Politika usposabljanja, ozaveščanja in usposobljenosti na področju zasebnosti

Politika usposabljanja, ozaveščanja in usposobljenosti na področju zasebnosti določa, kako organizacija upravlja usposabljanje na področju zasebnosti v okviru svojega sistema upravljanja informacij o zasebnosti. Namen politike je zagotoviti, da osebe, katerih delo vpliva na obdelavo osebno določljivih podatkov, razumejo svoje odgovornosti, opravijo usposabljanje po določenem ritmu, ohranjajo za vlogo relevantno usposobljenost ter ustvarjajo preverljiva dokazila o usposabljanju, ozaveščanju in eskalaciji. Politika se uporablja v kontekstih upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca, zato je relevantna za organizacije, ki neposredno obravnavajo osebno določljive podatke, ter za organizacije, ki delujejo po navodilu naročnika ali prek ureditev obdelave s tretjimi osebami. Področje uporabe je namenoma široko in operativno. Velja za osebje, pogodbene izvajalce, začasno osebje, relevantne tretje osebe, obdelovalce, podobdelovalce in druge zainteresirane strani, katerih delo lahko vpliva na obdelavo osebno določljivih podatkov, pravice posameznikov, na katere se nanašajo osebno določljivi podatki, tveganje za zasebnost, informacijsko varnost v zvezi z osebno določljivimi podatki, navodila obdelovalcem, incidente na področju zasebnosti, dokumentirane informacije ali dokazila o skladnosti. Politika zajema identifikacijo ciljnih skupin za usposabljanje na področju zasebnosti, uvodno usposabljanje, periodično osvežitveno usposabljanje na letni ravni, usposabljanje na podlagi vlog in dogodkov, dokazila o dokončanju usposabljanja, eskalacijo ob nedokončanju, pregled učinkovitosti usposabljanja ter dokazila o zagotovilih glede usposabljanja pri obdelovalcih, podobdelovalcih in tretjih osebah. Osrednja značilnost politike je njen model dokazil. Določa, da se ne vzpostavljajo ločena matrika usposabljanj, nadzorna plošča, register kompetenc, disciplinski register ali register usposabljanj naročnikov. Namesto tega se dodelitve usposabljanj, dokončanja, opomniki, dokazila o kompetencah in dokazila o ozaveščenosti evidentirajo v REG11. Izjeme, eskalacije, neskladnosti, korektivni ukrepi in dokazila o pregledu se evidentirajo v REG12. Dokazila o zagotovilih glede usposabljanja pri obdelovalcih, podobdelovalcih in tretjih osebah se, kadar je relevantno, evidentirajo v REG08, vhodne informacije iz pridobljenih izkušenj po incidentu pa se lahko povežejo prek REG10. Ta pristop pomaga ohranjati sledljivost usposabljanja na področju zasebnosti brez podvajanja registrov ali ustvarjanja nepotrebnega administrativnega bremena. Politika določa posebne ritme usposabljanja in sprožilce. Osnovno usposabljanje za ozaveščanje o zasebnosti mora biti dodeljeno v 10 delovnih dneh po uvajanju za osebje z dostopom do osebno določljivih podatkov ali odgovornostmi PIMS, osebje pa mora uvodno usposabljanje na področju zasebnosti dokončati pred odobritvijo nenadzorovanega dostopa do osebno določljivih podatkov ali v 30 dneh po uvajanju, kar nastopi prej. Letno obnovitveno usposabljanje na področju zasebnosti mora biti dodeljeno najmanj enkrat vsakih 12 mesecev. Ciljno obnovitveno usposabljanje je zahtevano v 30 dneh po bistveni spremembi politike zasebnosti, bistveni spremembi procesa PIMS, ugotovitvi presoje, ponavljajočem se neuspehu pri usposabljanju ali relevantni pridobljeni izkušnji iz incidenta v zvezi z osebno določljivimi podatki. Usposabljanje na podlagi vlog je zahtevano tudi preden osebje prevzame odgovornosti, ki vključujejo pravno podlago, obvestila, privolitve, pravice posameznikov, na katere se nanašajo osebno določljivi podatki, DPIA, hrambo, deljenje podatkov, mednarodne prenose, privilegirani dostop, varnostno administracijo, beleženje, spremljanje ali podporo pri incidentih. Upravljanje in izvajanje sta v politiko vključena prek opredeljenih odgovornosti, spremljanja in eskalacije. Vodja zasebnosti / vodja PIMS vzdržuje vsebino usposabljanja, dodelitve, dokazila o dokončanju, potrditve in dokazila o učinkovitosti. Lastniki procesov podpirajo dokončanje za osebje v okviru svoje odgovornosti, lastniki sistemov preverijo usposabljanje pred odobritvijo privilegiranega dostopa ali dostopa do sistemov z osebno določljivimi podatki z velikim vplivom, lastniki dobaviteljev / nabave pa vzdržujejo dokazila o usposabljanju ali enakovrednih zagotovilih za dobavitelje, obdelovalce, podobdelovalce in člane zunanje delovne sile. Politika zahteva četrtletni pregled dokončanja, zapadlega usposabljanja, dodelitev na podlagi vlog in izjem, pri čemer se nerešene vrzeli pri dokazilih poročajo pred vodstvenim pregledom. Notranja revizija / pregledovalci skladnosti vzorčijo dokazila REG11 in REG12 v skladu z odobrenim načrtom presoj, s čimer podpirajo nenehno izboljševanje in odgovornost, primerno za certifikacijo.