Polityka dotycząca naruszeń danych

Wprowadzenie

Niniejsza Polityka i Plan mają na celu pomóc Water2buy w skutecznym zarządzaniu naruszeniami danych osobowych. Water2buy przechowuje dane osobowe naszych użytkowników, pracowników, klientów, dostawców i innych osób do różnych celów biznesowych.

Water2buy kieruje się nie tylko literą prawa, ale także duchem prawa i kładzie duży nacisk na prawidłowe, zgodne z prawem i uczciwe przetwarzanie wszystkich danych osobowych, z poszanowaniem praw, prywatności i zaufania wszystkich osób, z którymi ma do czynienia.

Naruszenie danych ogólnie odnosi się do nieuprawnionego dostępu i odzyskiwania informacji, które mogą obejmować dane firmowe i/lub osobiste. Naruszenia danych są powszechnie uznawane za jeden z bardziej kosztownych błędów w zakresie bezpieczeństwa organizacji. Mogą prowadzić do strat finansowych i spowodować, że konsumenci stracą zaufanie do Water2buy lub naszych klientów.

Przepisy obowiązujące w różnych jurysdykcjach, w których Water2buy prowadzi działalność, wymagają od Water2buy podjęcia uzasadnionych ustaleń dotyczących bezpieczeństwa w celu ochrony danych osobowych, które posiadamy lub kontrolujemy, aby zapobiec nieuprawnionemu dostępowi, gromadzeniu, wykorzystywaniu, ujawnianiu lub podobnym zagrożeniom.

 

Zakres

Ta polityka dotyczy całego personelu. Musisz zapoznać się z tą polityką i przestrzegać jej warunków. Niniejsza polityka uzupełnia nasze inne zasady dotyczące korzystania z Internetu i poczty elektronicznej. Od czasu do czasu możemy uzupełniać lub zmieniać niniejszą politykę dodatkowymi zasadami i wytycznymi. Wszelkie nowe lub zmodyfikowane zasady zostaną przekazane pracownikom przed ich przyjęciem.

Szkolenie

Cały personel zostanie przeszkolony w zakresie tej polityki. Nowi pracownicy zostaną przeszkoleni w ramach procesu wdrożenia. Dalsze szkolenia będą organizowane co najmniej raz w roku lub w przypadku istotnych zmian w prawie lub naszej polityce i procedurach.

Szkolenia odbywają się w formie seminariów wewnętrznych i corocznych szkoleń online i obejmują obowiązujące przepisy dotyczące ochrony danych, ochronę danych Water2buy oraz powiązane zasady i procedury.

Ukończenie szkolenia jest obowiązkowe.

 

OGÓLNE ROZPORZĄDZENIE UE O OCHRONIE DANYCH (UE) 2016/679 (RODO)

 

Rozporządzenie ma również zastosowanie do organizacji mających siedzibę poza Unią Europejską, jeśli gromadzą lub przetwarzają dane osobowe mieszkańców UE.

 

Według Komisji Europejskiej dane osobowe to: „wszelkie informacje dotyczące osoby fizycznej, niezależnie od tego, czy dotyczą jej życia prywatnego, zawodowego czy publicznego. Może to być wszystko – imię i nazwisko, adres domowy, zdjęcie, adres e-mail, dane bankowe, wpisy w serwisach społecznościowych, informacje medyczne lub adres IP komputera.”

 

Dane osobowe

Water2buy definiuje Dane Osobowe jako szerszą z definicji zawartych w RODO.

Water2buy definiuje wrażliwe dane osobowe jako szerszą z definicji zawartych w RODO.

Jakiekolwiek wykorzystanie wrażliwych Danych osobowych należy ściśle kontrolować zgodnie z niniejszą polityką.

Chociaż niektóre dane zawsze będą odnosić się do konkretnej osoby, inne dane mogą same w sobie nie odnosić się do danej osoby. Takie dane nie stanowią Danych Osobowych, chyba że są powiązane lub odnoszą się do konkretnej osoby.

Informacje ogólne, które nie dotyczą konkretnej osoby, mogą również stanowić część Danych osobowych danej osoby w połączeniu z Danymi osobowymi lub innymi informacjami umożliwiającymi identyfikację danej osoby.

 

Dane zbiorcze nie są danymi osobowymi.

Water2buy gromadzi Dane Osobowe w dwóch celach: identyfikacji i ochrony danych przekazywanych nam przez naszych klientów oraz do celów wewnętrznych.

Dane osobowe na potrzeby coachingu zdrowotnego dotyczą możliwych do zidentyfikowania indywidualnych użytkowników i mogą obejmować:

  • Informacje o profilu użytkownika, takie jak imię i nazwisko, adres, numer telefonu komórkowego i osobisty adres e-mail;
  • Wiadomości między użytkownikami a naszym działem obsługi klienta.

Dane osobowe, które gromadzimy do wewnętrznych celów operacyjnych, dotyczą możliwych do zidentyfikowania osób, takich jak osoby ubiegające się o pracę, obecni i byli pracownicy, pracownicy kontraktowi i inni, klienci, dostawcy i kontakty marketingowe, a zebrane dane mogą obejmować dane kontaktowe poszczególnych osób, informacje o wykształceniu pochodzenie, szczegóły finansowe i płacowe, szczegóły świadectw i dyplomów, wykształcenie i umiejętności, stan cywilny, narodowość, stanowisko i życiorys.

 

Przyczyny

Naruszenie danych może być spowodowane przez pracowników, strony zewnętrzne wobec organizacji lub błędy systemu komputerowego.

 

Błąd ludzki
Przyczyny błędu ludzkiego obejmują:

  • Utrata urządzeń komputerowych (przenośnych lub innych), urządzeń do przechowywania danych lub dokumentacji papierowej zawierającej dane osobowe
  • Ujawnienie danych niewłaściwemu odbiorcy
  • Obchodzenie się z danymi w sposób nieautoryzowany (np. pobieranie lokalnej kopii danych osobowych)
  • Nieupoważniony dostęp lub ujawnienie danych osobowych przez pracowników (np. udostępnienie loginu)
  • Niewłaściwe usuwanie danych osobowych (np. dysku twardego, nośników pamięci lub dokumentów papierowych zawierających dane osobowe sprzedane lub wyrzucone przed właściwym usunięciem danych)

 

Szkodliwe działania
Do szkodliwych przyczyn należą:

  • Incydenty hakerskie / Nielegalny dostęp do baz danych zawierających dane osobowe
  • Hakowanie w celu uzyskania dostępu do nieautoryzowanych danych za pośrednictwem aplikacji Coaching lub API
  • Kradzież urządzeń komputerowych (przenośnych lub innych), urządzeń do przechowywania danych lub zapisów papierowych zawierających dane osobowe
  • Oszustwa mające na celu nakłonienie pracowników Water2buy do ujawnienia danych osobowych poszczególnych osób

 

Błąd systemu komputerowego
Przyczyny błędów systemu komputerowego obejmują:

  • Błędy lub błędy w aplikacji Water2buy lub API
  • Awaria usług w chmurze, przetwarzania w chmurze lub systemów bezpieczeństwa/uwierzytelniania/autoryzacji przechowywania w chmurze

 

Zgłaszanie naruszeń

Wszyscy pracownicy mają obowiązek zgłaszania rzeczywistych lub potencjalnych naruszeń zasad ochrony danych. Dzięki temu możemy:

  • Zbadaj awarię i w razie potrzeby podejmij kroki zaradcze
  • Prowadź rejestr naruszeń zgodności
  • Powiadamiaj Organ Nadzorczy o wszelkich naruszeniach zgodności, które są istotne same w sobie lub stanowią część serii naruszeń

 

Zgodnie z RODO IOD jest prawnie zobowiązany do powiadomienia Organu Nadzorczego w ciągu 72 godzin od naruszenia danych (art. 33). W przypadku stwierdzenia niekorzystnego wpływu należy powiadomić poszczególne osoby (art. 34). Ponadto Water2buy ma obowiązek powiadomić wszystkich klientów, których to dotyczy, bez zbędnej zwłoki po uzyskaniu informacji o naruszeniu ochrony danych osobowych (art. 33).

 

Jednakże Water2buy nie ma obowiązku powiadamiania osób, których dane dotyczą, w przypadku naruszenia zanonimizowanych danych. W szczególności powiadamianie osób, których dane dotyczą, nie jest wymagane, jeżeli administrator danych wdrożył techniki pseudoanonimizacji, takie jak szyfrowanie, wraz z odpowiednimi technicznymi i organizacyjnymi środkami ochrony danych osobowych, których dotyczy naruszenie (art. 34).

 

Naruszenie danych

Zespół ds. naruszeń danych powinien zostać natychmiast powiadomiony o każdym potwierdzonym lub podejrzewanym naruszeniu danych.

Powiadomienie powinno zawierać następujące informacje, jeśli są dostępne:

  • Skala naruszenia danych
  • Rodzaj i ilość danych osobowych, których to dotyczy
  • Przyczyna lub podejrzenie przyczyny naruszenia
  • Czy naruszenie zostało naprawione
  • Środki i procesy wdrożone przez organizację w momencie naruszenia
  • Informacje o tym, czy osoby dotknięte naruszeniem danych zostały powiadomione, a jeśli nie, kiedy organizacja zamierza to zrobić
  • Dane kontaktowe personelu Water2buy, z którym organ nadzorczy może skontaktować się w celu uzyskania dalszych informacji lub wyjaśnień

 

Jeżeli nie są jeszcze dostępne szczegółowe informacje na temat naruszenia ochrony danych, Water2buy powinno wysłać tymczasowe powiadomienie zawierające krótki opis zdarzenia.

Powiadomienia dokonane przez organizacje lub brak powiadomienia, a także to, czy organizacje posiadają odpowiednie procedury odzyskiwania, będą miały wpływ na decyzję(-y) organów nadzorujących, czy organizacja w uzasadniony sposób chroniła dane osobowe będące pod jej kontrolą lub w posiadaniu.

 

Reakcja na naruszenie danych

 

PLAN ZARZĄDZANIA NARUSZENIAMI DANYCH

Po otrzymaniu powiadomienia o (podejrzewanym lub potwierdzonym) naruszeniu danych zespół ds. naruszeń danych powinien natychmiast aktywować plan naruszenia danych i reagowania.

Plan zarządzania naruszeniami danych i reagowania na nie w Water2buy to:

  1. Potwierdź naruszenie
  2. Powstrzymaj naruszenie
  3. Oceń ryzyko i skutki
  4. Zgłoś incydent
  5. Oceń reakcję i naprawę, aby zapobiec przyszłym naruszeniom

 

POTWIERDŹ NARUSZENIE

Zespół ds. naruszeń danych (DBT) powinien działać natychmiast po uzyskaniu wiedzy o naruszeniu danych. Jeśli to możliwe, powinien najpierw potwierdzić, że doszło do naruszenia danych. W zależności od prawdopodobieństwa powagi ryzyka dla DBT może mieć sens podjęcie działań w zakresie ograniczenia naruszenia na podstawie niepotwierdzonego zgłoszonego naruszenia bezpieczeństwa danych.

 

ZAWRZYMAJ NARUSZENIE

DBT powinien rozważyć następujące środki w celu powstrzymania naruszenia, jeśli ma to zastosowanie:

  • Zamknij zainfekowany system, który doprowadził do naruszenia bezpieczeństwa danych.
  • Ustal, czy można podjąć kroki w celu odzyskania utraconych danych i ograniczenia wszelkich szkód spowodowanych naruszeniem. (np.: zdalne wyłączenie/wyczyszczenie utraconego notatnika zawierającego dane osobowe poszczególnych osób.)
  • Zapobiegaj dalszemu nieautoryzowanemu dostępowi do systemu.
  • Resetuj hasła, jeśli konta i/lub hasła zostały naruszone.
  • Wyodrębnij przyczyny naruszenia danych w systemie i, jeśli to konieczne, zmień prawa dostępu do zaatakowanego systemu i usuń zewnętrzne połączenia z systemem.

 

OCEŃ RYZYKO I WPŁYW

Znajomość ryzyka i skutków naruszeń danych pomoże Water2buy określić, czy mogą wystąpić poważne konsekwencje dla dotkniętych osób, a także określić kroki niezbędne do powiadomienia tych osób.

 

Ryzyko i wpływ na poszczególne osoby

  • Ile osób zostało dotkniętych chorobą?
    Większa liczba może nie oznaczać wyższego ryzyka, ale ocena tego pomaga w ogólnej ocenie ryzyka.
  • Czyje dane osobowe zostały naruszone?
    Czy dane osobowe należą do pracowników, klientów czy osób nieletnich? W wyniku utraty danych osobowych różne osoby będą narażone na różne poziomy ryzyka.
  • Jakich rodzajów danych osobowych dotyczyło zdarzenie?
    Pomoże to ustalić, czy istnieje ryzyko utraty reputacji, kradzieży tożsamości, bezpieczeństwa i/lub strat finansowych osób, których to dotyczy.
  • Czy wprowadzono jakieś dodatkowe środki minimalizujące skutki naruszenia bezpieczeństwa danych? np.: zagubione urządzenie chronione silnym hasłem lub szyfrowaniem może zmniejszyć skutki naruszenia bezpieczeństwa danych.

 

Ryzyko i wpływ na organizacje

  • Co spowodowało naruszenie danych?
    Ustalenie sposobu, w jaki doszło do naruszenia (poprzez kradzież, wypadek, nieuprawniony dostęp itp.)) pomoże określić natychmiastowe kroki, jakie należy podjąć, aby powstrzymać naruszenie i przywrócić zaufanie społeczne do produktu lub usługi.
  • Kiedy i jak często miało miejsce naruszenie?
    Zbadanie tego pomoże Water2buy lepiej zrozumieć charakter naruszenia (np.G złośliwe lub przypadkowe).
  • Kto może uzyskać dostęp do naruszonych danych osobowych?
    Dzięki temu zostanie ustalone, w jaki sposób naruszone dane mogą zostać wykorzystane. W szczególności należy powiadomić osoby, których dane dotyczą, w przypadku pozyskania danych osobowych przez osobę nieuprawnioną.
  • Czy zagrożone dane będą miały wpływ na transakcje z innymi stronami trzecimi?
    Ustalenie tego pomoże określić, czy należy powiadomić inne organizacje.

 

ZGŁOŚ INCYDENT

Water2buy jest prawnie zobowiązane do powiadamiania osób, których to dotyczy, w przypadku naruszenia ich danych osobowych. Zachęci to osoby fizyczne do podjęcia środków zapobiegawczych w celu ograniczenia skutków naruszenia danych, a także pomoże Water2buy odbudować zaufanie konsumentów.

Kogo powiadomić:

  • Powiadom osoby, których dane osobowe zostały naruszone.
  • W stosownych przypadkach powiadom inne strony trzecie, takie jak banki, wydawcy kart kredytowych lub policję.
  • Powiadom RODO, zwłaszcza jeśli naruszenie danych dotyczy wrażliwych danych osobowych.
  • W przypadku podejrzenia działalności przestępczej należy powiadomić odpowiednie władze (np. policję) i zabezpieczyć dowody do celów dochodzenia (np. włamanie, kradzież lub nieuprawniony dostęp pracownika do systemu).)

 

Kiedy powiadomić:

  • Niezwłocznie powiadom osoby, których to dotyczy, jeśli naruszenie danych dotyczy wrażliwych danych osobowych. Dzięki temu mogą wcześnie podjąć niezbędne działania, aby uniknąć potencjalnego nadużycia skompromitowanych danych.
  • Powiadom osoby, których to dotyczy, gdy naruszenie danych zostanie usunięte

 

Jak powiadomić:

  • Skorzystaj z najskuteczniejszych sposobów dotarcia do dotkniętych osób, biorąc pod uwagę pilność sytuacji i liczbę dotkniętych osób (np.G komunikaty prasowe, media społecznościowe, wiadomości mobilne, SMS-y, e-maile, rozmowy telefoniczne).
  • Powiadomienia powinny być proste do zrozumienia, konkretne i zawierać jasne instrukcje dotyczące tego, co poszczególne osoby mogą zrobić, aby się chronić.

 

Co powiadomić:

  • Jak i kiedy doszło do naruszenia danych oraz rodzaje danych osobowych objętych naruszeniem.
  • Co Water2buy zrobiło lub będzie robić w odpowiedzi na ryzyko spowodowane naruszeniem danych.
  • W stosownych przypadkach szczegółowe fakty dotyczące naruszenia danych oraz działania, jakie osoby mogą podjąć, aby zapobiec niewłaściwemu wykorzystaniu lub nadużyciu tych danych.
  • Dane kontaktowe oraz sposób, w jaki osoby dotknięte chorobą mogą skontaktować się z organizacją w celu uzyskania dalszych informacji lub pomocy (np.G numery infolinii, adresy e-mail czy strona internetowa).

 

OCEŃ REAKCJĘ I ODZYSKIWANIE, ABY ZAPOBIEGAĆ NARUSZENIOM W PRZYSZŁOŚCI

Po podjęciu kroków w celu usunięcia naruszenia danych Water2buy powinno dokonać przeglądu przyczyny naruszenia i ocenić, czy istniejące środki i procesy ochrony i zapobiegania są wystarczające, aby zapobiec podobnym naruszeniom, a w stosownych przypadkach położyć kres praktykom, które doprowadziło do naruszenia danych.

 

Problemy operacyjne i związane z polityką:

  • Czy regularnie przeprowadzano audyty środków bezpieczeństwa fizycznego i informatycznego?
  • Czy istnieją procesy, które można usprawnić lub wprowadzić, aby ograniczyć szkody w przypadku przyszłych naruszeń lub zapobiec ponownemu naruszeniu?
  • Czy wystąpiły słabe punkty w istniejących środkach bezpieczeństwa, takie jak stosowanie nieaktualnego oprogramowania i środków ochronnych, lub słabe strony w korzystaniu z przenośnych urządzeń pamięci masowej, sieci lub łączności z Internetem?
  • Czy metody dostępu i przekazywania danych osobowych były wystarczająco bezpieczne, np.: dostęp ograniczony był wyłącznie do upoważnionego personelu?
  • Czy należy ulepszyć usługi wsparcia oferowane przez strony zewnętrzne, takie jak dostawcy i partnerzy, aby lepiej chronić dane osobowe?
  • Czy jasno określono obowiązki dostawców i partnerów w zakresie przetwarzania danych osobowych?
  • Czy istnieje potrzeba opracowania nowych scenariuszy naruszeń danych?

Problemy związane z zasobami:

  • Czy przydzielono wystarczające zasoby, aby zaradzić naruszeniu danych?
  • Czy należy angażować zasoby zewnętrzne, aby lepiej zarządzać takimi incydentami?
  • Czy kluczowy personel otrzymał wystarczające zasoby do zarządzania incydentem?

 

Problemy związane z pracownikami:

  • Czy pracownicy byli świadomi problemów związanych z bezpieczeństwem?
  • Czy zapewniono szkolenia dotyczące kwestii ochrony danych osobowych i umiejętności zarządzania incydentami?
  • Czy pracownicy zostali poinformowani o naruszeniu danych i wyciągnięcia wniosków z incydentu?

 

Problemy związane z zarządzaniem:

  • W jaki sposób kierownictwo było zaangażowane w zarządzanie naruszeniem danych?
  •  Czy podczas zarządzania naruszeniem danych istniał jasny podział odpowiedzialności i komunikacji?

 

Monitorowanie

Każdy musi przestrzegać tej polityki.

Konsekwencje nieprzestrzegania

Bardzo poważnie podchodzimy do przestrzegania tej polityki. Nieprzestrzeganie tych zasad naraża zarówno Ciebie, jak i organizację na ryzyko.

Waga tej polityki oznacza, że ​​nieprzestrzeganie jakichkolwiek wymagań może prowadzić do podjęcia działań dyscyplinarnych zgodnie z naszymi procedurami, co może skutkować zwolnieniem.