Tietojen rikkomista koskeva käytäntö

Esittely

Tämän käytännön ja suunnitelman tarkoituksena on auttaa Water2buyta hallitsemaan henkilötietoloukkauksia tehokkaasti. Water2buy säilyttää henkilötietoja käyttäjistämme, työntekijöistämme, asiakkaistamme, tavarantoimittajistamme ja muista henkilöistä erilaisia ​​liiketoiminnallisia tarkoituksia varten.

Water2buy on sitoutunut paitsi lain kirjaimeen myös lain henkeen ja asettaa korkealle arvolle kaikkien henkilötietojen oikeaa, laillista ja oikeudenmukaista käsittelyä kunnioittaen kaikkien laillisia oikeuksia, yksityisyyttä ja luottamusta. henkilöt, joiden kanssa se on tekemisissä.

Tietoturvaloukkauksella tarkoitetaan yleensä sellaisten tietojen luvatonta pääsyä ja hakua, jotka voivat sisältää yritys- ja/tai henkilötietoja. Tietoturvaloukkaukset tunnustetaan yleisesti yhdeksi kalliimmista organisaatioiden tietoturvahäiriöistä. Ne voivat johtaa taloudellisiin tappioihin ja saada kuluttajat menettämään luottamuksen Water2buyyn tai asiakkaisiimme.

Säännökset eri lainkäyttöalueilla, joilla Water2buy toimii, vaativat Water2buyta toteuttamaan kohtuulliset turvallisuusjärjestelyt hallussamme olevien tai hallitsemiemme henkilötietojen suojaamiseksi, jotta estetään luvaton pääsy, kerääminen, käyttö, paljastaminen tai vastaavat riskit.

 

Laajuus

Tämä käytäntö koskee koko henkilökuntaa. Sinun on tunnettava tämä käytäntö ja noudatettava sen ehtoja. Tämä käytäntö täydentää muita Internetin ja sähköpostin käyttöön liittyviä käytäntöjämme. Voimme ajoittain täydentää tai muuttaa tätä käytäntöä lisäkäytännöillä ja ohjeilla. Kaikki uudet tai muutetut käytännöt jaetaan henkilöstölle ennen niiden hyväksymistä.

Koulutus

Kaikki henkilökunta saavat koulutusta tästä käytännöstä. Uusi henkilöstö saa koulutusta osana perehdytysprosessia. Täydennyskoulutusta järjestetään vähintään joka vuosi tai aina, kun lakiin tai toimintatapoihimme tulee olennainen muutos.

Koulutus järjestetään vuosittain sisäisen seminaarin ja verkkokoulutuksen kautta, ja se kattaa sovellettavat tietosuojalait, Water2buyn tietosuoja ja niihin liittyvät käytännöt ja menettelyt.

Koulutuksen suorittaminen on pakollista.

 

EU:N YLEINEN TIETOSUOJA-ASETUS (EU) 2016/679 (GDPR)

 

Sääntely koskee myös Euroopan unionin ulkopuolella sijaitsevia organisaatioita, jos ne keräävät tai käsittelevät EU:n asukkaiden henkilötietoja.

 

Euroopan komission mukaan henkilötiedot ovat: "kaikki henkilöön liittyvät tiedot riippumatta siitä, liittyvätkö ne hänen yksityis-, työ- tai julkiseen elämäänsä. Se voi olla mitä tahansa nimi, kotiosoite, valokuva, sähköpostiosoite, pankkitiedot, julkaisut sosiaalisten verkostojen verkkosivustoilla, lääketieteellisiä tietoja tai tietokoneen IP-osoite. ”

 

Henkilötiedot

Water2buy määrittelee Henkilötiedot laajemmiksi GDPR:ssä olevista määritelmistä.

Water2buy määrittelee arkaluonteiset henkilötiedot laajemmiksi GDPR:n sisältämistä määritelmistä.

Kaikkia arkaluonteisten henkilötietojen käyttöä valvotaan tiukasti tämän käytännön mukaisesti.

Vaikka jotkin tiedot liittyvät aina yksittäiseen henkilöön, muut tiedot eivät välttämättä yksinään liity yksittäiseen henkilöön. Tällaiset tiedot eivät ole henkilötietoja, ellei niitä liitetä tiettyyn henkilöön tai ellei niitä ole tehty koskemaan tiettyä henkilöä.

Yleiset tiedot, jotka eivät liity tiettyyn henkilöön, voivat myös muodostaa osan henkilön henkilötietoja, kun ne yhdistetään henkilötietoihin tai muihin tietoihin, joiden avulla henkilö voidaan tunnistaa.

 

Kootut tiedot eivät ole henkilötietoja.

Water2buy kerää henkilötietoja kahteen tarkoitukseen: asiakkaiden meille antamien tietojen tunnistamiseen ja suojaamiseen sekä sisäisiin toimiin.

Terveysvalmennusta varten käytettävät henkilötiedot liittyvät tunnistettavissa oleviin yksittäisiin käyttäjiin ja voivat sisältää:

  • Käyttäjäprofiilitiedot, kuten koko nimi, osoite, matkapuhelinnumero ja henkilökohtainen sähköpostiosoite;
  • Käyttäjien ja asiakaspalvelumme väliset viestit.

Sisäisiä operatiivisia tarkoituksia varten keräämämme henkilötiedot liittyvät tunnistettavissa oleviin henkilöihin, kuten työnhakijoihin, nykyisiin ja entisiin työntekijöihin, sopimus- ja muuhun henkilöstöön, asiakkaisiin, toimittajiin ja markkinointikontakteihin, ja kerätyt tiedot voivat sisältää henkilöiden yhteystietoja, koulutusta. tausta, talous- ja palkkatiedot, tiedot todistuksista ja tutkinnoista, koulutus ja taidot, siviilisääty, kansalaisuus, tehtävänimike ja CV.

 

Syyt

Tietoturvaloukkaukset voivat johtua työntekijöistä, organisaation ulkopuolisista osapuolista tai tietokonejärjestelmän virheistä.

 

Ihmisvirhe
Ihmisvirheiden syitä ovat:

  • Tietokoneiden (kannettavien tai muiden), tallennuslaitteiden tai henkilökohtaisia ​​tietoja sisältävien paperitietueiden katoaminen
  • Tietojen paljastaminen väärälle vastaanottajalle
  • Tietojen käsittely luvatta (esim. henkilötiedoista paikallisen kopion lataaminen)
  • Työntekijän henkilötietojen luvaton käyttö tai luovuttaminen (esim. kirjautumistunnuksen jakaminen)
  • Henkilötietojen sopimaton hävittäminen (esim. kiintolevy, tallennusvälineet tai henkilötietoja sisältävät paperiasiakirjat myydään tai hävitetään ennen tietojen asianmukaista poistamista)

 

Haitalliset toimet
Haitallisia syitä ovat:

  • Hakkerointitapaukset / Laiton pääsy henkilötietoja sisältäviin tietokantoihin
  • Hakkerointi luvattomien tietojen käyttämiseksi Coaching-sovelluksen tai API:n kautta
  • Tietokoneiden (kannettavien tai muiden), tallennuslaitteiden tai henkilötietoja sisältävien paperitietueiden varkaus
  • Huijaukset, jotka huijaavat Water2buyn henkilökuntaa luovuttamaan henkilökohtaisia ​​tietoja

 

Tietokonejärjestelmävirhe
Tietokonejärjestelmävirheiden syitä ovat:

  • Virheet tai bugit Water2buy-sovelluksessa tai API:ssa
  • Pilvipalvelujen, pilvipalveluiden tai pilvitallennusten tietoturva-/todennus-/valtuutusjärjestelmien epäonnistuminen

 

Rikkomuksista ilmoittaminen

Kaikilla henkilöstön jäsenillä on velvollisuus ilmoittaa todellisista tai mahdollisista tietosuojan noudattamatta jättämisestä. Tämän avulla voimme:

  • Tutki vika ja ryhdy tarvittaessa korjaaviin toimiin
  • Ylläpidä rekisteriä yhteensopivuusvirheistä
  • Ilmoita valvontaviranomaiselle kaikista vaatimustenmukaisuusvirheistä, jotka ovat olennaisia ​​joko sinänsä tai osana virhemallia

 

GDPR:n mukaan tietosuojavastaava on laillisesti velvollinen ilmoittamaan valvontaviranomaiselle 72 tunnin kuluessa tietoturvaloukkauksesta (33 artikla). Yksityishenkilöille on ilmoitettava, jos haitallisia vaikutuksia havaitaan (34 artikla). Lisäksi Water2buyn on ilmoitettava asiasta kaikille asiakkaille ilman aiheetonta viivytystä saatuaan tietoonsa henkilötietojen tietoturvaloukkauksesta (Artikla 33).

 

Water2buyn ei kuitenkaan tarvitse ilmoittaa rekisteröidyille, jos anonymisoituja tietoja rikotaan. Ilmoitusta rekisteröidyille ei vaadita erityisesti, jos rekisterinpitäjä on ottanut käyttöön pseudoanonymisointitekniikoita, kuten salauksen, sekä riittäviä teknisiä ja organisatorisia suojatoimenpiteitä henkilötiedoille, joihin tietosuojaloukkaus vaikuttaa (34 artikla).

 

Tiedonmurto

Tietojen rikkomustiimille tulee välittömästi ilmoittaa kaikista vahvistetuista tai epäillyistä tietomurroista.

Ilmoituksen tulee sisältää seuraavat tiedot, jos ne ovat saatavilla:

  • Tietomurron laajuus
  • Käynnettyjen henkilötietojen tyyppi ja määrä
  • Rikkomuksen syy tai epäilty syy
  • Onko rikkomus korjattu
  • Toimenpiteet ja prosessit, jotka organisaatio oli ottanut käyttöön rikkomuksen aikaan
  • Tiedot siitä, onko tietoturvaloukkauksesta ilmoitettu henkilöille, joita asia koskee, ja jos ei, milloin organisaatio aikoo tehdä niin
  • Water2buyn henkilökunnan yhteystiedot, joihin valvontaviranomainen voi ottaa yhteyttä saadakseen lisätietoja tai selvennyksiä

 

Jos tarkkoja tietoja tietoturvaloukkauksesta ei ole vielä saatavilla, Water2buyn tulee lähettää väliaikainen ilmoitus, joka sisältää lyhyen kuvauksen tapahtumasta.

Organisaatioiden tekemät ilmoitukset tai ilmoittamatta jättäminen sekä se, onko organisaatioilla käytössä riittävät palautusmenettelyt, vaikuttavat valvontaviranomaisten päätöksiin siitä, onko organisaatio suojellut hallinnassaan tai hallussaan olevia henkilötietoja kohtuudella.

 

Reagointi tietoturvaloukkaukseen

 

TIETOJEN HALLINTASUUNNITELMA

Saatuaan ilmoituksen (epäillystä tai vahvistetusta) tietoturvaloukkauksesta Data Breach Teamin tulee välittömästi aktivoida tietomurto- ja vastaussuunnitelma.

Water2buyn tietomurtojen hallinta- ja reagointisuunnitelma on:

  1. Vahvista rikkomus
  2. Sisällytä rikkomus
  3. Arvioi riskit ja vaikutukset
  4. Ilmoita tapauksesta
  5. Arvioi vastaus ja palautuminen tulevien rikkomusten estämiseksi

 

VAHVISTA RIKKOMUS

Data Breach Teamin (DBT) tulee toimia heti, kun se on tietoinen tietoturvaloukkauksesta. Mikäli mahdollista, sen tulee ensin varmistaa, että tietoturvaloukkaus on tapahtunut. DBT:n voi olla järkevää jatkaa Sisällytä tietoturvaloukkaus vahvistamattoman ilmoitetun tietoturvaloukkauksen perusteella, riippuen riskin vakavuuden todennäköisyydestä.

 

SISÄLTÄÄ RIKKOMUKSEN

DBT:n tulee tarvittaessa harkita seuraavia toimenpiteitä rikkomuksen hillitsemiseksi:

  • Sulje tietomurtoon johtanut vaarantunut järjestelmä.
  • Määritä, voidaanko ryhtyä toimiin kadonneiden tietojen palauttamiseksi ja rikkomisen aiheuttamien vahinkojen rajoittamiseksi. (esim. henkilöiden henkilötietoja sisältävän kadonneen muistikirjan poistaminen käytöstä/pyyhkiminen etänä. )
  • Estä luvaton pääsy järjestelmään.
  • Palauta salasanat, jos tilit ja/tai salasanat ovat vaarantuneet.
  • Eristä järjestelmän tietomurron syyt ja tarvittaessa muuta vaarantuneen järjestelmän käyttöoikeuksia ja poista ulkoiset yhteydet järjestelmään.

 

ARVIOI RISKIT JA VAIKUTUKSET

Tietoturvaloukkausten riskien ja vaikutusten tunteminen auttaa Water2buyta selvittämään, voivatko niistä aiheutua vakavia seurauksia henkilöille, joita asia koskee, sekä toimenpiteitä, joita tarvitaan asianomaisille henkilöille ilmoittamiseksi.

 

Riski ja vaikutukset yksilöihin

  • Kuinka monta ihmistä sairastunut?
    Suurempi luku ei välttämättä tarkoita suurempaa riskiä, ​​mutta tämän arvioiminen auttaa yleistä riskinarviointia.
  • Kenen henkilötietoja on loukattu?
    Ovatko henkilötiedot työntekijöitä, asiakkaita vai alaikäisiä? Eri ihmiset kohtaavat erilaisia ​​riskejä henkilötietojen menettämisen seurauksena.
  • Minkätyyppiset henkilötiedot liittyvät?
    Tämä auttaa varmistamaan, onko kyseisten henkilöiden maineelle, identiteettivarkaudelle, turvallisuudelle ja/tai taloudelliselle menetykselle vaaraa.
  • Onko käytössä muita toimenpiteitä tietoturvaloukkauksen vaikutusten minimoimiseksi? esim.: vahvalla salasanalla tai salauksella suojattu kadonnut laite voi vähentää tietomurron vaikutuksia.

 

Riskit ja vaikutukset organisaatioihin

  • Mikä aiheutti tietoturvaloukkauksen?
    Määritä, miten tietoturvaloukkaus tapahtui (varkauden, onnettomuuden, luvattoman käytön jne. seurauksena. ) auttaa tunnistamaan välittömiä toimenpiteitä rikkomuksen hillitsemiseksi ja palauttamaan yleisön luottamuksen tuotteeseen tai palveluun.
  • Milloin ja kuinka usein rikkomus tapahtui?
    Tämän tutkiminen auttaa Water2buyta ymmärtämään paremmin rikkomuksen luonteen (esim. g ilkeä tai vahingossa).
  • Kuka voi päästä käsiksi vaarantuneisiin henkilötietoihin?
    Tämä varmistaa, kuinka vaarantuneita tietoja voidaan käyttää. Erityisesti niille, joita asia koskee, on ilmoitettava, jos henkilötietoja on saanut luvaton henkilö.
  • Vaikuttavatko vaarantuneet tiedot tapahtumiin muiden kolmansien osapuolten kanssa?
    Tämän määrittäminen auttaa tunnistamaan, onko muille organisaatioille ilmoitettava.

 

ILMOITTAA TAPAHTUMISTA

Water2buy on lain mukaan velvollinen ilmoittamaan asianomaisille henkilöille, jos heidän henkilötietojaan on loukattu. Tämä rohkaisee yksilöitä ryhtymään ennaltaehkäiseviin toimenpiteisiin tietomurron vaikutusten vähentämiseksi ja auttaa myös Water2buyta palauttamaan kuluttajien luottamuksen.

Kenelle ilmoitetaan:

  • Ilmoita henkilöille, joiden henkilötiedot ovat vaarantuneet.
  • Ilmoita tarvittaessa muille kolmansille osapuolille, kuten pankeille, luottokorttiyhtiöille tai poliisille.
  • Ilmoita GDPR erityisesti, jos tietoturvaloukkaus koskee arkaluonteisia henkilötietoja.
  • Asianomaisille viranomaisille (esim. poliisille) tulee ilmoittaa, jos rikollista toimintaa epäillään, ja todisteet tutkintaa varten on säilytettävä (esim. hakkerointi, varkaus tai työntekijän luvaton pääsy järjestelmään). )

 

Milloin ilmoittaa:

  • Ilmoita välittömästi asianomaisille henkilöille, jos tietoturvaloukkaukseen liittyy arkaluonteisia henkilötietoja. Näin he voivat ryhtyä tarvittaviin toimiin ajoissa välttääkseen vaarantuneiden tietojen mahdollisen väärinkäytön.
  • Ilmoita asianomaisille henkilöille, kun tietoturvaloukkaus on ratkaistu

 

Ilmoituksen tekeminen:

  • Käytä tehokkaimpia tapoja tavoittaa asianomaiset henkilöt ottaen huomioon tilanteen kiireellisyyden ja vaikutuspiirissä olevien henkilöiden määrän (esim. g mediatiedotteet, sosiaalinen media, mobiiliviestit, tekstiviestit, sähköpostit, puhelut).
  • Ilmoitusten tulee olla helposti ymmärrettäviä, tarkkoja ja niissä tulee antaa selkeät ohjeet siitä, mitä henkilöt voivat tehdä suojellakseen itseään.

 

Mitä ilmoittaa:

  • Miten ja milloin tietoturvaloukkaus tapahtui sekä tietoturvaloukkaukseen liittyvien henkilötietojen tyypit.
  • Mitä Water2buy on tehnyt tai aikoo tehdä vastatakseen tietomurron aiheuttamiin riskeihin.
  • Tietoja tietoturvaloukkauksesta soveltuvin osin ja toimenpiteet, joihin yksilöt voivat ryhtyä estääkseen tietojen väärinkäytön.
  • Yhteystiedot ja kuinka asianomaiset henkilöt voivat ottaa yhteyttä organisaatioon saadakseen lisätietoja tai apua (esim. g tukipuhelinnumerot, sähköpostiosoitteet tai verkkosivusto).

 

ARVIOI VASTUS JA PALAUTUS TULEVAT RIKKOJEN estämiseksi

Kun toimenpiteitä tietoturvaloukkauksen ratkaisemiseksi on toteutettu, Water2buyn tulee tarkistaa tietomurron syy ja arvioida, ovatko olemassa olevat suoja- ja ehkäisytoimenpiteet ja prosessit riittävät estämään vastaavia tietomurtoja, ja tarvittaessa lopetettava käytännöt, jotka johti tietomurtoon.

 

Toimintoihin ja käytäntöihin liittyvät kysymykset:

  • Onko fyysisiä ja tietotekniikkaan liittyviä turvatoimia tarkastettu säännöllisesti?
  • Onko olemassa prosesseja, joita voidaan virtaviivaistaa tai ottaa käyttöön vahingon rajoittamiseksi, jos vastaisuudessa tapahtuu rikkomuksia, tai estää uusiutuminen?
  • Onko olemassa olevissa turvatoimissa heikkouksia, kuten vanhentuneiden ohjelmistojen ja suojaustoimenpiteiden käyttö, tai heikkouksia kannettavien tallennuslaitteiden käytössä, verkoissa tai Internet-yhteydessä?
  • Ovatko henkilötietojen käyttö- ja siirtomenetelmät riittävän turvallisia, esim.: pääsy rajoitettiin vain valtuutetuille henkilöille?
  • Pitäisikö ulkopuolisten osapuolten, kuten myyjien ja kumppaneiden, tarjoamia tukipalveluja parantaa henkilötietojen suojaamiseksi?
  • Ovatko myyjien ja kumppanien vastuut selkeästi määriteltyjä henkilötietojen käsittelyssä?
  • Onko tarvetta kehittää uusia tietomurron skenaarioita?

Resursseihin liittyvät ongelmat:

  • Onko tietomurron hallintaan varattu riittävästi resursseja?
  • Pitäisikö ulkoisia resursseja käyttää tällaisten tapausten hallintaan?
  • Onko avainhenkilöille annettu riittävästi resursseja tapauksen hallintaan?

 

Työntekijään liittyvät ongelmat:

  • Ovatko työntekijät tietoisia turvallisuuteen liittyvistä ongelmista?
  • Onko järjestetty koulutusta henkilötietosuoja-asioista ja tapausten hallintataidoista?
  • Onko työntekijöille ilmoitettu tietomurrosta ja tapauksesta oppimispisteistä?

 

Hallinntoon liittyvät ongelmat:

  • Miten johto osallistui tietomurron hallintaan?
  •  Oliko tietoturvaloukkauksen hallinnassa selkeä vastuu ja viestintä?

 

Seuranta

Kaikkien on noudatettava tätä käytäntöä.

Seuraukset noudattamatta jättämisestä

Suhtaudumme tämän käytännön noudattamiseen erittäin vakavasti. Laiminlyönti asettaa sekä sinut että organisaation vaaraan.

Tämän käytännön tärkeys tarkoittaa, että minkä tahansa vaatimuksen noudattamatta jättäminen voi johtaa menettelyjemme mukaisiin kurinpitotoimiin, jotka voivat johtaa irtisanomiseen.