Politika školení, povedomia a kompetencií v oblasti ochrany súkromia

Politika školení, povedomia a kompetencií v oblasti ochrany súkromia definuje, ako organizácia riadi školenia v oblasti ochrany súkromia v rámci svojho PIMS. Jej účelom je zabezpečiť, aby osoby, ktorých práca ovplyvňuje spracúvanie PII, rozumeli svojim zodpovednostiam, absolvovali školenia v definovanom intervale, udržiavali kompetencie relevantné pre svoju rolu a vytvárali overiteľné dôkazy o školení, povedomí a eskalácii. Politika sa uplatňuje v kontextoch prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa, takže je relevantná pre organizácie, ktoré nakladajú s PII priamo, ako aj pre organizácie konajúce na základe pokynov zákazníka alebo prostredníctvom nastavení spracúvania tretími stranami. Rozsah je zámerne široký a prevádzkový. Vzťahuje sa na personál, zmluvných dodávateľov, dočasný personál, príslušné tretie strany, sprostredkovateľov, ďalších sprostredkovateľov a iné zainteresované strany, ktorých práca môže ovplyvniť spracúvanie PII, práva dotknutých osôb, riziko ochrany súkromia, informačnú bezpečnosť súvisiacu s PII, pokyny sprostredkovateľa, incidenty v oblasti ochrany súkromia, zdokumentované informácie alebo dôkazy súladu. Politika pokrýva identifikáciu cieľovej skupiny školenia v oblasti ochrany súkromia, vstupné školenie, ročné opakovacie školenie, školenie podľa rolí a školenie vyvolané udalosťou, dôkazy o absolvovaní školenia, eskaláciu neabsolvovania, preskúmanie účinnosti školenia a dôkazy uistenia o školeniach sprostredkovateľov, ďalších sprostredkovateľov a tretích strán. Ústredným prvkom politiky je jej dôkazový model. Politika stanovuje, že sa nevytvára samostatná školiaca matica, dashboard, register kompetencií, register disciplinárnych opatrení ani register školení zákazníkov. Namiesto toho sa priradenia školení, absolvovania, pripomienky, dôkazy kompetencií a dôkazy povedomia zaznamenávajú v REG11. Výnimky, eskalácie, nezhody, nápravné opatrenia a dôkazy o preskúmaní sa zaznamenávajú v REG12. Dôkazy uistenia o školeniach sprostredkovateľov, ďalších sprostredkovateľov a tretích strán sa podľa relevantnosti zaznamenávajú v REG08, zatiaľ čo vstupy z poučení z incidentov môžu byť prepojené cez REG10. Tento prístup pomáha zachovať sledovateľnosť školení v oblasti ochrany súkromia bez duplicitných registrov alebo zbytočnej administratívnej záťaže. Politika stanovuje konkrétne intervaly a spúšťače školení. Základné školenie povedomia v oblasti ochrany súkromia musí byť priradené do 10 pracovných dní od procesu nástupu pre personál s prístupom k PII alebo so zodpovednosťami v PIMS a personál musí absolvovať vstupné školenie v oblasti ochrany súkromia pred schválením prístupu k PII bez dohľadu alebo do 30 dní od procesu nástupu, podľa toho, čo nastane skôr. Ročné opakovacie školenie v oblasti ochrany súkromia musí byť priradené aspoň raz za 12 mesiacov. Cielené opakovacie školenie sa vyžaduje do 30 dní po podstatnej zmene politiky ochrany súkromia, podstatnej zmene procesu PIMS, auditnom zistení, opakovanom zlyhaní školenia alebo relevantnom poučení z incidentu týkajúceho sa PII. Školenie podľa rolí sa vyžaduje aj pred tým, ako personál prevezme zodpovednosti zahŕňajúce právny základ, oznámenia, súhlas, práva dotknutých osôb, DPIA, uchovávanie, zdieľanie, medzinárodné prenosy, privilegovaný prístup, správu bezpečnosti, logovanie, monitorovanie alebo podporu incidentov. Správa a uplatňovanie politiky sú do politiky začlenené prostredníctvom definovaných zodpovedností, monitorovania a eskalácie. Vedúci ochrany súkromia / manažér PIMS udržiava obsah školení, priradenia, dôkazy o absolvovaní, potvrdenia a dôkazy účinnosti. Vlastníci procesov podporujú absolvovanie školení personálu, za ktorý zodpovedajú, vlastníci systémov overujú školenie pred schválením privilegovaného prístupu alebo prístupu k systémom PII s vysokým dopadom a vlastníci dodávateľov / obstarávania udržiavajú dôkazy o školeniach alebo rovnocennom uistení pre dodávateľov, sprostredkovateľov, ďalších sprostredkovateľov a externých členov pracovnej sily. Politika vyžaduje štvrťročné preskúmanie absolvovania, školení po lehote, priradení podľa rolí a výnimiek, pričom nevyriešené medzery v dôkazoch sa hlásia pred preskúmaním manažmentom. Preskúmavatelia z vnútorného auditu / súladu vzorkovo kontrolujú dôkazy REG11 a REG12 podľa schváleného plánu auditov, čím podporujú neustále zlepšovanie a preukázateľnú zodpovednosť pripravenú na certifikáciu.