policy ISO 27701 PIMS Policy Pack

Politika osposobljavanja, podizanja svijesti i kompetentnosti u području privatnosti

Politika osposobljavanja o privatnosti prema ISO 27701 za uvođenje u posao, godišnju obnovnu obuku, kompetentnost temeljenu na ulogama, dokaze REG11 i eskalaciju REG12.

Pregled

Ova politika definira zahtjeve osposobljavanja, podizanja svijesti i kompetentnosti u području privatnosti za uloge PIMS-a. Obuhvaća uvođenje u posao, godišnju obnovnu obuku, osposobljavanje temeljeno na ulogama, osiguranje dobavljača, dokaze REG11, eskalaciju REG12 i pregled učinkovitosti u kontekstima voditelja obrade, izvršitelja obrade, zajedničkog voditelja obrade i podizvršitelja obrade.

Definirane ciljne skupine obuke

Zahtijeva da se kategorije ciljnih skupina obuke za PIMS i dodjele uloga evidentiraju u REG11 prije godišnjih ciklusa, uvođenja u posao ili promjena uloga.

Kompetentnost u području privatnosti temeljena na ulogama

Obuhvaća potrebe osposobljavanja povezane s ulogama voditelja obrade, izvršitelja obrade, podizvršitelja obrade, sigurnosti, incidenata, obrade visokog rizika, postupanja sa zahtjevima za ostvarivanje prava, DPIA-ama i prijenosima.

Revizijski provjerljivi dokazi o završetku

Koristi REG11 za dodjele, završetke, potvrde upoznatosti, status prekoračenja roka i dokaze o učinkovitosti, uz eskalaciju u REG12 prema potrebi.

Pročitaj cijeli pregled (click to expand)
Politika osposobljavanja, podizanja svijesti i kompetentnosti u području privatnosti definira kako organizacija upravlja osposobljavanjem o privatnosti unutar svojeg sustava za upravljanje informacijama o privatnosti (PIMS). Njezina je svrha osigurati da osobe čiji rad utječe na obradu osobnih podataka (PII) razumiju svoje odgovornosti, završavaju osposobljavanje prema definiranoj učestalosti, održavaju kompetentnost relevantnu za ulogu i stvaraju revizijski provjerljive dokaze o osposobljavanju, podizanju svijesti i eskalaciji. Politika se primjenjuje u kontekstima voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade, zbog čega je relevantna za organizacije koje izravno postupaju s osobnim podacima (PII), kao i za one koje djeluju prema uputama klijenta ili kroz aranžmane obrade s trećim stranama. Opseg je namjerno širok i operativan. Primjenjuje se na osoblje, izvođače, privremeno osoblje, relevantne treće strane, izvršitelje obrade, podizvršitelje obrade i druge zainteresirane strane čiji rad može utjecati na obradu osobnih podataka (PII), prava ispitanika, rizik za privatnost, informacijsku sigurnost povezanu s osobnim podacima (PII), upute izvršitelja obrade, incidente u vezi s privatnošću, dokumentirane informacije ili dokaze usklađenosti. Politika obuhvaća utvrđivanje ciljnih skupina obuke u području privatnosti, osposobljavanje pri uvođenju u posao, godišnju obnovnu obuku, osposobljavanje temeljeno na ulogama i osposobljavanje potaknuto događajem, dokaze o završetku osposobljavanja, eskalaciju nezavršenog osposobljavanja, pregled učinkovitosti osposobljavanja te dokaze o provedbi obuke za izvršitelje obrade, podizvršitelje obrade i treće strane. Središnje obilježje politike jest njezin model dokaza. Politika navodi da se ne izrađuje zasebna matrica osposobljavanja, nadzorna ploča, registar kompetentnosti, registar stegovnih radnji ili registar osposobljavanja klijenata. Umjesto toga, dodjele osposobljavanja, završeci, podsjetnici, dokazi o kompetentnosti i dokazi o podizanju svijesti evidentiraju se u REG11. Iznimke, eskalacije, nesukladnosti, korektivne radnje i dokazi o pregledu evidentiraju se u REG12. Dokazi o provedbi obuke za izvršitelje obrade, podizvršitelje obrade i treće strane evidentiraju se u REG08 gdje je relevantno, dok se ulazni podaci iz naučenih lekcija nakon incidenta mogu povezati kroz REG10. Takav pristup pomaže održati sljedivost osposobljavanja u području privatnosti bez dupliciranja registara ili stvaranja nepotrebnog administrativnog opterećenja. Politika uspostavlja posebne učestalosti i okidače osposobljavanja. Osnovna obuka o podizanju svijesti o privatnosti mora se dodijeliti u roku od 10 radnih dana od uvođenja u posao za osoblje s pristupom osobnim podacima (PII) ili odgovornostima u PIMS-u, a osoblje mora završiti osposobljavanje o privatnosti pri uvođenju u posao prije odobrenja nenadziranog pristupa osobnim podacima (PII) ili u roku od 30 dana od uvođenja u posao, ovisno o tome što nastupi ranije. Godišnja obnovna obuka o privatnosti mora se dodijeliti najmanje jednom svakih 12 mjeseci. Ciljana obnovna obuka zahtijeva se u roku od 30 dana nakon značajne promjene politike privatnosti, značajne promjene procesa PIMS-a, nalaza revizije, ponavljajućeg neuspjeha osposobljavanja ili relevantne naučene lekcije iz incidenta u vezi s osobnim podacima (PII). Osposobljavanje temeljeno na ulogama također se zahtijeva prije nego što osoblje preuzme odgovornosti koje uključuju pravnu osnovu, obavijesti, privole, prava ispitanika, DPIA-e, zadržavanje, dijeljenje, međunarodne prijenose, pristup s povišenim ovlastima, sigurnosnu administraciju, zapisivanje događaja, praćenje ili podršku u vezi s incidentima. Upravljanje i provedba ugrađeni su u politiku kroz definirane odgovornosti, praćenje i eskalaciju. Voditelj privatnosti / voditelj PIMS-a održava sadržaj osposobljavanja, dodjele, dokaze o završetku, potvrde upoznatosti i dokaze o učinkovitosti. Vlasnici procesa podupiru završetak osposobljavanja za osoblje pod svojom odgovornošću, vlasnici sustava provjeravaju osposobljenost prije odobravanja privilegiranog pristupa ili pristupa sustavima s visokim utjecajem na osobne podatke (PII), a vlasnici dobavljača / nabave održavaju dokaze o osposobljavanju ili ekvivalentne dokaze o osiguranju za dobavljače, izvršitelje obrade, podizvršitelje obrade i članove vanjske radne snage. Politika zahtijeva tromjesečni pregled završetka osposobljavanja, zakašnjelog osposobljavanja, dodjela temeljenih na ulogama i iznimaka, uz izvješćivanje o neriješenim prazninama u dokazima prije preispitivanja od strane uprave. Pregledavatelji iz unutarnje revizije / funkcije praćenja usklađenosti uzorkuju dokaze REG11 i REG12 prema odobrenom planu revizije, čime se podupiru kontinuirano poboljšanje i odgovornost spremna za certifikaciju.

Dijagram politike

Tijek procesa koji prikazuje utvrđivanje ciljnih skupina obuke za PIMS, dodjelu pri uvođenju u posao i godišnju dodjelu, osposobljavanje temeljeno na ulogama, dokaze o završetku u REG11, eskalaciju prekoračenja roka u REG12, osiguranje dobavljača u REG08, naučene lekcije iz incidenata u REG10 i pregled učinkovitosti.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Utvrđivanje ciljnih skupina obuke

Učestalost uvođenja u posao i godišnje obnovne obuke

Zahtjevi osposobljavanja o privatnosti temeljenog na ulogama

Dokazi o završetku i potvrde upoznatosti u REG11

Eskalacija nezavršenog osposobljavanja i korektivna obuka

Dokazi o provedbi obuke za izvršitelje obrade, podizvršitelje obrade i treće strane

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27701:2025
Clause 7.2Clause 7.3Clause 7.4Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.3.17
EU GDPR
Article 5(2)Article 24Article 28Article 32Article 39
ISO/IEC 27001:2022
Clause 7.2Clause 7.3Annex A control 6.3
ISO/IEC 27002:2022
Control 6.3
ISO/IEC 29100:2020
Clause 5.11Clause 5.12

Povezane politike

Politika uloga, odgovornosti i odgovornosti za postupanje u području privatnosti

Odgovornosti za osposobljavanje ovise o jasno dodijeljenim ulogama u području privatnosti i odgovornosti za postupanje.

Politika procjene rizika za privatnost i DPIA-e

Obrada visokog rizika i odgovornosti povezane s DPIA-om pokreću prošireno osposobljavanje o privatnosti ili osposobljavanje temeljeno na ulogama.

Politika upravljanja privatnošću za izvršitelje obrade, podizvršitelje obrade i treće strane

Politika zahtijeva osposobljavanje dobavljača, izvršitelja obrade i podizvršitelja obrade ili ekvivalentne dokaze o osiguranju.

Politika sigurnosti i kontrole pristupa

Sigurnost osobnih podataka (PII), pristup s povišenim ovlastima, kontrola pristupa, zapisivanje događaja, praćenje i uloge podrške u vezi s incidentima zahtijevaju ulazne podatke za osposobljavanje.

Politika upravljanja incidentima i povredama

Naučene lekcije iz incidenata mogu pokrenuti ciljano podizanje svijesti o privatnosti i zahtjeve za korektivnom obukom.

Politika upravljanja dokumentiranim informacijama i dokazima PIMS-a

Dokazi o osposobljavanju, iznimke, eskalacije i korektivne radnje oslanjaju se na upravljanje dokumentiranim informacijama.

O Clarysec politikama - Politika osposobljavanja, podizanja svijesti i kompetentnosti u području privatnosti

Ova politika osposobljavanja, podizanja svijesti i kompetentnosti u području privatnosti definira revizijski provjerljiv pristup osposobljavanju za PIMS za osoblje, izvođače, relevantne treće strane, izvršitelje obrade, podizvršitelje obrade i druge zainteresirane strane čiji rad može utjecati na obradu osobnih podataka (PII). Dodjeljuje odgovornosti ulogama kao što su najviše rukovodstvo, voditelj privatnosti / voditelj PIMS-a, vlasnici procesa, vlasnici sustava, vlasnici dobavljača / nabave, informacijska sigurnost, službenik za zaštitu podataka / savjetnik za privatnost, koordinator odgovora na incidente i pregledavatelj iz unutarnje revizije / funkcije praćenja usklađenosti. Politika koristi REG11 kao primarni objekt dokaza za dodjele osposobljavanja, završetke, potvrde upoznatosti, status prekoračenja roka, dokaze o kompetentnosti i ishode učinkovitosti, dok REG08, REG10 i REG12 podupiru osiguranje trećih strana, naučene lekcije iz incidenata, iznimke, eskalacije, nesukladnosti, korektivne radnje i dokaze za preispitivanje od strane uprave.

Opseg osposobljavanja za PIMS

Primjenjuje se na osoblje, izvođače, relevantne treće strane, izvršitelje obrade, podizvršitelje obrade i uloge koje utječu na obradu osobnih podataka (PII).

Model dokaza REG11

Centralizira dodjele, završetke, potvrde upoznatosti, zapise o prekoračenju roka, dokaze o kompetentnosti i ishode učinkovitosti.

Kontrole svjesne pristupa

Zahtijeva provjeru osposobljenosti prije nenadziranog pristupa osobnim podacima (PII), pristupa sustavima visokog utjecaja ili privilegiranih funkcija povezanih s osobnim podacima (PII).

Osiguranje trećih strana

Zahtijeva osposobljavanje izvršitelja obrade, podizvršitelja obrade, dobavljača i vanjske radne snage ili ekvivalentne dokaze o osiguranju u REG08 ili REG11.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

Privatnost Usklađenost IT sigurnost Ljudski resursi Ured DPO-a

🏷️ Tematska pokrivenost

Upravljanje informacijama o privatnosti Obrada osobnih podataka Sigurnosna svijest Upravljanje trećim stranama Upravljanje usklađenošću Praćenje i mjerenje Kontinuirano poboljšanje
€49

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja

Ova politika je 1 od 25 u kompletnom ISO/IEC 27701 PIMS paketu

Uštedite 52%

Nabavite svih 25 PIMS politika, kompletan set registara i detaljan plan implementacije za €799, umjesto €1.675 pojedinačno.

Pogledaj kompletni 27701 paket →
Privacy Training, Awareness and Competence Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 5