Policy för integritetsutbildning, medvetenhet och kompetens

Policyn för integritetsutbildning, medvetenhet och kompetens definierar hur en organisation hanterar integritetsutbildning inom sitt ledningssystem för hantering av integritetsinformation. Syftet är att säkerställa att personer vars arbete påverkar behandling av personuppgifter förstår sitt ansvar, slutför utbildning enligt en definierad frekvens, upprätthåller rollrelevant kompetens och tar fram verifierbart underlag för utbildning, medvetenhet och eskalering. Policyn gäller i sammanhang med personuppgiftsansvarig, gemensamt personuppgiftsansvar, personuppgiftsbiträde och underbiträde, vilket gör den relevant för organisationer som hanterar personuppgifter direkt samt för organisationer som agerar enligt kundinstruktioner eller genom behandlingsupplägg med tredje part. Omfattningen är avsiktligt bred och operativ. Den gäller personal, uppdragstagare, tillfälligt anställda, relevanta tredje parter, personuppgiftsbiträden, underbiträden och andra intressenter vars arbete kan påverka behandling av personuppgifter, registrerades rättigheter, integritetsrisk, informationssäkerhet relaterad till personuppgifter, instruktioner till personuppgiftsbiträden, personuppgiftsincidenter, dokumenterad information eller underlag för regelefterlevnad. Policyn omfattar identifiering av målgrupper för integritetsutbildning, utbildning vid introduktion, årlig repetitionsutbildning, rollbaserad och händelseutlöst utbildning, underlag för slutförd utbildning, eskalering vid uteblivet slutförande, granskning av utbildningens effektivitet samt utbildnings- och säkerhetsförsäkransunderlag för personuppgiftsbiträden, underbiträden och tredje parter. En central del av policyn är dess underlagsmodell. Den anger att ingen separat utbildningsmatris, kontrollpanel, kompetensregister, disciplinärt register eller kundutbildningsregister skapas. I stället registreras utbildningstilldelningar, slutföranden, påminnelser, kompetensunderlag och medvetenhetsunderlag i REG11. Undantag, eskaleringar, avvikelser, korrigerande åtgärder och granskningsunderlag registreras i REG12. Utbildnings- och säkerhetsförsäkransunderlag för personuppgiftsbiträden, underbiträden och tredje parter registreras i REG08 där det är relevant, medan erfarenheter från incidenter kan kopplas via REG10. Detta arbetssätt bidrar till att hålla integritetsutbildning spårbar utan att duplicera register eller skapa onödig administrativ belastning. Policyn fastställer specifika utbildningsfrekvenser och utlösande händelser. Grundläggande utbildning i integritetsmedvetenhet ska tilldelas inom 10 arbetsdagar från introduktion för personal med åtkomst till personuppgifter eller PIMS-ansvar, och personal ska slutföra integritetsutbildning vid introduktion innan oövervakad åtkomst till personuppgifter godkänns eller inom 30 dagar från introduktion, beroende på vilket som inträffar först. Årlig repetitionsutbildning i integritetsskydd ska tilldelas minst en gång var 12:e månad. Riktad repetitionsutbildning krävs inom 30 dagar efter en väsentlig integritetspolicyändring, en väsentlig ändring av en PIMS-process, revisionsiakttagelse, återkommande utbildningsfel eller relevant erfarenhetsåterföring från en personuppgiftsincident. Rollbaserad utbildning krävs också innan personal tar på sig ansvar som rör rättslig grund, integritetsmeddelanden, samtycke, registrerades rättigheter, DPIA:er, bevarande, delning, internationella överföringar, privilegierad åtkomst, säkerhetsadministration, loggning, övervakning eller incidentstöd. Styrning och efterlevnad är inbyggda i policyn genom definierade ansvar, övervakning och eskalering. Privacy Lead / PIMS-ansvarig upprätthåller utbildningsinnehåll, tilldelningar, underlag för slutförande, bekräftelser och effektivitetsunderlag. Processägare stödjer slutförande för personal inom sitt ansvar, systemägare verifierar utbildning innan de godkänner privilegierad åtkomst eller åtkomst till system med personuppgifter med hög påverkan, och leverantörs-/upphandlingsansvariga upprätthåller utbildningsunderlag eller likvärdigt säkerhetsförsäkransunderlag för leverantörer, personuppgiftsbiträden, underbiträden och externa medarbetare. Policyn kräver kvartalsvis granskning av slutförande, försenad utbildning, rollbaserade tilldelningar och undantag, där olösta underlagsluckor rapporteras före ledningens genomgång. Internrevision / granskare inom regelefterlevnad gör stickprov på REG11- och REG12-underlag enligt den godkända revisionsplanen, vilket stödjer ständig förbättring och certifieringsklar ansvarsskyldighet.