GDPR тренінг, як елемент GDPR compliance
Сьогодні кожна компанія, на яку поширюється дія Регламенту, повинна бути GDPR compliant, тобто відповідати його вимогам. У діяльності компанії, зокрема, виділяють внутрішній compliance, частиною якого є проведення GDPR тренінгів.
GDPR тренінг простими словами – це ознайомлення колег із вимогами GDPR, а також тим, які дані збирає саме ваша компанія та які дії з ними проводяться (плюс інша інформація, яку Ви вважаєте необхідною для діяльності компанії в цьому контексті). Він може включати як теоретичну, так і практичну частину.
Проте чи настільки потрібно такі тренінги проводити та чи взагалі GDPR це вимагає? Давайте з’ясуємо.
Яка мета GDPR тренінгів?
У статті 5 (f) GDPR міститься важливий принцип, за яким персональні дані повинні оброблятися в спосіб, який забезпечує їх належний захист від несанкціонованого або незаконного опрацювання, ненавмисної втрати, знищення або завдання шкоди («цілісність і конфіденційність»).
За Регламентом контролер відповідає за запровадження відповідних технічних та організаційних заходів, які забезпечать здійснення обробки відповідно до GDPR.
Звісно, під час процесу та з метою обробки даних доступ до них є у багатьох працівників компанії. Відповідно, для того, щоб дотримуватися вищезгаданого принципу, необхідно сповістити персонал про вимоги GDPR, які ставляться до поведінки із даними.
GDPR тренінг потрібно проводити з метою:
- Забезпечення обізнаності працівників фірми щодо вимог, які ставляться GDPR.
При цьому проводити тренінги варто як для працівників, які постійно мають справу із персональними даними, так і для тих, у кого немає такого прямого обов’язку. Адже так чи інакше кожен працівник компанії інколи буде мати справу із персональними даними. Для цього важливо, щоб він міг відрізнити такі дані від іншої інформації.
- Документального підтвердження того, що працівники дійсно знають вимоги GDPR. Компанія-контролер має обов’язок запроваджувати необхідні заходи, щоб обробка даних відповідала Регламенту. Тренінг може стати його частиною.
- Забезпечення власної репутації, підвищення рівня захисту персональних даних, які довіряють Вам data subjects.
- Для того, щоб зменшити ризик штрафів, які супроводжують порушення Регламенту.
Відповідальність за порушення вимог Регламенту – важлива складова його ефективності, адже штрафи за GDPR можуть сягати $20 млн або 4% від сукупного доходу компанії. Ніколи не можна виключати саме «людський фактор» – дії працівників внаслідок їх недбалості/некомпетентності і т.п.
Варто також розуміти, що це загальні цілі проведення таких тренінгів. Визначення того, що саме Ви хочете досягти від їх проведення, is up to you (наприклад, зменшити кількість випадків неправомірної поведінки з персональними даними).
Чи вимагає GDPR проведення тренінгу?
Прямої вимоги проводити такі тренінги Регламент не містить. Тоді організовувати їх немає потреби? Швидше є, ніж ніJ Ряд положень GDPR все-таки вказує на необхідність підвищення обізнаності працівників щодо політики захисту персональних даних компанії.
- Стаття 39 передбачає серед обов’язків Data protection officer (DPO), у разі його залучення, інформування та надання порад працівникам, які займаються обробкою даних.
- Корпоративні правила компанії, зокрема, повинні регламентувати проведення відповідного тренінгу із захисту даних для працівників, які мають постійний доступ до персональних даних, які обробляються (стаття 47).
- Стаття 33 покладає на контролера обов’язок повідомляти про порушення у сфері персональних даних не пізніше, ніж через 72 години після того, як йому стало про це відомо. Зрозуміло, що першочергово та оперативно такі порушення можуть виявляти працівники компанії, але лише за тієї умови, коли вони достатньо обізнані в тому, що вважається порушенням.
GDPR compliance – це постійний рух, тобто регулярний моніторинг відповідності компанії Регламенту, а GDPR тренінг – важлива його частина. Це дійсно дієвий, а також доступний механізм захисту персональних даних у компанії.