Organizacja szkolenia z ochrony danych to obowiązek każdego ABI

Najskuteczniejszą formą przeszkolenia pracowników jest przygotowanie i poprowadzenie go przez Administratora Bezpieczeństwa Informacji. Dobrze przygotowane i przeprowadzone szkolenie jest w stanie zaoszczędzić ABI konieczności udzielania odpowiedzi na dziesiątki indywidualnych pytań i częstej kontroli postępu wdrażania procedur.

Teoretycznie ABI powinien jedynie zaplanować szkolenie, jego zakres merytoryczny i formę. W praktyce jednak to ABI musi zaplanować termin szkolenia biorąc pod uwagę takie czynniki jak sezon urlopowy, realizacje projektów czy natężenie pracy. Często jest to trudne zadanie i szkolenie jest dzielone na działy lub stanowiska. Oznacza to, że ABI prowadzi nie jedno, a kilka lub kilkanaście szkoleń.

W treści każdego szkolenia musi znaleźć się informacja o konieczności informowania ABI o incydentach. Należy opisać prostą ścieżkę zgłaszania problemów z ochroną danych osobowych. Jest to związane z tzw. „Instrukcją alarmową” – procedurą określającą jakie czynności muszą zostać wykonanie i przez kogo, gdy dojdzie np. wycieku danych osobowych.

Równie ważnym elementem jest opis najczęściej występujących incydentów, czyli tzw. „słabe punkty systemu ochrony”. Przykłady incydentów należy dostosować do realiów panujących w jednostce.

Szkolenie powinno mieć formę warsztatów. Często w jego trakcie ABI dowiaduje się o lukach w systemie ochrony lub ujawniają się niezauważone wycieki danych. Prowadzący powinien być w stanie wyjaśnić wszystkie wątpliwości. Uczestnicy szkolenia już w jego trakcie powinni otrzymać odpowiedzi na wszelkie pytania.

Niektóre szkolenia kończą się testem. Jednak w większości przypadków powodują one więcej zamieszania niż oczekiwanego efektu. Obrazują one jedynie ogólny poziom świadomości pracowników. Lepszą metodą jest przekazanie uczestnikom tzw. „dekalogów ochrony danych”. Jest to 10 punktów, o których każdy pracownik musi pamiętać po zakończonym szkoleniu.