13 Gru

Jak skutecznie szkolić pracowników z przestrzegania zasad RODO?

Szkolenia pracowników to najtańszy i najprostszy sposób dbania o zapewnienie ochrony danych osobowych przetwarzanych w organizacji. Wielu administratorów danych tłumaczy brak wdrożenia odpowiednich zabezpieczeń, w szczególności informatycznych, niewystarczającym budżetem. Trudno jest mi przyjąć ten argument, biorąc pod uwagę, że dobre szkolenie dla pracowników można zrobić wewnętrznie, bez angażowania dodatkowych środków.

Właśnie. Dobre szkolenie.

Dobre szkolenia dla pracowników nie polegają na czytaniu slajdów. Dobre szkolenie nie może być nudne. Dobre szkolenie musi opierać się na praktycznych przykładach, powinno być połączone z częścią warsztatową, wywoływać pozytywne emocje, pozostawiać pozytywne wrażenia.

Niektórzy czytając moje wywody, śmieją się pod nosem. Jak można zrobić zabawne i ciekawe szkolenie z RODO? Przecież to taki nudny temat??? Oczywiście, że można, ale o tym jak to zrobić, napiszę za chwilę.

Pamiętaj, że od jakości prowadzonych szkoleń, zależy ich skuteczność. Trzeba być kreatywnym i zadać sobie pytanie, czego tak naprawdę muszą nauczyć się osoby, które przetwarzają dane. Jakiś czas temu, znajoma będąca bardzo ważnym dyrektorem w bardzo ważnej instytucji, powiedziała że swój pierwszy tydzień pracy rozpoczęła od osobistego przeszkolenia całego swojego biura z obsługi edytora tekstu oraz arkusza kalkulacyjnego. Jej pracownicy byli doświadczonymi ekspertami, jednakże ona nauczona wieloma latami doświadczeń, uznała że jeżeli chce czegoś od kogoś wymagać, to najpierw musi wyraźnie pokazać czego oczekuje. Robiąc szkolenia z podstaw obsługi podstawowych narzędzi do pracy biurowej, zapewniła sobie gwarancję tego, że jej pracownicy będą potrafili sprostać jej oczekiwaniom. Efekty okazały się szokujące. Jej biuro odpowiada trzykrotnie szybciej na wszystkie pisma niż inne biura. Trzykrotnie!

Podobnie działa dobrze zrobione szkolenie z zasad ochrony danych osobowych dla pracowników. Ich świadomość i zrozumienie potrzeb osób, których dane są przez nich przetwarzane wzrasta kilkukrotnie. Zaczynają zwracać uwagę na niedociągnięcia oraz zgłaszać do kierownictwa lub Inspektora (jeżeli został wyznaczony) naruszenia lub podejrzenia naruszeń ochrony danych. Często na szkoleniach dla IOD dyskutujemy o tym, że Inspektor ma pewność, że dobrze przeszkolił ludzi, gdy zaczynają mu sami zgłaszać naruszenia, w których brali udział (samodonosy). Jeżeli jesteś IOD, a ludzie nie składają Ci samodonosów, oznacza to, że jeszcze daleka droga przed Tobą.

Najważniejsze są podstawy

W tym roku szkoliłam głównie specjalistów. Nie zmienia to faktu, że pierwszą godziną lub dwie szkolenia zawsze poświęcałam na wprowadzenie do teorii zagadnienia. Jeżeli czułam, że grupa już ma te podstawy i rozumie do czego zmierzamy, mogłam przejść dalej do tego co było najważniejszą częścią szkolenia. Dobre zrozumienie podstaw jest bardzo ważne. Na szkoleniach dla pracowników nie czytam im slajdów, nie cytuję przepisów. Skupiam się na tym, żeby uświadomić ludziom, czym jest RODO dla nich i jakie daje im prawa, a także żeby zrozumieli, że mają cudze dane traktować tak, jakby były to ich własne. Dyskutuję z nimi. Zastanawiamy się wspólnie, czym są dane, czym jest przetwarzanie danych, jakie zagrożenia dla ochrony danych czyhają w ich pracy. Szukamy wspólnie ryzyk dla poufności danych w ich codziennej pracy oraz próbujemy znaleźć rozwiązania. Takie szkolenie jest konstruktywne, a także pomaga odnaleźć słabe punkty w systemie ochrony danych, o których przed szkoleniem nie miałam pojęcia. Dzięki dyskusji z ludźmi, zamiast nudnego czytania slajdów, szkolenie jest wartościowe dla obu stron. Po takim szkoleniu pracownicy rozumieją o co chodzi z tym RODO i że nie jest to tylko głupi szum medialny, który kończy się dla nich masą RODOspamu.

Teoria to nie wszystko

Słaby szkoleniowiec mówi ludziom, że ich obowiązkiem jest zapewnienie bezpieczeństwa danych, powie że mają przesyłać dane w sposób bezpieczny, że nie wolno żadnych danych przekazywać telefonicznie. Dobry szkoleniowiec pokaże ludziom, w jaki sposób zapewnić poufność danych: nauczy jak blokować komputer (zamiast tylko mówić, że trzeba to robić), nauczy zakładać hasło do pliku, nauczy szyfrować z użyciem hasła, nauczy jak przekazywać bezpiecznie hasło, jak konstruować hasło, jak wysyłać wiadomości do wielu odbiorców. Wytłumaczy, dlaczego nie wolno udostępniać innym swoich haseł. Pokaże na czym polega phishing i jak go rozpoznać. Nauczy co robić przy naruszeniu, jak weryfikować tożsamość, jak rozmawiać z ludźmi na temat ich danych.

Zapraszanie ludzi do komputerów, aby mogli spróbować zablokować komputer lub założyć hasło do pliku, jest najlepszą formą przeprowadzania szkolenia. Podstawowym błędem popełnianym przez wielu szkoleniowców jest zakładanie, że ludzie pewne rzeczy wiedzą i potrafią, a obowiązkiem szkoleniowca jest zapoznanie ich z tekstem RODO. Program szkolenia musi dotyczyć codziennej pracy uczestników. Trzeba odnosić się do specyfiki ich pracy, zasad organizacyjnych wdrożonych przez administratora, a także przepisów sektorowych.

Dobre szkolenie to kreatywne szkolenie

Staram się do programu moich szkoleń podchodzić z odrobiną humoru oraz pomysłu. Często zaczynam szkolenia od żartów. Robię wszystko, żeby zaangażować grupę w aktywny udział w szkoleniach. Czasami wystarczy powiedzieć „coś głupiego”, żeby ludzie zaczęli się śmiać, czy zaprzeczać i uczyć mnie, jak coś należy robić (np. opowiadam, że wczoraj na ulicy był konkurs na najszybsze powiedzenie numeru PESEL z pamięci, który udało mi się wygrać). Czasami dzielę uczestników na grupy i prowadzę szkolenie w formie turnieju, w którym każda z grup otrzymuje punkty za poprawne odpowiedzi. Po części teoretycznej jest czas na pytania (czasami trzeba rozwiązać zadanie, czasami najszybciej udzielić odpowiedzi lub podać jak najwięcej przykładów). Grupy pracują razem i starają się wygrać, bo zwycięzcy otrzymują paczkę cukierków (tak, inwestuję 5-10 zł w każde przeprowadzane szkolenie). Poprawne odpowiedzi nagradzamy brawami. Trudne zadania, które słabo poszły grupom, omawiamy razem. Szkolenia prowadzone w ten sposób przyciągają tłumy i sprawiają, że poprzez zabawę, uczestnicy przyswajają podstawowe zasady przetwarzania danych zgodnie z RODO. Nim bardziej uda się zaangażować uczestników, tym lepsze będzie szkolenie. Każdy aspekt rywalizacji sprawia, że się skupiają i „chłoną” każde słowo szkolącego.

Ciekawym rozwiązaniem jest także skorzystanie z narzędzi dostępnych przez Internet, np. wspólnie rozwiązać test na rozpoznawanie phishingu lub omawiać najciekawsze przypadki naruszeń ochrony danych, które są szeroko omawiane, np. w Niebezpieczniku czy Zaufanej trzeciej stronie. Bardzo ciekawe narzędzia multimedialne udostępnia na swoich stronach Panoptykon. Także na stronach Parlamentu Europejskiego można znaleźć filmy edukacyjne, pomagające zrozumieć jak na przykład działa Tarcza prywatności UE-USA.  Nie przejmuj się, jeżeli materiały są w obcym języku lub nie masz dźwięku na szkoleniu. Przecież jesteś świetnym lektorem. Zauważyłam, że ludziom bardzo się podoba, gdy robię za lektora, nawet jeżeli filmy są po polsku.

Nagroda

Wielu pracowników ceni sobie możliwość otrzymania dyplomu ze szkolenia. Zdarzało mi się, że na moje pierwsze szkolenie przychodziła garstka, a na kolejnych były już tłumy, bo wiedzieli, że szkolenie jest ciekawe, a po jego zakończeniu dostaną dyplom, który wzbogaci ich CV. Dla niektórych to jedyne szkolenie, z którego dostają dyplom, przez cały okres pracy, więc bardzo to sobie cenią i zależy im na tym.


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie


Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Akredytowane szkolenia z ochrony danych osobowych