För snart ett år sedan publicerade informationskommissarie sina resultat om hur ett urval av lokala myndigheter skötte sina incidenthantering och informationsrisk. Nu den ICO har uppdaterat sin GDPR-vägledning för lokala myndigheter, särskilt kring rapportering av överträdelser och uppgiftsskyddsombud.
ICO rekommenderar att ledare och högre chefer i lokala myndigheter ägnar särskild uppmärksamhet åt hur de kommer att hantera risker, information och personalutbildning. Såväl som:
Det är också viktigt att vara medveten av den lokala regeringens policy kring transparens och att släppa information till allmänheten, i hemlighet till partners eller för att hålla data säker.
Som berörts ovan, effektiv informationssäkerhetsutbildning bör ges till alla anställda. De bör förstå vikten av att se till att endast relevant information skickas till externa mottagare och vidta åtgärder för att säkerställa att informationen har mottagits.
Informationskommissarie har tagit fram en lista med frågor som ledare och högre chefer bör ställa sig angående Personlig information.
Detta är en hänvisning till principen om ändamålsbegränsning i artikel 5 i den GDPR där det står att ”personuppgifter ska samlas in för specificerade, uttryckliga och legitima ändamål och inte vidarebehandlas på ett sätt som är oförenligt med dessa ändamål”.
Om det nya eller ändrade syftet med att behandla uppgifter är detsamma som det ursprungliga behöver du inte leta efter ett nytt laglig grund, om inte den ursprungliga grunden som användes var samtycke. När du överväger ett nytt underlag bör du se till att det är av allmänt intresse eller är avsett för vetenskaplig forskning och statistiska ändamål.
Att se till att kontaktuppgifter är uppdaterade, liksom samtycke, kan spara tid och pengar, minska antalet brev som skickas till fel adresser och e-postmeddelanden som skickas till personer som inte är intresserade av dina nyheter eller tjänster.
Smakämnen GDPR anger att vid insamling av personuppgifter, bör en tidsram anges för hur länge du planerar att behålla den.
Smakämnen Allmän uppgiftsskyddsförordning ändrar kraven på att anmäla en överträdelse till informationskommissarie. Ett intrång måste rapporteras inom 72 timmar efter att organisationen fått kännedom om det. För att kommunerna ska kunna uppfylla detta krav, tydlig incidentplanering måste finnas på plats till att börja med.
Så vad bör de lokala myndigheterna fråga sig?
Se till att all personal på regeringsavdelningen kan förstå vad ett dataintrång är och kan identifiera en gång. Det här handlar lika mycket om arbetskultur som om ett träningstillfälle. Ledarna i en organisationen bör föregå med gott exempel.
Förbered en åtgärdsplan för att åtgärda eventuella personuppgiftsintrång som uppstår och se till att personalen vet vem som är ansvarig person är för att rapportera överträdelser till ICO.
Skapa processer för att bedöma om en överträdelse sannolikt orsakar en Risken till individens rättigheter och friheter, meddela ICO om ett brott och en plan för ständiga förbättringar.
Minsta godkända betyg bör sättas för utbildning av personal kring GDPR och dataskydd. Under vissa omständigheter, specialistutbildning i informationssäkerhet kan behövas. GDPR föreslår att utbildningen ska uppdateras årligen.
En skräddarsydd praktisk session utifrån dina behov och mål