Jednym z elementów ochrony danych osobowych jest prowadzenie szkoleń dla pracowników, a mówiąc szerzej, dla osób upoważnionych do przetwarzania danych osobowych. Nie jest to wymóg ustawy o ochronie danych osobowych, natomiast zdecydowanie jest to dobra praktyka, a same szkolenia pracowników z zakresu ochrony danych osobowych należy traktować jako organizacyjny środek ochrony danych osobowych. Z mojej praktyki administratora bezpieczeństwa informacji wynika, że ilość incydentów związanych z naruszeniem zasad ochrony danych osobowych spada wprost proporcjonalnie do częstotliwości i jakości szkoleń z zakresu ochrony danych osobowych i szerzej bezpieczeństwa informacji. Warto w tym miejscu wspomnieć, że temat ochrony danych osobowych bywa łączony, zależnie od potrzeb z tematem bezpieczeństwa informatycznego, tajemnicy przedsiębiorstwa, tajemnicy handlowej, tajemnicy ubezpieczeniowej, tajemnicy bankowej lub np. tajemnicy telekomunikacyjnej. To bardzo dobry pomysł. Osoby zajmujące się poszczególnymi kategoriami tajemnic prawnie chronionych zdają sobie sprawę, że tematy te bardzo ściśle związane są z ochroną danych osobowych. Relacje jakie między nimi występują to co najmniej temat na oddzielny wpis. Wracając do szkoleń z ochrony danych osobowych stwierdzić należy, że dobrą praktyką jest wprowadzenie weryfikacji przyswojonej przez uczestników szkoleń wiedzy nabytej w toku szkolenia. Takim narzędziem może być test z zakresu ochrony danych osobowych. Poniżej przykładowy test wraz z prawidłowymi odpowiedziami. Mam nadzieję, że okaże się przydatny.

 TEST Z OCHRONY DANYCH OSOBOWYCH

1. Kogo należy zawiadomić w razie wycieku danych osobowych?
a) Administratora danych.
b) Administratora bezpieczeństwa informacji.
c) Wszystkie odpowiedzi są poprawne.

2. Daną wrażliwą nie jest:
a) Informacja o częstotliwości picia alkoholu.
b) REGON.
c) Informacja o wystawieniu przez straż miejską mandatu.

3. Przed przystąpieniem do przetwarzania danych osobowych pracownik powinien:
a) Odbyć szkolenie z ochrony danych osobowych.
b) Otrzymać login i hasło do systemu informatycznego.
c) Otrzymać upoważnienie do przetwarzania danych osobowych.

4. Państwem niedającym gwarancji ochrony danych osobowych jest:
a) Szwajcaria.
b) Portugalia.
c) USA.

5. Zbiorem doraźnym może być:
a) Lista uczestników szkolenia.
b) Ewidencja osób upoważnionych do przetwarzania danych.
c) Lista uczestników programu lojalnościowego.

6. Polityka bezpieczeństwa przetwarzania danych osobowych powinna zawierać:
a) Procedurę postępowania w wypadku wystąpienia incydentu związanego z naruszeniem zasad ochrony danych osobowych.
b) Procedurę dot. udostępniania danych osobowych.
c) Wykaz zbiorów danych osobowych.

7. Postępowanie przed GIODO jest prowadzone w trybie procedury:
a) Cywilnej.
b) Dyscyplinarnej.
c) Administracyjnej.

8. Ustawa o ochronie danych osobowych przewiduje odpowiedzialność:
a) Dyscyplinarną.
b) Cywilną.
c) Karną.

9. Ile dni ma administrator danych na udzielenie odpowiedzi na wniosek osoby, której dane dotyczą, złożony na podstawie art. 33 ustawy o ochronie danych osobowych:
a) 30 dni.
b) 21 dni.
c) 7 dni.

10. Nieumyślne udostępnienie danych osobowych osobie nieupoważnionej należy potraktować jako:
a) Występek zagrożonym karą 1 roku ograniczenia wolności.
b) Przestępstwo zagrożonym karą 1 roku pozbawienia wolności.
c) Wykroczenie zagrożonym karą grzywny.

11. Zbiór danych zawierający dane osobowe pracowników:
a) Podlega zwolnieniu z rejestracji w GIODO.
b) Nie podlega zwolnieniu z rejestracji w GIODO.
c) Czasami nie podlega zwolnieniu z rejestracji w GIODO.

12. Przetwarzaniem danych osobowych jest:
a) Usunięcie danych.
b) Żądanie podania danych osobowych.
c) Przygotowanie formularza do zbierania danych osobowych.

13. Kontrola GIODO może być prowadzona:
a) Soboty i niedziele
b) Od godz. 11 do 18.
c) Wyłącznie w asyście policji.

14. Spory związane z ochroną danych osobowych mogą być rozstrzygane przez:
a) UOKIK.
b) Sąd administracyjny.
c) UKE.

15. Jaki dokument wchodzi w skład dokumentacji przetwarzania danych osobowych.
a) Instrukcja zarządzania systemem informatycznym.
b) Akta osobowe.
c) Oświadczenie o zachowaniu danych osobowych w poufności.

16. Daną osobową może być:
a) NIP.
b) Data urodzenia.
c) Wszystkie odpowiedzi są poprawne.

17. Wyznaczenie ABI jest co do zasady:
a) Obowiązkiem Administratora Danych.
b) Uprawnieniem Właściciela zbioru danych.
c) Uprawnieniem Administratora Danych.

18. Niepotrzebne już płyty zawierające bazy danych:
a) Można wyrzucić do śmietnika.
b) Można schować do archiwum.
c) Należy zniszczyć w sposób uniemożliwiający ustalenie tożsamości osób, których dane dotyczą.

19. Jakie środki ochrony danych są niezbędne w celu ochrony danych osobowych?
a) Indywidualny login i hasło do systemu.
b) Uzbrojona ochrona budynku.
c) Kraty w oknach.

20. Jeżeli przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną, stosuje się:
a) Znikomy poziom bezpieczeństwa
b) Podwyższony poziom bezpieczeństwa
c) Wysoki poziom bezpieczeństwa