Byna 'n jaar gelede het die Inligtingskommissaris se kantoor hul bevindinge gepubliseer oor hoe 'n seleksie van plaaslike owerhede hul voorvalbestuur en inligtingsrisiko. Nou die ICO het hul GDPR-riglyne opgedateer vir plaaslike regering, veral rondom oortredingsaanmelding en DPO's.
Die ICO beveel aan dat leiers en senior bestuurders in plaaslike regering veral aandag gee aan hoe hulle risiko, inligting en personeelopleiding sal bestuur. Sowel as:
Dit is ook belangrik om te wees bewus van die plaaslike regering se beleid rondom deursigtigheid en die vrystelling van inligting aan die publiek, in die geheim aan vennote, of om data veilig te hou.
Soos hierbo aangeraak, effektiewe inligtingsekuriteitsopleiding moet aan alle personeellede gegee word. Hulle moet die belangrikheid verstaan om te verseker dat slegs relevante inligting aan eksterne ontvangers gestuur word en stappe neem om te verseker dat die inligting ontvang is.
Die Inligtingskommissaris se kantoor het 'n lys vrae saamgestel waaroor leiers en senior bestuurders hulself moet afvra persoonlike inligting.
Dit is 'n verwysing na die doelbeperkingsbeginsel in Artikel 5 van die GDPR waar dit verklaar dat "persoonlike data sal vir gespesifiseerde, eksplisiete en wettige doeleindes ingesamel word en nie verder verwerk word op 'n wyse wat onversoenbaar is met daardie doeleindes nie."
As die nuwe of veranderde doel vir die verwerking van data dieselfde is as die oorspronklike een, is dit nie nodig om na 'n nuwe te soek nie wettige grondslag, tensy die oorspronklike basis wat gebruik is toestemming was. Wanneer jy 'n nuwe basis oorweeg, moet jy verseker dat dit in die openbare belang is of vir wetenskaplike navorsing en statistiese doeleindes is.
Om seker te maak kontakbesonderhede is op datum, sowel as toestemming, kan tyd en geld bespaar, en verminder die aantal briewe wat na die verkeerde adresse gestuur word en e-posse wat gestuur word aan individue wat nie in jou nuus of dienste belangstel nie.
Die GDPR bepaal dat wanneer persoonlike data ingesamel word, moet 'n tydraamwerk verskaf word om aan te dui hoe lank jy beplan om dit te behou.
Die Regulasie Algemene Data Protection verander die vereistes om 'n oortreding aan die Inligtingskommissaris se kantoor aan te meld. 'n Oortreding moet aangemeld word binne 72 uur nadat die organisasie daarvan bewus geword het. Vir plaaslike regering om aan hierdie vereiste te kan voldoen, duidelike voorvalbeplanning moet in plek wees om mee te begin.
So wat moet plaaslike regering hulself afvra?
Maak seker dat alle personeel in die staatsdepartement in staat is om te verstaan wat 'n data-oortreding is en een keer kan identifiseer. Dit gaan net soveel oor werkkultuur as wat dit 'n opleidingsgeleentheid is. Die leiers in 'n organisasie moet lei deur voorbeeld.
Berei 'n reaksieplan voor om enige persoonlike data-oortredings wat ontstaan aan te spreek en verseker dat personeel weet wie die verantwoordelike persoon is om oortredings aan te meld aan die ICO.
Skep prosesse om te bepaal of 'n oortreding waarskynlik 'n risiko tot individu se regte en vryhede, die ICO in kennis te stel van 'n oortreding, en 'n plan vir voortdurende verbetering.
Minimum slaagpunte moet gestel word vir die opleiding van personeel rondom GDPR en die beskerming van data. In sekere omstandighede, spesialis inligtingsekuriteitsopleiding dalk vereis word. Die GDPR stel voor dat opleiding jaarliks opgeknap moet word.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte