnień związanych ze szkoleniami nie może być uznane za plan szkoleń.
  2. Plan szkoleń powinien być przygotowany z odpowiednim wyprzedzeniem i obejmować harmonogram określonych działań oraz sposób ich przeprowadzenia, ukierunkowany na osiągnięcie określonego rezultatu.
  3. Planowanie powinno dotyczyć zdefiniowanego okresu, w którym mają zostać wykonane określone czynności. Zatem sporządzenie planu polega na wcześniejszym określeniu zakresu działań, opisaniu (wyszczególnieniu) planowanych czynności oraz na zdefiniowaniu terminów ich realizacji i sposobów wykonania.
  4. Administrator, planując szkolenia, powinien:
    • przygotować plan szkoleń z odpowiednim wyprzedzeniem,
    • ustalić harmonogram szkoleń,
    • określić sposób ich przeprowadzenia,
    • wskazać terminy realizacji.

Decyzja DKN.5131.1.2021:

  1. Najsłabszym ogniwem wpływającym na powstawanie naruszeń ochrony danych osobowych pozostaje czynnik ludzki. Administrator nie może powoływać się na to, że błędu człowieka nie można było uniknąć, jeśli nie zapewnił odpowiednich szkoleń.
  2. Jednorazowe, ogólne szkolenie z zakresu przepisów o ochronie danych osobowych nie jest wystarczające, by uznać, że administrator wdrożył skuteczne środki ograniczające ryzyko, np. ataku ransomware. W omawianej sprawie przed wystąpieniem naruszenia administrator zapewnił pracownikom zaledwie jedno szkolenie dotyczące zasad stosowania RODO, które nie obejmowało zagadnień związanych z bezpiecznym poruszaniem się w Internecie. Ponadto odbyło się ono 17 miesięcy przed wystąpieniem ataku z użyciem złośliwego oprogramowania.
  3. Samo wprowadzenie środka o charakterze organizacyjnym (np. zakazu samodzielnego konfigurowania ustawień sprzętu czy oprogramowania) nie jest równoznaczne z zapewnieniem pracownikom wiedzy o tym, w jaki sposób faktycznie chronić się przed cyberzagrożeniami.
  4. W celu ograniczenia ryzyka związanego z atakiem ransomware administrator powinien zadbać, aby szkolenia:
  • zapewniały uczestnikom wiedzę o rodzajach cyberzagrożeń oraz o odpowiednich technikach prewencji (choćby w podstawowym zakresie),
  • były kierowane do wszystkich osób zaangażowanych w procesy przetwarzania danych osobowych,
  • miały charakter cykliczny, a kolejne sesje służyły utrwalaniu nabytych umiejętności.
  1. Administrator powinien zapewnić również szkolenia z zakresu cyber security awarness. Mogą one stanowić adekwatny do ryzyka związanego z procesami przetwarzania danych osobowych organizacyjny środek bezpieczeństwa, za którego wdrożenie wyłączną odpowiedzialność ponosi administrator. 
  2. Administrator powinien zapewnić odpowiednią rozliczalność szkoleń, w tym możliwość wykazania, że zostały one faktycznie przeprowadzone i objęły właściwe osoby. Brak takiej rozliczalności oznacza niewdrożenie adekwatnych środków organizacyjnych.

Podsumowując: jednorazowe, ogólnikowe szkolenie nie spełnia swojej funkcji. Szkolenia dla pracowników muszą być cykliczne, powtarzane w odpowiednich – niezbyt długich – odstępach czasu, by utrwalać umiejętności i aktualizować wiedzę pracowników. Ponadto muszą uwzględniać istniejące ryzyka i obejmować zagadnienia istotne ze względu na te zagrożenia.

Decyzja DKN.5131.34.2022:

  1. Prawidłowo przeprowadzone szkolenie musi prowadzić do właściwego zrozumienia zasad przetwarzania danych osobowych określonych przez administratora, co w efekcie ogranicza ryzyko naruszeń w tym obszarze.
  2. Szkolenia powinny być realizowane cyklicznie, aby mogły być uznane za adekwatny środek bezpieczeństwa. Cykliczność pozwala na utrwalanie wiedzy i stałe przypominanie zasad przetwarzania danych osobowych.
  3. W szkoleniach muszą uczestniczyć wszystkie osoby upoważnione do przetwarzania danych osobowych.
  4. Program szkolenia musi obejmować wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu. Właściwie prowadzone szkolenia, na których porusza się tematykę ochrony danych, powinny wskazywać m.in. na zagrożenia socjotechniczne, takie jak wiadomości e-mail zainfekowane wirusem.
  5. Pominięcie któregoś z tych elementów (cykliczność, pełny zakres, udział wszystkich upoważnionych osób, właściwa tematyka) powoduje, że szkolenie nie spełnia swojej funkcji. Konsekwencją może być naruszenie ochrony danych osobowych i przepisów RODO.
  6. Jeśli szkolenia nie są prowadzone w opisany sposób, w praktyce nie obniżają ryzyka wystąpienia naruszeń, a osłabiają poziom ochrony danych osobowych. W takiej sytuacji może zostać stwierdzone naruszenie przepisów RODO dotyczących obowiązków administratora w zakresie bezpieczeństwa danych.
  7. Szkolenia nie zastępują rozwiązań o charakterze technicznym. Administrator musi łączyć środki organizacyjne i techniczne, aby zapewnić odpowiedni poziom bezpieczeństwa.

Decyzja DKN.5131.44.2022:

  1. Administrator musi być w stanie wykazać, że w szkoleniach uczestniczyły konkretne osoby. Jeśli nie potrafi udowodnić, że osoba odpowiedzialna za naruszenie ochrony danych została właściwie przeszkolona, nie realizuje zasady rozliczalności.
  2. Problematyka ochrony danych osobowych podlega ciągłym zmianom. Pojawiają się nowe rodzaje zagrożeń oraz zmiany w przepisach regulujących kwestie związane z ogólnie pojętym bezpieczeństwem w procesie przetwarzania danych. Regularne szkolenia pozwalają administratorowi kontrolować stan wiedzy pracowników w tym zakresie.
  3. Administrator musi nie tylko dbać o to, by pracownicy mieli aktualną wiedzę na temat ochrony danych osobowych, lecz także umieć wykazać, że są oni właściwie przeszkoleni w tym zakresie i potrafią przetwarzać dane w sposób zapewniający ich odpowiednie bezpieczeństwo.

Decyzja DKN.5131.2.2022:

  1. Administrator powinien nie tylko szkolić pracowników, lecz także sprawdzać efekty tych szkoleń. Brak wprowadzenia mechanizmów testowania, mierzenia i oceniania wiedzy po szkoleniach oznacza, że nie ma pewności, czy pracownicy zrozumieli treść przekazanego materiału oraz czy mają świadomość ryzyk i zagrożeń (np. w zakresie korzystania z przenośnych nośników pamięci).
  2. Brak cyklicznych szkoleń w zakresie przyjętych zasad przetwarzania danych osobowych prowadzi do naruszenia ochrony danych osobowych, a także do naruszenia obowiązków administratora wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 RODO oraz zasady poufności z art. 5 ust. 1 lit. f RODO i zasady rozliczalności z art. 5 ust. 2 RODO.
  3. Z orzecznictwa wynika, że zasada rozliczalności bazuje na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych dowodów na przestrzeganie wszystkich zasad przetwarzania danych (wyrok WSA w Warszawie z 10 lutego 2021 r., sygn. II SA/Wa 2378/20). Administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 RODO (wyrok WSA w Warszawie z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19).

Podsumowując: wiedza pracowników powinna być regularnie sprawdzana, a szkolenia muszą być cykliczne. Administrator musi dysponować dowodami potwierdzającymi, że prawidłowo wywiązuje się ze swoich obowiązków.

Jakie szkolenia są wymagane w ramach RODO?

W ramach obowiązków wynikających z RODO są wymagane:

  • szkolenia wstępne – po zatrudnieniu pracownika, zanim przystąpi do przetwarzania danych osobowych,
  • szkolenia odświeżające – cykliczne, przypominające, utrwalające i poszerzające wiedzę pracowników.

Ponadto konieczne mogą być szkolenia doraźne, np. w razie stwierdzenia niewystarczającej wiedzy pracownika, po naruszeniu ochrony danych osobowych, po zmianach w obowiązujących procedurach lub procesach, po wprowadzeniu nowych środków zabezpieczających.

Szkolenia z zakresu ochrony danych powinny uwzględniać takie kwestie, jak:

  • podstawowe pojęcia,
  • zasady przetwarzania danych i podstawy prawne,
  • identyfikacja i zgłaszanie naruszeń,
  • prawa podmiotów danych i realizacja żądań z zakresu RODO,
  • prowadzenie rejestrów,
  • bezpieczeństwo przetwarzania danych (w tym praca zdalna, korzystanie z narzędzi AI),
  • analiza ryzyka, DPIA, audyty,
  • udostępnianie danych i zasady powierzania przetwarzania danych,
  • transfery poza EOG,
  • kontrole i współpraca z organem nadzorczym.

Jaką formę powinny mieć szkolenia RODO?

Szkolenia mogą być realizowane w różny sposób, a wybór konkretnej formy należy do administratora. Organizacja powinna przeanalizować, która metoda będzie w jej przypadku najskuteczniejsza, biorąc pod uwagę swoją strukturę, sposób wykonywania pracy przez pracowników, możliwości organizacyjne, techniczne i finansowe, a także docelową grupę szkolenia.

Wśród różnych form szkoleń można wymienić:

  • szkolenia stacjonarne lub online – pozwalające na bezpośredni kontakt z trenerem, dyskusję oraz pracę na przykładach z życia organizacji,
  • e-learning z RODO – umożliwiający samodzielną naukę w dogodnym czasie,
  • webinary – krótsze sesje szkoleniowe poświęcone wybranym zagadnieniom,
  • inne interaktywne formy – np. gry symulacyjne, quizy online, warsztaty oparte na studium przypadku,
  • formy mieszane – łączące różne metody.
ZOBACZ WIĘCEJ: E-learning RODO dla pracowników (test + certyfikat)

Jak dobrać formę szkolenia do odbiorców?

Dla pracowników codziennie przetwarzających duże ilości danych osobowych (np. menedżerów, kadry kierowniczej, pracowników działu HR, IT czy marketingu) najlepiej sprawdzą się szkolenia stacjonarne lub online. Umożliwiają one interakcję z prowadzącym, pogłębianie poruszanych tematów i omawianie praktycznych przypadków, z którymi pracownicy stykają się w swojej pracy.

Natomiast szkolenia e-learningowe mogą być dobrym rozwiązaniem dla osób, które w mniejszym stopniu uczestniczą w procesach przetwarzania danych, lub mogą służyć jako forma odświeżenia wiedzy.

Webinary tematyczne oraz inne interaktywne formy szkoleń również są doskonałym sposobem na pogłębianie wiedzy zdobytej w ramach innych szkoleń. W przypadku e-learningu czy webinarów warto zapewnić możliwość zadawania pytań i zgłaszania wątpliwości, np. na skrzynkę mailową, przez platformę szkoleniową lub do osoby kontaktowej.

Osoby prowadzące szkolenia lub odpowiadające na pytania muszą posiadać odpowiednią wiedzę, dlatego też powinny uczestniczyć w bardziej zaawansowanych szkoleniach. Jeśli w organizacji nie ma takich osób, pojawia się ryzyko niewłaściwego przeszkolenia pozostałej kadry, co w konsekwencji zwiększa ryzyko błędów i incydentów. Z tego też względu warto angażować w proces szkoleń ekspertów. W organizacjach, w których działa inspektor ochrony danych, to on zwykle odpowiada za realizację szkoleń.

Ważne jest, by szkolenie miało aktywną formę. Samo przekazanie pracownikom dokumentacji do samodzielnego zapoznania się nie wypełnia tego wymogu. Może to stanowić dodatek do szkolenia, ale nie powinno go zastępować.

Jak personalizować treści szkoleń?

Szkolenia powinny być dostosowane do specyfiki poszczególnych działów (np. HR, IT, marketing), z uwzględnieniem charakterystycznych dla nich ryzyk i obowiązków. Bardzo dobrą praktyką jest omawianie przykładów z własnej organizacji, np. faktycznych incydentów bezpieczeństwa. Włączenie spersonalizowanych treści do programu szkoleń czyni je skuteczniejszym środkiem organizacyjnym zabezpieczającym dane, ponieważ uczestnicy lepiej rozumieją przekazywane informacje i potrafią zastosować je w praktyce.

Niektóre stanowiska lub role w organizacji wymagają pogłębionej wiedzy. Dotyczy to w szczególności osób prowadzących szkolenia, przetwarzających szczególne kategorie danych lub dane dotyczące dzieci, a także zajmujących się obsługą incydentów czy realizacją żądań RODO. Dla tych grup warto przewidzieć bardziej zaawansowane szkolenia, pozwalające na głębsze zrozumienie tematyki, z którą mają do czynienia na co dzień.

W każdym przypadku powinno się także zapewniać wysokiej jakości materiały szkoleniowe oraz dbać o ich regularną aktualizację.

Kto może szkolić pracowników?

Za właściwe przeszkolenie personelu odpowiada administrator. Zatem to pracodawca będzie podmiotem odpowiedzialnym – również przed organem nadzorczym.

Szkolenia mogą być realizowane przez wyznaczoną osobę z organizacji lub przez podmiot zewnętrzny. Może je prowadzić także inspektor ochrony danych osobowych. Niezbędne jest to, by osoba szkoląca sama miała odpowiednią wiedzę z tematyki objętej szkoleniem oraz dobrze znała procesy przetwarzania danych występujące w organizacji. Pracownicy powinni mieć możliwość zadawania trenerowi pytań i zgłaszania swoich wątpliwości.

W przypadku gdy administrator decyduje się na szkolenia zewnętrzne, powinien upewnić się, że uwzględnią one potrzeby organizacji, np. profil jej działalności i procesy przetwarzania, które w niej występują. Należy unikać sytuacji, w których pracownicy corocznie przechodzą dokładnie te same szkolenia. Zamiast tego warto zadbać o rozwijanie oraz regularne odświeżanie treści.

Jak zapewnić pracownikom przestrzeń na szkolenia?

Organizacja powinna zapewnić pracownikom realną możliwość uczestniczenia w szkoleniach. W praktyce zdarza się, że osoby obciążone obowiązkami traktują szkolenie jako mniej istotne i koncentrują się na bieżących zadaniach. Nie przynosi to korzyści ani pracownikowi, ani organizacji. Dlatego należy jasno zakomunikować, że szkolenie nie jest opcją, lecz obowiązkiem, który wymaga poświęcenia czasu i uwagi.

Szkolenia powinny stanowić element kultury organizacyjnej, wpisany w standardy organizacji, wspierający bezpieczeństwo danych i minimalizujący ryzyko błędów.

Jak sprawdzać wiedzę i dokumentować szkolenia?

Pracodawca powinien znać poziom przeszkolenia swojej kadry. Po szkoleniu istotne jest zatem sprawdzenie, czy pracownik rzeczywiście przyswoił wiedzę, np. za pomocą testu lub ankiety – w wersji elektronicznej lub papierowej. Pozwala to ocenić skuteczność szkolenia i zidentyfikować obszary, które mogą wymagać dodatkowego wsparcia.

Fakt uczestnictwa w szkoleniu, jego zakres oraz wynik testu powinny zostać udokumentowane w taki sposób, by pracodawca mógł wykazać (np. w razie kontroli UODO po stwierdzonym naruszeniu), że konkretny pracownik został przeszkolony, kiedy to nastąpiło, w jakim zakresie i z jakim skutkiem.

Do udokumentowania szkoleń mogą służyć na przykład podpisane listy obecności, certyfikaty lub zaświadczenia o ukończeniu szkolenia, wygenerowane po uzyskaniu pozytywnego wyniku testu, a także raporty z platformy e-learningowej zawierające informacje o uczestnikach, wynikach testów, terminie zrealizowanych szkoleń i planowanych terminach kolejnych edycji. Aby wykazać zakres tematyczny szkolenia, warto przechowywać jego program, prezentację czy kopię materiałów szkoleniowych przekazanych uczestnikom.

Przykład

Pracodawca stworzył listę pracowników zobowiązanych do odbycia szkolenia odświeżającego z zakresu ochrony danych osobowych, określił formę (e-learning) oraz termin jego realizacji. Lista jest przechowywana w dziale HR. Czy jest to wystarczające z perspektywy zasady rozliczalności?

Odpowiedź

Nie. Pracodawca powinien mieć potwierdzenie, że każdy pracownik rzeczywiście odbył szkolenie, np. w formie podpisów na liście obecności lub zaświadczeń wygenerowanych z platformy e-learningowej. Sama lista osób zobowiązanych do udziału w szkoleniu nie jest wystarczająca. Pracodawca powinien monitorować, czy wszyscy pracownicy wypełnili obowiązek szkoleniowy, i podejmować działania wobec osób, które wciąż go nie zrealizowały. Dodatkowo powinien posiadać program szkolenia, żeby wykazać, jaka tematyka była omawiana.

Jak często szkolić pracowników z RODO?

RODO nie określa, co jaki czas pracownicy powinni odbywać szkolenia. Pierwsze szkolenie z zakresu ochrony danych osobowych musi odbyć się jeszcze przed dopuszczeniem pracownika do przetwarzania danych. W praktyce przyjmuje się, że szkolenia warto odświeżać co najmniej raz w roku, a w razie potrzeby także częściej.

Do sytuacji, które mogą powodować konieczność ponownego przeszkolenia, można zaliczyć:

  • incydenty bezpieczeństwa, naruszenia ochrony danych,
  • pojawienie się nowych zagrożeń (np. w związku ze zmianą sposobu wykonywania pracy, taką jak przejście z pracy stacjonarnej na zdalną),
  • wprowadzenie nowych rozwiązań, narzędzi, technologii (np. wdrażanie systemów AI),
  • znaczące zmiany w procesach biznesowych, z którymi wiąże się przetwarzanie danych osobowych (np. rozpoczęcie działań marketingowych),
  • zmiany w przepisach prawa nakładające nowe obowiązki (np. wejście w życie ustawy o sygnalistach czy tzw. ustawy Kamilka).

E-learning dla sygnalistów

Częstotliwość szkoleń z zakresu cyberbezpieczeństwa dla kierownictwa, wymaganych na gruncie dyrektywy NIS 2, jest określona w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (implementującej w Polsce tę dyrektywę). Kierownik podmiotu kluczowego i podmiotu ważnego ma obowiązek odbywania raz w roku szkoleń z zakresu wskazanego w tej ustawie. Podobnie jak w obszarze RODO – udział w szkoleniu powinien zostać udokumentowany.

Regularne szkolenia warto uzupełniać działaniami zachęcającymi pracowników do ciągłego doskonalenia się oraz do zwiększania wiedzy i świadomości. Można na przykład systematycznie wysyłać treści edukacyjne: newslettery (od organów nadzorczych czy podmiotów profesjonalnie zajmujących się daną tematyką), tematyczne broszury, informacje o incydentach (zarówno wewnętrznych, jak i zewnętrznych) i wnioskach z nich płynących oraz komunikaty dotyczące nowych zagrożeń. Sposób przedstawienia i przekazania informacji zależy od decyzji organizacji. Także w tym obszarze warto zadbać o dokumentowanie podejmowanych działań, by w razie kontroli organu nadzorczego móc je wykazać.

Ile trwa szkolenie RODO?

Nie jest możliwe określenie jednego konkretnego czasu trwania szkolenia. Wszystko zależy od rodzaju szkolenia, jego tematyki, formy i poziomu zaawansowania uczestników.

Orientacyjnie można przyjąć, że:

  • szkolenie pracownicze z podstawowych zagadnień związanych z ochroną danych osobowych trwa zwykle od 2 do 4 godzin,
  • szkolenia dla kadry zarządzającej lub osób odpowiedzialnych za ochronę danych osobowych (w tym inspektorów ochrony danych) trwają najczęściej 1–2 dni, 
  • bardziej specjalistyczne szkolenia zajmują od 8 do nawet 32 godzin,
  • webinary trwają zazwyczaj około 1 godziny,
  • e-learning wymaga poświęcenia od około 30 minut do 3 godzin.

Jakie powinno być dobre szkolenie?

Dobre szkolenie to takie, które:

  • rzeczywiście trafia do świadomości pracownika,
  • jest odpowiednio dobrane tematycznie, a więc porusza wszystkie kwestie istotne z perspektywy procesów przetwarzania danych, w których pracownik uczestniczy,
  • uwrażliwia na istniejące zagrożenia,
  • zapewnia umiejętność radzenia sobie w określonych sytuacjach (np. w razie incydentu ochrony danych czy wpływu żądania z zakresu RODO),
  • umożliwia pracownikowi aktywny i efektywny udział,
  • jest udokumentowane w sposób pozwalający administratorowi wykazać, że wypełnił swoje obowiązki w tym obszarze (zasada rozliczalności).

Przykładowe stanowiska Brytyjskiego Ico oraz organów UE

Biuro Komisarza ds. Informacji – brytyjski organ regulacyjny

  1. Organizacja powinna posiadać program szkoleniowy dla wszystkich pracowników z zakresu ochrony danych i bezpieczeństwa informacji. Program ten powinien:
  • uwzględniać wymogi krajowe i sektorowe,
  • być kompleksowy i obejmować kluczowe obszary dotyczące ochrony danych, takie jak realizacja żądań z zakresu RODO, przekazywanie danych (dzielenie się danymi), bezpieczeństwo informacji, naruszenia ochrony danych i prowadzenie rejestrów,
  • uwzględniać potrzeby szkoleniowe poszczególnych pracowników i działów (zidentyfikowane na podstawie analizy potrzeb) oraz być dostosowany do zakresu obowiązków poszczególnych osób,
  • określać czas realizacji potrzeb szkoleniowych,
  • być zatwierdzany przez najwyższe kierownictwo, a także regularnie weryfikowany i aktualizowany,
  • być nadzorowany lub zatwierdzany przez inspektora ochrony danych lub przez inną osobę wyznaczoną do zarządzania informacjami.
  1. Program powinien obejmować szkolenia wstępne i odświeżające. Szkolenie wstępne powinno odbyć się przed dopuszczeniem pracownika do danych osobowych, nie później niż w ciągu miesiąca od zatrudnienia. Szkolenia odświeżające powinny być realizowane cyklicznie, w odpowiednich odstępach czasu, w sposób zapewniający utrzymanie aktualnej wiedzy pracowników. Osoba odpowiedzialna powinna prowadzić harmonogram szkoleń dla każdego pracownika, wskazujący datę szkolenia wstępnego i szkoleń odświeżających. Za idealne rozwiązanie organ uznaje szkolenia coroczne, przy czym wskazuje, że nie powinny one być realizowane rzadziej niż co dwa lata.
  2. Wymagania dotyczące szkoleń i umiejętności powinny być zawarte w opisach stanowisk. Szkolenia muszą uwzględniać także nowe obowiązki w przypadku zmiany stanowiska lub zakresu odpowiedzialności związanego z przetwarzaniem danych.
  3. W organizacji powinny zostać wyznaczone osoby odpowiedzialne za zarządzanie szkoleniami. Powinny one mieć opracowany plan szkoleń, adekwatny do potrzeb w tym zakresie, i realizować go w ustalonych przedziałach czasowych. Organizacja powinna także zapewnić odpowiednio wykwalifikowaną kadrę do prowadzenia szkoleń.
  4. Szkoleniom podlegają wszyscy pracownicy, niezależnie od stażu pracy czy podstawy zatrudnienia. Osoby zajmujące się w organizacji ochroną danych osobowych, takie jak inspektor ochrony danych oraz członkowie zespołów ds. realizacji żądań i prowadzenia rejestrów, powinny otrzymać dodatkowe profesjonalne szkolenia oraz możliwość rozwoju.
  5. Podstawę szkoleń powinno stanowić siedem zasad ochrony danych:
    • zgodność z prawem, rzetelność i przejrzystość,
    • ograniczenie celu,
    • minimalizacja danych,
    • poprawność,
    • ograniczenie przechowywania,
    • integralność i poufność (bezpieczeństwo),
    • rozliczalność.

Szkolenia powinny obejmować wyjaśnienie kluczowych pojęć dotyczących ochrony danych, takich jak dane osobowe, osoba, której dane dotyczą, naruszenie danych osobowych oraz prawo do informacji. Oprócz tego każdy pracownik powinien otrzymać szkolenie dostosowane do jego ról i obowiązków. Na przykład osoba sprzątająca pomieszczenia raczej nie będzie potrzebować szkolenia we wszystkich aspektach ochrony danych, ale musi umieć rozpoznać sytuacje, kiedy dane osobowe nie są przechowywane bezpiecznie, i wiedzieć, kogo o tym poinformować. Natomiast inne osoby mogą wymagać bardziej dogłębnego szkolenia, np. w zakresie:

  • udostępniania danych,
  • unikania naruszeń danych osobowych,
  • dbania o bezpieczeństwo obiektów i danych,
  • znaczenia dobrego zarządzania dokumentacją.
  1. Administrator powinien weryfikować efektywność szkoleń. Może to robić na przykład za pomocą ocen (testów na koniec szkolenia z minimalną liczbą punktów zaliczających) lub ankiet. Jeśli jakiś pracownik nie osiągnie zadowalającego wyniku z testu sprawdzającego wiedzę ze szkolenia, należy go dodatkowo przeszkolić, nie czekając do następnego zaplanowanego szkolenia. Administrator powinien również dopilnować, by osoby, które nie odbyły szkolenia, przeszły je jak najszybciej. Dodatkowo personel powinien mieć możliwość zgłaszania uwag dotyczących odbytych szkoleń, a przekazany feedback powinien być uwzględniany w aktualizacjach programu. Wyniki monitorowania szkoleń powinny trafiać do kadry zarządzającej.
  2. Organizacja powinna ocenić, czy jest w stanie wykazać przed organem nadzorczym zgodność swoich działań w zakresie szkoleń (zasada rozliczalności). Administrator musi zadbać o możliwość udowodnienia, że osoby na kluczowych stanowiskach ukończyły stosowne, aktualne szkolenia i biorą udział w szkoleniach uzupełniających. Musi też przechowywać dane przeszkolonych osób i kopie materiałów szkoleniowych udostępnionych uczestnikom. Pracownicy powinni znać swoją dokumentację szkoleniową, tzn. umieć wyjaśnić, jakie szkolenia odbyli, kiedy oraz w jakim zakresie.
  3. Organizacja powinna dbać o regularne podnoszenie świadomości kadry w zakresie ochrony danych, zarządzania informacjami oraz obowiązujących polityk i procedur. Może to odbywać się podczas spotkań, na służbowych forach lub za pomocą różnych narzędzi komunikacji, takich jak e-maile, plakaty, broszury, ulotki czy blogi. Administrator powinien posiadać dowody potwierdzające prowadzenie takich działań. Niezbędne jest także zapewnienie łatwego dostępu do materiałów szkoleniowych oraz wskazanie osoby do kontaktu w razie pytań związanych z tematyką szkoleń.
  4. Rejestr szkoleń pracowników powinien być prowadzony na bieżąco i aktualizowany, a także dokładnie odzwierciedlać rodzaj przeprowadzonego szkolenia. Rejestr powinien zawierać:
    • datę ostatniego szkolenia,
    • rodzaj szkolenia, np. wstępne, dodatkowe lub odświeżające,
    • termin, w którym należy przeprowadzić szkolenie odświeżające,
    • wyniki testów z zakresu ochrony danych (jeśli dotyczy),
    • obszary wymagające dodatkowego wsparcia i termin jego udzielenia,
    • informacje o dodatkowych szkoleniach potrzebnych ze względu na zmieniające się role pracowników.

Szwedzki organ ochrony danych (IMY)

  1. Szkolenia są kluczowym czynnikiem umożliwiającym pracownikom przyczynianie się do zapewnienia bezpieczeństwa w organizacji.
  2. Aby spełnić wymogi RODO i zapewnić rzeczywistą ochronę danych, pracownicy muszą przestrzegać wewnętrznych wytycznych i procedur dotyczących ochrony danych osobowych.
  3. Niepokojące jest to, że nawet połowa pracowników nie posiada wystarczającej wiedzy o obowiązujących w ich organizacji wewnętrznych wytycznych i procedurach przetwarzania danych osobowych, przez co nie potrafi ich stosować. Dodatkowo panuje przekonanie, że przestrzeganie RODO nie jest istotne. Takie podejście nie stwarza dobrych warunków do faktycznego przestrzegania przepisów.
  4. W organizacjach, które nie zapewniają wszystkim pracownikom zrozumienia i akceptacji wspólnych europejskich zasad ochrony prywatności i danych, rośnie ryzyko naruszeń danych osobowych.
  5. Najczęstszą przyczyną naruszeń danych osobowych zgłaszanych do organu jest błąd ludzki. W związku z tym zaleca się oferowanie regularnych szkoleń, które umożliwią pracownikom wzięcie odpowiedzialności za zapewnienie bezpiecznego przetwarzania danych osobowych.

Francuski organ ochrony danych (CNIL)

  1. Ochrona danych osobowych to zadanie nie tylko prawników i specjalistów od IT, lecz także wszystkich osób, które są zaangażowane w przetwarzanie danych osobowych (innych pracowników, kontrahentów czy klientów).
  2. Pracownicy powinni być świadomi powagi obowiązków związanych z ochroną danych. Dlatego należy zwiększać ich świadomość i regularnie ich szkolić.
  3. Każdy dział powinien być w stanie identyfikować żądania w zakresie realizacji praw podmiotów danych, a także znać dalszą procedurę postępowania (np. w sytuacji, gdy do działu obsługi klienta wpłynie sprzeciw podmiotu danych wobec przesyłania reklam). Szkolenia powinny obejmować zasady dostępu do danych, w tym zasadę wiedzy koniecznej, zakaz ujawniania danych nieuprawnionym osobom oraz reguły dotyczące dostępu do archiwizowanych danych i kopii zapasowych. Konieczne jest także omówienie wymogów bezpieczeństwa danych, takich jak polityka haseł, zabezpieczanie stanowiska pracy podczas nieobecności oraz korzystanie z prywatnych sprzętów do celów służbowych.
  4. Osoby pełniące funkcję inspektora ochrony danych, które nie posiadają co najmniej 2-letniego doświadczenia zawodowego w tym obszarze, powinny przejść specjalistyczne szkolenie trwające minimum 35 godzin.

Materiały pomocnicze

Przy opracowywaniu programu szkoleń dla pracowników warto sięgać do wytycznych, stanowisk i decyzji organów nadzorczych z różnych krajów członkowskich. Na ich stronach internetowych często są publikowane gotowe materiały do wykorzystania. Zawarte w nich informacje wskazują kluczowe aspekty, które powinny zostać ujęte w szkoleniach pracowników – także dlatego, że zwracają na nie uwagę organy nadzorcze. Korzystanie z tych źródeł ułatwia zrozumienie oczekiwań kontrolujących i pomaga tworzyć lepsze praktyki w organizacji.

Czytaj także:

2 czerwca 2026

Czy KSC i NIS2 wymagają SOC? Monitorowanie a zgodność z przepisami

3 kwietnia 2026

NIS2 / KSC – sprawdź swoją gotowość

12 marca 2026

Jak wdrożyć KSC / NIS2 - poradnik dla firm

Szkolenia

Dla IOD i pracowników -
otwarte, zamknięte,
e-learning
Najczęstsze błędy przy zawieraniu umów powierzenia

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość od ODO 24.

Kliknij w link w e-mailu – od razu pobierzesz przewodnik „Jak skutecznie wdrożyć NIS2". Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>

Potwierdź adres e-mail i pobierz przewodnik

Wysłaliśmy do Ciebie wiadomość od ODO 24.

Kliknij w link w e-mailu – od razu pobierzesz przewodnik
„Jak skutecznie wdrożyć NIS2".

Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.

Zamknij
Szukaj w ODO24.pl