Politika školení, povědomí a kompetencí v oblasti ochrany soukromí

Politika školení, povědomí a kompetencí v oblasti ochrany soukromí stanoví, jak organizace řídí školení v oblasti ochrany soukromí v rámci svého systému řízení informací o soukromí. Jejím účelem je zajistit, aby osoby, jejichž práce ovlivňuje zpracování PII, rozuměly svým odpovědnostem, absolvovaly školení ve stanovené periodicitě, udržovaly kompetence relevantní pro svou roli a vytvářely auditovatelné důkazy o školení, povědomí a eskalaci. Politika se uplatňuje v kontextech správce, společného správce, zpracovatele a dílčího zpracovatele, a je proto relevantní pro organizace, které s PII nakládají přímo, i pro organizace jednající podle pokynů zákazníka nebo prostřednictvím ujednání o zpracování třetími stranami. Rozsah je záměrně široký a provozní. Vztahuje se na personál, dodavatele, dočasný personál, relevantní třetí strany, zpracovatele, dílčí zpracovatele a další zainteresované strany, jejichž práce může ovlivnit zpracování PII, práva subjektů PII, riziko pro soukromí, bezpečnost informací související s PII, pokyny zpracovatele, incidenty v oblasti ochrany soukromí, dokumentované informace nebo důkazy o souladu. Politika pokrývá identifikaci cílových skupin školení v oblasti ochrany soukromí, nástupní školení, každoroční opakovací školení, školení podle rolí a školení vyvolané událostí, důkazy o absolvování školení, eskalaci neabsolvování, přezkum účinnosti školení a důkazy o zajištění školení u zpracovatelů, dílčích zpracovatelů a třetích stran. Ústředním prvkem politiky je její důkazní model. Stanoví, že se nevytváří samostatná matice školení, řídicí panel, registr kompetencí, disciplinární registr ani registr školení zákazníků. Namísto toho se přiřazení školení, absolvování, připomínky, důkazy o kompetencích a důkazy o povědomí zaznamenávají v REG11. Výjimky, eskalace, neshody, nápravná opatření a důkazy o přezkumu se zaznamenávají v REG12. Důkazy o zajištění školení u zpracovatelů, dílčích zpracovatelů a třetích stran se tam, kde je to relevantní, zaznamenávají v REG08, zatímco vstupy ze získaných poznatků z incidentů mohou být propojeny prostřednictvím REG10. Tento přístup pomáhá udržet školení v oblasti ochrany soukromí dohledatelné bez duplicitních registrů nebo zbytečné administrativní zátěže. Politika stanoví konkrétní periodicity a spouštěče školení. Základní školení povědomí o ochraně soukromí musí být přiřazeno do 10 pracovních dnů od onboardingu pro personál s přístupem k PII nebo s odpovědnostmi v PIMS a personál musí absolvovat nástupní školení v oblasti ochrany soukromí před schválením přístupu k PII bez dohledu nebo do 30 dnů od onboardingu, podle toho, co nastane dříve. Každoroční opakovací školení v oblasti ochrany soukromí musí být přiřazeno alespoň jednou za 12 měsíců. Cílené opakovací školení je vyžadováno do 30 dnů po významné změně politiky ochrany soukromí, významné změně procesu PIMS, zjištění auditu, opakovaném selhání školení nebo relevantním poznatku z incidentu týkajícího se PII. Školení podle rolí je rovněž vyžadováno předtím, než personál převezme odpovědnosti zahrnující právní základ, oznámení, souhlas, práva subjektů PII, DPIA, uchovávání, sdílení, mezinárodní předávání, privilegovaný přístup, správu bezpečnosti, protokolování, monitorování nebo podporu při incidentech. Správa a uplatňování politiky jsou do politiky začleněny prostřednictvím vymezených odpovědností, monitorování a eskalace. Vedoucí ochrany soukromí / manažer PIMS udržuje obsah školení, přiřazení, důkazy o absolvování, potvrzení seznámení a důkazy o účinnosti. Vlastníci procesů podporují absolvování školení u personálu ve své odpovědnosti, vlastníci systémů ověřují školení před schválením privilegovaného přístupu nebo přístupu k systémům PII s významným dopadem a vlastníci dodavatelů / pořizování udržují důkazy o školení nebo rovnocenném zajištění pro dodavatele, zpracovatele, dílčí zpracovatele a externí pracovní síly. Politika vyžaduje čtvrtletní přezkum absolvování, školení po lhůtě, přiřazení podle rolí a výjimek, přičemž nevyřešené mezery v důkazech jsou hlášeny před přezkoumáním vedením. Přezkoumávající osoby z interního auditu / souladu vzorkují důkazy REG11 a REG12 podle schváleného plánu auditů, čímž podporují neustálé zlepšování a odpovědnost připravenou na certifikaci.