Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Czy szkolenia z zakresu RODO są niezbędne?

Tak, szkolenie z zakresu ochrony danych osobowych są niezbędne. RODO nie narzuca wprost formy takiego szkolenia, jednak powinny one być uznane za obowiązkowy element skutecznej ochrony danych.  Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO, aby dane były bezpieczne i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Administrator danych osobowych powinien móc okazać dowód na przeprowadzanie regularnych i adekwatnych do warunków, w których działa organizacja szkoleń, które pozwolą wykazać, że współpracownicy są świadomi, co to w ogóle są dane osobowe, co oznacza przetwarzanie danych osobowych, jak chronić dane swoje i innych i w jaki sposób wykonywać swoje codzienne obowiązki służbowe, aby to przetwarzanie było zgodne z RODO i innymi przepisami o ochronie danych osobowych.

Należy pamiętać, że organ nadzorczy ma prawo zweryfikować zasady prowadzenia szkoleń przez Administratora.

Tak więc przeprowadzenie samego szkolenia nie wystarczy. W praktyce należy również zyskać pewność co do tego, że takie szkolenie było skuteczne, a więc zweryfikować wiedzę pracowników. Dla Administratora konieczne jest uzyskanie pewności, że przetwarzanie danych osobowych w jego organizacji jest legalne i odbywa się z poszanowaniem zasad wskazanych w RODO. Test z odpowiedziami (jeżeli będzie przeprowadzany w formie elektronicznej) wyświetlającymi się po udzieleniu odpowiedzi (poprzez kliknięcie odpowiedniego przycisku w teście) może okazać się narzędziem nie tylko bardzo pomocnym, ale też przyjaznym dla osób go rozwiązujących.

Więcej na temat samych szkoleń RODO oraz naszej usługi w tym zakresie piszemy w naszym artykule tutaj: https://lexdigital.pl/szkolenie-rodo-poradnik.

Test szkoleniowy

W niniejszej publikacji opisujemy narzędzie, które może być bardzo przydatne w procesie weryfikacji wiedzy pracowników. Wielokrotnie stosowane przez nas w obsłudze klientów, służące nie tylko weryfikacji wiedzy o ochronie danych osobowych, ale też jej pogłębieniu.

Mowa o teście składającym się z dowolnej liczby pytań i zawierającym kilka wariantów rozwiązań z możliwością wyboru jednej lub kilku poprawnych.

W testach mogą również pojawić się odpowiedzi typu "żadne z powyższych" czy "wszystkie powyższe", a także pytania typu „prawda – fałsz”. Przykładami takiego pytania mogą być następujące:

• "Inspektor ochrony danych osobowych pełni funkcję punktu kontaktowego dla urzędu ochrony danych osobowych" (odpowiedź na to pytanie: PRAWDA)
• "HR w procesie rekrutacji może zapytać kandydata o formę spędzania wolnego czasu" (odpowiedź na to pytanie: FAŁSZ - oznaczałoby to, że pracownik HR złamał zasadę minimalizacji danych)
• "Numer PESEL to dana szczególnej kategorii" (odpowiedź na to pytanie: FAŁSZ).

Uczestnik testu zaznacza odpowiednio, czy dane zdanie jest prawdziwe, czy fałszywe. Należy mieć jednocześnie na uwadze fakt, że pytanie zadawane w takiej formule daje odpowiadającemu szanse 50% powodzenia nawet wtedy, jeżeli nie posiada żądanej wiedzy.

Test może mieć formę pisemną, chociaż obecnie coraz większą popularnością cieszą się testy elektroniczne, które nie tylko umożliwiają wykonanie ich z dowolnego miejsca, ale też przyspieszają proces oceniania (ze względu na formę ich odbycie nie musi być potwierdzone odręcznym podpisem). Ilość pytań, zakres wiedzy, do której się odnoszą, zależy indywidualnie od administratora na podstawie wcześniej dokonanej oceny w tym zakresie.

Zaleca się, aby testy wiedzy nie były zawsze stosowane w tej samej formie, a więc np. kolejność pytań, a także kolejność odpowiedzi w danym pytaniu może się zmieniać. Jest to odstępstwo od standaryzacji, które ma na celu zmniejszenie ryzyka w postaci wcześniejszego zapoznania się z pytaniami przez kandydata, ich zapamiętania, a także – jeśli test rozwiązywany jest jednocześnie przez grupę znajdującą się w jednym miejscu – zaglądania do odpowiedzi innych osób.

Dobrze też, jeśli pytania do testu są losowane z większej puli gotowych pytań. Dzięki temu test nie ma zawsze tej samej formy i jest bardziej prawdopodobne, że osoby podchodzące do weryfikacji nie poznały wcześniej pytań i klucza odpowiedzi (Bielecki M. 2020 - Testy wiedzy – tworzenie i stosowanie w weryfikacji efektów uczenia się. Wskazówki dla instytucji certyfikujących w Zintegrowanym Systemie Kwalifikacji).

Jakie pytania zadawać w teście z zakresu ochrony danych osobowych?

Charakter i stopień trudności zadawanych pytań powinny oczywiście być spójne z treścią dostarczonego/przedstawionego pracownikom materiału szkoleniowego i dostosowane do wykonywanych przez nich obowiązków służbowych związanych z przetwarzaniem danych.

Ogólne pytania z ochrony danych osobowych dotyczące np. podstawowych przepisów o ochronie danych, organu nadzorczego (czyli urzędu ochrony danych osobowych), czy też zasad identyfikacji osoby fizycznej są uniwersalne i mogą być zadane w każdej jednostce organizacyjnej administratora. Każdy pracownik powinien stosować zasadę minimalizacji danych, a także zachowanie ich w poufności — zatem pytania dotyczące tego obszaru również będą uniwersalne.

Natomiast pytania szczegółowe zapewne będą inne dla pracowników pracujących w dziale obsługi klienta (np. przy obsłudze reklamacji towaru) od tych, które zadawane będą pracownikom uczestniczącym w procesach rekrutacji. Dane nieistotne i nieprzetwarzane przez handlowca mogą być kluczowe w celu zrealizowania reklamacji towaru.

Nie każdego pracownika będzie można zapytać np. o podstawy przetwarzania danych osobowych klientów w procesie zakupowym (a więc czy przetwarzane są one na podstawie umowy, czy też niezbędne będzie zapytanie klienta o zgodę i inne) - zadaniem zespołu opracowującego test (w tym Inspektora ochrony danych) jest dostosowanie pytań do konkretnej grupy odbiorców.

Warto zadawać pytania "z życia wzięte". Nasze doświadczenie pokazuje, że osoby wypełniające test wykazują dużo większe zainteresowanie tematyką RODO, jeżeli szkoleniowcy przytaczają przykłady z życia, edukujące, jak należy chronić własne dane. Takie praktyczne podejście do tematu przetwarzania i ochrony danych często rozwiewa wiele wątpliwości uczestników szkoleń i pozwala im lepiej zrozumieć RODO. Możemy zatem zadać pytanie typu:

Wybrałeś się na wakacje nad jeziorem i masz zamiar wynająć łódkę. Pracownik wypożyczalni chce, w celu zabezpieczenia sprzętu, wykonać obustronny skan dowodu osobistego (Twojego lub innej osoby dorosłej, z którą jesteś). Jak zachowasz się w takiej sytuacji?

• pozwolę na wykonanie kopii dowodu,
• zdecydowanie odmówię — mam świadomość, że dane zawarte w dowodzie osobistym zawierają informacje, których nielegalne wykorzystanie może wpłynąć na utratę moich praw i wolności,
• pozwolę na spisanie podstawowych danych z dowodu potwierdzających moją tożsamość.

Podczas szkoleń warto mówić o warunkach wyrażania zgód, z którymi pracownicy mają styczność na co dzień. W tym obszarze, wśród uczestników szkoleń pojawia się zazwyczaj wiele wątpliwości. Pracownicy pytają, czy muszą odebrać, np. od klienta, zgodę potwierdzoną odręcznym podpisem, czy też osoba, której dane dotyczą, może wyrazić zgodę w inny sposób.

Uczulmy pracowników, że zgoda nie może być wyrażona dla różnych celów przetwarzania danych jednocześnie i skonstruujmy odpowiednie w tym obszarze pytanie na teście.

Na rynku dostępnych jest wiele różnych narzędzi, które pozwalają na przeprowadzenie testów RODO online i umożliwiają natychmiastowe zapoznania się uczestnika testu z jego wynikami. Pamiętaj, że jeżeli prowadzisz jednoosobową działalność gospodarczą — nie zwalnia Cię to ze stosowania przepisów RODO, Ty również przetwarzasz dane — wykonaj test poprzedzony szkoleniem, aby uzyskać pewność, że przetwarzanie danych osobowych w Twojej działalności odbywa się zgodnie z RODO.