Polityka szkoleń, świadomości i kompetencji w zakresie prywatności

Polityka szkoleń, świadomości i kompetencji w zakresie prywatności określa, jak organizacja zarządza szkoleniami w zakresie prywatności w ramach swojego systemu zarządzania informacjami o prywatności. Jej celem jest zapewnienie, aby osoby, których praca wpływa na przetwarzanie PII, rozumiały swój zakres odpowiedzialności, realizowały szkolenia według zdefiniowanej częstotliwości, utrzymywały kompetencje adekwatne do roli oraz tworzyły dowody możliwe do audytu dotyczące szkoleń, świadomości i eskalacji. Polityka ma zastosowanie w kontekstach administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, dlatego jest istotna zarówno dla organizacji bezpośrednio przetwarzających PII, jak i dla podmiotów działających na podstawie poleceń klienta lub w ramach przetwarzania przez strony trzecie. Zakres jest celowo szeroki i operacyjny. Obejmuje personel, wykonawców, personel tymczasowy, odpowiednie strony trzecie, podmioty przetwarzające, podwykonawców przetwarzania oraz inne zainteresowane strony, których praca może wpływać na przetwarzanie PII, prawa osób, których dane dotyczą, ryzyko dla prywatności, bezpieczeństwo informacji związane z PII, instrukcje dla podmiotu przetwarzającego, incydenty prywatności, udokumentowaną informację lub dowody zgodności. Polityka obejmuje identyfikację odbiorców szkoleń w zakresie prywatności, szkolenia podczas wdrożenia, coroczne szkolenia przypominające, szkolenia oparte na rolach i szkolenia wywołane zdarzeniem, dowody ukończenia szkoleń, eskalację braku ukończenia, przegląd skuteczności szkoleń oraz dowody potwierdzające realizację szkoleń dla podmiotów przetwarzających, podwykonawców przetwarzania i stron trzecich. Centralnym elementem polityki jest jej model dowodowy. Polityka stanowi, że nie tworzy się odrębnej macierzy szkoleń, pulpitu, rejestru kompetencji, rejestru dyscyplinarnego ani rejestru szkoleń klienta. Zamiast tego przypisania szkoleń, ukończenia, przypomnienia, dowody kompetencji i dowody świadomości są rejestrowane w REG11. Wyjątki, eskalacje, niezgodności, działania korygujące i dowody przeglądu są rejestrowane w REG12. Dowody potwierdzające realizację szkoleń dla podmiotów przetwarzających, podwykonawców przetwarzania i stron trzecich są rejestrowane w REG08, gdy ma to zastosowanie, natomiast wkład wynikający z wyciągniętych wniosków po incydencie może być powiązany przez REG10. Takie podejście pomaga zachować identyfikowalność szkoleń w zakresie prywatności bez dublowania rejestrów i tworzenia zbędnego obciążenia administracyjnego. Polityka ustanawia konkretne częstotliwości i wyzwalacze szkoleń. Podstawowe szkolenie z zakresu świadomości prywatności musi zostać przypisane w ciągu 10 dni roboczych od wdrożenia dla personelu mającego dostęp do PII lub obowiązki w ramach PIMS, a personel musi ukończyć szkolenie wdrożeniowe w zakresie prywatności przed zatwierdzeniem nienadzorowanego dostępu do PII albo w ciągu 30 dni od wdrożenia, w zależności od tego, co nastąpi wcześniej. Coroczne szkolenie przypominające w zakresie prywatności musi być przypisywane co najmniej raz na 12 miesięcy. Ukierunkowane szkolenie przypominające jest wymagane w ciągu 30 dni po istotnej zmianie polityki prywatności, istotnej zmianie procesu PIMS, ustaleniu z audytu, powtarzającym się niepowodzeniu szkoleniowym lub odpowiednim wniosku wynikającym z incydentu PII. Szkolenie oparte na rolach jest również wymagane przed objęciem przez personel odpowiedzialności dotyczących podstawy prawnej, klauzul informacyjnych, zgody, praw osób, których dane dotyczą, DPIA, retencji, udostępniania, transferów międzynarodowych, dostępu uprzywilejowanego, administracji bezpieczeństwem, rejestrowania, monitorowania lub wsparcia obsługi incydentów. Ład zarządczy i stosowanie polityki są wbudowane w politykę przez zdefiniowane odpowiedzialności, monitorowanie i eskalację. Osoba odpowiedzialna za prywatność / menedżer PIMS utrzymuje treści szkoleniowe, przypisania, dowody ukończenia, potwierdzenia i dowody skuteczności. Właściciele procesów wspierają ukończenie szkoleń przez personel objęty ich odpowiedzialnością, właściciele systemów weryfikują szkolenie przed zatwierdzeniem dostępu uprzywilejowanego lub dostępu do systemów PII o istotnym wpływie, a właściciele dostawców / zakupów utrzymują dowody szkoleń lub równoważne dowody zapewnienia dla dostawców, podmiotów przetwarzających, podwykonawców przetwarzania i członków zewnętrznego personelu. Polityka wymaga kwartalnego przeglądu ukończeń, zaległych szkoleń, przypisań opartych na rolach i wyjątków, przy czym nierozwiązane luki dowodowe są zgłaszane przed przeglądem zarządzania. Audytorzy wewnętrzni / przeglądający ds. zgodności próbkują dowody REG11 i REG12 zgodnie z zatwierdzonym planem audytów, wspierając ciągłe doskonalenie i rozliczalność gotową do certyfikacji.