Pārzinim (organizācijai), veicot datu apstrādi, ir jāievēro Datu regulā [1] iekļautie nosacījumi, lai datu apstrāde būtu droša, pārskatāma un neierobežotu fizisku personu tiesības uz datu aizsardzību. Par datu apstrādi organizācijā ir atbildīga pati organizācija [2], tai ir jāspēj nodrošināt, ka tās darbinieki tiek pienācīgi apmācīti un tādējādi neapdraudētu organizācijas rīcībā nonākušus personas datus – gan iekšējos, gan ārējos. [3] Un ņemot vērā, ka nodarbinātie, kas darbojas organizācijas (pārziņa) pakļautībā un kam ir piekļuve organizācijas rīcībā esošajiem personas datiem, neapstrādā minētos datus citādi, kā vien saskaņā ar šīs organizācijas norādījumiem [4].
Datu regulā ir noteikts, ka organizācijai, papildus datu apstrādes principiem, lai datu apstrāde būtu uzskatāma par drošu, ir jāīsteno arī atbilstīgi tehniski un organizatoriski pasākumi. [5] Šādi pasākumi ir nepieciešami ne tikai, lai izvairītos no sistēmu ievainojamības un nedrošas datu uzglabāšanas, tāpat arī novērstu trešo personu neatļautu piekļuvi organizācijas rīcībā esošiem personas datiem, bet arī lai organizācija var būt droša, ka ikdienas un nestandarta situāciju gadījumā, tās darbinieki zinātu, kā rīkoties ar to rīcībā nonākušiem personas datiem, kas savukārt var novērst iespējamu datu aizsardzības pārkāpumu vai vismaz samazinātu tā iestāšanās risku. Tādējādi ir svarīgi regulāri un kontrolēti veikt organizācijas darbinieku apmācīšanu datu apstrādes jautājumos, kas nodrošinās daļu no Datu regulas prasību izpildi.
Darbinieku apmācība ir nepieciešama, lai iepazīstinātu darbiniekus ar organizācijā izveidotu ietvaru personas datu aizsardzībai un apstrādei, kas iekļauts organizācijas iekšējos procesos un kārtībās, kā neatņemama un obligāta organizācijas darbības sastāvdaļa.
Tāpat kvalitatīvas apmācības nodrošina arī darbinieku spēju patstāvīgi izprast, kura informācija, kas nonāk to rīcībā darba pienākumu izpildes laikā, ir fizisku personu dati, kuru apstrādei ir piemērojams datu aizsardzības normatīvais regulējums, un kādi ir ierobežojumi to apstrādei. Darbinieku uzmanība jāvērš arī uz to, ka to rīcībā nonākuši personas dati ir apstrādājami tikai amata pienākumu izpildes ietvaros, un tie nav nododami citiem darbiniekiem, ja vien šī informācija nav tieši attiecināma uz pienākumu izpildi. [6]
Viens no efektīviem veidiem, kā apmācīt savus darbiniekus, ir datu aizsardzības speciālista norīkošana un piesaistīšana darbinieku apmācībā, īpaši attiecībā uz to rīcībā esošu klientu datu apstrādi, kā arī darbību ar pašas organizācijas darbinieku personas datiem. [7] Šādu iespēju jo īpaši ir jāīsteno organizācijām, kurām datu aizsardzības speciālists jau ir iecelts vai tā iecelšana ir viens no obligātiem pienākumiem, kas noteikti Datu regulā. [8]
Ja datu aizsardzības speciālists nav iecelts, tad organizācija var izvērtēt tā vai cita zinoša speciālista piesaistīšanu uz īsāku laiku, kur tas palīdzētu ne tikai sakārtot iekšējos datu aizsardzības procesus organizācijā, bet arī apmācītu darbiniekus, ja organizācijas kolektīvā nav pieejama persona, kas būtu pietiekami kvalificēta šajā jomā.
Ja organizācijā kāds no nodarbinātajiem izprot datu aizsardzības jautājumus, arī tā var būt persona, kas ievirza darbiniekus šajos jautājumos, un paskaidro atbilstoši konkrētās organizācijas procesiem un to rīcībā esošajiem personas datiem, kā ar tiem rīkoties.
Piemērs: Telefonsarunas laikā klientam tiek lūgts nosaukt savus personas datus, lai to varētu identificēt. Ja klientam rodas jautājumi par to, kādēļ tas ir nepieciešams darbiniekam uz šādu jautājumu būtu jāspēj pamatoti atbildēt, kā arī vajadzības gadījumā norādīt, ka sīkāka informācija atrodas uzņēmuma tīmekļa vietnē publicētajā privātuma politikā.
Apmācību procesā galvenais uzsvars ir liekams ne vien uz pamata izglītošanu datu aizsardzības jomā, bet arī specifisku – atbilstoši konkrētā uzņēmuma darbības jomai un datiem, kādi ir tā rīcībā – gan klientu, partneru, citu fizisku personu, gan arī pašu darbinieku. Tāpat jāpievērš uzmanība apmācību regularitātei. Līdzīgi ugunsdrošības vai darba aizsardzības apmācībām, arī datu aizsardzības joma attīstās, un zināšanu par to uzturēšanai ir svarīga nozīme organizācijas kvalitatīvā un nepārtrauktā darbībā. Svarīgi arī nepiemirst par jaunu darbinieku apmācīšanu.
Darbinieku apmācību vēlamais saturs:
- Ievads datu aizsardzībā;
- Ievads kiberdrošībā;
- Iepazīstināšana ar un izpratnes radīšana par organizācijas iekšējiem procesiem un kārtībām attiecībā uz datu apstrādi;
- Organizācijas nozares specifiskie noteikumi un ārējie normatīvie akti (piemēram, kādēļ organizācijai ir pienākums ievākt konkrētus personas datus saskaņā ar Grāmatvedības likumu);
- Darbinieku atbildība par pārkāpumiem, piemēram, disciplinārlietas uzsākšana (kurā brīdī organizācija vairs neatbild par darbinieka privātos nolūkos veiktu datu apstrādi);
- Ziņošana par datu apstrādes incidentiem un to izskatīšanas kārtība organizācijā;
- Darbinieka pašizglītošanās iespējas, zināšanu uzturēšana (piemēram, iepazīstoties ar Datu valsts inspekcijas publicēto informāciju, vadlīnijām, kuras sagatavojušas Eiropas galvenās datu aizsardzības iestādes (EDPB, 29. panta darba grupa).
Kaut arī speciālista piesaistīšana darbinieku apmācībā un regulāra apmācīšana kā tāda sākotnēji var šķist kā laikietilpīgs un resursu patērējošs rīks, kuru izmantojot pat tūlītējs rezultāts nav redzams, tomēr tas ir veids kā izvairīties no pārkāpumiem, tīšas vai nejaušas datu noplūdes un citiem neparedzētiem gadījumiem. Šādi gadījumi var rezultēties gan mantiskos zaudējumos organizācijai, gan zaudētos klientos (jo pie pārziņa, kas bezatbildīgi attiecas pret personu datiem, tie var nevēlēties palikt), gan sodā par nelikumīgu datu apstrādi, kuru kāds darbinieks būs veicis organizācijas ietvaros, iespējams, vien tādēļ, ka organizācija nebija pietiekami ieguldījusi savu darbinieku apmācībā vai vispār to nav veikusi.
Ņem vērā! Darba devējs ir atbildīgs par darbinieku apmācīšanu un darbinieks par šo instrukciju ievērošanu, tomēr, ja, tas tā rīcībā nonākušus personas datus izmantos privātiem nolūkiem, tad atbildība par šo apstrādi ir pārnesama uz konkrēto darbinieku.