Il y a près d'un an, le Bureau du Commissaire à l'information a publié ses conclusions sur la manière dont certaines autorités locales ont mené leurs la gestion des incidents et le risque informationnel. Maintenant le ICO a mis à jour ses directives RGPD pour les collectivités locales, en particulier en ce qui concerne le signalement des violations et les DPO.
L'ICO recommande aux dirigeants et aux cadres supérieurs des collectivités locales d'accorder une attention particulière à la manière dont ils géreront les risques, l'information et la formation du personnel. Ainsi que:
Il est également important d'être conscients des politiques du gouvernement local en matière de transparence et de divulgation d'informations au public, secrètement à des partenaires ou pour assurer la sécurité des données.
Comme évoqué ci-dessus, formation efficace en sécurité de l'information doit être remis à tous les membres du personnel. Ils doivent comprendre l’importance de garantir que seules les informations pertinentes soient envoyées à des destinataires extérieurs et prendre des mesures pour garantir que les informations ont bien été reçues.
Le Commissariat à l'information a produit une liste de questions que les dirigeants et les cadres supérieurs devraient se poser concernant Des renseignements personnels.
Il s’agit d’une référence au principe de limitation des finalités énoncé à l’article 5 de la RGPD où il est précisé que « les données personnelles doivent être collectés pour des finalités déterminées, explicites et légitimes et ne pas être traités ultérieurement d’une manière incompatible avec ces finalités ».
Si la finalité nouvelle ou modifiée du traitement des données est la même que celle d'origine, il n'est pas nécessaire de rechercher une nouvelle finalité. base légale, à moins que le fondement initial utilisé soit le consentement. Lorsque vous envisagez une nouvelle base, vous devez vous assurer qu’elle est dans l’intérêt public ou qu’elle est destinée à la recherche scientifique et à des fins statistiques.
S'assurer que les coordonnées sont à jour, ainsi que le consentement, peut permettre d'économiser du temps et de l'argent, en réduisant le nombre de lettres envoyées à de mauvaises adresses et d'e-mails envoyés à des personnes qui ne sont pas intéressées par vos actualités ou vos services.
La Le RGPD stipule que lors de la collecte de données personnelles, un délai doit être fourni pour indiquer combien de temps vous prévoyez de le conserver.
La Règlement Général de Protection des Données modifie les exigences en matière de signalement d'une violation au Bureau du commissaire à l'information. Une violation doit être signalée dans les 72 heures suivant la prise de connaissance par l’organisation. Pour que les collectivités locales puissent répondre à cette exigence, planification claire des incidents doit être en place pour commencer.
Alors, que devraient se demander les autorités locales ?
Assurez-vous que tout le personnel du ministère est capable de comprendre ce qu’est une violation de données et peut l’identifier une fois. Il s’agit autant d’une culture de travail que d’une opportunité de formation. Les dirigeants d'un l’organisation devrait montrer l’exemple.
Préparez un plan d'intervention pour remédier à toute violation de données personnelles qui survient et assurez-vous que le personnel sait qui est l'auteur. la personne responsable est chargée de signaler les violations à l'OIC.
Créer des processus pour évaluer si une violation est susceptible d'entraîner une risque aux droits et libertés individuels, en informant l'ICO d'une violation et en un plan d'amélioration continue.
Des notes de passage minimales devraient être fixées pour la formation du personnel autour du RGPD et protection des données. Dans certaines circonstances, formation spécialisée en sécurité de l'information pourrait être nécessaire. Le RGPD suggère que la formation soit actualisée chaque année.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs