การปฏิบัติตามข้อกำหนด

การฝึกอบรม LGPD

Q: LGPD กำหนดให้มีการฝึกอบรมพนักงานจริงหรือไม่?

แม้ LGPD จะไม่ได้กำหนดโปรแกรมการฝึกอบรมเฉพาะ มาตรา 50 ระบุว่าองค์กรควรนำแนวปฏิบัติที่ดีรวมถึงมาตรการสร้างความตระหนักของพนักงานมาใช้ ANPD พิจารณาโปรแกรมการฝึกอบรมเป็นปัจจัยบรรเทาโทษเมื่อคำนวณบทลงโทษ

Q: พนักงานควรได้รับการฝึกอบรม LGPD บ่อยเพียงใด?

แนวปฏิบัติที่ดีแนะนำให้ฝึกอบรมประจำปีเป็นอย่างน้อย พร้อมเซสชันเพิ่มเติมหลังการเปลี่ยนแปลงกฎระเบียบ การรั่วไหลของข้อมูล หรือการเปลี่ยนแปลงในกิจกรรมการประมวลผล Roleplays ช่วยให้กำหนดค่ารอบการฝึกอบรมซ้ำได้ต่อแผนกหรือบทบาท

Q: เราสามารถฝึกพนักงานเรื่องคำขอเข้าถึงข้อมูลของเจ้าของข้อมูล (DSARs) ได้หรือไม่?

ใช่ Roleplays รวมสถานการณ์ที่ครอบคลุมสิทธิของเจ้าของข้อมูลทั้งหมดตามมาตรา 17-22: คำขอเข้าถึง การแก้ไข การลบ การพกพา และการถอนความยินยอม

Q: เอกสารการฝึกอบรมช่วยลดบทลงโทษของ ANPD อย่างไร?

ANPD พิจารณาการนำแนวปฏิบัติที่ดีและการกำกับดูแลมาใช้เป็นปัจจัยบรรเทาโทษตามมาตรา 52 ของ LGPD โปรแกรมการฝึกอบรมที่มีการบันทึกพร้อมบันทึกการเสร็จสิ้นและการประเมินสมรรถนะแสดงถึงมาตรการป้องกันที่สมเหตุสมผล

Q: Roleplays เองปฏิบัติตาม LGPD หรือไม่?

ใช่ Roleplays ใช้การแยกฐานข้อมูลต่อผู้เช่า ประมวลผลข้อมูลส่วนบุคคลขั้นต่ำพร้อมการจำกัดวัตถุประสงค์ที่ชัดเจน และมีข้อตกลงการประมวลผลข้อมูลสำหรับลูกค้าองค์กร

กฎหมายคุ้มครองข้อมูลทั่วไปของบราซิลกำหนดให้องค์กรทำให้มั่นใจว่าพนักงานทุกคนที่จัดการข้อมูลส่วนบุคคลเข้าใจความรับผิดชอบของตน Roleplays เปลี่ยนความตระหนักด้าน LGPD ให้เป็นสมรรถนะที่เป็นรูปธรรมและวัดผลได้ผ่านการจำลองสถานการณ์ที่ขับเคลื่อนด้วย AI

ขอชมการสาธิต นัดหมายปรึกษา

ภาพรวม

เหตุใดการฝึกอบรม LGPD จึงสำคัญ

Lei Geral de Protecao de Dados (LGPD) หรือกฎหมายเลขที่ 13.709/2018 คือกฎหมายคุ้มครองข้อมูลที่ครอบคลุมของบราซิล ซึ่งจำลองตาม GDPR ของสหภาพยุโรป กฎหมายนี้กำกับวิธีที่องค์กรเก็บรวบรวม ประมวลผล จัดเก็บ และแบ่งปันข้อมูลส่วนบุคคลของบุคคลในบราซิล กฎหมายนี้บังคับใช้โดย ANPD (Autoridade Nacional de Protecao de Dados) และมีบทลงโทษสูงสุด 2% ของรายได้ต่อปี โดยจำกัดที่ R$50 ล้านต่อการกระทำผิด

แม้ LGPD จะไม่ได้กำหนดโปรแกรมการฝึกอบรมเฉพาะ มาตรา 50 ระบุว่าองค์กรควรนำแนวปฏิบัติที่ดีและมาตรการกำกับดูแลมาใช้ รวมถึงโปรแกรมการสร้างความตระหนักและการฝึกอบรมพนักงาน แนวทางการบังคับใช้ของ ANPD เน้นย้ำอย่างสม่ำเสมอว่าองค์กรต้องแสดงให้เห็นว่าได้ดำเนินมาตรการที่สมเหตุสมผลเพื่อให้มั่นใจว่าพนักงานเข้าใจภาระหน้าที่ด้านการคุ้มครองข้อมูล และการฝึกอบรมคือวิธีหลักในการแสดงสิ่งนี้

การฝึกอบรม LGPD ใช้กับ องค์กรใดก็ตามที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลในบราซิล ไม่ว่าองค์กรจะมีสำนักงานใหญ่ที่ใด ซึ่งรวมถึงทุกแผนกที่เกี่ยวข้องกับข้อมูลส่วนบุคคล: HR (ข้อมูลพนักงาน) การตลาด (ฐานข้อมูลลูกค้า) ฝ่ายบริการลูกค้า (การโต้ตอบด้านการสนับสนุน) การเงิน (ข้อมูลการชำระเงิน) และไอที (การดูแลระบบและโครงสร้างพื้นฐานข้อมูล)

ใครต้องการการฝึกอบรม LGPD

เจ้าหน้าที่บริการและสนับสนุนลูกค้า
ทีม HR ที่จัดการข้อมูลพนักงาน
ทีมการตลาดและการขายที่เข้าถึง CRM
เจ้าหน้าที่ไอทีและผู้ดูแลข้อมูล
DPO และเจ้าหน้าที่ความเป็นส่วนตัว

ความเป็นจริงของการบังคับใช้โดย ANPD

ค่าปรับสูงสุด 2% ของรายได้ (เพดาน R$50M)
การเปิดเผยการละเมิดต่อสาธารณะ
การระงับกิจกรรมการประมวลผลข้อมูล
บันทึกการฝึกอบรมถือเป็นปัจจัยบรรเทาโทษ
โปรแกรมแนวปฏิบัติที่ดีลดความรุนแรงของบทลงโทษ

ด้านการฝึกอบรม

การฝึกอบรม LGPD ต้องครอบคลุมอะไรบ้าง

การฝึกอบรม LGPD ที่มีประสิทธิผลไปไกลกว่าการอ่านกฎหมาย พนักงานต้องการทักษะที่เป็นรูปธรรมในการจัดการสถานการณ์การคุ้มครองข้อมูลในโลกจริง

การสร้างความตระหนักและความรู้ด้านข้อมูลของพนักงาน

พนักงานทุกคนต้องเข้าใจว่าอะไรคือข้อมูลส่วนบุคคลตาม LGPD (มาตรา 5) ความแตกต่างระหว่างข้อมูลส่วนบุคคลกับข้อมูลส่วนบุคคลที่ละเอียดอ่อน ฐานทางกฎหมายสำหรับการประมวลผล (มาตรา 7) และสิทธิของเจ้าของข้อมูล (มาตรา 17-22) การฝึกอบรมต้องไปไกลกว่าคำจำกัดความ พนักงานต้องตระหนักถึงข้อมูลส่วนบุคคลในบริบทการทำงานประจำวันของตน ไม่ว่าจะปรากฏในอีเมล สเปรดชีต ตั๋วสนับสนุน หรือการสนทนาด้วยวาจา

สถานการณ์เชิงปฏิบัติ: เจ้าหน้าที่บริการลูกค้าได้รับอีเมลขอข้อมูลส่วนบุคคลทั้งหมดที่ถือครองเกี่ยวกับลูกค้า (คำขอเข้าถึงข้อมูลของเจ้าของข้อมูล) เจ้าหน้าที่ทราบหรือไม่ว่าจะตอบสนองอย่างไร ต้องส่งต่อให้ใคร และกรอบเวลาตามกฎหมายคืออะไร

ขั้นตอนการจัดการข้อมูล

พนักงานต้องทราบขั้นตอนที่ถูกต้องในการเก็บรวบรวม จัดเก็บ แบ่งปัน และลบข้อมูลส่วนบุคคล ซึ่งรวมถึงการเข้าใจหลักการลดข้อมูลให้น้อยที่สุด (มาตรา 6, III) การจำกัดวัตถุประสงค์ (มาตรา 6, I) และการเก็บความยินยอมที่เหมาะสม (มาตรา 8) แผนกที่จัดการข้อมูลละเอียดอ่อนเป็นประจำ เช่น ข้อมูลสุขภาพ ข้อมูลชีวมาตร หรือบันทึกทางการเงิน ต้องการการฝึกอบรมเฉพาะทางเกี่ยวกับการคุ้มครองเพิ่มเติมที่ LGPD กำหนดสำหรับประเภทเหล่านี้ (มาตรา 11)

สถานการณ์เชิงปฏิบัติ: ทีมการตลาดต้องการใช้ฐานข้อมูลลูกค้าสำหรับแคมเปญใหม่ ทีมทราบหรือไม่ว่าความยินยอมเดิมครอบคลุมวัตถุประสงค์ใหม่นี้หรือไม่ พวกเขาเข้าใจหรือไม่ว่าเมื่อใดที่ต้องขอความยินยอมใหม่

การฝึกอบรมการตอบสนองต่อเหตุการณ์

มาตรา 48 ของ LGPD กำหนดให้องค์กรแจ้ง ANPD และเจ้าของข้อมูลที่ได้รับผลกระทบเกี่ยวกับเหตุการณ์ด้านความปลอดภัยที่อาจก่อให้เกิด "ความเสี่ยงหรือความเสียหายที่มีนัยสำคัญ" ต่อเจ้าของข้อมูล พนักงานต้องได้รับการฝึกอบรมให้ตระหนักถึงการรั่วไหลของข้อมูลที่อาจเกิดขึ้น ทราบขั้นตอนการส่งต่อภายใน เข้าใจกรอบเวลาการแจ้งเตือน และหลีกเลี่ยงการกระทำที่อาจทำให้เหตุการณ์แย่ลง (เช่น การพยายามกู้คืนข้อมูลโดยไม่ได้รับอนุญาต หรือการสื่อสารต่อสาธารณะโดยไม่ได้รับอนุญาต)

สถานการณ์เชิงปฏิบัติ: พนักงานพบว่าโฟลเดอร์ที่แชร์ซึ่งมีหมายเลข CPF ของลูกค้าถูกเปิดเผยสู่สาธารณะโดยอุบัติเหตุ พวกเขาทราบเส้นทางการส่งต่อที่ถูกต้องหรือไม่ และสามารถอธิบายความรุนแรงของเหตุการณ์ได้หรือไม่

ความรับผิดชอบของ DPO และทีมความเป็นส่วนตัว

เจ้าหน้าที่คุ้มครองข้อมูล (Encarregado ตามมาตรา 41) มีบทบาทสำคัญในการปฏิบัติตาม LGPD การฝึกอบรม DPO ต้องครอบคลุม: การจัดการคำขอของเจ้าของข้อมูล การดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIAs/RIPDs) การจัดทำบันทึกกิจกรรมการประมวลผล (ROPA) การประสานงานกับ ANPD และการดูแลโปรแกรมการคุ้มครองข้อมูลโดยรวมขององค์กร DPO ยังต้องสามารถฝึกอบรมพนักงานคนอื่น ทำให้การพัฒนาสมรรถนะของตนเองมีความสำคัญอย่างยิ่ง

สถานการณ์เชิงปฏิบัติ: ANPD ส่งคำขอข้อมูลอย่างเป็นทางการเกี่ยวกับกิจกรรมการประมวลผลข้อมูลเฉพาะ DPO สามารถค้นหารายการ ROPA ที่เกี่ยวข้อง แสดงฐานทางกฎหมาย และตอบสนองภายในกรอบเวลาที่กำหนดได้หรือไม่

โซลูชัน

Roleplays ช่วยได้อย่างไร

การจำลองสถานการณ์ที่สอนพนักงานให้จัดการข้อมูลส่วนบุคคลอย่างถูกต้อง และบันทึกทุกการโต้ตอบในการฝึกอบรมเพื่อการปฏิบัติตามข้อกำหนดของ ANPD

สถานการณ์การจัดการข้อมูล

จำลองสถานการณ์ในโลกจริงที่พนักงานต้องตัดสินใจว่าจะจัดการข้อมูลส่วนบุคคลอย่างไร: คำขอลบของลูกค้า การถอนความยินยอม ความต้องการพกพาข้อมูล และคำขอแบ่งปันจากบุคคลที่สาม ตัวละคร AI ทำหน้าที่เป็นลูกค้า เพื่อนร่วมงาน หรือแม้แต่ตัวแทนของ ANPD ทดสอบว่าพนักงานปฏิบัติตามขั้นตอนที่ถูกต้องหรือไม่

การฝึกอบรมการจัดการความยินยอม

ฝึกทีมเรื่องการเก็บ การจัดเก็บ และการจัดการการถอนความยินยอมที่เหมาะสม การจำลองสถานการณ์ทดสอบว่าพนักงานสามารถอธิบายวัตถุประสงค์การประมวลผลข้อมูลได้ชัดเจน ได้รับความยินยอมที่ได้รับข้อมูลครบถ้วน ตระหนักเมื่อความยินยอมที่มีอยู่ไม่ครอบคลุมกรณีการใช้งานใหม่ และดำเนินการคำขอถอนความยินยอมโดยไม่ต่อต้านหรือล่าช้า

การจำลองการตอบสนองต่อเหตุการณ์

ฝึกการตอบสนองต่อการรั่วไหลของข้อมูลในสภาพแวดล้อมที่ปลอดภัย พนักงานเผชิญเหตุการณ์ด้านความปลอดภัยจำลอง ตั้งแต่การเปิดเผยข้อมูลโดยอุบัติเหตุไปจนถึงการโจมตีที่ซับซ้อน และต้องปฏิบัติตามขั้นตอนการระบุ การควบคุม การแจ้งเตือน และการจัดทำเอกสารที่ถูกต้องตามมาตรา 48 ผู้จัดการฝึกการนำทีมตอบสนองต่อเหตุการณ์ภายใต้แรงกดดันด้านเวลา

หลักฐานการปฏิบัติตามที่มีการบันทึก

ทุกเซสชันการฝึกอบรมสร้างบันทึกที่ครบถ้วน: ใครได้รับการฝึกอบรม เนื้อหาใดที่ครอบคลุม เกิดขึ้นเมื่อใด ผลการปฏิบัติงานเป็นอย่างไร และผ่านเกณฑ์สมรรถนะหรือไม่ เอกสารนี้ทำหน้าที่เป็นหลักฐานของโปรแกรม "แนวปฏิบัติที่ดี" ตามมาตรา 50 ซึ่ง ANPD ถือเป็นปัจจัยบรรเทาโทษเมื่อพิจารณาบทลงโทษ

เส้นทางการฝึกอบรมเฉพาะตามแผนก

แต่ละแผนกจัดการข้อมูลส่วนบุคคลประเภทต่างกันและเผชิญความเสี่ยงต่างกัน ทีม HR ได้รับสถานการณ์เกี่ยวกับสิทธิข้อมูลพนักงาน ทีมการตลาดฝึกการจัดการความยินยอม เจ้าหน้าที่บริการลูกค้าเรียนรู้การจัดการคำขอเข้าถึงข้อมูลของเจ้าของข้อมูล ทีมไอทีฝึกการระบุและควบคุมการรั่วไหลของข้อมูล แต่ละเส้นทางมีเกณฑ์การประเมินที่ปรับให้เหมาะสม

ประสบการณ์ภาษาโปรตุเกสโดยกำเนิด

การฝึกอบรม LGPD ต้องดำเนินการในภาษาที่พนักงานเข้าใจ Roleplays รองรับภาษาโปรตุเกสโดยกำเนิดพร้อมการจำลองด้วยเสียงและข้อความ ทำให้มั่นใจว่าเนื้อหาการฝึกอบรมสะท้อนคำศัพท์ทางกฎหมายของบราซิลได้อย่างถูกต้อง (titular de dados, encarregado, tratamento de dados) แทนที่จะเป็นการแปลที่ดูเก้กังจากภาษาอังกฤษหรือภาษาโปรตุเกสยุโรป

คำถามที่พบบ่อย

LGPD กำหนดให้มีการฝึกอบรมพนักงานจริงหรือไม่?

แม้ LGPD จะไม่ได้กำหนดโปรแกรมการฝึกอบรมเฉพาะพร้อมความถี่ที่บังคับ มาตรา 50 ระบุว่าองค์กรควรนำแนวปฏิบัติที่ดีและโปรแกรมการกำกับดูแลที่รวมมาตรการสร้างความตระหนักของพนักงานมาใช้ แนวทางการบังคับใช้และวิธีการคำนวณบทลงโทษของ ANPD พิจารณาอย่างชัดเจนว่าองค์กรได้นำโปรแกรมการฝึกอบรมมาใช้หรือไม่ในฐานะปัจจัยบรรเทาโทษ ในทางปฏิบัติ การฝึกอบรม LGPD จึงจำเป็นต่อการแสดงการปฏิบัติตามและการลดความเสี่ยงด้านบทลงโทษ

พนักงานควรได้รับการฝึกอบรม LGPD บ่อยเพียงใด?

LGPD ไม่ได้ระบุความถี่ แต่แนวปฏิบัติที่ดีที่สอดคล้องกับแนวทาง GDPR แนะนำให้ฝึกอบรมประจำปีเป็นอย่างน้อย พร้อมเซสชันเพิ่มเติมหลังการเปลี่ยนแปลงกฎระเบียบที่สำคัญ เหตุการณ์การรั่วไหลของข้อมูล หรือการเปลี่ยนแปลงในกิจกรรมการประมวลผลข้อมูล Roleplays ช่วยให้คุณกำหนดค่ารอบการฝึกอบรมซ้ำใดก็ได้ต่อแผนกหรือบทบาท และแพลตฟอร์มติดตามการเสร็จสิ้นโดยอัตโนมัติ

เราสามารถฝึกพนักงานเรื่องคำขอเข้าถึงข้อมูลของเจ้าของข้อมูล (DSARs) ได้หรือไม่?

ใช่ Roleplays รวมสถานการณ์ที่เจ้าของข้อมูลที่ขับเคลื่อนด้วย AI ใช้สิทธิของตนตามมาตรา 17-22: คำขอเข้าถึง คำขอแก้ไข คำขอลบ การพกพาข้อมูล และการถอนความยินยอม พนักงานฝึกการระบุประเภทคำขอ การยืนยันตัวตนของผู้ร้องขอ การปฏิบัติตามขั้นตอนงานภายในที่ถูกต้อง และการตอบสนองภายในกรอบเวลาตามกฎหมาย

เอกสารการฝึกอบรมช่วยลดบทลงโทษของ ANPD อย่างไร?

ระเบียบการกำหนดบทลงโทษของ ANPD พิจารณา "การนำแนวปฏิบัติที่ดีและการกำกับดูแลมาใช้" (มาตรา 52 วรรค 1 ข้อ IX ของ LGPD) เป็นปัจจัยบรรเทาโทษ โปรแกรมการฝึกอบรมที่มีการบันทึกพร้อมบันทึกการเสร็จสิ้น การประเมินสมรรถนะ และรอบการฝึกอบรมซ้ำอย่างต่อเนื่อง แสดงให้เห็นว่าองค์กรได้ดำเนินมาตรการที่สมเหตุสมผลเพื่อป้องกันการละเมิด Roleplays ให้เอกสารนี้โดยอัตโนมัติสำหรับทุกเซสชันการฝึกอบรม

Roleplays เองปฏิบัติตาม LGPD หรือไม่?

ใช่ Roleplays ใช้การแยกฐานข้อมูลต่อผู้เช่า ทำให้มั่นใจว่าข้อมูลการฝึกอบรมของคุณแยกออกจากลูกค้าอื่นโดยสมบูรณ์ แพลตฟอร์มประมวลผลข้อมูลส่วนบุคคลขั้นต่ำ (ตัวระบุพนักงานและบันทึกการฝึกอบรม) พร้อมนโยบายการจำกัดวัตถุประสงค์และการเก็บรักษาข้อมูลที่ชัดเจน มีข้อตกลงการประมวลผลข้อมูล (DPA) ให้สำหรับลูกค้าองค์กรทุกราย

ปฏิบัติตามข้อกำหนดได้เร็วขึ้น

สร้างโปรแกรมการฝึกอบรม LGPD ที่มีการบันทึกซึ่ง ANPD จะยอมรับว่าเป็นแนวปฏิบัติที่ดีอย่างแท้จริง เริ่มต้นด้วยการจำลองสถานการณ์ที่ทีมของคุณจะทำจนเสร็จจริง

ขอชมการสาธิต พูดคุยกับผู้เชี่ยวชาญด้านการปฏิบัติตามข้อกำหนด