Adatvédelmi képzési, tudatossági és kompetenciaszabályzat

Az Adatvédelmi képzési, tudatossági és kompetenciaszabályzat meghatározza, hogy a szervezet miként kezeli az adatvédelmi képzést a Privacy Information Management System keretében. Célja annak biztosítása, hogy azok a személyek, akiknek a munkája hatással van a PII kezelésére, megértsék felelősségeiket, meghatározott ütemezés szerint elvégezzék a képzést, fenntartsák a szerepkörükhöz kapcsolódó kompetenciát, és auditálható bizonyítékokat állítsanak elő a képzésről, a tudatosságról és az eszkalációról. A szabályzat adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói környezetben egyaránt alkalmazandó, ezért releváns a PII-t közvetlenül kezelő szervezetek, valamint az ügyfélutasítás alapján vagy harmadik féllel kötött adatkezelési megállapodások keretében eljáró szervezetek számára is. A hatály szándékosan széles és működésközpontú. Kiterjed a munkatársakra, vállalkozókra, ideiglenes munkatársakra, releváns harmadik felekre, adatfeldolgozókra, al-adatfeldolgozókra és egyéb érdekelt felekre, akiknek a munkája hatással lehet a PII kezelésére, a PII-alanyok jogaira, az adatvédelmi kockázatra, a PII-hez kapcsolódó információbiztonságra, az adatfeldolgozói utasításokra, az adatvédelmi incidensekre, a dokumentált információra vagy a megfelelési bizonyítékokra. A szabályzat lefedi az adatvédelmi képzési célcsoportok azonosítását, a belépéskori képzést, az éves ismétlő képzést, a szerepkör-alapú és esemény által kiváltott képzést, a képzési teljesítés bizonyítékait, a nemteljesítés eszkalációját, a képzési hatékonyság felülvizsgálatát, valamint az adatfeldolgozói, al-adatfeldolgozói és harmadik felekre vonatkozó képzési bizonyossági bizonyítékokat. A szabályzat központi eleme a bizonyítékmodell. Kimondja, hogy külön képzési mátrix, irányítópult, kompetencianyilvántartás, fegyelmi nyilvántartás vagy ügyfélképzési nyilvántartás nem jön létre. Ehelyett a képzési hozzárendeléseket, teljesítéseket, emlékeztetőket, kompetenciabizonyítékokat és tudatossági bizonyítékokat a REG11-ben kell rögzíteni. A kivételeket, eszkalációkat, meg nem feleléseket, helyesbítő intézkedéseket és felülvizsgálati bizonyítékokat a REG12-ben kell rögzíteni. Az adatfeldolgozói, al-adatfeldolgozói és harmadik felekre vonatkozó képzési bizonyossági bizonyítékokat releváns esetben a REG08-ban kell rögzíteni, míg az incidensből levont tanulságok bemenete a REG10-en keresztül kapcsolható. Ez a megközelítés segíti az adatvédelmi képzés visszakövethetőségét anélkül, hogy nyilvántartások megkettőzését vagy szükségtelen adminisztratív terhet hozna létre. A szabályzat konkrét képzési ütemezéseket és kiváltó okokat állapít meg. Az alapozó adatvédelmi tudatossági képzést a beléptetéstől számított 10 munkanapon belül kell hozzárendelni a PII-hez hozzáféréssel rendelkező vagy PIMS-felelősségeket ellátó munkatársaknak, és a munkatársaknak a belépéskori adatvédelmi képzést még a PII-hez való felügyelet nélküli hozzáférés jóváhagyása előtt, vagy a beléptetéstől számított 30 napon belül kell teljesíteniük, attól függően, hogy melyik következik be előbb. Az éves adatvédelmi ismétlő képzést legalább 12 havonta egyszer kell hozzárendelni. Célzott ismétlő képzés szükséges az adatvédelmi szabályzat lényeges módosítását, a PIMS-folyamat lényeges változását, auditmegállapítást, ismétlődő képzési hibát vagy releváns PII-incidens tanulságát követő 30 napon belül. Szerepkör-alapú képzés is szükséges, mielőtt a munkatársak jogalappal, tájékoztatókkal, hozzájárulással, PII-alanyi jogokkal, DPIA-kkal, megőrzéssel, adatmegosztással, nemzetközi adattovábbításokkal, emelt jogosultságú hozzáféréssel, biztonsági adminisztrációval, naplózással, megfigyeléssel vagy incidens-támogatással kapcsolatos felelősségeket vállalnak. Az irányítás és a szabályzat betartása meghatározott felelősségeken, nyomon követésen és eszkaláción keresztül épül be a szabályzatba. Az adatvédelmi vezető / PIMS-vezető fenntartja a képzési tartalmat, a hozzárendeléseket, a teljesítési bizonyítékokat, a tudomásulvételeket és a hatékonysági bizonyítékokat. A folyamatgazdák támogatják a felelősségi körükbe tartozó munkatársak teljesítését, a rendszergazdák ellenőrzik a képzést az emelt jogosultságú vagy nagy hatású PII-rendszerhozzáférés jóváhagyása előtt, a beszállítói / beszerzési felelősök pedig fenntartják a beszállítókra, adatfeldolgozókra, al-adatfeldolgozókra és külső munkaerőre vonatkozó képzési vagy egyenértékű bizonyossági bizonyítékokat. A szabályzat előírja a teljesítés, a lejárt határidejű képzések, a szerepkör-alapú hozzárendelések és a kivételek negyedéves felülvizsgálatát, a megoldatlan bizonyítékhiányokat pedig a vezetőségi felülvizsgálat előtt jelenteni kell. A belső ellenőrzési / megfelelőségi felülvizsgálók a jóváhagyott auditterv szerint mintavételezik a REG11-es és REG12-es bizonyítékokat, támogatva a folyamatos fejlesztést és a tanúsításra alkalmas elszámoltathatóságot.