Urząd Ochrony Danych osobowych udzielił na łamach Biuletynu UODO (wydanie nr 9/09/2023) odpowiedzi na pytanie, jak z perspektywy RODO wygląda kwestia przeszkolenia personelu przechodzącego od jednego pracodawcy (na podstawie art. 23[1] Kodeksu pracy) do drugiego w tej samej grupie przedsiębiorstw. Powstała wątpliwość czy można uznać szkolenie odbyte u poprzedniego administratora jako aktualne u obecnego administratora?

W odpowiedzi Urząd wskazał, że szkolenia z ochrony danych osobowych mają dotyczyć postępowania pracowników na określonych stanowiskach pracy, w określonej strukturze firmy lub warunkach organizacyjnych. Tak więc przede wszystkim należy ocenić, jakie różnice występują pomiędzy konkretnymi stanowiskami pracy i procesami przetwarzania danych w związku z wykonywanymi obowiązkami służbowymi. Należy również ocenić różnice w działaniu konkretnych podmiotów oraz występujące różnice organizacyjne. Przepisy RODO pozwalają w tym zakresie pewną swobodę wyboru administratorowi, a także inspektorowi ochrony danych, i to oni powinni oceniać ryzyko związane z przetwarzaniem danych i dostosować swoje działania do poziomu tego ryzyka.

Tak więc działania administratora oraz IOD w opisanej powyżej sytuacji powinny uwzględniać m.in. specyfikę podmiotu, w którym dane osobowe są przetwarzane. To pracodawca jako administrator odpowiada za bezpieczeństwo danych osobowych, które przetwarza, a także za wszystkie osoby przetwarzające te dane w jego imieniu, tak więc w jego interesie leży, aby wszystkie te osoby były odpowiednio przeszkolone w zakresie ochrony danych osobowych.