Politica privind instruirea, conștientizarea și competența în domeniul confidențialității

Politica privind instruirea, conștientizarea și competența în domeniul confidențialității definește modul în care o organizație gestionează instruirea privind confidențialitatea în cadrul Sistemului de management al informațiilor privind confidențialitatea. Scopul său este să asigure că persoanele a căror activitate afectează prelucrarea PII își înțeleg responsabilitățile, finalizează instruirea la o cadență definită, mențin competența relevantă pentru rol și produc dovezi verificabile privind instruirea, conștientizarea și escaladarea. Politica se aplică în contexte de operator, operator asociat, persoană împuternicită și persoană subîmputernicită, fiind relevantă atât pentru organizațiile care gestionează direct PII, cât și pentru cele care acționează pe baza instrucțiunilor clientului sau prin relații de prelucrare cu terți. Domeniul de aplicare este intenționat larg și operațional. Politica se aplică personalului, contractorilor, personalului temporar, terților relevanți, persoanelor împuternicite, persoanelor subîmputernicite și altor părți interesate a căror activitate poate afecta prelucrarea PII, drepturile persoanelor vizate, riscul privind confidențialitatea, securitatea informației legată de PII, instrucțiunile pentru persoanele împuternicite, incidentele de confidențialitate, informațiile documentate sau dovezile de conformitate. Politica acoperă identificarea publicului-țintă al instruirii în domeniul confidențialității, instruirea la integrare, instruirea anuală de reîmprospătare, instruirea bazată pe roluri și instruirea declanșată de evenimente, dovezile privind finalizarea instruirii, escaladarea nefinalizării, revizuirea eficacității instruirii și dovezile privind asigurarea instruirii pentru persoanele împuternicite, persoanele subîmputernicite și terți. O caracteristică centrală a politicii este modelul său de dovezi. Aceasta prevede că nu se creează o matrice separată de instruire, un tablou de bord separat, un registru de competențe, un registru disciplinar sau un registru de instruire pentru clienți. În schimb, atribuirile de instruire, finalizările, reamintirile, dovezile de competență și dovezile de conștientizare sunt înregistrate în REG11. Excepțiile, escaladările, neconformitățile, acțiunile corective și dovezile de revizuire sunt înregistrate în REG12. Dovezile privind asigurarea instruirii pentru persoanele împuternicite, persoanele subîmputernicite și terți sunt înregistrate în REG08 acolo unde este relevant, iar informațiile rezultate din lecțiile incidentelor pot fi corelate prin REG10. Această abordare ajută la menținerea trasabilității instruirii privind confidențialitatea fără duplicarea registrelor sau crearea unei sarcini administrative inutile. Politica stabilește cadențe și declanșatori specifici pentru instruire. Instruirea de bază privind conștientizarea confidențialității trebuie atribuită în termen de 10 zile lucrătoare de la integrare pentru personalul cu acces la PII sau cu responsabilități PIMS, iar personalul trebuie să finalizeze instruirea privind confidențialitatea la integrare înainte de aprobarea accesului nesupravegheat la PII sau în termen de 30 de zile de la integrare, oricare dintre acestea survine mai întâi. Instruirea anuală de reîmprospătare privind confidențialitatea trebuie atribuită cel puțin o dată la 12 luni. Instruirea de reîmprospătare țintită este obligatorie în termen de 30 de zile după o modificare semnificativă a politicii de confidențialitate, o modificare semnificativă a procesului PIMS, o constatare de audit, un eșec recurent al instruirii sau o lecție relevantă dintr-un incident PII. Instruirea bazată pe roluri este, de asemenea, obligatorie înainte ca personalul să preia responsabilități care implică temei juridic, note de informare, consimțământ, drepturile persoanelor vizate, DPIA, retenție, partajare, transferuri internaționale, acces privilegiat, administrarea securității, jurnalizare, monitorizare sau suport pentru incidente. Guvernanța și aplicarea sunt integrate în politică prin responsabilități, monitorizare și escaladare definite. Responsabilul de confidențialitate / Managerul PIMS menține conținutul instruirii, atribuirile, dovezile de finalizare, confirmările și dovezile de eficacitate. Proprietarii de procese susțin finalizarea de către personalul aflat în responsabilitatea lor, proprietarii de sisteme verifică instruirea înainte de aprobarea accesului privilegiat sau cu impact ridicat la sistemele PII, iar proprietarii de furnizori / achiziții mențin dovezi privind instruirea sau dovezi de asigurare echivalentă pentru furnizori, persoanele împuternicite, persoanele subîmputernicite și membrii forței de muncă externe. Politica impune revizuirea trimestrială a finalizării, a instruirii restante, a atribuirilor bazate pe roluri și a excepțiilor, cu raportarea lacunelor de dovezi nerezolvate înainte de revizuirea de management. Revizorii de audit intern / conformitate eșantionează dovezile REG11 și REG12 potrivit planului de audit aprobat, sprijinind îmbunătățirea continuă și responsabilitatea pregătită pentru certificare.