従業員向けの個人データ保護トレーニング-必要ですか?

サービス

個人データ保護に関する従業員のトレーニングは、すべての企業の個人データ保護システムの重要な要素です。多くの場合、処理されたデータのセキュリティに影響を与える重大なインシデントを引き起こす可能性がある最も弱いリンクは人間です。最悪の場合、従業員の過失により、会社の評判が失われたり、重大な経済的ペナルティが発生したりする可能性があります。

すべての個人データ管理者は、従業員向けのトレーニングを実施する必要がありますか?

GDPRは、個人データ保護の分野で従業員をトレーニングする義務について明確に言及していませんが、いくつかの場所で明確に言及しています。最も重要なポイントの1つは、データ保護責任者のタスクを定義する第39条です。検査官は、GDPR、その他の連合または加盟国のデータ保護法、および個人データ保護の分野における管理者または処理者のポリシーへの準拠を監視する責任があります。これには、職務の分離、意識向上活動、参加者のトレーニングが含まれます。処理操作および関連する監査。

すべての経済主体がデータ保護責任者を任命する必要があるわけではないため、上記の規定がトレーニングを実施するための明確な命令として解釈できないことは事実です。ただし、これは、検査官が不在の場合、訓練する義務がないことを意味するものではありません。このような状況では、彼の職務は個人データ管理者(会社の所有者など)によって実行されます。個人データの保護の主な責任は彼にあることは明らかです。管理者は、自分に代わって個人データを処理する人に責任があり、そのたびに、このデータにアクセスできる社内のすべての人に承認を付与します。これらの人が適切な知識と資格を持っていることは、管理者の利益になります。すべての従業員が個人データの処理を管理する規定を知っていることを期待することは不可能であり、さらに、彼らが雇用されている企業の特異性を考慮して、これらの規定を実施することができます。

したがって、トレーニングはビジネスの必須要素と見なす必要があります。この義務は、たとえごくわずかであっても、個人データを処理するすべての企業に適用されます。今日、そのようなデータを使用せずに運営されている会社を想像することは困難です。例外は、所有者が事業活動に関連するすべての正式な側面に責任がある中小企業です。次に、個人データにアクセスできない人々を雇用します。

例1。

起業家は自動車修理店を経営しています。車を修理し、顧客とのコミュニケーションを一切とらない2人の従業員を雇用しています。このような状況では、個人データ管理者(つまり所有者)のみが従業員およびワークショップの顧客データの形式で個人データを処理するため、トレーニングは完全に不要です。

ただし、上記の例はありそうにありません。実際には、従業員から個人データへのアクセスを完全に奪うことは困難です。次の例で説明する状況は、はるかに現実的です。

例2。

起業家は自動車修理店を経営しています。車を修理する2人の従業員を雇用しており、原則として顧客に連絡することはありません。オーナーは、修理時間の調整、請求書の発行など、顧客との連絡に責任を負います。ただし、偶然にも、たとえばワークショップのオーナーが不在の場合、次の状況が発生します。

  • 従業員は、修理された車を回収する可能性について電話で顧客に通知します。

  • 従業員は、自動車部品の注文が正しいことを確認するために、車両登録証明書からのデータを提供するように顧客に依頼します。

  • 従業員はクライアントにサービスの個人的な請求書を提供します。

上記の各活動には、個人データへのアクセスが含まれます。したがって、そのような状況では、従業員はそれらに対処する方法についての知識を持っている必要があります。したがって、所有者は、顧客の個人データを保護するための手順について従業員を訓練する必要があります。

誰が従業員を訓練すべきですか?

個人データ保護の分野で従業員のトレーニングを実施する人のプロファイルに関する正確なガイドラインはありません。間違いなく、それは有能である、つまり適切な知識とスキルを示す必要があります。いくつかの可能性があります:

  1. データ保護責任者が会社に任命されている場合、彼は最高の能力を持っているため、トレーニングの責任者である必要があります(ただし、これは、この分野でサポートできないことを意味するわけではありません。トレーニングサービスの)。

  2. 会社にデータ保護責任者がいない場合は、次のオプションから選択できます。

    1. トレーニングはオーナーが実施します。オーナーは自分で必要な知識を習得する必要があります(小規模事業体に適したソリューション)。

    2. トレーニングは指定された従業員によって実施されます(これにより、指定された従業員の適切な能力が確保されます)。

    3. 個人データの分野でのトレーニングを扱う外部エンティティ。

適切なソリューションを選択するときは、処理の規模とその範囲を常に考慮に入れる必要があります。会社の活動が主に個人データの処理に基づいており、処理の理由が、たとえば広範な法的規定に起因する場合、この分野の資格のある専門家に従業員のトレーニングを委託する価値があります。

個人データ保護について従業員をトレーニングするのはいつですか?

従業員のトレーニングは継続的に行う必要があります。これは、必要が生じたときにそれらを整理する必要があることを意味します。トレーニングが必要であると考えられる状況は少なくとも4つあります。

最初の状況は、従業員が仕事を始める前の瞬間です。個人データの管理者は、従業員を承認することにより、個人データを処理する準備ができていると述べています。このため、その前にトレーニングを行う必要があります。

2番目の状況は法律の変更です。個人データの保護に関する法律やGDPRを変更するだけではないことに注意してください。また、データ処理の基礎となることが多い業界規制についても説明します。

トレーニングが必要なもう1つの状況は、社内規制または会社の組織構造の変更です。内部規制は、たとえば、セキュリティポリシーである場合があります。一方、会社の構造の変化は、個々のポジションでのタスクの変化または個人データを含むドキュメントの流通の変化に関連している可能性があります。いずれの場合も、従業員のトレーニングが非常に望ましいでしょう。

従業員向けのトレーニングを実施する最後の明確な理由は、個人データに関連するインシデントの発生です。このような状況では、是正措置の重要な要素は、将来同様の脅威を回避するための個人データと手順の不適切な取り扱いの原因と結果を従業員に示すためのトレーニングです。

紐を付けずに30日間の無料試用期間を開始してください!

従業員向けのトレーニングはどのように実施する必要がありますか?

トレーナーの場合やトレーニングの頻度と同様に、その形態も起業家の選択に大きく依存します。トレーニングの基本的なタイプは、直接トレーニングと間接トレーニングです。 1つ目は、有資格者による従業員または従業員グループのパーソナルトレーニングです。この形式の連絡には多くの利点がありますが、その中で最も重要なのは従業員と対話する能力です。間接トレーニングは、トレーニング資料の連続的な転送またはeラーニングの形式でのトレーニングの実施に基づいています。このフォームは、特に大企業でははるかに簡単に実行できますが、そのようなトレーニングの効果は確かにはるかに低くなります。トレーニングの形式に関係なく、参加する個人データ処理プロセスに従って従業員を分割することは価値があります。たとえば、マーケティング部門、人材部門、管理スタッフなどの従業員を個別にトレーニングする場合です。これにより、トレーニングの内容を職務の具体性に合わせて調整することができます。

概要

各個人データ管理者は、個人データの分野で従業員向けのトレーニングを開催する必要があります。唯一の例外は、個人データに接触しない従業員を雇用する起業家です。能力は、トレーニングを実施する人を選択する上で重要です。法律で義務付けられているトレーニングの頻度は定義されていません。ただし、従業員が仕事を始める前、企業で採用されている一般的に適用される法律または手順の変更後、およびインシデントの発生後に整理する必要があります。トレーニングの形式は、その有効性が最も重要であると同時に、特定の企業の組織の可能性に適合させる必要があります。