Datu pārkāpumu politika

Ievads

Šīs politikas un plāna mērķis ir palīdzēt Water2buy efektīvi pārvaldīt personas datu pārkāpumus. Water2buy glabā personas datus par mūsu lietotājiem, darbiniekiem, klientiem, piegādātājiem un citām personām dažādiem uzņēmējdarbības mērķiem.

Water2buy ir apņēmies ievērot ne tikai likuma burtu, bet arī likuma garu un augstu vērtē pareizu, likumīgu un godīgu visu personas datu apstrādi, ievērojot visu personu likumīgās tiesības, privātumu un uzticību. personas, ar kurām tā nodarbojas.

Datu pārkāpums parasti attiecas uz nesankcionētu piekļuvi informācijai, kas var ietvert korporatīvos un/vai personas datus, un tās izguvi. Datu pārkāpumi parasti tiek atzīti par vienu no dārgākajām organizāciju drošības kļūmēm. Tie var radīt finansiālus zaudējumus un likt patērētājiem zaudēt uzticību Water2buy vai mūsu klientiem.

Noteikumi dažādās jurisdikcijās, kurās darbojas Water2buy, nosaka, ka Water2buy ir jāveic saprātīgi drošības pasākumi, lai aizsargātu mūsu rīcībā esošos vai kontrolētos personas datus, lai novērstu nesankcionētu piekļuvi, vākšanu, izmantošanu, izpaušanu vai līdzīgus riskus.

 

Tvērums

Šī politika attiecas uz visiem darbiniekiem. Jums ir jāzina šī politika un jāievēro tās noteikumi. Šī politika papildina citas mūsu politikas, kas attiecas uz interneta un e-pasta lietošanu. Mēs laiku pa laikam varam papildināt vai grozīt šo politiku ar papildu politikām un vadlīnijām. Jebkura jauna vai mainīta politika tiks izplatīta darbiniekiem pirms to pieņemšanas.

Apmācība

Visi darbinieki saņems apmācību par šo politiku. Jaunie darbinieki saņems apmācību kā daļu no ievadīšanas procesa. Papildmācība tiks nodrošināta vismaz katru gadu vai ikreiz, kad tiks veiktas būtiskas izmaiņas likumā vai mūsu politikā un procedūrā.

Apmācības tiek nodrošinātas, izmantojot iekšējo semināru un tiešsaistes apmācības katru gadu, un tās aptver piemērojamos tiesību aktus, kas attiecas uz datu aizsardzību un Water2buy datu aizsardzību, kā arī saistītās politikas un procedūras.

Mācību pabeigšana ir obligāta.

 

ES VISPĀRĒJĀ DATU AIZSARDZĪBAS REGULA (ES) 2016/679 (VDAR)

 

Regulējums attiecas arī uz organizācijām, kas atrodas ārpus Eiropas Savienības, ja tās vāc vai apstrādā ES iedzīvotāju personas datus.

 

Saskaņā ar Eiropas Komisiju personas dati ir: “jebkura informācija, kas attiecas uz personu neatkarīgi no tā, vai tā attiecas uz tās privāto, profesionālo vai sabiedrisko dzīvi. Tas var būt jebkas: vārds, mājas adrese, fotoattēls, e-pasta adrese, bankas informācija, ziņas sociālo tīklu vietnēs, medicīniskā informācija vai datora IP adrese. ”

 

Personas dati

Water2buy definē personas datus kā plašāko no GDPR ietvertajām definīcijām.

Water2buy definē Sensitīvus personas datus kā plašāko no GDPR ietvertajām definīcijām.

Jebkura sensitīvu personas datu izmantošana ir stingri jākontrolē saskaņā ar šo politiku.

Lai gan daži dati vienmēr būs saistīti ar personu, citi dati var nebūt saistīti ar personu. Šādi dati netiks uzskatīti par Personas datiem, ja vien tie nav saistīti ar konkrētu personu vai nav saistīti ar to.

Vispārīga informācija, kas neattiecas uz konkrētu personu, var būt arī daļa no personas personas datiem, ja to apvieno ar personas datiem vai citu informāciju, kas ļauj identificēt personu.

 

Apkopotie dati nav personas dati.

Water2buy apkopo personas datus diviem mērķiem: lai identificētu un aizsargātu datus, ko mums sniedz mūsu klienti, un iekšējām darbībām.

Veselības apmācības personas dati attiecas uz identificējamiem atsevišķiem lietotājiem un var ietvert:

  • Lietotāja profila informācija, piemēram, pilns vārds, adrese, mobilā tālruņa numurs un personiskā e-pasta adrese;
  • Ziņojumi starp lietotājiem un mūsu klientu apkalpošanas dienestu.

Personas dati, ko mēs apkopojam iekšējiem darbības nolūkiem, attiecas uz identificējamām personām, piemēram, darba pretendentiem, esošajiem un bijušajiem darbiniekiem, līgumdarbiniekiem un citiem darbiniekiem, klientiem, piegādātājiem un mārketinga kontaktpersonām, un apkopotie dati var ietvert personu kontaktinformāciju, izglītību. izcelsme, informācija par finansēm un atalgojumu, informācija par sertifikātiem un diplomiem, izglītība un prasmes, ģimenes stāvoklis, pilsonība, amata nosaukums un CV.

 

Cēloņi

Datu pārkāpumus var izraisīt darbinieki, organizācijas ārējas puses vai datorsistēmas kļūdas.

 

Cilvēka kļūda
Cilvēka kļūdu cēloņi:

  • Datoru (pārnēsājamu vai citu), datu uzglabāšanas ierīču vai papīra ierakstu, kas satur personas datus, pazaudēšana
  • Datu izpaušana nepareizam adresātam
  • Datu apstrāde neatļautā veidā (piemēram, personas datu lokālas kopijas lejupielāde)
  • Darbinieku nesankcionēta piekļuve personas datiem vai to izpaušana (piemēram, koplietošana ar pieteikumvārdu)
  • Neatbilstoša personas datu iznīcināšana (piemēram, cietais disks, datu nesēji vai papīra dokumenti, kas satur personas datus, pārdoti vai izmesti pirms datu pareizas dzēšanas)

 

Ļaunprātīgas darbības
Ļaunprātīgi cēloņi ietver:

  • Uzlaušanas incidenti / Nelegāla piekļuve datu bāzēm, kas satur personas datus
  • Uzlaušana, lai piekļūtu nesankcionētiem datiem, izmantojot Coaching App vai API
  • Datorierīču (pārnēsājamu vai citu), datu uzglabāšanas ierīču vai papīra ierakstu, kas satur personas datus, zādzība
  • Krāpniecība, kuras rezultātā Water2buy darbinieki izpauž personu personas datus

 

Datorsistēmas kļūda
Datorsistēmas kļūdu cēloņi:

  • Kļūdas vai kļūdas Water2buy lietojumprogrammā vai API
  • Mākoņpakalpojumu, mākoņdatošanas vai mākoņkrātuvju drošības/autentifikācijas/autorizācijas sistēmu kļūme

 

Ziņošana par pārkāpumiem

Visiem darbiniekiem ir pienākums ziņot par faktiskām vai iespējamām datu aizsardzības atbilstības kļūmēm. Tas ļauj mums:

  • Izpētiet kļūmi un, ja nepieciešams, veiciet novēršanas darbības
  • Uzturēt atbilstības kļūdu reģistru
  • Paziņojiet Uzraudzības iestādei par visām atbilstības kļūmēm, kas ir būtiskas pašas par sevi vai ir daļa no kļūdu modeļa

 

Saskaņā ar VDAR DAI ir juridisks pienākums informēt Uzraudzības iestādi 72 stundu laikā pēc datu aizsardzības pārkāpuma (33. pants). Personām ir jāziņo, ja tiek konstatēta nelabvēlīga ietekme (34. pants). Turklāt Water2buy bez nepamatotas kavēšanās jāinformē visi ietekmētie klienti pēc tam, kad ir uzzinājis par personas datu aizsardzības pārkāpumu (33. pants).

 

Tomēr Water2buy nav jāinformē datu subjekti, ja tiek pārkāpti anonimizēti dati. Konkrēti, paziņojums datu subjektiem nav nepieciešams, ja datu pārzinis ir ieviesis pseidoanonimizēšanas paņēmienus, piemēram, šifrēšanu, kā arī atbilstošus tehniskos un organizatoriskos aizsardzības pasākumus attiecībā uz personas datiem, kurus skāris datu pārkāpums (34. pants).

 

Datu pārkāpums

Datu pārkāpumu komanda nekavējoties jābrīdina par jebkuru apstiprinātu vai iespējamu datu pārkāpumu.

Paziņojumā jāiekļauj šāda informācija, ja tāda ir pieejama:

  • Datu pārkāpuma apjoms
  • Iesaistīto personas datu veids un apjoms
  • Pārkāpuma iemesls vai iespējamais iemesls
  • Vai pārkāpums ir novērsts
  • Pasākumi un procesi, ko organizācija bija ieviesusi pārkāpuma laikā
  • Informācija par to, vai skartās personas tika informētas par datu pārkāpumu un, ja nē, tad kad organizācija plāno to darīt
  • Water2buy personāla kontaktinformācija, ar kuru uzraudzības iestāde var sazināties, lai iegūtu papildu informāciju vai skaidrojumus

 

Ja konkrēta informācija par datu aizsardzības pārkāpumu vēl nav pieejama, Water2buy ir jānosūta pagaidu paziņojums, kurā ietverts īss incidenta apraksts.

Organizāciju sniegtie paziņojumi vai paziņojuma trūkums, kā arī tas, vai organizācijās ir ieviestas atbilstošas ​​atkopšanas procedūras, ietekmēs uzraugošo iestāžu lēmumu(-us) par to, vai organizācija ir saprātīgi aizsargājusi tās pārziņā vai valdījumā esošos personas datus.

 

Reaģēšana uz datu pārkāpumu

 

DATU PĀRKĀPJUMU PĀRVALDĪBAS PLĀNS

Saņemot paziņojumu par (aizdomām vai apstiprinātu) datu pārkāpumu, Datu pārkāpumu komandai nekavējoties jāaktivizē datu pārkāpuma un reaģēšanas plāns.

Water2buy datu pārkāpumu pārvaldības un reaģēšanas plāns ir:

  1. Apstipriniet pārkāpumu
  2. Ietveriet pārkāpumu
  3. Novērtējiet riskus un ietekmi
  4. Ziņot par incidentu
  5. Novērtējiet reakciju un atgūšanu, lai novērstu turpmākus pārkāpumus

 

APSTIPRINĀT PĀRKĀPUMU

Datu pārkāpumu komandai (DBT) jārīkojas, tiklīdz tā uzzina par datu pārkāpumu. Ja iespējams, tai vispirms ir jāapstiprina, ka ir noticis datu pārkāpums. DBT var būt lietderīgi turpināt Iekļaut pārkāpumu, pamatojoties uz neapstiprinātu ziņotu datu pārkāpumu, atkarībā no riska smaguma iespējamības.

 

SATURA PĀRKĀPUMU

Attiecīgā gadījumā DBT ir jāapsver šādi pasākumi, lai ierobežotu pārkāpumu:

  • Izslēdziet uzlauzto sistēmu, kas izraisīja datu pārkāpumu.
  • Noskaidrojiet, vai var veikt darbības, lai atgūtu zaudētos datus un ierobežotu jebkādus bojājumus, ko izraisa pārkāpums. (piem., attālināti atspējot/notīrīt pazaudētu piezīmju grāmatiņu, kurā ir personu personas dati. )
  • Novērsiet turpmāku nesankcionētu piekļuvi sistēmai.
  • Atiestatiet paroles, ja konti un/vai paroles ir apdraudētas.
  • Izolējiet datu pārkāpuma cēloņus sistēmā un, ja nepieciešams, mainiet piekļuves tiesības uzlauztajai sistēmai un noņemiet ārējos savienojumus ar sistēmu.

 

NOVĒRTĒT RISKU UN IETEKMES

Zinot datu pārkāpumu riskus un ietekmi, uzņēmums Water2buy varēs noteikt, vai tas var radīt nopietnas sekas skartajām personām, kā arī veikt pasākumus, lai informētu skartās personas.

 

Riski un ietekme uz indivīdiem

  • Cik cilvēku tika ietekmēti?
    Lielāks skaits var nenozīmēt lielāku risku, taču tā novērtējums palīdz vispārējai riska novērtēšanai.
  • Kuru personas dati tika pārkāpti?
    Vai personas dati pieder darbiniekiem, klientiem vai nepilngadīgām personām? Personas datu zaudēšanas rezultātā dažādi cilvēki saskarsies ar dažāda līmeņa risku.
  • Kāda veida personas dati bija iesaistīti?
    Tas palīdzēs noskaidrot, vai skarto personu reputācijai, identitātes zādzībai, drošībai un/vai finansiāliem zaudējumiem pastāv risks.
  • Vai ir ieviesti kādi papildu pasākumi, lai samazinātu datu aizsardzības pārkāpuma ietekmi? piemēram: pazaudēta ierīce, kas aizsargāta ar spēcīgu paroli vai šifrēšanu, var samazināt datu pārkāpuma ietekmi.

 

Riski un ietekme uz organizācijām

  • Kas izraisīja datu pārkāpumu?
    Noskaidrot, kā noticis pārkāpums (zādzība, negadījums, nesankcionēta piekļuve utt. ) palīdzēs noteikt tūlītējus pasākumus, kas jāveic, lai ierobežotu pārkāpumu un atjaunotu sabiedrības uzticēšanos produktam vai pakalpojumam.
  • Kad un cik bieži pārkāpums noticis?
    Šā stāvokļa pārbaude palīdzēs uzņēmumam Water2buy labāk izprast pārkāpuma būtību (piem. g ļaunprātīga vai nejauša).
  • Kas var piekļūt apdraudētajiem personas datiem?
    Tas noskaidros, kā apdraudētie dati var tikt izmantoti. Jo īpaši skartās personas ir jābrīdina, ja personas datus ir ieguvusi nepilnvarota persona.
  • Vai apdraudētie dati ietekmēs darījumus ar citām trešajām pusēm?
    Tā noteikšana palīdzēs noteikt, vai ir jāinformē citas organizācijas.

 

ZIŅO PAR ATTIECĪBU

Uzņēmumam Water2buy ir juridisks pienākums informēt skartās personas, ja ir pārkāpti viņu personas dati. Tas mudinās personas veikt preventīvus pasākumus, lai samazinātu datu aizsardzības pārkāpuma ietekmi, kā arī palīdzēs Water2buy atjaunot patērētāju uzticību.

Kam jāpaziņo:

  • Paziņot personām, kuru personas dati ir apdraudēti.
  • Attiecīgā gadījumā informējiet citas trešās puses, piemēram, bankas, kredītkaršu uzņēmumus vai policiju.
  • Paziņojiet GDPR, jo īpaši, ja datu aizsardzības pārkāpums ir saistīts ar sensitīviem personas datiem.
  • Ja ir aizdomas par noziedzīgu darbību, ir jāinformē attiecīgās iestādes (piemēram, policija) un jāsaglabā pierādījumi izmeklēšanai (piemēram, uzlaušana, zādzība vai darbinieka nesankcionēta piekļuve sistēmai). )

 

Kad jāpaziņo:

  • Nekavējoties paziņojiet skartajām personām, ja datu aizsardzības pārkāpums ir saistīts ar sensitīviem personas datiem. Tas ļauj viņiem savlaicīgi veikt nepieciešamās darbības, lai izvairītos no iespējamas apdraudēto datu ļaunprātīgas izmantošanas.
  • Paziņojiet skartajām personām, kad datu aizsardzības pārkāpums ir novērsts

 

Kā paziņot:

  • Izmantojiet visefektīvākos veidus, kā sazināties ar skartajām personām, ņemot vērā situācijas steidzamību un skarto personu skaitu (piem. g plašsaziņas līdzekļu izlaidumi, sociālie mediji, mobilā ziņojumapmaiņa, SMS, e-pasti, tālruņa zvani).
  • Paziņojumiem ir jābūt vienkārši saprotamiem, konkrētiem un skaidriem norādījumiem par to, ko personas var darīt, lai sevi aizsargātu.

 

Par ko paziņot:

  • Kā un kad noticis datu aizsardzības pārkāpums, kā arī datu aizsardzības pārkāpumā iesaistīto personas datu veidi.
  • Ko Water2buy ir darījis vai darīs, reaģējot uz risku, ko rada datu pārkāpums.
  • Konkrēti fakti par datu aizsardzības pārkāpumu un darbības, ko personas var veikt, lai novērstu šo datu ļaunprātīgu vai ļaunprātīgu izmantošanu.
  • Kontaktinformācija un veids, kā skartās personas var sazināties ar organizāciju, lai iegūtu papildu informāciju vai palīdzību (piem. g palīdzības tālruņa numurus, e-pasta adreses vai tīmekļa vietni).

 

IZVĒRTĒJIET ATBILDĪBU UN ATJAUŠANU, LAI NOVĒRSTU NĀKĀMUS PĀRKĀPUS

Pēc tam, kad ir veikti pasākumi, lai novērstu datu pārkāpumu, uzņēmumam Water2buy ir jāpārskata pārkāpuma cēlonis un jāizvērtē, vai esošie aizsardzības un novēršanas pasākumi un procesi ir pietiekami, lai novērstu līdzīgus pārkāpumus, un attiecīgā gadījumā jāpārtrauc prakse, kas izraisīja datu pārkāpumu.

 

Ar darbību un politiku saistītas problēmas:

  • Vai regulāri tika veiktas gan fizisko, gan ar IT saistīto drošības pasākumu revīzijas?
  • Vai ir procesi, kurus var racionalizēt vai ieviest, lai ierobežotu bojājumus, ja notiek turpmāki pārkāpumi, vai novērstu recidīvu?
  • Vai pastāvēja nepilnības esošajos drošības pasākumos, piemēram, novecojušas programmatūras un aizsardzības pasākumu izmantošanā, vai portatīvo datu glabāšanas ierīču lietošanā, tīklos vai savienojumā ar internetu?
  • Vai personas datu piekļuves un pārsūtīšanas metodes bija pietiekami drošas, piemēram, piekļuve tika ierobežota tikai pilnvarotam personālam?
  • Vai ir jāuzlabo atbalsta pakalpojumi no ārējām pusēm, piemēram, pārdevējiem un partneriem, lai labāk aizsargātu personas datus?
  • Vai pārdevēju un partneru pienākumi bija skaidri noteikti saistībā ar personas datu apstrādi?
  • Vai ir jāizstrādā jauni datu pārkāpuma scenāriji?

Ar resursiem saistītas problēmas:

  • Vai datu pārkāpuma novēršanai tika piešķirti pietiekami resursi?
  • Vai būtu jāiesaista ārēji resursi, lai labāk pārvaldītu šādus incidentus?
  • Vai galvenajiem darbiniekiem tika piešķirti pietiekami resursi incidenta pārvaldīšanai?

 

Ar darbiniekiem saistītas problēmas:

  • Vai darbinieki zināja par problēmām, kas saistītas ar drošību?
  • Vai tika nodrošināta apmācība par personas datu aizsardzības jautājumiem un incidentu pārvaldības prasmēm?
  • Vai darbinieki tika informēti par datu pārkāpumu un mācīšanās punktiem no incidenta?

 

Ar pārvaldību saistītas problēmas:

  • Kā vadība tika iesaistīta datu pārkāpuma pārvaldībā?
  •  Vai datu aizsardzības pārkāpuma pārvaldības laikā bija skaidri noteikta atbildība un komunikācija?

 

Uzraudzība

Šī politika ir jāievēro ikvienam.

Noteikumu neievērošanas sekas

Mēs ļoti nopietni uztveram šīs politikas ievērošanu. Noteikumu neievērošana pakļauj riskam gan jūs, gan organizāciju.

Šīs politikas nozīmīgums nozīmē, ka jebkuras prasības neievērošana var izraisīt disciplinārsodu saskaņā ar mūsu procedūrām, kas var beigties ar atlaišanu.