Lähes vuosi sitten tiedotusvaltuutetun kanslia julkaisi havaintojaan siitä, kuinka paikallisviranomaiset ovat toimineet vaaratilanteiden hallinta ja tietoriski. Nyt ICO on päivittänyt GDPR-ohjeensa paikallishallinnolle, erityisesti rikkomuksista ilmoittamisen ja tietosuojavastaavien suhteen.
ICO suosittelee, että paikallishallinnon johtajat ja ylimmät johtajat kiinnittävät erityistä huomiota siihen, miten he hallitsevat riskejä, tietoa ja henkilöstön koulutusta. Yhtä hyvin kuin:
On myös tärkeää olla tietoinen paikallishallinnon politiikan läpinäkyvyyttä ja tietojen julkistamista, salaa kumppaneille tai tietojen turvaamista.
Kuten yllä on käsitelty, tehokas tietoturvakoulutus tulee antaa kaikille henkilöstön jäsenille. Heidän tulee ymmärtää, kuinka tärkeää on varmistaa, että ulkopuolisille vastaanottajille lähetetään vain olennaista tietoa, ja ryhdyttävä toimiin varmistaakseen, että tiedot on vastaanotettu.
Tietovaltuutetun toimisto on laatinut luettelon kysymyksistä, joita johtajien ja ylimmän johdon tulisi kysyä itseltään Henkilötiedot.
Tämä on viittaus käyttötarkoituksen rajoittamisen periaatteeseen direktiivin 5 artiklassa GDPR, jossa todetaan, että "henkilötietojen tulee kerätä tiettyihin, nimenomaisiin ja laillisiin tarkoituksiin, eikä niitä saa käsitellä edelleen tavalla, joka on näiden tarkoitusten kanssa yhteensopimaton."
Jos tietojen käsittelyn uusi tai muuttunut tarkoitus on sama kuin alkuperäinen, uutta ei tarvitse etsiä laillinen peruste, ellei alkuperäisenä perusteena ollut suostumus. Kun harkitset uutta perustaa, sinun tulee varmistaa, että se on yleisen edun mukainen tai tieteelliseen tutkimukseen ja tilastollisiin tarkoituksiin.
Yhteystietojen ajantasaisuuden varmistaminen sekä suostumus voivat säästää aikaa ja rahaa, mikä vähentää vääriin osoitteisiin lähetettävien kirjeiden ja sähköpostien määrää, joka lähetetään henkilöille, jotka eivät ole kiinnostuneita uutisistasi tai palveluistasi.
- GDPR toteaa, että henkilötietoja kerättäessä, tulee antaa aikakehys, joka osoittaa, kuinka kauan aiot säilyttää sen.
- Yleinen tietosuojadirektiivi muuttaa vaatimuksia, jotka koskevat rikkomuksesta ilmoittamista tietovaltuutetun toimistoon. Rikkomuksesta on ilmoitettava 72 tunnin kuluessa siitä, kun organisaatio on saanut tiedon siitä. Jotta paikallishallinto voisi täyttää tämän vaatimuksen, selkeä tapahtumasuunnittelu on oltava paikallaan aluksi.
Mitä paikallishallinnon pitäisi siis kysyä itseltänsä?
Varmista, että kaikki ministeriön työntekijät ymmärtävät tietoturvaloukkauksen ja voivat tunnistaa sen kerran. Tämä koskee yhtä paljon työkulttuuria kuin koulutusmahdollisuutta. Johtajat an organisaation tulee näyttää esimerkkiä.
Laadi vastaussuunnitelma mahdollisten henkilötietojen tietoturvaloukkausten käsittelemiseksi ja varmista, että henkilökunta tietää, kuka vastuuhenkilö ilmoittaa rikkomuksista ICO:lle.
Luo prosessit sen arvioimiseksi, aiheuttaako rikkomus todennäköisesti a riski yksilön oikeuksiin ja vapauksiin, ICO:lle ilmoittaminen rikkomuksesta ja suunnitelma jatkuvasta parantamisesta.
Vähimmäishyväksyntäpisteet tulisi asettaa henkilöstön koulutukselle GDPR:n ja GDPR:n ympärillä tietosuoja. Tietyissä olosuhteissa, erikoistunut tietoturvakoulutus saattaa olla tarpeen. GDPR ehdottaa, että koulutus tulisi päivittää vuosittain.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan