Politica sulla violazione dei dati – Water2Buy – Water Filtration Made Easy

 

introduzione

Questa politica e piano mira ad aiutare Water2buy a gestire efficacemente le violazioni dei dati personali. Water2buy detiene i dati personali dei nostri utenti, dipendenti, clienti, fornitori e altri individui per una varietà di scopi aziendali.

Water2buy si impegna non solo alla lettera della legge, ma anche allo spirito della legge e attribuisce un grande valore al trattamento corretto, legale ed equo di tutti i Dati personali, rispettando i diritti legali, la privacy e la fiducia di tutte le persone con cui si tratta.

Una violazione dei dati si riferisce generalmente all’accesso e al recupero non autorizzati di informazioni che possono includere dati aziendali e / o personali. Le violazioni dei dati sono generalmente riconosciute come uno degli errori di sicurezza più costosi delle organizzazioni. Potrebbero portare a perdite finanziarie e far perdere la fiducia dei consumatori a Water2buy o ai nostri clienti.

Le normative nelle varie giurisdizioni in cui opera Water2buy richiedono che Water2buy prenda accordi di sicurezza ragionevoli per proteggere i dati personali che possediamo o controlliamo, per impedire l’accesso, la raccolta, l’uso, la divulgazione o rischi simili non autorizzati.

Scopo

Questa politica si applica a tutto il personale. Devi conoscere questa politica e rispettarne i termini. Questa politica integra le nostre altre politiche relative all’uso di Internet e della posta elettronica. Di tanto in tanto possiamo integrare o modificare questa politica con politiche e linee guida aggiuntive. Qualsiasi politica nuova o modificata verrà distribuita al personale prima di essere adottata.

Formazione

Tutto il personale riceverà una formazione su questa politica. Il nuovo personale riceverà una formazione come parte del processo di introduzione. Sarà fornita ulteriore formazione almeno ogni anno o ogniqualvolta si verificherà un cambiamento sostanziale nella legge o nella nostra politica e procedura.

La formazione viene fornita attraverso un seminario interno e una formazione online su base annuale e copre le leggi applicabili in materia di protezione dei dati, la protezione dei dati di Water2buy e le relative politiche e procedure.

Il completamento della formazione è obbligatorio.

REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI UE (UE) 2016/679 (GDPR)

Il regolamento si applica anche alle organizzazioni con sede al di fuori dell’Unione europea se raccolgono o elaborano dati personali di residenti nell’UE.

Secondo la Commissione europea, i dati personali sono: “qualsiasi informazione relativa a un individuo, che si riferisca alla sua vita privata, professionale o pubblica. Può essere qualsiasi cosa, da un nome, un indirizzo di casa, una foto, un indirizzo di posta elettronica , coordinate bancarie, post su siti Web di social network, informazioni mediche o indirizzo IP di un computer. ”

Dati personali

Water2buy definisce Dati personali come la più ampia delle definizioni contenute nel GDPR.

Water2buy definisce Dati personali sensibili come la più ampia delle definizioni contenute nel GDPR.

Qualsiasi utilizzo di dati personali sensibili deve essere strettamente controllato in conformità con questa politica.

Mentre alcuni dati si riferiranno sempre a un individuo, altri dati potrebbero non, da soli, riguardare un individuo. Tali dati non costituirebbero Dati personali a meno che non siano associati a, o messi in relazione a, un particolare individuo.

Le informazioni generiche che non si riferiscono a un particolare individuo possono anche far parte dei Dati personali di una persona se combinate con Dati personali o altre informazioni per consentire l’identificazione di una persona.

I dati aggregati non sono dati personali.

Water2buy raccoglie i dati personali per due scopi, per identificare e proteggere i dati forniti dai nostri clienti e per le operazioni interne.

I dati personali per il coaching sanitario si riferiscono a singoli utenti identificabili e possono includere:

  • Informazioni sul profilo utente come nome completo, indirizzo, numero di cellulare e indirizzo e-mail personale;
  • Messaggi tra gli utenti e il nostro servizio clienti.

I dati personali che raccogliamo per scopi operativi interni si riferiscono a persone identificabili come candidati di lavoro, dipendenti attuali ed ex, personale a contratto e altro, clienti, fornitori e contatti di marketing, ei dati raccolti possono includere i dettagli di contatto delle persone, il background formativo, e dettagli di pagamento, dettagli di certificati e diplomi, istruzione e competenze, stato civile, nazionalità, titolo di lavoro e CV.

Cause

Le violazioni dei dati possono essere causate da dipendenti, parti esterne all’organizzazione o errori del sistema informatico.

Errore umano
Le cause di errore umano includono:

  • Perdita di dispositivi informatici (portatili o di altro tipo), dispositivi di archiviazione dati o registrazioni cartacee contenenti dati personali
  • Divulgazione dei dati a un destinatario sbagliato
  • Gestione dei dati in modo non autorizzato (es: download di una copia locale dei dati personali)
  • Accesso non autorizzato o divulgazione di dati personali da parte dei dipendenti (ad esempio: condivisione di un login)
  • Smaltimento improprio dei dati personali (ad esempio: disco rigido, supporti di memorizzazione o documenti cartacei contenenti dati personali venduti o scartati prima che i dati vengano eliminati correttamente)

Attività dannose
Le cause dannose includono:

  • Incidenti di pirateria informatica / Accesso illegale a database contenenti dati personali
  • Hacking per accedere a dati non autorizzati tramite l’app Coaching o l’API
  • Furto di dispositivi informatici (portatili o meno), dispositivi di archiviazione dati o registrazioni cartacee contenenti dati personali
  • Truffe che inducono il personale di Water2buy a rilasciare dati personali di individui

Errore di sistema del computer
Le cause di errore del sistema del computer includono:

  • Errori o bug nell’applicazione Water2buy o nell’API
  • Guasto dei servizi cloud, cloud computing o sistemi di sicurezza / autenticazione / autorizzazione del cloud storage

Segnalazione di violazioni

Tutti i membri del personale hanno l’obbligo di segnalare gli errori di conformità della protezione dei dati effettivi o potenziali. Questo ci permette di:

  • Indagare sul guasto e adottare misure correttive, se necessario
  • Mantenere un registro degli errori di conformità
  • Notificare all’Autorità di Vigilanza qualsiasi inadempimento di conformità che sia rilevante di per sé o come parte di una serie di errori

Ai sensi del GDPR, il DPO è obbligato per legge a notificare all’Autorità di controllo entro 72 ore la violazione dei dati (articolo 33). Le persone devono essere informate se viene determinato un impatto negativo (articolo 34). Inoltre, Water2buy deve informare tutti i clienti interessati senza indebito ritardo dopo essere venuti a conoscenza di una violazione dei dati personali (articolo 33).

Tuttavia, Water2buy non è tenuta a notificare agli interessati se i dati resi anonimi vengono violati. In particolare, l’informativa agli interessati non è richiesta se il titolare del trattamento ha implementato tecniche di pseudo-anonimizzazione come la crittografia unitamente ad adeguate misure di protezione tecnica e organizzativa dei dati personali interessati dalla violazione dei dati (articolo 34).

Violazione dei dati

Il Team per la violazione dei dati deve essere immediatamente avvisato di qualsiasi violazione dei dati confermata o sospetta.

La notifica dovrebbe includere le seguenti informazioni, se disponibili:

  • Estensione della violazione dei dati
  • Tipo e volume dei dati personali coinvolti
  • Causa o sospetta causa della violazione
  • Se la violazione è stata corretta
  • Misure e processi che l’organizzazione aveva messo in atto al momento della violazione
  • Informazioni sull’eventualità che le persone interessate dalla violazione dei dati siano state informate e, in caso negativo, quando l’organizzazione intende farlo
  • Dati di contatto del personale di Water2buy con cui l’autorità di controllo può mettersi in contatto per ulteriori informazioni o chiarimenti

Laddove non siano ancora disponibili informazioni specifiche sulla violazione dei dati, Water2buy dovrebbe inviare una notifica provvisoria comprendente una breve descrizione dell’incidente.

Le notifiche fatte dalle organizzazioni o la mancanza di notifica, nonché se le organizzazioni hanno in atto adeguate procedure di recupero, influenzeranno la decisione o le decisioni delle autorità di supervisione sul fatto che un’organizzazione abbia ragionevolmente protetto i dati personali sotto il suo controllo o possesso.

Risposta a una violazione dei dati

PIANO DI GESTIONE DELLA VIOLAZIONE DEI DATI

Dopo essere stato informato di una violazione dei dati (sospetta o confermata), il Team per la violazione dei dati dovrebbe attivare immediatamente il piano di violazione e risposta dei dati.

Il piano di gestione e risposta alla violazione dei dati di Water2buy è:

  1. Conferma la violazione
  2. Contenere la violazione
  3. Valuta i rischi e l’impatto
  4. Segnala l’incidente
  5. Valutare la risposta e il recupero per prevenire future violazioni

CONFERMA LA VIOLAZIONE

Il Data Breach Team (DBT) dovrebbe agire non appena viene a conoscenza di una violazione dei dati. Ove possibile, dovrebbe prima confermare che si è verificata la violazione dei dati. Può avere senso che il DBT proceda al contenimento della violazione sulla base di una violazione dei dati segnalata non confermata, a seconda della probabilità della gravità del rischio.

CONTENERE LA VIOLAZIONE

Il DBT dovrebbe considerare le seguenti misure per contenere la violazione, ove applicabile:

  • Arrestare il sistema compromesso che ha portato alla violazione dei dati.
  • Stabilire se è possibile adottare misure per recuperare i dati persi e limitare i danni causati dalla violazione. (ad esempio: disabilitazione / cancellazione da remoto di un blocco note smarrito contenente dati personali di individui.)
  • Impedire ulteriori accessi non autorizzati al sistema.
  • Reimposta le password se gli account e / o le password sono stati compromessi.
  • Isolare le cause della violazione dei dati nel sistema e, ove applicabile, modificare i diritti di accesso al sistema compromesso e rimuovere le connessioni esterne al sistema.

VALUTARE RISCHI E IMPATTO

Conoscere i rischi e l’impatto delle violazioni dei dati aiuterà Water2buy a determinare se potrebbero esserci gravi conseguenze per le persone interessate, nonché i passaggi necessari per avvisare le persone interessate.

Rischio e impatto sugli individui

  • Quante persone sono state colpite?
    Un numero più alto potrebbe non significare un rischio più elevato, ma la valutazione di questo aiuta la valutazione complessiva del rischio.
  • Quali dati personali erano stati violati?
    I dati personali appartengono a dipendenti, clienti o minori? Persone diverse dovranno affrontare diversi livelli di rischio a causa della perdita di dati personali.
  • Quali tipi di dati personali sono stati coinvolti?
    Ciò aiuterà ad accertare se vi sono rischi per la reputazione, il furto di identità, la sicurezza e / o la perdita finanziaria delle persone colpite.
  • Sono previste misure aggiuntive per ridurre al minimo l’impatto di una violazione dei dati? ad esempio: un dispositivo smarrito protetto da una password complessa o da una crittografia potrebbe ridurre l’impatto di una violazione dei dati.

Rischio e impatto sulle organizzazioni

  • Cosa ha causato la violazione dei dati?
    Determinare come si è verificata la violazione (tramite furto, incidente, accesso non autorizzato, ecc.) Aiuterà a identificare le misure immediate da intraprendere per contenere la violazione e ripristinare la fiducia del pubblico in un prodotto o servizio.
  • Quando e con che frequenza si è verificata la violazione?
    Esaminarlo aiuterà Water2buy a comprendere meglio la natura della violazione (ad esempio dolosa o accidentale).
  • Chi potrebbe avere accesso ai dati personali compromessi?
    Ciò accerterà come potrebbero essere utilizzati i dati compromessi. In particolare, le persone interessate devono essere informate se i dati personali vengono acquisiti da una persona non autorizzata.
  • I dati compromessi influenzeranno le transazioni con altre terze parti?
    Determinare ciò aiuterà a identificare se altre organizzazioni devono essere informate.

SEGNALA L’INCIDENTE

Water2buy è legalmente tenuta a informare le persone interessate se i loro dati personali sono stati violati. Ciò incoraggerà le persone ad adottare misure preventive per ridurre l’impatto della violazione dei dati e aiuterà anche Water2buy a ricostruire la fiducia dei consumatori.

Chi notificare:

  • Informare le persone i cui dati personali sono stati compromessi.
  • Avvisare altre terze parti come banche, società di carte di credito o polizia, se del caso.
  • Avvisare il GDPR soprattutto se una violazione dei dati riguarda dati personali sensibili.
  • Le autorità competenti (ad esempio: polizia) dovrebbero essere informate se si sospetta un’attività criminale e devono essere conservate le prove per le indagini (ad esempio: pirateria informatica, furto o accesso non autorizzato al sistema da parte di un dipendente).

Quando notificare:

  • Avvisare immediatamente le persone interessate se una violazione dei dati riguarda dati personali sensibili. Ciò consente loro di intraprendere tempestivamente le azioni necessarie per evitare potenziali abusi dei dati compromessi.
  • Avvisare le persone interessate quando la violazione dei dati è stata risolta

Come notificare:

  • Utilizzare i modi più efficaci per raggiungere le persone colpite, tenendo in considerazione l’urgenza della situazione e il numero di individui colpiti (ad esempio comunicati stampa, social media, messaggistica mobile, SMS, e-mail, telefonate).
  • Le notifiche dovrebbero essere semplici da capire, specifiche e fornire istruzioni chiare su ciò che le persone possono fare per proteggersi.

Cosa notificare:

  • Come e quando si è verificata la violazione dei dati e i tipi di dati personali coinvolti nella violazione dei dati.
  • Cosa ha fatto o farà Water2buy in risposta ai rischi causati dalla violazione dei dati.
  • Fatti specifici sulla violazione dei dati, ove applicabile, e azioni che le persone possono intraprendere per impedire che i dati vengano utilizzati in modo improprio o abusivo.
  • Dettagli di contatto e come le persone interessate possono raggiungere l’organizzazione per ulteriori informazioni o assistenza (ad es. Numeri di assistenza telefonica, indirizzi e-mail o sito web).

VALUTARE LA RISPOSTA E IL RECUPERO PER PREVENIRE LE VIOLAZIONI FUTURE

Dopo che sono state intraprese le misure per risolvere la violazione dei dati, Water2buy dovrebbe esaminare la causa della violazione e valutare se le misure e i processi di protezione e prevenzione esistenti sono sufficienti per prevenire il verificarsi di violazioni simili e, ove applicabile, porre fine alle pratiche che hanno portato al violazione dei dati.

Problemi operativi e relativi alla politica:

  • Sono stati condotti regolarmente audit sulle misure di sicurezza sia fisiche che IT?
  • Esistono processi che possono essere semplificati o introdotti per limitare i danni in caso di future violazioni o per prevenire una ricaduta?
  • C’erano debolezze nelle misure di sicurezza esistenti come l’uso di software obsoleti e misure di protezione, o debolezze nell’uso di dispositivi di archiviazione portatili, reti o connettività a Internet?
  • Le modalità di accesso e trasmissione dei dati personali erano sufficientemente sicure, ad esempio: accesso limitato al solo personale autorizzato?
  • I servizi di supporto di soggetti esterni dovrebbero essere migliorati, come fornitori e partner, per proteggere meglio i dati personali?
  • Le responsabilità dei fornitori e dei partner erano chiaramente definite in relazione al trattamento dei dati personali?
  • È necessario sviluppare nuovi scenari di violazione dei dati?

Problemi relativi alle risorse:

  • Sono state assegnate risorse sufficienti per gestire la violazione dei dati?
  • Le risorse esterne dovrebbero essere coinvolte per gestire meglio tali incidenti?
  • Il personale chiave è stato dotato di risorse sufficienti per gestire l’incidente?

Problemi relativi ai dipendenti:

  • I dipendenti erano a conoscenza di problemi relativi alla sicurezza?
  • È stata fornita formazione in materia di protezione dei dati personali e capacità di gestione degli incidenti?
  • I dipendenti sono stati informati della violazione dei dati e dei punti di apprendimento dell’incidente?

Problemi relativi alla gestione:

  • Come è stato coinvolto il management nella gestione della violazione dei dati?
  • C’era una chiara linea di responsabilità e comunicazione durante la gestione della violazione dei dati?

Monitoraggio

Tutti devono osservare questa politica.

Conseguenze del mancato rispetto

Prendiamo molto sul serio il rispetto di questa politica. La mancata osservanza mette a rischio te e l’organizzazione.

L’importanza di questa politica significa che il mancato rispetto di qualsiasi requisito può portare ad azioni disciplinari ai sensi delle nostre procedure che possono comportare il licenziamento.