Privaatsuskoolituse, teadlikkuse ja pädevuse poliitika

Privaatsuskoolituse, teadlikkuse ja pädevuse poliitika määratleb, kuidas organisatsioon juhib privaatsuskoolitust oma privaatsusteabe haldussüsteemis. Selle eesmärk on tagada, et inimesed, kelle töö mõjutab isikut tuvastava teabe töötlemist, mõistavad oma vastutusi, läbivad koolituse määratletud sagedusega, säilitavad rolliga seotud pädevuse ning loovad auditiks sobivat tõendusmaterjali koolituse, teadlikkuse ja eskaleerimise kohta. Poliitika kohaldub vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides, mistõttu on see asjakohane organisatsioonidele, kes käitlevad isikut tuvastavat teavet otse, samuti neile, kes tegutsevad kliendi juhiste alusel või kolmandate osapoolte töötlemiskorralduste kaudu. Kohaldamisala on sihilikult lai ja operatiivne. See kohaldub personalile, töövõtjatele, ajutisele personalile, asjakohastele kolmandatele osapooltele, volitatud töötlejatele, alltöötlejatele ja muudele huvitatud osapooltele, kelle töö võib mõjutada isikut tuvastava teabe töötlemist, isikuandmesubjekti õigusi, privaatsusriski, isikut tuvastava teabega seotud infoturvet, volitatud töötleja juhiseid, privaatsusintsidente, dokumenteeritud teavet või vastavuse tõendusmaterjali. Poliitika hõlmab privaatsuskoolituse sihtrühma tuvastamist, sisseelamiskoolitust, iga-aastast korduskoolitust, rollipõhist ja sündmuspõhist koolitust, koolituse läbimise tõendusmaterjali, lõpetamata koolituse eskaleerimist, koolituse tõhususe läbivaatamist ning volitatud töötleja, alltöötleja ja kolmanda osapoole koolituskindluse tõendusmaterjali. Poliitika keskne osa on selle tõendusmaterjali mudel. See sätestab, et eraldi koolitusmaatriksit, juhtpaneeli, pädevusregistrit, distsiplinaarregistrit ega kliendikoolituste registrit ei looda. Selle asemel registreeritakse koolitusmäärangud, läbimised, meeldetuletused, pädevuse tõendusmaterjal ja teadlikkuse tõendusmaterjal REG11-s. Erandid, eskaleerimised, mittevastavused, parandusmeetmed ja läbivaatamise tõendusmaterjal registreeritakse REG12-s. Volitatud töötleja, alltöötleja ja kolmanda osapoole koolituskindluse tõendusmaterjal registreeritakse asjakohasel juhul REG08-s, samas kui intsidendi õppetundide sisend võib olla seotud REG10 kaudu. Selline lähenemine aitab hoida privaatsuskoolituse jälgitavana ilma registreid dubleerimata või tarbetut halduskoormust tekitamata. Poliitika kehtestab konkreetsed koolitussagedused ja käivitajad. Privaatsusteadlikkuse baaskoolitus tuleb määrata 10 tööpäeva jooksul alates sisseelamisest personalile, kellel on juurdepääs isikut tuvastavale teabele või PIMS-i kohustused, ning personal peab läbima sisseelamise privaatsuskoolituse enne järelevalveta juurdepääsu kinnitamist isikut tuvastavale teabele või 30 päeva jooksul alates sisseelamisest, olenevalt sellest, kumb saabub varem. Iga-aastane privaatsuse korduskoolitus tuleb määrata vähemalt kord iga 12 kuu jooksul. Sihipärane korduskoolitus on nõutav 30 päeva jooksul pärast olulist privaatsuspoliitika muudatust, olulist PIMS-i protsessimuudatust, auditileidu, korduvat koolituse ebaõnnestumist või asjakohast isikut tuvastava teabe intsidendi õppetundi. Rollipõhine koolitus on samuti nõutav enne, kui personal võtab endale vastutusi, mis hõlmavad õiguslikku alust, privaatsusteateid, nõusolekut, isikuandmesubjekti õigusi, DPIA-sid, säilitamist, jagamist, rahvusvahelisi edastusi, privilegeeritud juurdepääsu, turbehaldust, logimist, seiret või intsidenditoe ülesandeid. Juhtimine ja poliitika järgimine on poliitikasse sisse ehitatud määratletud vastutuste, seire ja eskaleerimise kaudu. Privaatsusjuht / PIMS-i juht haldab koolitussisu, määranguid, läbimise tõendusmaterjali, kinnitusi ja tõhususe tõendusmaterjali. Protsessiomanikud toetavad nende vastutusalas oleva personali koolituse läbimist, süsteemiomanikud kontrollivad koolituse läbimist enne privilegeeritud või suure mõjuga isikut tuvastava teabe süsteemile juurdepääsu kinnitamist ning tarnija-/hankeomanikud säilitavad tarnijate, volitatud töötlejate, alltöötlejate ja välise tööjõu koolituse või samaväärse kinnituse tõendusmaterjali. Poliitika nõuab kord kvartalis läbivaatamist läbimiste, tähtaja ületanud koolituste, rollipõhiste määrangute ja erandite kohta ning lahendamata tõendusmaterjali lüngad tuleb esitada enne juhtkonna läbivaatamist. Siseauditi / vastavuse läbivaatajad võtavad REG11 ja REG12 tõendusmaterjalist valimeid vastavalt heakskiidetud auditiplaanile, toetades pidevat täiustamist ja sertifitseerimiseks valmis vastutust.