policy ISO 27701 PIMS Policy Pack

Πολιτική εκπαίδευσης, ευαισθητοποίησης και επάρκειας σε θέματα ιδιωτικότητας

Πολιτική εκπαίδευσης σε θέματα ιδιωτικότητας για το ISO 27701, που καλύπτει διαδικασία ένταξης, ετήσια επαναληπτική εκπαίδευση, επάρκεια βάσει ρόλων, τεκμήρια REG11 και κλιμάκωση REG12.

Επισκόπηση

Η παρούσα πολιτική ορίζει απαιτήσεις εκπαίδευσης, ευαισθητοποίησης και επάρκειας σε θέματα ιδιωτικότητας για ρόλους PIMS. Καλύπτει διαδικασία ένταξης, ετήσια επαναληπτική εκπαίδευση, εκπαίδευση βάσει ρόλων, διασφάλιση προμηθευτών, τεκμήρια REG11, κλιμάκωση REG12 και ανασκόπηση αποτελεσματικότητας σε πλαίσια υπεύθυνου επεξεργασίας, εκτελούντος την επεξεργασία, από κοινού υπεύθυνου επεξεργασίας και υπεργολάβου επεξεργασίας.

Καθορισμένοι αποδέκτες εκπαίδευσης

Απαιτεί οι κατηγορίες αποδεκτών της εκπαίδευσης για το PIMS και οι αναθέσεις ρόλων να καταγράφονται στο REG11 πριν από ετήσιους κύκλους, διαδικασία ένταξης ή αλλαγές ρόλων.

Επάρκεια σε θέματα ιδιωτικότητας βάσει ρόλων

Καλύπτει ανάγκες εκπαίδευσης που αφορούν υπεύθυνο επεξεργασίας, εκτελούντα την επεξεργασία, υπεργολάβο επεξεργασίας, ασφάλεια, περιστατικά, επεξεργασία υψηλού κινδύνου, χειρισμό δικαιωμάτων, DPIA και διαβιβάσεις.

Ελέγξιμα τεκμήρια ολοκλήρωσης

Χρησιμοποιεί το REG11 για αναθέσεις, ολοκληρώσεις, επιβεβαιώσεις, εκπρόθεσμη κατάσταση και τεκμήρια αποτελεσματικότητας, με κλιμάκωση μέσω REG12 όπου απαιτείται.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική εκπαίδευσης, ευαισθητοποίησης και επάρκειας σε θέματα ιδιωτικότητας ορίζει τον τρόπο με τον οποίο ένας οργανισμός διαχειρίζεται την εκπαίδευση σε θέματα ιδιωτικότητας στο πλαίσιο του Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας. Σκοπός της είναι να διασφαλίζει ότι τα πρόσωπα των οποίων η εργασία επηρεάζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατανοούν τις αρμοδιότητές τους, ολοκληρώνουν εκπαίδευση με καθορισμένη περιοδικότητα, διατηρούν επάρκεια σχετική με τον ρόλο τους και παράγουν ελέγξιμα τεκμήρια εκπαίδευσης, ευαισθητοποίησης και κλιμάκωσης. Η πολιτική εφαρμόζεται σε πλαίσια υπεύθυνου επεξεργασίας, από κοινού υπεύθυνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, καθιστώντας τη συναφή τόσο για οργανισμούς που χειρίζονται άμεσα δεδομένα προσωπικού χαρακτήρα όσο και για όσους ενεργούν βάσει εντολών πελάτη ή μέσω ρυθμίσεων επεξεργασίας τρίτων μερών. Το πεδίο εφαρμογής είναι σκόπιμα ευρύ και επιχειρησιακό. Εφαρμόζεται σε προσωπικό, αναδόχους, προσωρινό προσωπικό, συναφή τρίτα μέρη, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και άλλα ενδιαφερόμενα μέρη των οποίων η εργασία μπορεί να επηρεάσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα δικαιώματα υποκειμένων των δεδομένων προσωπικού χαρακτήρα, τον κίνδυνο ιδιωτικότητας, την ασφάλεια πληροφοριών που σχετίζεται με δεδομένα προσωπικού χαρακτήρα, τις εντολές εκτελούντος την επεξεργασία, τα περιστατικά ιδιωτικότητας, τις τεκμηριωμένες πληροφορίες ή τα τεκμήρια συμμόρφωσης. Η πολιτική καλύπτει την αναγνώριση αποδεκτών της εκπαίδευσης σε θέματα ιδιωτικότητας, την εκπαίδευση κατά τη διαδικασία ένταξης, την ετήσια επαναληπτική εκπαίδευση, την εκπαίδευση βάσει ρόλων και βάσει εναυσμάτων συμβάντων, τα τεκμήρια ολοκλήρωσης εκπαίδευσης, την κλιμάκωση μη ολοκλήρωσης, την ανασκόπηση αποτελεσματικότητας της εκπαίδευσης και τα τεκμήρια διασφάλισης εκπαίδευσης εκτελούντων την επεξεργασία, υπεργολάβων επεξεργασίας και τρίτων μερών. Κεντρικό χαρακτηριστικό της πολιτικής είναι το μοντέλο τεκμηρίων της. Ορίζει ότι δεν δημιουργείται ξεχωριστή μήτρα εκπαίδευσης, πίνακας ελέγχου, μητρώο επάρκειας, πειθαρχικό μητρώο ή μητρώο εκπαίδευσης πελατών. Αντίθετα, οι αναθέσεις εκπαίδευσης, οι ολοκληρώσεις, οι υπενθυμίσεις, τα τεκμήρια επάρκειας και τα τεκμήρια ευαισθητοποίησης καταγράφονται στο REG11. Οι εξαιρέσεις, οι κλιμακώσεις, οι μη συμμορφώσεις, οι διορθωτικές ενέργειες και τα τεκμήρια ανασκόπησης καταγράφονται στο REG12. Τα τεκμήρια διασφάλισης εκπαίδευσης εκτελούντων την επεξεργασία, υπεργολάβων επεξεργασίας και τρίτων μερών καταγράφονται στο REG08 όπου είναι συναφή, ενώ στοιχεία από διδάγματα περιστατικών μπορεί να συνδέονται μέσω REG10. Η προσέγγιση αυτή βοηθά ώστε η εκπαίδευση σε θέματα ιδιωτικότητας να παραμένει ιχνηλάσιμη χωρίς διπλασιασμό μητρώων ή περιττή διοικητική επιβάρυνση. Η πολιτική καθορίζει συγκεκριμένες περιοδικότητες και εναύσματα εκπαίδευσης. Η βασική εκπαίδευση ευαισθητοποίησης σε θέματα ιδιωτικότητας πρέπει να ανατίθεται εντός 10 εργάσιμων ημερών από τη διαδικασία ένταξης για προσωπικό με πρόσβαση σε δεδομένα προσωπικού χαρακτήρα ή αρμοδιότητες PIMS, και το προσωπικό πρέπει να ολοκληρώνει την εκπαίδευση ιδιωτικότητας κατά τη διαδικασία ένταξης πριν εγκριθεί μη εποπτευόμενη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα ή εντός 30 ημερών από τη διαδικασία ένταξης, όποιο συμβεί πρώτο. Η ετήσια επαναληπτική εκπαίδευση σε θέματα ιδιωτικότητας πρέπει να ανατίθεται τουλάχιστον μία φορά κάθε 12 μήνες. Στοχευμένη επαναληπτική εκπαίδευση απαιτείται εντός 30 ημερών μετά από ουσιώδη αλλαγή πολιτικής ιδιωτικότητας, ουσιώδη αλλαγή διεργασίας PIMS, εύρημα ελέγχου, επαναλαμβανόμενη αποτυχία εκπαίδευσης ή συναφές δίδαγμα από περιστατικό που αφορά δεδομένα προσωπικού χαρακτήρα. Εκπαίδευση βάσει ρόλων απαιτείται επίσης πριν το προσωπικό αναλάβει αρμοδιότητες που αφορούν νομική βάση, ειδοποιήσεις, συγκατάθεση, δικαιώματα υποκειμένων των δεδομένων προσωπικού χαρακτήρα, DPIAs, διατήρηση, κοινοχρησία, διεθνείς διαβιβάσεις, προνομιούχα πρόσβαση, διαχείριση ασφάλειας, καταγραφή, παρακολούθηση ή υποστήριξη περιστατικών. Η διακυβέρνηση και η τήρηση ενσωματώνονται στην πολιτική μέσω καθορισμένων αρμοδιοτήτων, παρακολούθησης και κλιμάκωσης. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS διατηρεί το περιεχόμενο εκπαίδευσης, τις αναθέσεις, τα τεκμήρια ολοκλήρωσης, τις επιβεβαιώσεις και τα τεκμήρια αποτελεσματικότητας. Οι Ιδιοκτήτες Διεργασιών υποστηρίζουν την ολοκλήρωση για το προσωπικό που υπάγεται στην αρμοδιότητά τους, οι Ιδιοκτήτες Συστημάτων επαληθεύουν την εκπαίδευση πριν εγκρίνουν προνομιούχα πρόσβαση ή πρόσβαση σε σύστημα δεδομένων προσωπικού χαρακτήρα υψηλού αντικτύπου, και οι Υπεύθυνοι Προμηθευτών / Προμηθειών διατηρούν τεκμήρια εκπαίδευσης ή ισοδύναμης διασφάλισης για προμηθευτές, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και μέλη εξωτερικού εργατικού δυναμικού. Η πολιτική απαιτεί τριμηνιαία ανασκόπηση ολοκλήρωσης, εκπρόθεσμης εκπαίδευσης, αναθέσεων βάσει ρόλων και εξαιρέσεων, με αναφορά ανεπίλυτων κενών τεκμηρίων πριν από την ανασκόπηση της Διοίκησης. Οι ανασκοπητές Εσωτερικού Ελέγχου / Συμμόρφωσης εξετάζουν δειγματοληπτικά τεκμήρια REG11 και REG12 σύμφωνα με το εγκεκριμένο σχέδιο ελέγχων, υποστηρίζοντας τη συνεχή βελτίωση και τη λογοδοσία με ετοιμότητα για πιστοποίηση.

Διάγραμμα Πολιτικής

Ροή διαδικασίας που παρουσιάζει την αναγνώριση αποδεκτών εκπαίδευσης PIMS, την ανάθεση κατά τη διαδικασία ένταξης και την ετήσια ανάθεση, την εκπαίδευση βάσει ρόλων, τα τεκμήρια ολοκλήρωσης στο REG11, την κλιμάκωση εκπρόθεσμων περιπτώσεων στο REG12, τη διασφάλιση προμηθευτών στο REG08, τα διδάγματα περιστατικών στο REG10 και την ανασκόπηση αποτελεσματικότητας.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Αναγνώριση αποδεκτών της εκπαίδευσης

Περιοδικότητα διαδικασίας ένταξης και ετήσιας επαναληπτικής εκπαίδευσης

Απαιτήσεις εκπαίδευσης σε θέματα ιδιωτικότητας βάσει ρόλων

Τεκμήρια ολοκλήρωσης και επιβεβαιώσεις στο REG11

Κλιμάκωση μη ολοκλήρωσης και διορθωτική εκπαίδευση

Διασφάλιση εκπαίδευσης εκτελούντων την επεξεργασία, υπεργολάβων επεξεργασίας και τρίτων μερών

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 7.2Clause 7.3Clause 7.4Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.3.17
EU GDPR
Article 5(2)Article 24Article 28Article 32Article 39
ISO/IEC 27001:2022
Clause 7.2Clause 7.3Annex A control 6.3
ISO/IEC 27002:2022
Control 6.3
ISO/IEC 29100:2020
Clause 5.11Clause 5.12

Σχετικές πολιτικές

Πολιτική ρόλων, αρμοδιοτήτων και λογοδοσίας σε θέματα ιδιωτικότητας

Οι αρμοδιότητες εκπαίδευσης εξαρτώνται από σαφώς ανατεθειμένους ρόλους ιδιωτικότητας και λογοδοσία.

Πολιτική αξιολόγησης κινδύνου ιδιωτικότητας και DPIA

Η επεξεργασία υψηλού κινδύνου και οι αρμοδιότητες DPIA ενεργοποιούν ενισχυμένη εκπαίδευση ή εκπαίδευση σε θέματα ιδιωτικότητας βάσει ρόλων.

Πολιτική διαχείρισης ιδιωτικότητας εκτελούντων την επεξεργασία, υπεργολάβων επεξεργασίας και τρίτων μερών

Η πολιτική απαιτεί τεκμήρια εκπαίδευσης ή ισοδύναμης διασφάλισης για προμηθευτές, εκτελούντες την επεξεργασία και υπεργολάβους επεξεργασίας.

Πολιτική ασφάλειας και ελέγχου πρόσβασης

Η ασφάλεια δεδομένων προσωπικού χαρακτήρα, η προνομιούχα πρόσβαση, ο έλεγχος πρόσβασης, η καταγραφή, η παρακολούθηση και οι ρόλοι υποστήριξης περιστατικών απαιτούν στοιχεία εκπαίδευσης.

Πολιτική διαχείρισης περιστατικών και παραβιάσεων

Τα διδάγματα περιστατικών μπορούν να ενεργοποιήσουν στοχευμένη ευαισθητοποίηση σε θέματα ιδιωτικότητας και απαιτήσεις διορθωτικής εκπαίδευσης.

Πολιτική διαχείρισης τεκμηριωμένων πληροφοριών και τεκμηρίων PIMS

Τα τεκμήρια εκπαίδευσης, οι εξαιρέσεις, οι κλιμακώσεις και οι διορθωτικές ενέργειες βασίζονται στη διακυβέρνηση τεκμηριωμένων πληροφοριών.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική εκπαίδευσης, ευαισθητοποίησης και επάρκειας σε θέματα ιδιωτικότητας

Η παρούσα Πολιτική εκπαίδευσης, ευαισθητοποίησης και επάρκειας σε θέματα ιδιωτικότητας ορίζει μια ελέγξιμη προσέγγιση για την εκπαίδευση PIMS που αφορά προσωπικό, αναδόχους, συναφή τρίτα μέρη, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και άλλα ενδιαφερόμενα μέρη των οποίων η εργασία μπορεί να επηρεάσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αναθέτει αρμοδιότητες σε ρόλους όπως η Ανώτατη Διοίκηση, ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS, οι Ιδιοκτήτες Διεργασιών, οι Ιδιοκτήτες Συστημάτων, οι Υπεύθυνοι Προμηθευτών / Προμηθειών, η Ασφάλεια Πληροφοριών, ο Υπεύθυνος Προστασίας Δεδομένων / Σύμβουλος Ιδιωτικότητας, ο Συντονιστής Αντιμετώπισης Περιστατικών και ο Ανασκοπητής Εσωτερικού Ελέγχου / Συμμόρφωσης. Η πολιτική χρησιμοποιεί το REG11 ως το κύριο αντικείμενο τεκμηρίων για αναθέσεις εκπαίδευσης, ολοκληρώσεις, επιβεβαιώσεις, εκπρόθεσμη κατάσταση, τεκμήρια επάρκειας και αποτελέσματα αποτελεσματικότητας, με τα REG08, REG10 και REG12 να υποστηρίζουν διασφάλιση τρίτων μερών, διδάγματα περιστατικών, εξαιρέσεις, κλιμακώσεις, μη συμμορφώσεις, διορθωτικές ενέργειες και τεκμήρια ανασκόπησης της Διοίκησης.

Πεδίο εκπαίδευσης PIMS

Εφαρμόζεται σε προσωπικό, αναδόχους, συναφή τρίτα μέρη, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και ρόλους που επηρεάζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Μοντέλο τεκμηρίων REG11

Συγκεντρώνει αναθέσεις, ολοκληρώσεις, επιβεβαιώσεις, εκπρόθεσμα αρχεία, τεκμήρια επάρκειας και αποτελέσματα αποτελεσματικότητας.

Έλεγχοι με επίγνωση πρόσβασης

Απαιτεί επαλήθευση εκπαίδευσης πριν από μη εποπτευόμενη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, πρόσβαση σε σύστημα υψηλού αντικτύπου ή προνομιούχες λειτουργίες δεδομένων προσωπικού χαρακτήρα.

Διασφάλιση τρίτων μερών

Απαιτεί εκπαίδευση ή ισοδύναμα τεκμήρια διασφάλισης στο REG08 ή REG11 για εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, προμηθευτές και εξωτερικό εργατικό δυναμικό.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Συμμόρφωση Ασφάλεια Πληροφορικής Ανθρώπινο Δυναμικό Γραφείο DPO

🏷️ Θεματική κάλυψη

Διαχείριση Πληροφοριών Ιδιωτικότητας Επεξεργασία δεδομένων προσωπικού χαρακτήρα Ευαισθητοποίηση σε θέματα ασφάλειας Διαχείριση τρίτων μερών Διαχείριση συμμόρφωσης Παρακολούθηση και μέτρηση Συνεχής βελτίωση
€49

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
Privacy Training, Awareness and Competence Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 5