avocatnet.ro 
Conform GDPR:REPORT, majoritatea breșelor de securitate sunt cauzate de erorile angajaților. Astfel, este foarte important, ca mijloc de prevenție, să luați măsurile necesare pentru a vă educa angajații cu privire la riscurile legate de proasta-gestionare a datelor personale la care aceștia au acces.
Mai mult, GDPR prevede o serie de obligații privind obligativitatea informării și a consilierii angajaților care preclucrează date personale (de exemplu, în cadrul articolului 39). În concret, ele prevăd doar finalitatea: aceea de a aduce la cunoștința angajaților informațiile necesare legate de prelucrarea datelor, în scopul garantării efectivității protecției acestora, astfel cum reiese din GDPR.
În același timp, educarea angajaților cu privire la chestiunile prevăzute de GDPR are un alt mare avantaj: conform Regulamentului, firmele vor trebui să dovedească implementarea măsurilor privind protecția datelor personale. Având în vedere faptul că o bună parte din prelucrarea datelor personale se face de către angajați, unul din elementele de bază în scopul demonstrării implementării unor măsuri efective este educația angajaților.
Astfel, cum se va face educarea și informarea angajaților, în scopul unei mai bune gestionări a activității de prelucrare a datelor, în acord cu GDPR?
În primul rând, conform blog-ului Employment Privacy Blog, educația angajaților privind GDPR ar trebui să pornească de la pozițiile din vârf, prin oferirea de cursuri/ prezentări privind GDPR, în paralel cu un sistem de comunicații constant care să scoată în evidență importanța respectării datelor personale. Astfel de comunicații vin de la persoanele aflate în poziții cheie.
De asemenea, aceeași sursă sugerează includerea principiilor și regulilor privind protecția datelor în codurile interne de conduită ale companiilor, precum și menținerea unor dialoguri constante cu angajații despre importanța respectării datelor personale.
Totuși, am menționat, în primul rând, cursurile și prezentările (sesiuni de training). Însă cum ar trebui să se desfășoare astfel de sesiuni, pentru a fi efective și a nu fi o simplă formalitate, care poate produce riscul unei expuneri la proasta gestionare a datelor personale?
Sursa menționată inițial - GDPR:REPORT -, precum și o altă sursă - Spark Compliance Consulting (companie de consultanță în domeniul compliance) - oferă o serie de sfaturi despre cum ar trebui să fie sesiunile de training, pentru a fi efective:
- Inițial, concentrați-vă pe elementele de bază - ce este GDPR, principiile esențiale, riscurile nerespectării etc. Este foarte importantă explicarea clară a fundamentelor, înainte de a se merge mai departe;
- Sesiuni specifice, atât care să se concentreze pe specificul activității companiei, cât și specifice departamentelor - de exemplu, pentru departamentul de marketing, esența să fie comunicările comerciale; în schimb, consiliul de administrare/ directoratul va trebui să cunoască riscurile pentru companie dacă nu este respectat Regulamentul;
- De preferat, nu recurgeți doar la training online: ajută mult mai mult comunicările directe și posibilitatea angajaților de a pune întrebări în timpul sesiunii, întrucât vă pot ajuta să observați aspecte la care nu v-ați gândit;
- Una din finalitățile sesiunilor de training să fie posibilitatea angajaților de a identifica riscurile și eventualele breșe de securitate. În cazul ultimelor, este foarte importantă posibilitatea de reacție imediată a angajaților, având în vedere termenul de 72 de ore pentru comunicarea breșelor de securitate autorităților;
- E mai important ca sesiunile de training să fie simple și de înțeles decât exhaustive. Până la urmă, puțini angajați au pregătirea corespunzătoare pentru a înțelege în profunzime chestiunile legate de protecția datelor, cum o are un responsabil cu protecția datelor, de exemplu.
Aplicarea acestor principii este foarte importantă. Ele oferă cadrul în care angajații pot să înțeleagă pașii pentru respectarea GDPR și pentru evitarea riscurilor privind datele personale. Totuși, este foarte important, cum am menționat mai sus, ca activitatea de pregătire să nu fie văzută ca o simplă formalitate.
Acest lucru înseamnă și că pregătirea trebuie să fie una continuă. Având în vedere dinamica domeniului datelor personale, în timp, pot apărea probleme pe care nimeni nu le-ar fi putut prezice. Doar o pregătire continuă și o informare continuă privind respectarea datelor personale pot determina o pregătire efectivă în scopul respectării GDPR și oportunitatea de reacție la astfel de probleme.
claudiughebauer1975
Comentarii articol (0)