GDPR Academy

Nedostatočné školenie zamestnancov, ktoré viedlo až k udeleniu vysokej pokuty

Jeden z dozorných orgánov v ochrane osobných údajov udelil prevádzkovateľovi pokutu, pričom súčasťou zistených nedostatkov boli aj neúčinné školenia v ochrane osobných údajov zamestnancov. V prepočte na eurá utŕžil prevádzkovateľ sankciu vo výške cca 100 000 eur.

Ako k porušeniu v ochrane osobných údajov došlo?

Celé vyšetrovanie spustila sťažnosť dotknutej osoby, ktorá sa týkala porušenia ochrany jej súkromia a nedostatočnej bezpečnosti osobných údajov na strane prevádzkovateľa.

Zistilo sa, že porušenie spôsobili vlastní zamestnanci prevádzkovateľa. Na úplnom začiatku prípadu jeden z nich rozoslal jeho komunikáciu so zákazníkom ďalším štyrom kolegom (zamestnancom prevádzkovateľa), na ich pracovné e-mailové adresy. Súčasťou komunikácie bola aj informácia o tom, na aký účel chce zákazník použiť istú sumu peňazí, ktorú si chcel vybrať zo svojho bankového účtu. Uvažujete správne, ak predpokladáte, že prevádzkovateľom bola banka. 

Poďme však ďalej. Ďalší zo zamestnancov si komunikáciu
odfotografoval svojim mobilným telefónom a ďalej neoprávnene šíril aj prostredníctvom aplikácie WhatsApp. Text skončil zverejnený aj na sociálnej sieti a na internetovej stránke.

Dozorný orgán prevádzkovateľovi vytkol, že spracúvanie osobných údajov spôsobom, akým ho zamestnanci prevádzkovateľa vykonali, bolo v rozpore s čl. 5 ods. 1 písm. f) všeobecného nariadenia o ochrane údajov. Podľa neho musia byť osobné údaje spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení. Hovoríme o zásade integrity a dôvernosti spracúvaných osobných údajov.

Ďalej dozorný orgán poukázal na to, že interné školenia zamestnancov prevádzkovateľa k ochrane osobných údajov boli neúčinné. Pričom, ako ďalej konštatoval vo svojich záveroch, školenia zamestnancov sú neoddeliteľnou súčasťou technických a organizačných opatrení, ktoré bol prevádzkovateľ povinný prijať s cieľom zabezpečiť úroveň bezpečnosti primeranú riziku spracúvania, čím prevádzkovateľ porušil ustanovenia čl. 32 všeobecného nariadenia o ochrane údajov.
Neoprávnené spracúvanie – zverejnenie osobných údajov vlastnými zamestnancami prevádzkovateľa, spôsobilo dotknutej osobe (zákazníkovi) viaceré morálne škody, ako aj iné významné ekonomické alebo sociálne nevýhody. Záver z kontroly si môžete prečítať kliknutím na tento odkaz.

Čo urobiť, aby ste sa neocitli v podobnej situácii?

Žiaľ, mnohí prevádzkovatelia sa spoliehajú len na jedno školenie, a to pri prijatí zamestnanca do zamestnania. Ak vôbec. Často ide totiž len akési formálne podpísanie záznamu o tom, že sa zamestnanec v deň nástupu do práce oboznámil s niekoľkými vnútornými predpismi svojho zamestnávateľa. Medzi nimi aj s bezpečnostnou smernicou pre prácu s osobnými údajmi. Smernice však ani prinajmenšom nečítal a mnohokrát ich ani nevidel. O následných školeniach zamestnancov v ochrane osobných údajov aspoň jedenkrát za rok, už vôbec nie je ani chýru, ani slychu.

Následne, keď k porušeniu v ochrane osobných údajov dôjde (lebo sme len ľudia a nikto nie je neomylný), prevádzkovateľ nevie preukázať dostatočné prijaté opatrenia v oblastí školení a vzdelávania. Teda čo všetko urobil, aby k porušeniu nedošlo, a ako im predchádzal.

S GDPR Academy si povinnosť školení zamestnancov môžete plniť úplne jednoducho a pre vašu organizáciu finančne nenáročne. Ako na to?

Začnete úvodným školením

Nových zamestnancov – budúce oprávnené osoby, preškolte pomocou online kurzu GDPR pre oprávnenú osobu. Jeho trvanie je len 45 minút. Praktické pre vás bude, ak má každá oprávnená osoba individuálny prístup, ale dá sa to aj riešiť aj skupinovo v zasadačke cez projektor pripojený ku GDPR Academy.

 

Následné školenia

Po určitom čase, si môžete vybrať niektorý z ďalších kurzov. Aktuálne odporúčame najmä online kurz GDPR a porušenia v ochrane údajov. Vaši zamestnanci si možno ani neuvedomujú, čo všetko je porušením v ochrane údajov a ako jednoducho k nemu môže dôjsť. Pre vás, ako prevádzkovateľa, vznik porušenia znamená veľké problémy. Jedným z nich je napríklad povinnosť jeho oznámenia Úradu na ochranu osobných údajov, teda priamo kontrolnému orgánu.

Preškolte si zamestnancov čo najskôr. Verte, že po tomto hodinovom kurze budú vaši zamestnanci určite opatrnejšie pristupovať k spracúvaniu osobných údajov.

Pripojte sa k odberateľom GDPR spravodaja

Náš newsletter práve teraz odoberá
Aktívnych odberateľov

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.