Duomenų pažeidimo politika

Įvadas

Šia politika ir planu siekiama padėti „Water2buy“ veiksmingai valdyti asmens duomenų pažeidimus. „Water2buy“ saugo asmens duomenis apie mūsų vartotojus, darbuotojus, klientus, tiekėjus ir kitus asmenis įvairiais verslo tikslais.

„Water2buy“ yra įsipareigojusi laikytis ne tik įstatymo raidės, bet ir įstatymo dvasios, o už teisingą, teisėtą ir sąžiningą visų asmens duomenų tvarkymą, atsižvelgiant į visų asmenų, su kuriais teisėtai, teisėtai, privatiai ir pasitikima, didelę premiją. ji užsiima.

Duomenų pažeidimas paprastai reiškia neteisėtą prieigą ir informacijos, kuri gali apimti korporacinius ir (arba) asmens duomenis, paiešką. Duomenų pažeidimai paprastai pripažįstami kaip viena brangesnių organizacijų saugumo gedimų. Tai gali sukelti finansinių nuostolių ir sukelti vartotojų prarastą pasitikėjimą „Water2buy“ ar mūsų klientais.

Įvairių jurisdikcijų, kuriose veikia „Water2buy“, taisyklės reikalauja, kad „Water2buy“ imtųsi pagrįstų saugumo priemonių, kad apsaugotų mūsų turimus ar kontroliuojamus asmens duomenis, kad būtų išvengta neteisėtos prieigos, rinkimo, naudojimo, atskleidimo ar panašios rizikos.

Taikymo sritis

Ši politika taikoma visam personalui. Turite būti susipažinę su šia politika ir laikytis jos sąlygų. Ši politika papildo kitas mūsų politikos nuostatas, susijusias su interneto ir el. Pašto naudojimu. Mes galime kartkartėmis papildyti ar pakeisti šią politiką papildoma politika ir gairėmis. Prieš priimant naują ar pakeistą politiką, darbuotojai bus išplatinti.

Mokymai

Visi darbuotojai bus apmokyti šios politikos. Nauji darbuotojai bus apmokyti kaip įvadinio proceso dalis. Tolesni mokymai bus teikiami bent kasmet arba kai iš esmės pasikeičia įstatymai, mūsų politika ir tvarka.

Mokymai organizuojami kasmetinių seminarų ir internetinių mokymų metu. Jie apima galiojančius įstatymus, susijusius su duomenų apsauga, „Water2buy“ duomenų apsauga ir susijusia politika bei procedūromis.

Mokymai yra privalomi.

ES BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS (ES) 2016/679 (GDPR)

Reglamentas taip pat taikomas organizacijoms, įsikūrusioms už Europos Sąjungos ribų, jei jos renka ar tvarko ES gyventojų asmens duomenis.

Europos Komisijos teigimu, asmens duomenys yra: „bet kokia su asmeniu susijusi informacija, nesvarbu, ar ji susijusi su jo asmeniniu, profesiniu ar viešuoju gyvenimu. Tai gali būti bet kokia informacija nuo vardo, namų adreso, nuotraukos, el. Pašto adreso. , banko duomenis, įrašus socialinių tinklų svetainėse, medicininę informaciją ar kompiuterio IP adresą. “

Asmeniniai duomenys

„Water2buy“ asmens duomenis apibrėžia kaip platesnius apibrėžimus, pateiktus GDPR.

„Water2buy“ neskelbtinus asmens duomenis apibrėžia kaip platesnius apibrėžimus, pateiktus GDPR.

Bet koks slaptų asmens duomenų naudojimas turi būti griežtai kontroliuojamas pagal šią politiką.

Nors kai kurie duomenys visada bus susiję su asmeniu, kiti duomenys gali būti nesusiję su asmeniu. Tokie duomenys nebūtų asmeniniai duomenys, nebent jie būtų susieti su konkrečiu asmeniu arba būtų susiję su juo.

Bendroji informacija, nesusijusi su konkrečiu asmeniu, taip pat gali būti asmens asmens duomenų dalis kartu su asmens duomenimis ar kita informacija, leidžiančia identifikuoti asmenį.

Apibendrinti duomenys nėra Asmens duomenys.

„Water2buy“ renka asmens duomenis dviem tikslais, siekiant nustatyti ir apsaugoti mūsų klientų pateiktus duomenis bei vidaus operacijas.

Asmens duomenys sveikatos priežiūros srityje yra susiję su atskirais vartotojais, kuriuos galima nustatyti, ir gali apimti:

Vartotojo profilio informacija, tokia kaip vardas, pavardė, adresas, mobiliojo telefono numeris ir asmeninis el. Pašto adresas;
Pranešimai tarp vartotojų ir mūsų klientų aptarnavimo.

Asmens duomenys, kuriuos renkame vidaus operaciniais tikslais, yra susiję su asmenimis, kuriuos galima identifikuoti, tokiais kaip pareiškėjai, dabartiniai ir buvę darbuotojai, sutartininkai ir kiti darbuotojai, klientai, tiekėjai ir rinkodaros kontaktai, o surinkti duomenys gali apimti asmenų kontaktinius duomenis, išsilavinimą, finansinius duomenis ir išsami informacija apie apmokėjimą, išsami informacija apie pažymėjimus ir diplomus, išsilavinimas ir įgūdžiai, šeiminė padėtis, tautybė, pareigos ir CV.

Priežastys

Duomenų pažeidimus gali sukelti darbuotojai, organizacijos nepriklausantys asmenys arba kompiuterių sistemos klaidos.

Žmogiška klaida
Žmogaus klaidos priežastys:

Kompiuterinių įrenginių (nešiojamųjų ar kitokių), duomenų saugojimo įrenginių ar popierinių įrašų, kuriuose yra asmens duomenų, praradimas
Duomenų atskleidimas netinkamam gavėjui
Duomenų tvarkymas neteisėtai (pvz .: atsisiųskite vietinę asmens duomenų kopiją)
Neteisėta darbuotojų prieiga prie asmens duomenų ar jų atskleidimas (pvz .: bendrinimas prisijungimo vardu)
Netinkamas asmens duomenų sunaikinimas (pvz .: standusis diskas, laikmenos ar popieriniai dokumentai su asmens duomenimis, parduoti ar išmesti prieš tinkamai ištrinant duomenis)

Kenkėjiška veikla
Kenkėjiškos priežastys:

Įsilaužimai / neteisėta prieiga prie duomenų bazių, kuriose yra asmens duomenų
Įsilaužimas, norint pasiekti neleistinus duomenis per „Coaching“ programą arba API
Kompiuterinių įrenginių (nešiojamų ar kitokių), duomenų saugojimo įrenginių ar popierinių įrašų, kuriuose yra asmens duomenys, vagystės
Aferos, kurios apgauna „Water2buy“ darbuotojus atskleidžiant asmenų asmens duomenis

Kompiuterio sistemos klaida
Kompiuterio sistemos klaidos priežastys:

Klaidos ar klaidos „Water2buy“ programoje arba API
Debesies paslaugų, debesų kompiuterijos ar debesies saugyklos saugos / autentifikavimo / įgaliojimo sistemų gedimas

Pranešimas apie pažeidimus

Visi darbuotojai privalo pranešti apie faktinius ar galimus duomenų apsaugos pažeidimus. Tai leidžia mums:

Ištirkite gedimą ir prireikus atlikite taisomuosius veiksmus
Tvarkyti atitikties gedimų registrą
Pranešti priežiūros institucijai apie visus atitikties gedimus, kurie yra reikšmingi atskirai arba yra gedimų modelio dalis

Pagal GDPR duomenų apsaugos pareigūnas yra teisiškai įpareigotas per 72 valandas pranešti priežiūros institucijai apie duomenų pažeidimą (33 straipsnis). Asmenims turi būti pranešta, jei nustatomas neigiamas poveikis (34 straipsnis). Be to, sužinojusi apie asmens duomenų pažeidimą, „Water2buy“ privalo nepagrįstai nedelsdama pranešti visiems nukentėjusiems klientams (33 straipsnis).

Tačiau „Water2buy“ neprivalo pranešti duomenų subjektams, jei anonimizuoti duomenys buvo pažeisti. Tiksliau, neprivaloma pranešti duomenų subjektams, jei duomenų valdytojas įgyvendino pseudoanonimizavimo metodus, pvz., Šifravimą, kartu su tinkamomis techninėmis ir organizacinėmis asmens duomenų, kuriuos paveikė duomenų pažeidimas, apsaugos priemonėmis (34 straipsnis).

Duomenų pažeidimas

Duomenų pažeidimo komanda turėtų būti nedelsiant įspėta apie visus patvirtintus ar įtariamus duomenų pažeidimus.

Pranešime turėtų būti ši informacija, jei ji yra:

Duomenų pažeidimo mastas
Asmens duomenų tipas ir apimtis
Pažeidimo priežastis arba įtariama priežastis
Ar pažeidimas buvo ištaisytas
Priemonės ir procesai, kuriuos organizacija įdiegė pažeidimo metu
Informacija apie tai, ar nukentėjusiems asmenims buvo pranešta apie duomenų pažeidimą, o jei ne, kada organizacija ketina tai padaryti
Kontaktiniai „Water2buy“ darbuotojų duomenys, su kuriais priežiūros institucija gali susisiekti, kad gautų papildomos informacijos ar paaiškinimų

Jei konkrečios informacijos apie duomenų pažeidimą dar nėra, „Water2buy“ turėtų siųsti tarpinį pranešimą, kuriame būtų trumpas įvykio aprašymas.

Organizacijų pranešimai arba pranešimų nebuvimas, taip pat tai, ar organizacijos taiko tinkamas atkūrimo procedūras, turės įtakos priežiūros institucijų sprendimui (-ams), ar organizacija pagrįstai apsaugojo savo kontroliuojamus ar turimus asmens duomenis.

Atsakymas į duomenų pažeidimą

DUOMENŲ PAŽEIDIMŲ VALDYMO PLANAS

Gavusi pranešimą apie (įtariamą ar patvirtintą) duomenų pažeidimą, duomenų pažeidimo komanda turėtų nedelsdama suaktyvinti duomenų pažeidimo ir reagavimo planą.

„Water2buy“ duomenų pažeidimų valdymo ir reagavimo planas yra:

Patvirtinkite pažeidimą
Turi pažeidimą
Įvertinkite riziką ir poveikį
Pranešti apie incidentą
Įvertinkite reagavimą ir atkūrimą, kad išvengtumėte būsimų pažeidimų

PATVIRTINTI PAŽEIDIMĄ

Duomenų pažeidimo komanda (DBT) turėtų imtis veiksmų, kai tik sužino apie duomenų pažeidimą. Jei įmanoma, ji pirmiausia turėtų patvirtinti, kad įvyko duomenų pažeidimas. Gali būti prasminga, kad DBT tęstų pažeidimą pagal nepatvirtintą praneštą duomenų pažeidimą, atsižvelgiant į rizikos laipsnio tikimybę.

TURI PAŽEIDIMĄ

Jei reikia, DBT turėtų apsvarstyti šias pažeidimo suvaldymo priemones:

Išjunkite pažeistą sistemą, dėl kurios įvyko duomenų pažeidimas.
Nustatykite, ar galima imtis veiksmų norint atkurti prarastus duomenis ir apriboti pažeidimo padarytą žalą. (pvz .: nuotoliniu būdu išjungti / ištrinti pamestą sąsiuvinį, kuriame yra asmenų asmens duomenys.)
Užkirsti kelią tolesnei neteisėtai prieigai prie sistemos.
Iš naujo nustatykite slaptažodžius, jei paskyros ir (arba) slaptažodžiai buvo pažeisti.
Atskirkite duomenų pažeidimo sistemoje priežastis ir prireikus pakeiskite prieigos prie pažeistos sistemos teises ir pašalinkite išorinius ryšius su sistema.

ĮVERTINIMO RIZIKA IR POVEIKIS

Žinodami duomenų pažeidimų riziką ir poveikį, „Water2buy“ padės išsiaiškinti, ar nukentėjusiems asmenims gali būti rimtų pasekmių, taip pat apie veiksmus, būtinus pranešti nukentėjusiems asmenims.

Rizika ir poveikis asmenims

Kiek žmonių nukentėjo?
Didesnis skaičius nereiškia, kad rizika yra didesnė, tačiau to įvertinimas padeda įvertinti bendrą riziką.
Kieno asmens duomenys buvo pažeisti?
Ar asmens duomenys priklauso darbuotojams, klientams ar nepilnamečiams? Dėl prarastų asmens duomenų skirtingi žmonės susidurs su skirtingu rizikos laipsniu.
Kokių rūšių asmens duomenys buvo susiję?
Tai padės išsiaiškinti, ar yra pavojus nukentėjusių asmenų reputacijai, tapatybės vagystei, saugumui ir (arba) finansiniams nuostoliams.
Ar yra kokių nors papildomų priemonių siekiant kuo labiau sumažinti duomenų pažeidimo poveikį? pvz .: pamestas įrenginys, apsaugotas stipriu slaptažodžiu ar šifravimu, gali sumažinti duomenų pažeidimo poveikį.

Rizika ir poveikis organizacijoms

Kas sukėlė duomenų pažeidimą?
Nustačius, kaip įvyko pažeidimas (vagystės, nelaimingi atsitikimai, neteisėta prieiga ir kt.), Bus lengviau nustatyti neatidėliotinus veiksmus, kurių reikia imtis siekiant pažeisti pažeidimą ir atkurti visuomenės pasitikėjimą produktu ar paslauga.
Kada ir kaip dažnai įvyko pažeidimas?
Išnagrinėjus tai, „Water2buy“ padės geriau suprasti pažeidimo pobūdį (pvz., Kenksmingas ar atsitiktinis).
Kas gali gauti prieigą prie pažeistų asmens duomenų?
Tai išsiaiškins, kaip būtų galima naudoti pažeistus duomenis. Visų pirma nukentėjusiems asmenims turi būti pranešta, jei asmens duomenis gauna neteisėtas asmuo.
Ar pažeisti duomenys turės įtakos operacijoms su kitomis trečiosiomis šalimis?
Tai nustačius, bus lengviau nustatyti, ar reikia pranešti kitoms organizacijoms.

PRANEŠKITE ATSITIKIMĄ

„Water2buy“ teisiškai privalo pranešti nukentėjusiems asmenims, jei buvo pažeisti jų asmens duomenys. Tai paskatins asmenis imtis prevencinių priemonių, siekiant sumažinti duomenų pažeidimo poveikį, taip pat padės „Water2buy“ atkurti vartotojų pasitikėjimą.

Kam pranešti:

Pranešti asmenims, kurių asmens duomenys buvo pažeisti.
Prireikus praneškite apie tai kitoms trečiosioms šalims, pvz., Bankams, kreditinių kortelių įmonėms ar policijai.
Pranešti GDPR, ypač jei duomenų pažeidimas susijęs su neskelbtinais asmens duomenimis.
Jei įtariama nusikalstama veikla, turėtų būti pranešta atitinkamoms institucijoms (pvz., Policijai) ir turėtų būti saugomi tyrimo įrodymai (pvz., Įsilaužimas, vagystės ar darbuotojo neteisėta prieiga prie sistemos).

Kada pranešti:

Nedelsdami praneškite nukentėjusiems asmenims, jei duomenų pažeidimas susijęs su neskelbtinais asmens duomenimis. Tai leidžia jiems anksti imtis būtinų veiksmų, kad būtų išvengta galimo piktnaudžiavimo pažeistais duomenimis.
Pranešti nukentėjusiems asmenims, kai bus pašalintas duomenų pažeidimas

Kaip pranešti:

Naudokite efektyviausius būdus susisiekti su nukentėjusiais asmenimis, atsižvelgdami į padėties skubumą ir nukentėjusių asmenų skaičių (pvz., Žiniasklaidos pranešimai, socialinė žiniasklaida, mobilieji pranešimai, SMS, el. Laiškai, telefono skambučiai).
Pranešimai turėtų būti lengvai suprantami, konkretūs ir pateikti aiškias instrukcijas, ką asmenys gali padaryti, kad apsisaugotų.

Apie ką pranešti:

Kaip ir kada įvyko duomenų pažeidimas, ir asmens duomenų rūšys, susijusios su duomenų pažeidimu.

Ką „Water2buy“ padarė ar darys reaguodama į duomenų pažeidimo keliamą riziką.
Konkretūs faktai apie duomenų pažeidimą, kai taikoma, ir veiksmai, kurių gali imtis asmenys, siekdami užkirsti kelią piktnaudžiavimui ar piktnaudžiavimu tais duomenimis.
Kontaktinė informacija ir tai, kaip paveikti asmenys gali kreiptis į organizaciją, kad gautų papildomos informacijos ar pagalbos (pvz., Pagalbos telefono numeriai, el. Pašto adresai ar svetainė).

ĮVERTINKITE ATSAKYMĄ IR ATGAVIMĄ, ATSIRADŽIANT ATEITIES PAŽEIDIMŲ

Po to, kai buvo imtasi veiksmų siekiant pašalinti duomenų pažeidimą, „Water2buy“ turėtų peržiūrėti pažeidimo priežastį ir įvertinti, ar esamos apsaugos ir prevencijos priemonės ir procesai yra pakankami, kad būtų išvengta panašių pažeidimų, ir prireikus sustabdyti praktiką, dėl kurios įvyko pažeidimas. duomenų pažeidimas.

Su veikla ir politika susijusios problemos:

Ar reguliariai buvo atliekami tiek fizinių, tiek su IT susijusių saugumo auditai?
Ar yra procesų, kuriuos galima supaprastinti ar įdiegti siekiant sumažinti žalą, jei ateityje įvyktų pažeidimų, arba užkirsti kelią atkryčiui?
Ar buvo esamų saugumo priemonių, pvz., Pasenusios programinės įrangos ir apsaugos priemonių, trūkumų, ar nešiojamųjų atminties įrenginių, tinklų ar prisijungimo prie interneto trūkumų?
Ar prieigos prie asmens duomenų ir jų perdavimo būdai buvo pakankamai saugūs, pvz .: ar prieiga suteikiama tik įgaliotiems darbuotojams?
Ar turėtų būti sustiprintos išorinių šalių, tokių kaip pardavėjai ir partneriai, palaikymo paslaugos, kad būtų geriau apsaugoti asmens duomenys?
Ar pardavėjų ir partnerių atsakomybė buvo aiškiai apibrėžta tvarkant asmens duomenis?
Ar reikia kurti naujus duomenų pažeidimo scenarijus?

Su ištekliais susijusios problemos:

Ar buvo skirta pakankamai išteklių duomenų pažeidimui valdyti?

Ar reikėtų panaudoti išorinius išteklius, kad būtų galima geriau valdyti tokius incidentus?
Ar pagrindiniam personalui buvo suteikta pakankamai išteklių įvykiui suvaldyti?

Su darbuotojais susijusios problemos:

Ar darbuotojai žinojo apie su saugumu susijusias problemas?
Ar buvo rengiami mokymai asmens duomenų apsaugos klausimais ir incidentų valdymo įgūdžiais?
Ar darbuotojai buvo informuoti apie duomenų pažeidimą ir įvykio mokymosi taškus?

Su valdymu susijusios problemos:

Kaip valdymas dalyvavo tvarkant duomenų pažeidimus?
Ar tvarkant duomenų pažeidimą buvo aiški atsakomybės ir bendravimo linija?

Stebėjimas

Visi privalo laikytis šios politikos.

Nesilaikymo pasekmės

Mes labai rimtai žiūrime į šios politikos laikymąsi. Nesilaikant rizikuojate ir jūs, ir organizacija.

Šios politikos svarba reiškia, kad nesilaikant jokių reikalavimų gali būti taikomos drausminės nuobaudos pagal mūsų procedūras, kurios gali būti atleistos.

Duomenų pažeidimo politika

Jei norite tęsti, bendrinkite savo vietą