Czy po zapoznaniu pracownika z treścią Polityki Ochrony Danych Osobowych można uznać, że odbył on niezbędne szkolenie w zakresie ochrony danych?
ODPOWIEDŹ
Dokument taki jak Polityka Ochrony Danych Osobowych to wewnętrzny dokument, który powinien posiadać każdy administrator danych osobowych. Dokument ten nie może być przekazywany wszystkim pracownikom do wglądu, a jedynie tym, którzy pomagają administratorowi danych w wywiązywaniu się przez niego z nałożonych obowiązków, wynikających m.in z przepisów RODO. W takim dokumencie co do zasady powinny znajdować się informacje o tym, jakie dane są przetwarzane, na jakich zasadach, jakie administrator danych stosuje zabezpieczenia; nie wszystkie te informacje mogą być przekazane ogółowi pracowników. Tym bardziej nie można uznać przekazania Polityki Ochrony Danych Osobowych do przeczytania jako formy przeszkolenia personelu.
Szkolenie pracowników, w zależności od zajmowanych przez nich stanowisk, powinno być dostosowane do tego, jaki zakres obowiązków posiadają dani pracownicy oraz od tego, czy w ramach wykonywanych przez siebie obowiązków przetwarzają dane osobowe. Inny bowiem zakres szkolenia powinien być określony dla pracowników biurowych, inny dla działu IT, jeszcze inny dla działu księgowego, działu kadr czy też dla personelu sprzątającego. Każdy dział realizuje inny zakres przetwarzania danych osobowych, posiada inne zadania i kompetencje. Uznanie, że zapoznanie się treścią Polityki Ochrony Danych Osobowych będzie mogło zastąpić odpowiednie szkolenie uważam za błędne i odradzam stosowanie takiego rozwiązania.