לפני כמעט שנה פרסם לשכת הממונה על המידע את ממצאיהם על אופן התנהלותם של מבחר רשויות מקומיות ניהול אירועים וסיכון מידע. עכשיו ה ICO עדכנה את הנחיות ה-GDPR שלהם לממשל המקומי, במיוחד סביב דיווח על הפרות ו-DPOs.
ה-ICO ממליץ למנהיגים ומנהלים בכירים בממשל המקומי לשים לב במיוחד לאופן בו הם ינהלו סיכונים, מידע והכשרת צוות. בנוסף ל:
זה גם חשוב להיות מודע של מדיניות השלטון המקומי סביב שקיפות ושחרור מידע לציבור, בחשאי לשותפים או לשמירה על אבטחת המידע.
כפי שניגע לעיל, הכשרה אפקטיבית לאבטחת מידע יש לתת לכל חברי הצוות. הם צריכים להבין את החשיבות של להבטיח שרק מידע רלוונטי יישלח לנמענים חיצוניים ולנקוט בצעדים כדי להבטיח שהמידע התקבל.
לשכת נציב המידע הפיקה רשימה של שאלות שעל מנהיגים ומנהלים בכירים לשאול את עצמם לגביהם מידע אישי.
זוהי התייחסות לעקרון הגבלת התכלית בסעיף 5 ל- GDPR שבו הוא קובע כי "נתונים אישיים יהיו להיאסף למטרות מוגדרות, מפורשות ולגיטימיות ולא לעבד עוד באופן שאינו תואם למטרות אלו".
אם המטרה החדשה או המשתנה לעיבוד נתונים זהה לזו המקורית, אין צורך לחפש מטרה חדשה בסיס חוקי, אלא אם כן הבסיס המקורי בו נעשה שימוש היה הסכמה. כאשר בוחנים בסיס חדש, עליך לוודא שהוא לטובת הציבור או למטרות מחקר מדעי וסטטיסטיות.
הקפדה על עדכון פרטי ההתקשרות, כמו גם הסכמה, יכולה לחסוך זמן וכסף, ולהפחית את מספר המכתבים הנשלחים לכתובות הלא נכונות והמיילים הנשלחים לאנשים שאינם מעוניינים בחדשות או בשירותים שלך.
השמיים GDPR קובע כי בעת איסוף נתונים אישיים, יש לספק מסגרת זמן שתציין כמה זמן אתה מתכנן לשמור אותו.
השמיים ומרגולצית הנתונים הכללית משנה את דרישות הדיווח על הפרה ללשכת נציב המידע. יש לדווח על הפרה תוך 72 שעות מרגע שהארגון נודע לה. כדי שהשלטון המקומי יוכל לעמוד בדרישה זו, תכנון אירוע ברור צריך להיות במקום מלכתחילה.
אז מה השלטון המקומי צריך לשאול את עצמו?
ודא שכל הצוות במשרד הממשלתי מסוגל להבין מהי פרצת נתונים ויכול לזהות פעם אחת. מדובר בתרבות עבודה באותה מידה שמדובר בהזדמנות הכשרה. המנהיגים בא הארגון צריך להוות דוגמה.
הכן תוכנית תגובה לטיפול בכל הפרת מידע אישי שמתעוררת והבטח שהצוות יודע מיהו האדם האחראי הוא לדיווח על הפרות ל-ICO.
צור תהליכים להערכת אם הפרה עשויה לגרום ל- הסיכון לזכויות ולחירויות של הפרט, הודעה ל-ICO על הפרה ותוכנית לשיפור מתמיד.
יש להגדיר ציוני מעבר מינימליים להכשרת הצוות סביב GDPR ו הגנה על נתונים. בנסיבות מסוימות, הכשרה מומחית לאבטחת מידע עשוי להידרש. ה-GDPR מציע שיש לרענן את ההכשרה מדי שנה.