Πολιτική παραβίασης δεδομένων

Εισαγωγή

Αυτή η Πολιτική και το Σχέδιο στοχεύουν να βοηθήσουν το Water2buy να διαχειριστεί αποτελεσματικά τις παραβιάσεις προσωπικών δεδομένων. Το Water2buy διατηρεί Προσωπικά Δεδομένα σχετικά με τους χρήστες, τους υπαλλήλους, τους πελάτες, τους προμηθευτές και άλλα άτομα για διάφορους επιχειρηματικούς σκοπούς.

Το Water2buy δεσμεύεται όχι μόνο στο γράμμα του νόμου αλλά και στο πνεύμα του νόμου και δίνει μεγάλη προτεραιότητα στη σωστή, νόμιμη και δίκαιη διαχείριση όλων των Προσωπικών Δεδομένων, σεβόμενη τα νόμιμα δικαιώματα, το απόρρητο και την εμπιστοσύνη όλων άτομα με τα οποία συναλλάσσεται.

Η παραβίαση δεδομένων αναφέρεται γενικά στη μη εξουσιοδοτημένη πρόσβαση και ανάκτηση πληροφοριών που μπορεί να περιλαμβάνουν εταιρικά ή/και προσωπικά δεδομένα. Οι παραβιάσεις δεδομένων αναγνωρίζονται γενικά ως μία από τις πιο δαπανηρές αποτυχίες ασφάλειας των οργανισμών. Θα μπορούσαν να οδηγήσουν σε οικονομικές απώλειες και να κάνουν τους καταναλωτές να χάσουν την εμπιστοσύνη τους στο Water2buy ή στους πελάτες μας.

Οι κανονισμοί στις διάφορες δικαιοδοσίες στις οποίες δραστηριοποιείται το Water2buy απαιτούν από το Water2buy να προβεί σε εύλογες ρυθμίσεις ασφαλείας για την προστασία των προσωπικών δεδομένων που κατέχουμε ή ελέγχουμε, για την αποτροπή μη εξουσιοδοτημένης πρόσβασης, συλλογής, χρήσης, αποκάλυψης ή παρόμοιων κινδύνων.

 

Πεδίο εφαρμογής

Αυτή η πολιτική ισχύει για όλο το προσωπικό. Πρέπει να είστε εξοικειωμένοι με αυτήν την πολιτική και να συμμορφώνεστε με τους όρους της. Αυτή η πολιτική συμπληρώνει τις άλλες πολιτικές μας σχετικά με τη χρήση διαδικτύου και ηλεκτρονικού ταχυδρομείου. Ενδέχεται να συμπληρώνουμε ή να τροποποιούμε αυτήν την πολιτική με πρόσθετες πολιτικές και οδηγίες κατά καιρούς. Οποιαδήποτε νέα ή τροποποιημένη πολιτική θα κοινοποιείται στο προσωπικό πριν υιοθετηθεί.

Εκπαίδευση

Όλο το προσωπικό θα λάβει εκπαίδευση σχετικά με αυτήν την πολιτική. Το νέο προσωπικό θα λάβει εκπαίδευση ως μέρος της διαδικασίας εισαγωγής. Περαιτέρω εκπαίδευση θα παρέχεται τουλάχιστον κάθε χρόνο ή όποτε υπάρχει ουσιαστική αλλαγή στο νόμο ή την πολιτική και τη διαδικασία μας.

Η εκπαίδευση παρέχεται μέσω ενός εσωτερικού σεμιναρίου και ηλεκτρονικής εκπαίδευσης σε ετήσια βάση και καλύπτει τους ισχύοντες νόμους σχετικά με την προστασία δεδομένων και την προστασία δεδομένων του Water2buy και τις σχετικές πολιτικές και διαδικασίες.

Η ολοκλήρωση της εκπαίδευσης είναι υποχρεωτική.

 

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΕΕ (ΕΕ) 2016/679 (GDPR)

 

Ο κανονισμός ισχύει επίσης για οργανισμούς που εδρεύουν εκτός της Ευρωπαϊκής Ένωσης εάν συλλέγουν ή επεξεργάζονται προσωπικά δεδομένα κατοίκων της ΕΕ.

 

Σύμφωνα με την Ευρωπαϊκή Επιτροπή, Προσωπικά Δεδομένα είναι: «κάθε πληροφορία που σχετίζεται με ένα άτομο, είτε σχετίζεται με την ιδιωτική, επαγγελματική ή δημόσια ζωή του/της. Μπορεί να είναι οτιδήποτε, από όνομα, διεύθυνση κατοικίας, φωτογραφία, διεύθυνση email, τραπεζικά στοιχεία, αναρτήσεις σε ιστότοπους κοινωνικής δικτύωσης, ιατρικές πληροφορίες ή διεύθυνση IP ενός υπολογιστή. "

 

Προσωπικά δεδομένα

Το Water2buy ορίζει τα Προσωπικά Δεδομένα ως τον ευρύτερο από τους ορισμούς που περιλαμβάνονται στον GDPR.

Το

Το Water2buy ορίζει τα ευαίσθητα προσωπικά δεδομένα ως τον ευρύτερο από τους ορισμούς που περιέχονται στον GDPR.

Οποιαδήποτε χρήση ευαίσθητων προσωπικών δεδομένων πρέπει να ελέγχεται αυστηρά σύμφωνα με την παρούσα πολιτική.

Ενώ ορισμένα δεδομένα σχετίζονται πάντα με ένα άτομο, άλλα δεδομένα ενδέχεται, από μόνα τους, να μην σχετίζονται με ένα άτομο. Τέτοια δεδομένα δεν θα συνιστούν Προσωπικά Δεδομένα, εκτός εάν συνδέονται με ένα συγκεκριμένο άτομο ή έχουν γίνει να σχετίζονται με αυτό.

Γενικές πληροφορίες που δεν σχετίζονται με ένα συγκεκριμένο άτομο μπορεί επίσης να αποτελούν μέρος των Προσωπικών Δεδομένων ενός ατόμου όταν συνδυάζονται με Προσωπικά Δεδομένα ή άλλες πληροφορίες που επιτρέπουν την αναγνώριση ενός ατόμου.

 

Τα συγκεντρωτικά δεδομένα δεν είναι Προσωπικά Δεδομένα.

Το Water2buy συλλέγει Προσωπικά Δεδομένα για δύο σκοπούς, για τον εντοπισμό και την προστασία των δεδομένων που μας δίνουν οι πελάτες μας και για εσωτερικές λειτουργίες.

Τα προσωπικά δεδομένα για την καθοδήγηση υγείας σχετίζονται με αναγνωρίσιμους μεμονωμένους χρήστες και μπορεί να περιλαμβάνουν:

  • Στοιχεία προφίλ χρήστη, όπως πλήρες όνομα, διεύθυνση, αριθμός κινητού τηλεφώνου και προσωπική διεύθυνση email;
  • Μηνύματα μεταξύ των χρηστών και της εξυπηρέτησης πελατών μας.

Προσωπικά δεδομένα που συλλέγουμε για εσωτερικούς επιχειρησιακούς σκοπούς σχετίζονται με αναγνωρίσιμα άτομα, όπως αιτούντες εργασία, νυν και πρώην εργαζόμενοι, συμβασιούχοι και λοιπό προσωπικό, πελάτες, προμηθευτές και επαφές μάρκετινγκ, και τα δεδομένα που συλλέγονται μπορεί να περιλαμβάνουν στοιχεία επικοινωνίας ατόμων, εκπαιδευτικά ιστορικό, οικονομικά στοιχεία και στοιχεία αμοιβής, λεπτομέρειες πιστοποιητικών και διπλωμάτων, εκπαίδευση και δεξιότητες, οικογενειακή κατάσταση, εθνικότητα, τίτλος εργασίας και βιογραφικό.

 

Αιτίες

Οι παραβιάσεις δεδομένων μπορεί να προκληθούν από υπαλλήλους, μέρη εκτός του οργανισμού ή σφάλματα συστήματος υπολογιστή.

 

Ανθρώπινο σφάλμα
Οι αιτίες του ανθρώπινου λάθους περιλαμβάνουν:

  • Απώλεια υπολογιστικών συσκευών (φορητών ή άλλων), συσκευών αποθήκευσης δεδομένων ή χάρτινων εγγραφών που περιέχουν προσωπικά δεδομένα
  • Αποκάλυψη δεδομένων σε λάθος παραλήπτη
  • Χειρισμός δεδομένων με μη εξουσιοδοτημένο τρόπο (π.χ. λήψη τοπικού αντιγράφου προσωπικών δεδομένων)
  • Μη εξουσιοδοτημένη πρόσβαση ή αποκάλυψη προσωπικών δεδομένων από υπαλλήλους (π.χ. κοινή χρήση σύνδεσης)
  • Ακατάλληλη απόρριψη προσωπικών δεδομένων (π.χ. σκληρός δίσκος, μέσα αποθήκευσης ή έντυπα έγγραφα που περιέχουν προσωπικά δεδομένα που πωλούνται ή απορρίπτονται πριν τα δεδομένα διαγραφούν σωστά)

 

Κακόβουλες δραστηριότητες
Κακόβουλες αιτίες περιλαμβάνουν:

  • Περιστατικά hacking / Παράνομη πρόσβαση σε βάσεις δεδομένων που περιέχουν προσωπικά δεδομένα
  • Χάκερ για πρόσβαση σε μη εξουσιοδοτημένα δεδομένα μέσω της εφαρμογής Coaching ή του API
  • Κλοπή υπολογιστικών συσκευών (φορητών ή άλλων), συσκευών αποθήκευσης δεδομένων ή χάρτινων εγγραφών που περιέχουν προσωπικά δεδομένα
  • Απάτες που ξεγελούν το προσωπικό του Water2buy ώστε να δημοσιοποιεί προσωπικά δεδομένα ατόμων

 

Σφάλμα συστήματος υπολογιστή
Αιτίες σφάλματος συστήματος υπολογιστή περιλαμβάνουν:

  • Σφάλματα ή σφάλματα στην εφαρμογή Water2buy' ή στο API
  • Αποτυχία των υπηρεσιών cloud, του υπολογιστικού νέφους ή των συστημάτων ασφαλείας / ελέγχου ταυτότητας / εξουσιοδότησης αποθήκευσης στο cloud

 

Αναφορά παραβάσεων

Όλα τα μέλη του προσωπικού έχουν την υποχρέωση να αναφέρουν πραγματικές ή πιθανές αποτυχίες συμμόρφωσης με την προστασία δεδομένων. Αυτό μας επιτρέπει:

  • Ερευνήστε την αποτυχία και λάβετε διορθωτικά μέτρα εάν είναι απαραίτητο
  • Διατηρήστε ένα μητρώο αποτυχιών συμμόρφωσης
  • Ειδοποιήστε την Εποπτική Αρχή για τυχόν αστοχίες συμμόρφωσης που είναι σημαντικές είτε από μόνες τους είτε ως μέρος ενός προτύπου αστοχιών

 

Σύμφωνα με τον GDPR, ο ΥΠΔ είναι νομικά υποχρεωμένος να ενημερώσει την Εποπτική Αρχή εντός 72 ωρών από την παραβίαση δεδομένων (άρθρο 33). Τα άτομα πρέπει να ειδοποιούνται εάν διαπιστωθεί δυσμενής επίπτωση (άρθρο 34). Επιπλέον, το Water2buy πρέπει να ειδοποιεί τους πελάτες που επηρεάζονται χωρίς αδικαιολόγητη καθυστέρηση αφού αντιληφθεί παραβίαση προσωπικών δεδομένων (άρθρο 33).

 

Ωστόσο, το Water2buy δεν χρειάζεται να ειδοποιεί τα υποκείμενα των δεδομένων εάν παραβιάζονται ανώνυμα δεδομένα. Συγκεκριμένα, η ειδοποίηση προς τα υποκείμενα των δεδομένων δεν απαιτείται εάν ο υπεύθυνος επεξεργασίας έχει εφαρμόσει τεχνικές ψευδο-ανωνυμοποίησης, όπως κρυπτογράφηση, καθώς και επαρκή τεχνικά και οργανωτικά μέτρα προστασίας των προσωπικών δεδομένων που επηρεάζονται από την παραβίαση δεδομένων (άρθρο 34).

 

Παραβίαση δεδομένων

Η Ομάδα Παραβίασης Δεδομένων θα πρέπει να ειδοποιηθεί αμέσως για οποιαδήποτε επιβεβαιωμένη ή ύποπτη παραβίαση δεδομένων.

Η ειδοποίηση θα πρέπει να περιλαμβάνει τις ακόλουθες πληροφορίες, όπου είναι διαθέσιμες:

  • Έκταση της παραβίασης δεδομένων
  • Είδος και όγκος εμπλεκόμενων προσωπικών δεδομένων
  • Αιτία ή ύποπτη αιτία της παραβίασης
  • Εάν η παραβίαση έχει διορθωθεί
  • Μέτρα και διαδικασίες που είχε θέσει σε εφαρμογή ο οργανισμός τη στιγμή της παραβίασης
  • Πληροφορίες σχετικά με το εάν τα άτομα που επηρεάστηκαν από την παραβίαση δεδομένων ειδοποιήθηκαν και εάν όχι, πότε ο οργανισμός σκοπεύει να το πράξει
  • Στοιχεία επικοινωνίας του προσωπικού του Water2buy με το οποίο μπορεί να επικοινωνήσει η εποπτική αρχή για περισσότερες πληροφορίες ή διευκρινίσεις

 

Όταν δεν είναι ακόμη διαθέσιμες συγκεκριμένες πληροφορίες σχετικά με την παραβίαση δεδομένων, το Water2buy θα πρέπει να στείλει μια ενδιάμεση ειδοποίηση που θα περιλαμβάνει μια σύντομη περιγραφή του συμβάντος.

Οι ειδοποιήσεις που γίνονται από οργανισμούς ή η έλλειψη ειδοποίησης, καθώς και το κατά πόσον οι οργανισμοί διαθέτουν επαρκείς διαδικασίες ανάκτησης, θα επηρεάσουν τις αποφάσεις των εποπτικών αρχών σχετικά με το εάν ένας οργανισμός προστατεύει εύλογα τα προσωπικά δεδομένα υπό τον έλεγχο ή την κατοχή του.

 

Απάντηση σε παραβίαση δεδομένων

 

ΣΧΕΔΙΟ ΔΙΑΧΕΙΡΙΣΗΣ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ

Μόλις ειδοποιηθεί για μια (ύποπτη ή επιβεβαιωμένη) παραβίαση δεδομένων, η Ομάδα Παραβίασης Δεδομένων θα πρέπει να ενεργοποιήσει αμέσως το σχέδιο παραβίασης δεδομένων και απόκρισης.

Το σχέδιο διαχείρισης και αντιμετώπισης παραβίασης δεδομένων του

Water2buy είναι:

  1. Επιβεβαιώστε την Παράβαση
  2. Διατηρήστε την παραβίαση
  3. Αξιολόγηση κινδύνων και επιπτώσεων
  4. Αναφέρετε το περιστατικό
  5. Αξιολογήστε την απόκριση και την ανάκτηση για την πρόληψη μελλοντικών παραβιάσεων

 

ΕΒΕΒΑΙΩΣΕ ΤΗΝ ΠΑΡΑΒΑΣΗ

Η Ομάδα Παραβίασης Δεδομένων (DBT) θα πρέπει να ενεργήσει αμέσως μόλις αντιληφθεί μια παραβίαση δεδομένων. Όπου είναι δυνατόν, θα πρέπει πρώτα να επιβεβαιώσει ότι έχει σημειωθεί παραβίαση δεδομένων. Μπορεί να έχει νόημα η DBT να προχωρήσει Contain the Breach με βάση μια μη επιβεβαιωμένη αναφερόμενη παραβίαση δεδομένων, ανάλογα με την πιθανότητα της σοβαρότητας του κινδύνου.

 

ΠΕΡΙΕΧΕ ΤΗΝ ΠΑΡΑΒΑΣΗ

Το DBT θα πρέπει να λάβει υπόψη τα ακόλουθα μέτρα για τον περιορισμό της παραβίασης, όπου ισχύει:

  • Τερματίστε το παραβιασμένο σύστημα που οδήγησε στην παραβίαση δεδομένων.
  • Διαπιστώστε εάν μπορούν να ληφθούν μέτρα για την ανάκτηση χαμένων δεδομένων και τον περιορισμό τυχόν ζημιών που προκαλούνται από την παραβίαση. (π.χ.: απομακρυσμένη απενεργοποίηση / σκούπισμα ενός χαμένου σημειωματάριου που περιέχει προσωπικά δεδομένα ατόμων. )
  • Αποτρέψτε περαιτέρω μη εξουσιοδοτημένη πρόσβαση στο σύστημα.
  • Επαναφέρετε τους κωδικούς πρόσβασης εάν οι λογαριασμοί και/ή οι κωδικοί πρόσβασης έχουν παραβιαστεί.
  • Απομονώστε τα αίτια της παραβίασης δεδομένων στο σύστημα και, όπου ισχύει, αλλάξτε τα δικαιώματα πρόσβασης στο παραβιασμένο σύστημα και καταργήστε τις εξωτερικές συνδέσεις στο σύστημα.

 

ΕΚΤΙΜΗΣΗ ΚΙΝΔΥΝΩΝ ΚΑΙ ΕΠΙΠΤΩΣΕΩΝ

Η γνώση των κινδύνων και των επιπτώσεων των παραβιάσεων δεδομένων θα βοηθήσει το Water2buy να προσδιορίσει εάν θα μπορούσαν να υπάρξουν σοβαρές συνέπειες στα επηρεαζόμενα άτομα, καθώς και τα απαραίτητα βήματα για την ειδοποίηση των ατόμων που επηρεάζονται.

 

Κίνδυνος και αντίκτυπος σε άτομα

  • Πόσα άτομα επηρεάστηκαν;
    Ένας υψηλότερος αριθμός μπορεί να μην σημαίνει υψηλότερο κίνδυνο, αλλά η αξιολόγηση αυτού βοηθά τη συνολική εκτίμηση κινδύνου.
  • Τίνος προσωπικά δεδομένα παραβιάστηκαν;
    Ανήκουν τα προσωπικά δεδομένα σε υπαλλήλους, πελάτες ή ανηλίκους; Διαφορετικά άτομα θα αντιμετωπίσουν διαφορετικά επίπεδα κινδύνου ως αποτέλεσμα της απώλειας προσωπικών δεδομένων.
  • Τι τύποι προσωπικών δεδομένων αφορούσαν;
    Αυτό θα βοηθήσει να εξακριβωθεί εάν υπάρχει κίνδυνος για τη φήμη, την κλοπή ταυτότητας, την ασφάλεια ή/και την οικονομική απώλεια των επηρεαζόμενων ατόμων.
  • Υπάρχουν πρόσθετα μέτρα για την ελαχιστοποίηση των επιπτώσεων μιας παραβίασης δεδομένων; π.χ.: μια χαμένη συσκευή που προστατεύεται από ισχυρό κωδικό πρόσβασης ή κρυπτογράφηση θα μπορούσε να μειώσει τον αντίκτυπο μιας παραβίασης δεδομένων.

 

Κίνδυνος και αντίκτυπος στους οργανισμούς

  • Τι προκάλεσε την παραβίαση δεδομένων;
    Προσδιορισμός του τρόπου με τον οποίο συνέβη η παραβίαση (μέσω κλοπής, ατυχήματος, μη εξουσιοδοτημένης πρόσβασης κ.λπ. ) θα βοηθήσει στον εντοπισμό των άμεσων μέτρων που πρέπει να ληφθούν για τον περιορισμό της παραβίασης και την αποκατάσταση της εμπιστοσύνης του κοινού σε ένα προϊόν ή μια υπηρεσία.
  • Πότε και πόσο συχνά συνέβη η παραβίαση;
    Η εξέταση αυτού θα βοηθήσει το Water2buy να κατανοήσει καλύτερα τη φύση της παραβίασης (π. σολ κακόβουλο ή τυχαίο).
  • Ποιος μπορεί να αποκτήσει πρόσβαση στα παραβιασμένα προσωπικά δεδομένα;
    Αυτό θα εξακριβώσει πώς θα μπορούσαν να χρησιμοποιηθούν τα παραβιασμένα δεδομένα. Ειδικότερα, τα επηρεαζόμενα άτομα πρέπει να ειδοποιούνται εάν τα προσωπικά δεδομένα αποκτηθούν από μη εξουσιοδοτημένο άτομο.
  • Θα επηρεάσουν τα παραβιασμένα δεδομένα τις συναλλαγές με άλλα τρίτα μέρη;
    Ο προσδιορισμός αυτού θα βοηθήσει στον εντοπισμό εάν χρειάζεται να ειδοποιηθούν άλλοι οργανισμοί.

 

ΑΝΑΦΟΡΑ ΤΟ ΠΕΡΙΣΤΑΤΙΚΟ

Το Water2buy είναι νομικά υποχρεωμένο να ειδοποιεί τα επηρεαζόμενα άτομα εάν τα προσωπικά τους δεδομένα έχουν παραβιαστεί. Αυτό θα ενθαρρύνει τα άτομα να λάβουν προληπτικά μέτρα για να μειώσουν τον αντίκτυπο της παραβίασης δεδομένων και επίσης θα βοηθήσει το Water2buy να αποκαταστήσει την εμπιστοσύνη των καταναλωτών.

Ποιος να ειδοποιηθεί:

  • Ειδοποιήστε τα άτομα των οποίων τα προσωπικά δεδομένα έχουν παραβιαστεί.
  • Ειδοποιήστε άλλα τρίτα μέρη, όπως τράπεζες, εταιρείες πιστωτικών καρτών ή την αστυνομία, κατά περίπτωση.
  • Ειδοποιήστε τον GDPR ειδικά εάν μια παραβίαση δεδομένων περιλαμβάνει ευαίσθητα προσωπικά δεδομένα.
  • Οι αρμόδιες αρχές (π.χ.: η αστυνομία) θα πρέπει να ειδοποιούνται εάν υπάρχει υπόνοια εγκληματικής δραστηριότητας και θα πρέπει να διατηρηθούν αποδεικτικά στοιχεία για έρευνα (π.χ.: εισβολή, κλοπή ή μη εξουσιοδοτημένη πρόσβαση στο σύστημα από έναν υπάλληλο. )

 

Πότε να ειδοποιηθεί:

  • Ειδοποιήστε αμέσως τα επηρεαζόμενα άτομα εάν μια παραβίαση δεδομένων περιλαμβάνει ευαίσθητα προσωπικά δεδομένα. Αυτό τους επιτρέπει να λάβουν έγκαιρα τις απαραίτητες ενέργειες για να αποφύγουν πιθανή κατάχρηση των παραβιασμένων δεδομένων.
  • Ειδοποιήστε τα επηρεαζόμενα άτομα όταν επιλυθεί η παραβίαση δεδομένων

 

Τρόπος ειδοποίησης:

  • Χρησιμοποιήστε τους πιο αποτελεσματικούς τρόπους για να προσεγγίσετε τα επηρεαζόμενα άτομα, λαμβάνοντας υπόψη τον επείγοντα χαρακτήρα της κατάστασης και τον αριθμό των ατόμων που επηρεάζονται (π. σολ ανακοινώσεις μέσων ενημέρωσης, μέσα κοινωνικής δικτύωσης, μηνύματα μέσω κινητού τηλεφώνου, SMS, e-mail, τηλεφωνικές κλήσεις).
  • Οι ειδοποιήσεις πρέπει να είναι απλές στην κατανόηση, συγκεκριμένες και να παρέχουν σαφείς οδηγίες σχετικά με το τι μπορούν να κάνουν τα άτομα για να προστατευθούν.

 

Τι να ειδοποιήσετε:

  • Πώς και πότε σημειώθηκε η παραβίαση δεδομένων και οι τύποι προσωπικών δεδομένων που εμπλέκονται στην παραβίαση δεδομένων.
  • Τι έχει κάνει ή θα κάνει το Water2buy ως απάντηση στους κινδύνους που επιφέρει η παραβίαση δεδομένων.
  • Συγκεκριμένα γεγονότα σχετικά με την παραβίαση δεδομένων, κατά περίπτωση, και ενέργειες που μπορούν να κάνουν τα άτομα για να αποτρέψουν την κακή χρήση ή κατάχρηση αυτών των δεδομένων.
  • Στοιχεία επικοινωνίας και πώς τα επηρεαζόμενα άτομα μπορούν να επικοινωνήσουν με τον οργανισμό για περαιτέρω πληροφορίες ή βοήθεια (π. σολ αριθμούς γραμμής βοήθειας, διευθύνσεις e-mail ή ιστότοπο).

 

ΑΞΙΟΛΟΓΗΣΤΕ ΤΗΝ ΑΠΑΝΤΗΣΗ ΚΑΙ ΤΗΝ ΑΝΑΚΤΗΣΗ ΓΙΑ ΤΗΝ ΠΡΟΛΗΨΗ ΜΕΛΛΟΝΤΙΚΩΝ ΠΑΡΑΒΙΑΣΕΩΝ

Μετά τη λήψη μέτρων για την επίλυση της παραβίασης δεδομένων, το Water2buy θα πρέπει να επανεξετάσει την αιτία της παραβίασης και να αξιολογήσει εάν τα υπάρχοντα μέτρα και διαδικασίες προστασίας και πρόληψης επαρκούν για την αποφυγή παρόμοιων παραβιάσεων και, όπου ισχύει, να σταματήσει τις πρακτικές που οδήγησε στην παραβίαση δεδομένων.

 

Ζητήματα που σχετίζονται με τη λειτουργία και την πολιτική:

  • Γίνονταν τακτικοί έλεγχοι τόσο σε φυσικά όσο και σε μέτρα ασφαλείας που σχετίζονται με την πληροφορική;
  • Υπάρχουν διαδικασίες που μπορούν να εξορθολογιστούν ή να εισαχθούν για να περιοριστεί η ζημιά εάν συμβούν μελλοντικές παραβιάσεις ή για να αποτραπεί μια υποτροπή;
  • Υπήρχαν αδυναμίες στα υπάρχοντα μέτρα ασφαλείας, όπως η χρήση απαρχαιωμένου λογισμικού και μέτρων προστασίας, ή αδυναμίες στη χρήση φορητών συσκευών αποθήκευσης, δικτύωσης ή σύνδεσης στο Διαδίκτυο;
  • Ήταν επαρκώς ασφαλείς οι μέθοδοι πρόσβασης και μετάδοσης προσωπικών δεδομένων, π.χ.: η πρόσβαση περιοριζόταν μόνο σε εξουσιοδοτημένο προσωπικό;
  • Θα πρέπει να βελτιωθούν οι υπηρεσίες υποστήριξης από εξωτερικούς φορείς, όπως προμηθευτές και συνεργάτες, για την καλύτερη προστασία των προσωπικών δεδομένων;
  • Ορίστηκαν σαφώς οι ευθύνες των προμηθευτών και των συνεργατών σε σχέση με τον χειρισμό των προσωπικών δεδομένων;
  • Υπάρχει ανάγκη να αναπτυχθούν νέα σενάρια παραβίασης δεδομένων;

Ζητήματα που σχετίζονται με τους πόρους:

  • Διατέθηκαν επαρκείς πόροι για τη διαχείριση της παραβίασης δεδομένων;
  • Θα πρέπει να χρησιμοποιηθούν εξωτερικοί πόροι για την καλύτερη διαχείριση τέτοιων περιστατικών;
  • Δόθηκαν στο βασικό προσωπικό επαρκείς πόροι για τη διαχείριση του συμβάντος;

 

Ζητήματα που σχετίζονται με τους υπαλλήλους:

  • Γνώριζαν οι υπάλληλοι θέματα σχετικά με την ασφάλεια;
  • Παρέχτηκε εκπαίδευση σε θέματα προστασίας προσωπικών δεδομένων και δεξιότητες διαχείρισης συμβάντων;
  • Ενημερώθηκαν οι υπάλληλοι για την παραβίαση δεδομένων και τα μαθησιακά σημεία από το συμβάν;

 

Ζητήματα που σχετίζονται με τη διαχείριση:

  • Πώς συμμετείχε η διοίκηση στη διαχείριση της παραβίασης δεδομένων;
  •  Υπήρχε σαφή γραμμή ευθύνης και επικοινωνίας κατά τη διαχείριση της παραβίασης δεδομένων;

 

Παρακολούθηση

Όλοι πρέπει να τηρούν αυτήν την πολιτική.

Συνέπειες της μη συμμόρφωσης

Λαμβάνουμε πολύ σοβαρά υπόψη τη συμμόρφωση με αυτήν την πολιτική. Η μη συμμόρφωση θέτει σε κίνδυνο τόσο εσάς όσο και τον οργανισμό.

Η σημασία αυτής της πολιτικής σημαίνει ότι η μη συμμόρφωση με οποιαδήποτε απαίτηση μπορεί να οδηγήσει σε πειθαρχικά μέτρα σύμφωνα με τις διαδικασίες μας, η οποία μπορεί να οδηγήσει σε απόλυση.