Политика за обучение, осведоменост и компетентност относно поверителността

Политиката за обучение, осведоменост и компетентност относно поверителността определя как организацията управлява обучението по поверителност в рамките на своята система за управление на неприкосновеността на личната информация. Целта ѝ е да гарантира, че лицата, чиято работа засяга обработването на лични данни, разбират своите отговорности, завършват обучение по определен график, поддържат компетентност, релевантна за ролята им, и създават одитируеми доказателства за обучение, осведоменост и ескалация. Политиката се прилага в контекстите на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, което я прави приложима както за организации, които обработват лични данни пряко, така и за организации, действащи по нареждане на клиента или чрез договорености за обработване от трети страни. Обхватът е умишлено широк и оперативен. Той се прилага за персонал, изпълнители, временен персонал, релевантни трети страни, обработващи лични данни, подизпълнители по обработване и други заинтересовани страни, чиято работа може да засегне обработването на лични данни, права на субекта на данни, риск за поверителността, информационна сигурност, свързана с лични данни, нареждания към обработващ лични данни, инциденти с лични данни, документирана информация или доказателства за съответствие. Политиката обхваща идентифициране на целевата аудитория на обучението по поверителност, въвеждащо обучение, ежегодно опреснително обучение, обучение, базирано на роли, и обучение, задействано от събития, доказателства за завършено обучение, ескалация при незавършено обучение, преглед на ефективността на обучението и доказателства за уверение относно обучението при обработващи лични данни, подизпълнители по обработване и трети страни. Централна характеристика на политиката е нейният модел за доказателства. Тя посочва, че не се създава отделна матрица за обучение, информационно табло, регистър на компетентността, дисциплинарен регистър или клиентски регистър за обучение. Вместо това възлаганията на обучение, завършванията, напомнянията, доказателствата за компетентност и доказателствата за осведоменост се записват в REG11. Изключенията, ескалациите, несъответствията, коригиращите действия и доказателствата от прегледи се записват в REG12. Доказателствата за уверение относно обучението при обработващи лични данни, подизпълнители по обработване и трети страни се записват в REG08, когато е приложимо, а входните данни от извлечени поуки от инциденти могат да бъдат свързани чрез REG10. Този подход подпомага проследимостта на обучението по поверителност без дублиране на регистри или създаване на ненужна административна тежест. Политиката установява конкретни периодичности и критерии за задействане на обучение. Базовото обучение за осведоменост по поверителност трябва да бъде възложено в рамките на 10 работни дни от въвеждането за персонал с достъп до лични данни или отговорности по СУНЛИ, а персоналът трябва да завърши въвеждащото обучение по поверителност, преди да му бъде одобрен достъп без надзор до лични данни, или в рамките на 30 дни от въвеждането, в зависимост от това кое настъпи първо. Ежегодното опреснително обучение по поверителност трябва да бъде възлагано поне веднъж на всеки 12 месеца. Целенасочено опреснително обучение се изисква в рамките на 30 дни след съществена промяна в политика за поверителност, съществена промяна в процес на СУНЛИ, одитна констатация, повтарящ се неуспех при обучение или релевантна поука от инцидент с лични данни. Обучение, базирано на роли, се изисква и преди персоналът да поеме отговорности, свързани с правно основание, уведомления, съгласие, права на субекта на данни, DPIA, срокове за съхранение, споделяне, международни предавания, привилегирован достъп, администриране на сигурността, регистриране, мониторинг или подкрепа при инциденти. Управлението и прилагането са вградени в политиката чрез определени отговорности, мониторинг и ескалация. Ръководителят по поверителност / мениджърът на СУНЛИ поддържа съдържанието на обучението, възлаганията, доказателствата за завършване, потвържденията и доказателствата за ефективност. Собствениците на процеси подпомагат завършването от персонала под тяхна отговорност, собствениците на системи проверяват обучението преди одобряване на привилегирован достъп или достъп до системи с лични данни с високо въздействие, а собствениците по доставчици / набавяне поддържат обучение или еквивалентни доказателства за уверение за доставчици, обработващи лични данни, подизпълнители по обработване и членове на външната работна сила. Политиката изисква тримесечен преглед на завършването, просроченото обучение, възлаганията, базирани на роли, и изключенията, като нерешените пропуски в доказателствата се докладват преди прегледа от ръководството. Преглеждащите лица от вътрешен одит / съответствие извършват извадкова проверка на доказателствата в REG11 и REG12 съгласно одобрения план за одит, като подпомагат непрекъснатото подобрение и отчетност, готова за сертификационен одит.