Duomenų pažeidimo politika

Įvadas

Šia politika ir planu siekiama padėti „Water2buy“ efektyviai valdyti asmens duomenų pažeidimus. Water2buy saugo asmeninius duomenis apie mūsų vartotojus, darbuotojus, klientus, tiekėjus ir kitus asmenis įvairiais verslo tikslais.

Water2buy yra įsipareigojęs ne tik laikytis įstatymo raidės, bet ir įstatymo dvasios ir daug dėmesio skiria teisingam, teisėtam ir sąžiningam visų asmens duomenų tvarkymui, gerbiant visų įstatymines teises, privatumą ir pasitikėjimą. asmenys, su kuriais ji prekiauja.

Duomenų pažeidimas paprastai reiškia neteisėtą prieigą prie informacijos, kuri gali apimti įmonės ir (arba) asmens duomenis, ir jos gavimą. Duomenų pažeidimai paprastai pripažįstami vienu iš brangesnių organizacijų saugumo gedimų. Dėl jų gali atsirasti finansinių nuostolių, o vartotojai prarasti pasitikėjimą Water2buy ar mūsų klientais.

Įvairių jurisdikcijų, kuriose veikia „Water2buy“, taisyklės reikalauja, kad „Water2buy“ imtųsi pagrįstų saugumo priemonių, kad apsaugotų mūsų turimus arba valdomus asmens duomenis, kad būtų užkirstas kelias neteisėtai prieigai, rinkimui, naudojimui, atskleidimui ar panašiai rizikai.

 

Taikymo sritis

Ši politika taikoma visiems darbuotojams. Turite būti susipažinę su šia politika ir laikytis jos sąlygų. Ši politika papildo kitas mūsų politikos nuostatas, susijusias su interneto ir el. pašto naudojimu. Retkarčiais galime papildyti arba pakeisti šią politiką įtraukdami papildomas taisykles ir gaires. Bet kokia nauja ar pakeista politika bus išplatinta darbuotojams prieš ją patvirtinant.

Mokymai

Visi darbuotojai bus apmokyti apie šią politiką. Nauji darbuotojai bus mokomi kaip įvadinio proceso dalis. Tolesni mokymai bus organizuojami bent kasmet arba kai bus iš esmės keičiami įstatymai arba mūsų politika ir tvarka.

Mokymai teikiami per vidinį seminarą ir internetinius mokymus kasmet. Jie apima taikomus teisės aktus, susijusius su duomenų apsauga, „Water2buy“ duomenų apsauga ir susijusia politika bei procedūromis.

Mokymus baigti privaloma.

 

ES BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS (ES) 2016/679 (BDAR)

 

Reglamentas taip pat taikomas organizacijoms, esančioms už Europos Sąjungos ribų, jei jos renka arba tvarko ES gyventojų asmens duomenis.

 

Pasak Europos Komisijos, asmens duomenys yra: „bet kokia informacija, susijusi su asmeniu, nesvarbu, ar ji susijusi su jo asmeniniu, profesiniu ar viešuoju gyvenimu. Tai gali būti bet kas: vardas, namų adresas, nuotrauka, el. pašto adresas, banko duomenys, įrašai socialinių tinklų svetainėse, medicininė informacija ar kompiuterio IP adresas. ”

 

Asmens duomenys

Water2buy Asmens duomenis apibrėžia kaip platesnį BDAR apibrėžimą.

Water2buy neskelbtinus asmens duomenis apibrėžia kaip platesnį BDAR apibrėžimą.

Bet koks jautrių asmens duomenų naudojimas turi būti griežtai kontroliuojamas pagal šią politiką.

Nors kai kurie duomenys visada bus susiję su asmeniu, kiti duomenys gali būti nesusiję su asmeniu. Tokie duomenys nebūtų laikomi Asmens duomenimis, nebent jie būtų susieti su konkrečiu asmeniu arba susiję su juo.

Bendroji informacija, nesusijusi su konkrečiu asmeniu, taip pat gali būti asmens asmens duomenų dalis, kai ji derinama su asmens duomenimis ar kita informacija, kad būtų galima identifikuoti asmenį.

 

Apibendrinti duomenys nėra asmens duomenys.

Water2buy Asmens duomenis renka dviem tikslais: identifikuoti ir apsaugoti mūsų klientų pateiktus duomenis ir vidaus operacijoms.

Asmeniniai duomenys, skirti sveikatos mokymui, yra susiję su identifikuojamais individualiais naudotojais ir gali apimti:

  • Naudotojo profilio informacija, pvz., visas vardas, adresas, mobiliojo telefono numeris ir asmeninis el. pašto adresas;
  • Pranešimai tarp vartotojų ir mūsų klientų aptarnavimo.

Asmens duomenys, kuriuos renkame vidaus veiklos tikslais, yra susiję su identifikuojamais asmenimis, pvz., kandidatais į darbą, esamais ir buvusiais darbuotojais, sutartiniais ir kitais darbuotojais, klientais, tiekėjais ir rinkodaros kontaktais, o renkami duomenys gali apimti asmenų kontaktinius duomenis, išsilavinimą. kilmė, finansiniai ir darbo užmokesčio duomenys, pažymėjimai ir diplomai, išsilavinimas ir įgūdžiai, šeiminė padėtis, pilietybė, pareigų pavadinimas ir CV.

 

Priežastys

Duomenų pažeidimus gali sukelti darbuotojai, organizacijai nepriklausančios šalys arba kompiuterių sistemos klaidos.

 

Žmogaus klaida
Žmogaus klaidų priežastys:

  • Skaičiavimo įrenginių (nešiojamųjų ar kitokių), duomenų saugojimo įrenginių arba popierinių įrašų, kuriuose yra asmens duomenų, praradimas
  • Duomenų atskleidimas netinkamam gavėjui
  • Duomenų tvarkymas neteisėtu būdu (pvz., atsisiunčiama vietinė asmens duomenų kopija)
  • Darbuotojų neteisėta prieiga prie asmens duomenų arba jų atskleidimas (pvz., bendrinimas prisijungimo vardu)
  • Netinkamas asmens duomenų naikinimas (pvz.: standusis diskas, laikmenos arba popieriniai dokumentai su asmens duomenimis buvo parduoti arba išmesti prieš tinkamai ištrinant duomenis)

 

Kenkėjiška veikla
Kenkėjiškos priežastys apima:

  • Įsilaužimo incidentai / Neteisėta prieiga prie duomenų bazių, kuriose yra asmens duomenų
  • Įsilaužimas norint pasiekti neteisėtus duomenis per Coaching App arba API
  • Skaičiavimo įrenginių (nešiojamųjų ar kitokių), duomenų saugojimo įrenginių arba popierinių įrašų, kuriuose yra asmens duomenų, vagystė
  • Aferos, kurios apgaudinėja „Water2buy“ darbuotojus, kad jie atskleistų asmenų asmens duomenis

 

Kompiuterio sistemos klaida
Kompiuterio sistemos klaidų priežastys:

  • Klaidos arba klaidos „Water2buy“ programoje arba API
  • Debesijos paslaugų, debesų kompiuterijos ar debesies saugyklos saugos / autentifikavimo / autorizacijos sistemų gedimas

 

Pranešimas apie pažeidimus

Visi darbuotojai privalo pranešti apie esamus arba galimus duomenų apsaugos pažeidimus. Tai leidžia mums:

  • Ištirkite gedimą ir, jei reikia, imkitės taisomųjų veiksmų
  • Tvarkyti atitikties trikčių registrą
  • Praneškite Priežiūros institucijai apie bet kokius atitikties pažeidimus, kurie yra reikšmingi savaime arba kaip klaidų modelio dalis

 

Pagal BDAR, duomenų apsaugos pareigūnas yra teisiškai įpareigotas pranešti Priežiūros institucijai per 72 valandas nuo duomenų saugumo pažeidimo (33 straipsnis). Asmenys turi būti informuoti, jei nustatomas neigiamas poveikis (34 straipsnis). Be to, „Water2buy“ privalo nedelsdama informuoti visus paveiktus klientus, sužinojusi apie asmens duomenų pažeidimą (33 straipsnis).

 

Tačiau „Water2buy“ neprivalo pranešti duomenų subjektams, jei pažeidžiami anoniminiai duomenys. Konkrečiai, įspėjimas duomenų subjektams neprivalomas, jei duomenų valdytojas įdiegė pseudoanonimizacijos būdus, pvz., šifravimą, taip pat tinkamas technines ir organizacines asmens duomenų apsaugos priemones, kurias paveikė duomenų pažeidimas (34 straipsnis).

 

Duomenų pažeidimas

Duomenų pažeidimo komanda turėtų būti nedelsiant įspėta apie bet kokį patvirtintą ar įtariamą duomenų pažeidimą.

Pranešime turėtų būti nurodyta ši informacija, jei įmanoma:

  • Duomenų pažeidimo mastas
  • Atitinkamų asmens duomenų tipas ir apimtis
  • Pažeidimo priežastis arba įtariama priežastis
  • Ar pažeidimas buvo ištaisytas
  • Priemonės ir procesai, kuriuos organizacija ėmėsi pažeidimo metu
  • Informacija apie tai, ar nukentėjusiems asmenims buvo pranešta apie duomenų pažeidimą, o jei ne, kada organizacija ketina tai padaryti
  • Water2buy darbuotojų, su kuriais priežiūros institucija gali susisiekti dėl papildomos informacijos ar paaiškinimų, kontaktiniai duomenys

 

Jei konkrečios informacijos apie duomenų pažeidimą dar nėra, „Water2buy“ turėtų išsiųsti tarpinį pranešimą, kuriame būtų trumpas įvykio aprašymas.

Organizacijų pateikiami pranešimai arba pranešimo nebuvimas, taip pat tai, ar organizacijos taiko tinkamas atkūrimo procedūras, turės įtakos priežiūros institucijų sprendimui (-ams), ar organizacija pagrįstai apsaugojo jos kontroliuojamus ar turimus asmens duomenis.

 

Reagavimas į duomenų pažeidimą

 

DUOMENŲ PAŽEIDIMO VALDYMO PLANAS

Duomenų pažeidimo komanda, gavusi pranešimą apie (įtariamą arba patvirtintą) duomenų pažeidimą, turėtų nedelsdama suaktyvinti duomenų pažeidimo ir reagavimo planą.

„Water2buy“ duomenų pažeidimo valdymo ir reagavimo planas yra:

  1. Patvirtinkite pažeidimą
  2. Sulaikyti pažeidimą
  3. Įvertinkite riziką ir poveikį
  4. Praneškite apie įvykį
  5. Įvertinkite atsaką ir susigrąžinimą, kad išvengtumėte būsimų pažeidimų

 

PATVIRTINK PAŽEIDIMĄ

Duomenų pažeidimo komanda (DBT) turėtų imtis veiksmų, kai tik sužino apie duomenų pažeidimą. Jei įmanoma, ji pirmiausia turėtų patvirtinti, kad duomenų pažeidimas įvyko. DBT gali būti prasminga tęsti Pažeidimą apriboti remiantis nepatvirtintu duomenų pažeidimu, apie kurį pranešta, atsižvelgiant į rizikos sunkumo tikimybę.

 

SURAŠYTI PAŽEIDIMĄ

DBT turėtų apsvarstyti šias priemones, kad būtų sustabdytas pažeidimas, jei taikoma:

  • Išjunkite pažeistą sistemą, dėl kurios buvo pažeisti duomenys.
  • Nustatykite, ar galima imtis veiksmų siekiant atkurti prarastus duomenis ir apriboti bet kokią pažeidimo padarytą žalą. (pvz.: nuotoliniu būdu išjungiamas/išvalomas pamestas sąsiuvinis su asmenų asmeniniais duomenimis. )
  • Užsaugokite nuo tolesnės neteisėtos prieigos prie sistemos.
  • Iš naujo nustatykite slaptažodžius, jei paskyros ir (arba) slaptažodžiai buvo pažeisti.
  • Išskirkite duomenų pažeidimo sistemoje priežastis ir, jei reikia, pakeiskite prieigos prie pažeistos sistemos teises ir pašalinkite išorinius sistemos ryšius.

 

Įvertinkite RIZIKĄ IR POVEIKĮ

Žinodama duomenų pažeidimų riziką ir poveikį, „Water2buy“ padės nustatyti, ar gali kilti rimtų pasekmių nukentėjusiems asmenims, taip pat imtis veiksmų, būtinų informuoti paveiktus asmenis.

 

Rizika ir poveikis asmenims

  • Kiek žmonių nukentėjo?
    Didesnis skaičius gali nereikšti didesnės rizikos, tačiau įvertinus tai padeda bendrai įvertinti riziką.
  • Kieno asmens duomenys buvo pažeisti?
    Ar asmens duomenys priklauso darbuotojams, klientams ar nepilnamečiams? Dėl asmens duomenų praradimo skirtingi žmonės susidurs su skirtingu rizikos lygiu.
  • Kokių tipų asmens duomenys buvo susiję?
    Tai padės išsiaiškinti, ar nekyla pavojus nukentėjusių asmenų reputacijai, tapatybės vagystei, saugumui ir (arba) finansiniams nuostoliams.
  • Ar yra kokių nors papildomų priemonių, kad būtų sumažintas duomenų pažeidimo poveikis? pvz.: pamestas įrenginys, apsaugotas stipriu slaptažodžiu arba šifravimu, gali sumažinti duomenų pažeidimo poveikį.

 

Rizika ir poveikis organizacijoms

  • Kas sukėlė duomenų pažeidimą?
    Nustatyti, kaip pažeidimas įvyko (dėl vagystės, nelaimingo atsitikimo, neteisėtos prieigos ir kt. ) padės nustatyti neatidėliotinus veiksmus, kurių reikia imtis siekiant sustabdyti pažeidimą ir atkurti visuomenės pasitikėjimą produktu ar paslauga.
  • Kada ir kaip dažnai įvyko pažeidimas?
    Išnagrinėję tai padės Water2buy geriau suprasti pažeidimo pobūdį (pvz., g piktybinis ar atsitiktinis).
  • Kas gali gauti prieigą prie pažeistų asmens duomenų?
    Tai padės nustatyti, kaip pažeisti duomenys gali būti naudojami. Visų pirma, nukentėjusiems asmenims turi būti pranešta, jei asmens duomenis gauna neįgaliotas asmuo.
  • Ar pažeisti duomenys turės įtakos sandoriams su kitomis trečiosiomis šalimis?
    Tai nustačius, bus lengviau nustatyti, ar reikia pranešti kitoms organizacijoms.

 

PRANEŠKITE APIE ĮVYKĮ

Water2buy yra teisiškai įpareigotas pranešti paveiktiems asmenims, jei jų asmens duomenys buvo pažeisti. Tai paskatins asmenis imtis prevencinių priemonių, kad sumažintų duomenų pažeidimo poveikį, taip pat padės „Water2buy“ atkurti vartotojų pasitikėjimą.

Kam pranešti:

  • Praneškite asmenis, kurių asmens duomenys buvo pažeisti.
  • Jei reikia, praneškite kitoms trečiosioms šalims, pvz., bankams, kredito kortelių įmonėms arba policijai.
  • Praneškite BDAR, ypač jei duomenų pažeidimas susijęs su neskelbtinais asmens duomenimis.
  • Jei įtariama nusikalstama veikla, reikia pranešti atitinkamoms institucijoms (pvz., policijai) ir išsaugoti įrodymus tyrimui (pvz., įsilaužimas, vagystė ar neteisėta darbuotojo prieiga prie sistemos). )

 

Kada pranešti:

  • Nedelsdami praneškite nukentėjusiems asmenims, jei duomenų saugumo pažeidimas susijęs su neskelbtinais asmens duomenimis. Tai leidžia jiems anksti imtis būtinų veiksmų, kad išvengtų galimo piktnaudžiavimo pažeistais duomenimis.
  • Praneškite paveiktiems asmenims, kai duomenų pažeidimas bus pašalintas

 

Kaip pranešti:

  • Naudokitės veiksmingiausiais būdais susisiekti su nukentėjusiais asmenimis, atsižvelgdami į situacijos skubumą ir paveiktų asmenų skaičių (pvz. g pranešimai žiniasklaidai, socialinė žiniasklaida, mobiliojo ryšio žinutės, SMS, el. laiškai, telefono skambučiai).
  • Pranešimai turėtų būti lengvai suprantami, konkretūs ir pateikti aiškias instrukcijas, ką asmenys gali padaryti, kad apsisaugotų.

 

Ką pranešti:

  • Kaip ir kada įvyko duomenų saugumo pažeidimas ir su duomenų saugumo pažeidimu susijusių asmens duomenų tipai.
  • Ką „Water2buy“ padarė arba darys reaguodamas į pavojų, kylantį dėl duomenų pažeidimo.
  • Konkretūs faktai apie duomenų saugumo pažeidimą, kai taikoma, ir veiksmai, kurių asmenys gali imtis, kad išvengtų piktnaudžiavimo tais duomenimis.
  • Kontaktinė informacija ir tai, kaip paveikti asmenys gali susisiekti su organizacija dėl papildomos informacijos ar pagalbos (pvz., g pagalbos linijos numeriai, el. pašto adresai arba svetainė).

 

Įvertinkite ATSAKYMĄ IR ATGAVIMĄ, KAD UŽSPRENDITE BUITES PAŽEIDIMUS

0 privedė prie duomenų saugumo pažeidimo.

 

Su veikla ir politika susijusios problemos:

  • Ar buvo reguliariai atliekami fizinių ir su IT susijusių saugumo priemonių auditai?
  • Ar yra procesų, kuriuos galima supaprastinti arba pradėti, kad būtų apribota žala, jei įvyktų būsimi pažeidimai, arba kad būtų išvengta atkryčio?
  • Ar buvo esamų saugos priemonių, pvz., pasenusios programinės įrangos ir apsaugos priemonių, arba nešiojamųjų saugojimo įrenginių, tinklų ar prisijungimo prie interneto trūkumų?
  • Ar prieigos prie asmens duomenų ir jų perdavimo būdai buvo pakankamai saugūs, pvz.: prieiga buvo apribota tik įgaliotiems darbuotojams?
  • Ar reikėtų patobulinti išorinių šalių, pvz., pardavėjų ir partnerių, palaikymo paslaugas, kad būtų geriau apsaugoti asmens duomenys?
  • Ar pardavėjų ir partnerių pareigos, susijusios su asmens duomenų tvarkymu, buvo aiškiai apibrėžtos?
  • Ar reikia kurti naujus duomenų pažeidimo scenarijus?

Su ištekliais susijusios problemos:

  • Ar buvo skirta pakankamai išteklių duomenų pažeidimui valdyti?
  • Ar reikėtų pasitelkti išorinius išteklius, kad tokie incidentai būtų geriau valdomi?
  • Ar pagrindiniams darbuotojams buvo suteikta pakankamai išteklių incidentui valdyti?

 

Su darbuotojais susijusios problemos:

  • Ar darbuotojai žinojo apie su saugumu susijusias problemas?
  • Ar buvo surengti mokymai apie asmens duomenų apsaugą ir incidentų valdymo įgūdžius?
  • Ar darbuotojai buvo informuoti apie duomenų pažeidimą ir apie incidento mokymosi taškus?

 

Su valdymu susijusios problemos:

  • Kaip vadovybė buvo įtraukta į duomenų saugumo pažeidimo valdymą?
  •  Ar tvarkant duomenų pažeidimą buvo aiškiai nustatyta atsakomybė ir bendravimas?

 

Stebėjimas

Kiekvienas privalo laikytis šios politikos.

Nesilaikymo pasekmės

Labai rimtai žiūrime į šios politikos laikymąsi. Jei nesilaikysite reikalavimų, kyla pavojus ir jums, ir organizacijai.

Šios politikos svarba reiškia, kad nesilaikant bet kokių reikalavimų, pagal mūsų procedūras gali būti taikomos drausminės nuobaudos, dėl kurių gali būti atleistas.