Działalność szkoleniowa a RODO

działalność szkoleniowa a RODO
działalność szkoleniowa a RODO

Temat: Działalność szkoleniowa a RODO

Prowadzenie działalności szkoleniowej wiąże się z przetwarzaniem danych osobowych. „Działalność szkoleniowa a RODO” nie jest więc tematem przypadkowym, a wręcz przeciwnie – ma ważkie znaczenie dla osób prowadzących szkolenia z różnych dziedzin. Zazwyczaj dane osobowe pozyskujecie Państwo już na etapie poprzedzającym samo szkolenie, za pośrednictwem formularza zgłoszeniowego do którego zainteresowani szkoleniem wpisują swoje dane osobowe (np. imię, nazwisko, adres e-mail). Dane te są Państwu niezbędne chociażby do wystawienia odpowiedniego zaświadczenia / certyfikatu potwierdzającego odbycie szkolenia. Nawet jeżeli szkolenia ma charakter zdalny, nie słyszeliśmy o sytuacji, aby odbywało się ono anonimowo.

O tym, kto musi wdrożyć u siebie RODO pisaliśmy w tym artykule: https://fundacjaentropia.pl/rodo-a-jednoosobowa-dzialalnosc-gospodarcza-czyli-jak-nie-dostac-rykoszetem-od-facea/

Jak widać z powyższego dane osobowe, chociażby w najbardziej ograniczonym zakresie są przez Państwa przetwarzane. Oznacza to, że obowiązki wynikające z RODO dotyczą Państwa jako trenerów, szkoleniowców, warsztatowców dowolnej branży.  Dlatego argument, że otrzymujecie Państwo e-mailem tylko imię i nazwisko do wystawienia zaświadczenia osobie, która przecież sama zapisała się na moje szkolenie, albo, że dostajecie Państwo listę z imionami i nazwiskami osób od firmy, która zleciła przeprowadzenie szkolenia, z góry skazane są na porażkę. Działalność szkoleniowa a RODO to dwa tematy, które muszą współistnieć, dlatego przygotowaliśmy niniejszy artykuł.

Szkoleniowiec: Administrator Danych czy Podmiot Przetwarzający?

Teraz, kiedy już wiemy, że przetwarzają Państwo dane osobowe i podlegają przepisom RODO na normalnych zasadach pójdziemy krok dalej i rozważymy kwestię czy występują Państwo w roli Administratora Danych uczestników szkolenia czy też tzw. Podmiotu Przetwarzającego. Jest to bardzo ważna kwestia, często zupełnie pomijana przez szkoleniowców, którzy mają jeden gotowy wzór RODO na każde szkolenie i bezmyślnie z niego korzystają. Tymczasem rozróżnienie obu ról może być bardzo proste i intuicyjne, wystarczy skorzystać z naszej wskazówki, którą omawiamy dla Państwa w kolejnym akapicie.

Otóż wspomnianą wskazówką na której powinni się Państwo oprzeć jest model szkolenia. Chodzi o to, czy będzie ono miało charakter zamknięty czy otwarty. Szkolenia zamknięte, czy też wewnętrzne, dedykowane (różnie je można nazywać) polegają na przeszkoleniu konkretnej grupy osób wyznaczonych przez pracodawcę. W takiej sytuacji pracodawca, jako Administrator Danych zatrudnianych przez siebie osób, decyduje o celu oraz sposobie przetwarzania ich danych osobowych. W tym przypadku Państwo stają się dysponentem danych osobowych pracowników biorących udział w szkoleniu wyłącznie na zasadzie stosunku powierzenia.

Mówimy tu o następującej sekwencji zdarzeń: pracodawca firma A (czyli Administrator Danych) przekazuje (powierza) firmie szkoleniowej (jako podmiotowi przetwarzającemu) dane osobowe swoich pracowników, aby ta przetwarzała je w imieniu i na rzecz pracodawcy, zgodnie z jego wytycznymi. Właściwym dokumentem, regulującym omawiany stosunek będzie umowa powierzenia. Reasumując, przy realizacji szkolenia zamkniętego, gdzie firma sama wyznaczyła pracowników na szkolenie, sama rozdysponowała formularze zgłoszeń i je przesłała, występują Państwo w roli Podmiotu Przetwarzającego i wówczas powinni Państwo zadbać o zawarcie umowy powierzenia ze zleceniodawcą.

Inaczej sytuacja wygląda przy szkoleniach otwartych, ponieważ zazwyczaj nie są dedykowane pracownikom jednej firmy a zapisać się na nie może dosłownie każdy. Mówimy tu o sytuacji, w której Państwo wysyłacie ofertę szkoleń do różnych firm, a następnie pracownicy tych firm lub inne osoby zainteresowane deklarują chęć wzięcia udziału w takim szkoleniu. Wtedy dane pozyskiwane są bezpośrednio od pracownika bądź przy niewielkim udziale pracodawcy (przykładowo pracodawca  opłacając szkolenie dla wybranych osób przekazuje np. jedynie dane o ich liczbie i miejscu zatrudnienia, natomiast wszelkie dane niezbędne do uzyskania zaświadczenia pracownik przekazuje już Państwu samodzielnie. W tym przypadku, Państwo stają się Administratorem Danych uczestników szkolenia i to po Państwa stronie spoczywają wszelkie kwestie organizacyjne, również związane z tym, jakie dane osobowe uczestników przetwarzać, jakie środki bezpieczeństwa zastosować, komu udostępniać i po jakim czasie usuwać.

Zaświadczenia o ukończeniu szkolenia  i listy obecności

Kolejną kwestią wartą omówienia jest zakres danych jakie Państwo umieszczają na  listach obecności oraz zaświadczeniach o ukończonym kursie. Należy pamiętać, że w przypadku organizowania szkoleń obowiązkowych (czyt. wynikających z przepisów prawa) jak np. okresowe szkolenie BHP, zakres danych precyzyjnie regulują odpowiednie Rozporządzenia. Dlatego w naszej ocenie, jakakolwiek ingerencja w zakres tych danych, w szczególności poprzez jego nieuzasadnione rozszerzanie naraża Państwa na zarzut naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO. RODO promuje bowiem zasadę tzw. minimalizacji danych. Zgodnie z nią dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Jeżeli zaś chodzi o listy obecności, to powinny one, co do zasady, ograniczać się do podania imienia i nazwiska uczestnika szkolenia. Zamieszczenie oprócz imienia i nazwiska jakichś innych danych np. miejsca urodzenia osoby, będzie oznaczało, że zbierają Państwo dane niezgodnie z ich celem (w nadmiarze) jak również spowoduje, że wszystkie osoby, które będą miały dostęp do listy, a zwłaszcza pozostałe osoby biorące udział w szkoleniu będą mogły zapoznać się z tymi danymi nie będąc do tego uprawnionymi.

Na zakończenie, wszystkim z Państwa, którzy korzystają z tzw. formularzy zgłoszeniowych przypominamy o dobrej praktyce, którą jest zamieszczanie na formularzu tzw. skróconej klauzuli informacyjnej.

Działalność szkoleniowa a RODO – kontakt

W razie jakichkolwiek pytań zachęcamy do kontaktu z ekspertami Fundacji – specjalistami z zakresu ochrony danych osobowych. Wedle swojej najlepszej wiedzy udzielą oni Państwu informacji w temacie działalność szkoleniowa a RODO.

Kontakt możliwy jest za pośrednictwem poniższego formularza:

    Korzystając z formularza wyrażają Państwo zgodę na przetwarzanie swoich danych osobowych podanych w ww. formularzu oraz w przesłanych przeze siebie dokumentach.

    Administratorem Państwa danych osobowych jest Fundacja ENTROPIA (ul. Kopernika 6, 43-600 Jaworzno). Dane osobowe podane w formularzu będą przetwarzane wyłącznie w celu udzielenia odpowiedzi na przesłane zapytanie (podstawą przetwarzania danych jest Państwa zgoda wyrażana poprzez wysłanie zapytania). Podanie danych jest dobrowolne, ale niezbędne w celu udzielenia odpowiedzi.

    Państwa dane osobowe będą przechowywane przez okres nie dłuższy niż to konieczne do udzielenia odpowiedzi. Mają Państwo prawo dostępu do tych danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, wniesienia sprzeciwu wobec ich przetwarzania oraz prawo wniesienia skargi do organu nadzorczego.