Privatumo mokymų, informuotumo ir kompetencijos politika

Privatumo mokymų, informuotumo ir kompetencijos politika apibrėžia, kaip organizacija valdo privatumo mokymus savo privačios informacijos apsaugos valdymo sistemoje. Jos tikslas – užtikrinti, kad asmenys, kurių darbas daro poveikį asmenį identifikuojančios informacijos (AII) tvarkymui, suprastų savo atsakomybes, pagal apibrėžtą periodiškumą baigtų mokymus, išlaikytų su vaidmeniu susijusią kompetenciją ir parengtų audituojamus mokymų, informuotumo ir eskalavimo įrodymus. Politika taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstuose, todėl ji aktuali organizacijoms, kurios tiesiogiai tvarko AII, taip pat toms, kurios veikia pagal kliento nurodymus arba per trečiųjų šalių tvarkymo susitarimus. Taikymo sritis sąmoningai yra plati ir operacinė. Ji taikoma personalui, rangovams, laikiniems darbuotojams, atitinkamoms trečiosioms šalims, duomenų tvarkytojams, subtvarkytojams ir kitoms suinteresuotosioms šalims, kurių darbas gali daryti poveikį AII tvarkymui, duomenų subjektų teisėms, privatumo rizikai, su AII susijusiam informacijos saugumui, duomenų tvarkytojo nurodymams, privatumo incidentams, dokumentuotai informacijai arba atitikties įrodymams. Politika apima privatumo mokymų auditorijos identifikavimą, įvedimo į darbą mokymus, metinius pakartotinius mokymus, vaidmenimis pagrįstus ir įvykių inicijuojamus mokymus, mokymų užbaigimo įrodymus, neužbaigimo eskalavimą, mokymų efektyvumo peržiūrą ir duomenų tvarkytojų, subtvarkytojų bei trečiųjų šalių mokymų patikinimo įrodymus. Pagrindinė politikos dalis yra jos įrodymų modelis. Joje nustatyta, kad atskira mokymų matrica, valdymo skydas, kompetencijos registras, drausminis registras arba klientų mokymų registras nekuriamas. Vietoj to mokymų priskyrimai, užbaigimai, priminimai, kompetencijos įrodymai ir informuotumo įrodymai registruojami REG11. Išimtys, eskalavimai, neatitiktys, korekciniai veiksmai ir peržiūros įrodymai registruojami REG12. Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių mokymų patikinimo įrodymai, kai aktualu, registruojami REG08, o incidentų pamokų įvestis gali būti susieta per REG10. Toks metodas padeda išlaikyti privatumo mokymų atsekamumą nedubliuojant registrų ir nekuriant nereikalingos administracinės naštos. Politika nustato konkrečius mokymų periodiškumus ir paleidiklius. Baziniai privatumo informuotumo mokymai personalui, turinčiam prieigą prie AII arba PIMS atsakomybių, turi būti priskirti per 10 darbo dienų nuo įvedimo į darbą, o personalas turi užbaigti įvedimo į darbą privatumo mokymus prieš patvirtinant neprižiūrimą prieigą prie AII arba per 30 dienų nuo įvedimo į darbą, priklausomai nuo to, kas įvyksta anksčiau. Metiniai privatumo pakartotiniai mokymai turi būti priskiriami bent kartą per 12 mėnesių. Tiksliniai pakartotiniai mokymai privalomi per 30 dienų po esminio privatumo politikos pakeitimo, esminio PIMS proceso pakeitimo, audito išvados, pasikartojančio nesėkmingo mokymų atvejo arba aktualios AII incidento pamokos. Vaidmenimis pagrįsti mokymai taip pat privalomi prieš personalui prisiimant atsakomybes, susijusias su teisiniu pagrindu, pranešimais, sutikimu, duomenų subjektų teisėmis, DPIA, saugojimu, dalijimusi, tarptautiniais duomenų perdavimais, privilegijuota prieiga, saugumo administravimu, žurnalų tvarkymu, stebėsena arba pagalba valdant incidentus. Valdysena ir politikos laikymasis įtvirtinami per apibrėžtas atsakomybes, stebėseną ir eskalavimą. Privatumo vadovas / PIMS vadovas prižiūri mokymų turinį, priskyrimus, užbaigimo įrodymus, patvirtinimus ir efektyvumo įrodymus. Procesų savininkai padeda užtikrinti jų atsakomybei priskirto personalo mokymų užbaigimą, sistemų savininkai patikrina mokymus prieš patvirtindami privilegijuotą arba didelio poveikio AII sistemų prieigą, o tiekėjų / pirkimų savininkai prižiūri mokymų arba lygiaverčius patikinimo įrodymus tiekėjams, duomenų tvarkytojams, subtvarkytojams ir išorės darbo jėgos nariams. Politika reikalauja kas ketvirtį atlikti užbaigimo, pradelstų mokymų, vaidmenimis pagrįstų priskyrimų ir išimčių peržiūrą, o neišspręstas įrodymų spragas pateikti prieš vadovybės peržiūrą. Vidaus audito / atitikties peržiūros vykdytojai atrankiniu būdu tikrina REG11 ir REG12 įrodymus pagal patvirtintą Audito planą, taip palaikydami nuolatinį tobulinimą ir sertifikavimui tinkamą atskaitomybę.