Privātuma apmācību, informētības un kompetences politika

Privātuma apmācību, informētības un kompetences politika nosaka, kā organizācija pārvalda privātuma apmācības savā privātuma informācijas pārvaldības sistēmā. Tās mērķis ir nodrošināt, ka personas, kuru darbs ietekmē personu identificējošas informācijas (PII) apstrādi, izprot savus pienākumus, pabeidz apmācību noteiktā regularitātē, uztur lomai atbilstošu kompetenci un sagatavo auditējamus pierādījumus par apmācību, informētību un eskalāciju. Politika ir piemērojama pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja kontekstā, tāpēc tā ir būtiska gan organizācijām, kas tieši apstrādā personu identificējošu informāciju (PII), gan organizācijām, kas darbojas saskaņā ar klienta norādījumiem vai trešo pušu apstrādes kārtību. Piemērošanas joma ir apzināti plaša un operacionāla. Tā attiecas uz personālu, līgumslēdzējiem, pagaidu personālu, attiecīgajām trešajām pusēm, apstrādātājiem, apakšapstrādātājiem un citām ieinteresētajām pusēm, kuru darbs var ietekmēt personu identificējošas informācijas (PII) apstrādi, datu subjektu tiesības, privātuma risku, ar personu identificējošu informāciju (PII) saistītu informācijas drošību, apstrādātāja norādījumus, privātuma incidentus, dokumentētu informāciju vai atbilstības pierādījumus. Politika aptver privātuma apmācību mērķauditorijas identificēšanu, ievadīšanas apmācību, ikgadējo atkārtotu apmācību, uz lomām balstītu un notikumu ierosinātu apmācību, apmācību pabeigšanas pierādījumus, nepabeigšanas eskalāciju, apmācību efektivitātes pārskatīšanu un apstrādātāju, apakšapstrādātāju un trešo pušu apmācību apliecinājuma pierādījumus. Politikas centrālais elements ir tās pierādījumu modelis. Tā nosaka, ka netiek izveidota atsevišķa apmācību matrica, informācijas panelis, kompetenču reģistrs, disciplinārais reģistrs vai klientu apmācību reģistrs. Tā vietā apmācību piešķīrumi, pabeigšana, atgādinājumi, kompetences pierādījumi un informētības pierādījumi tiek reģistrēti REG11. Izņēmumi, eskalācijas, neatbilstības, korektīvās darbības un pārskatīšanas pierādījumi tiek reģistrēti REG12. Apstrādātāju, apakšapstrādātāju un trešo pušu apmācību apliecinājuma pierādījumi attiecīgajos gadījumos tiek reģistrēti REG08, savukārt incidenta mācību ievadi var sasaistīt ar REG10. Šī pieeja palīdz saglabāt privātuma apmācību izsekojamību, nedublējot reģistrus un neradot nevajadzīgu administratīvo slogu. Politika nosaka konkrētu apmācību regularitāti un ierosinātājus. Pamata privātuma informētības apmācība personālam ar piekļuvi personu identificējošai informācijai (PII) vai PIMS pienākumiem jāpiešķir 10 darbdienu laikā pēc ievadīšanas, un personālam jāizpilda ievadīšanas privātuma apmācība pirms neuzraudzītas piekļuves personu identificējošai informācijai (PII) apstiprināšanas vai 30 dienu laikā pēc ievadīšanas — atkarībā no tā, kas iestājas agrāk. Ikgadējā privātuma atkārtotā apmācība jāpiešķir vismaz reizi 12 mēnešos. Mērķtiecīga atkārtota apmācība ir nepieciešama 30 dienu laikā pēc būtiskām privātuma politikas izmaiņām, būtiskām PIMS procesa izmaiņām, audita konstatējuma, atkārtotas apmācību neizpildes vai attiecīgas personas datu incidenta mācības. Uz lomām balstīta apmācība ir nepieciešama arī pirms personāls uzņemas pienākumus, kas ietver tiesisko pamatu, paziņojumus, piekrišanu, datu subjektu tiesības, DPIA, glabāšanu, koplietošanu, starptautisku personas datu nosūtīšanu, priviliģētu piekļuvi, drošības administrēšanu, žurnālfiksēšanu, uzraudzību vai incidentu atbalstu. Pārvaldība un politikas ievērošana ir iekļautas politikā, nosakot skaidras atbildības, uzraudzību un eskalāciju. Privātuma vadītājs / PIMS vadītājs uztur apmācību saturu, piešķīrumus, pabeigšanas pierādījumus, apliecinājumus un efektivitātes pierādījumus. Procesu īpašnieki atbalsta pabeigšanu personālam, kas ir viņu atbildībā, sistēmu īpašnieki pārbauda apmācību pirms priviliģētas vai augstas ietekmes personas datu sistēmas piekļuves apstiprināšanas, un piegādātāju / iepirkuma īpašnieki uztur apmācību vai līdzvērtīgus apliecinājuma pierādījumus piegādātājiem, apstrādātājiem, apakšapstrādātājiem un ārējā darbaspēka locekļiem. Politika prasa ceturkšņa pārskatīšanu attiecībā uz pabeigšanu, nokavētu apmācību, uz lomām balstītiem piešķīrumiem un izņēmumiem, un par neatrisinātām pierādījumu nepilnībām jāziņo pirms vadības pārskatīšanas. Iekšējā audita / atbilstības pārskatītāji izlases veidā pārbauda REG11 un REG12 pierādījumus saskaņā ar apstiprināto audita plānu, atbalstot nepārtrauktu uzlabošanu un sertifikācijai gatavu pārskatatbildību.