Wprowadzenie
Niniejsza Polityka i Plan ma na celu pomóc Water2buy w skutecznym zarządzaniu naruszeniami danych osobowych. Water2buy przechowuje dane osobowe naszych użytkowników, pracowników, klientów, dostawców i innych osób do różnych celów biznesowych.
Water2buy przywiązuje wagę nie tylko do litery prawa, ale także do ducha prawa i przywiązuje dużą wagę do prawidłowego, zgodnego z prawem i uczciwego postępowania ze wszystkimi danymi osobowymi, z poszanowaniem praw, prywatności i zaufania wszystkich osób, z którymi dotyczy.
Naruszenie danych zasadniczo odnosi się do nieuprawnionego dostępu i odzyskiwania informacji, które mogą obejmować dane firmowe i / lub dane osobowe. Naruszenie danych jest powszechnie uznawane za jedną z bardziej kosztownych awarii zabezpieczeń organizacji. Mogą prowadzić do strat finansowych i spowodować utratę zaufania konsumentów do Water2buy lub naszych klientów.
Przepisy obowiązujące w różnych jurysdykcjach, w których działa Water2buy, wymagają od Water2buy podjęcia rozsądnych środków bezpieczeństwa w celu ochrony danych osobowych, które posiadamy lub kontrolujemy, aby zapobiec nieautoryzowanemu dostępowi, gromadzeniu, wykorzystywaniu, ujawnianiu lub podobnym zagrożeniom.
Zakres
Ta zasada dotyczy wszystkich pracowników. Musisz zapoznać się z tą polityką i przestrzegać jej warunków. Niniejsza polityka stanowi uzupełnienie innych naszych zasad dotyczących korzystania z Internetu i poczty e-mail. Od czasu do czasu możemy uzupełniać lub zmieniać tę politykę, wprowadzając dodatkowe zasady i wytyczne. Każda nowa lub zmodyfikowana polityka zostanie przekazana personelowi przed przyjęciem.
Trening
Wszyscy pracownicy przejdą szkolenie w zakresie tej polityki. Nowy personel przejdzie szkolenie w ramach procesu wprowadzającego. Dalsze szkolenia będą odbywać się co najmniej raz w roku lub w przypadku istotnej zmiany prawa lub naszej polityki i procedur.
Szkolenie odbywa się w ramach seminarium wewnętrznego i szkolenia online raz do roku i obejmuje obowiązujące przepisy dotyczące ochrony danych oraz ochrony danych Water2buy i powiązanych polityk i procedur.
Ukończenie szkolenia jest obowiązkowe.
OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH UE (UE) 2016/679 (RODO)
Rozporządzenie ma również zastosowanie do organizacji mających siedzibę poza Unią Europejską, jeżeli zbierają lub przetwarzają dane osobowe mieszkańców UE.
Według Komisji Europejskiej dane osobowe to: „wszelkie informacje dotyczące osoby fizycznej, bez względu na to, czy dotyczą jej życia prywatnego, zawodowego czy publicznego. Mogą to być dowolne dane, od imienia i nazwiska, adresu domowego, zdjęcia, adresu e-mail , dane bankowe, posty w serwisach społecznościowych, informacje medyczne lub adres IP komputera ”.
Dane osobiste
Water2buy definiuje Dane Osobowe jako szerszą z definicji zawartych w RODO.
Water2buy definiuje Wrażliwe Dane Osobowe jako szersze z definicji zawartych w RODO.
Każde wykorzystanie wrażliwych danych osobowych podlega ścisłej kontroli zgodnie z niniejszą polityką.
Podczas gdy niektóre dane zawsze będą odnosić się do osoby fizycznej, inne dane mogą same w sobie nie odnosić się do osoby. Takie dane nie stanowią Danych Osobowych, chyba że są powiązane lub odnoszące się do konkretnej osoby.
Informacje ogólne, które nie dotyczą konkretnej osoby, mogą również stanowić część Danych Osobowych osoby fizycznej w połączeniu z Danymi Osobowymi lub innymi informacjami umożliwiającymi identyfikację osoby.
Dane zbiorcze nie są danymi osobowymi.
Water2buy gromadzi dane osobowe w dwóch celach, aby zidentyfikować i chronić dane przekazane nam przez naszych klientów oraz do operacji wewnętrznych.
Dane osobowe do coachingu zdrowotnego dotyczą możliwych do zidentyfikowania indywidualnych użytkowników i mogą obejmować:
Dane osobowe, które gromadzimy do wewnętrznych celów operacyjnych, dotyczą możliwych do zidentyfikowania osób, takich jak osoby ubiegające się o pracę, obecni i byli pracownicy, pracownicy kontraktowi i inni, klienci, dostawcy i kontakty marketingowe, a gromadzone dane mogą obejmować dane kontaktowe osób, wykształcenie, finanse i szczegóły wynagrodzenia, szczegóły świadectw i dyplomów, wykształcenie i umiejętności, stan cywilny, narodowość, stanowisko i CV.
Przyczyny
Naruszenie danych może być spowodowane przez pracowników, osoby spoza organizacji lub błędy systemu komputerowego.
Ludzki błąd
Przyczyny błędu ludzkiego obejmują:
Szkodliwe działania
Złośliwe przyczyny obejmują:
Błąd systemu komputera
Przyczyny błędów systemu komputerowego obejmują:
Zgłaszanie naruszeń
Wszyscy pracownicy mają obowiązek zgłaszania faktycznych lub potencjalnych niezgodności z przepisami w zakresie ochrony danych. To pozwala nam:
Zgodnie z RODO IOD jest prawnie zobowiązany do powiadomienia organu nadzorczego w ciągu 72 godzin od naruszenia danych (art.33). Osoby fizyczne muszą być powiadamiane w przypadku stwierdzenia negatywnego wpływu (art. 34). Ponadto Water2buy musi bez zbędnej zwłoki powiadomić wszystkich poszkodowanych klientów po uzyskaniu informacji o naruszeniu ochrony danych osobowych (artykuł 33).
Jednak Water2buy nie musi powiadamiać osób, których dane dotyczą, w przypadku naruszenia anonimowych danych. W szczególności powiadomienie osób, których dane dotyczą, nie jest wymagane, jeżeli administrator danych wdrożył techniki pseudoanonimizacji, takie jak szyfrowanie, wraz z odpowiednimi technicznymi i organizacyjnymi środkami ochrony danych osobowych, których dotyczy naruszenie danych (art. 34).
Naruszenie danych
Zespół ds. Naruszenia danych powinien zostać natychmiast powiadomiony o każdym potwierdzonym lub podejrzewanym naruszeniu danych.
Powiadomienie powinno zawierać następujące informacje, o ile są dostępne:
Jeżeli konkretne informacje o naruszeniu danych nie są jeszcze dostępne, Water2buy powinno wysłać tymczasowe powiadomienie zawierające krótki opis incydentu.
Powiadomienia dokonane przez organizacje lub brak powiadomienia, a także to, czy organizacje mają wdrożone odpowiednie procedury odzyskiwania danych, będą miały wpływ na decyzje organów nadzorujących, czy organizacja w uzasadniony sposób chroniła dane osobowe, które są w jej posiadaniu lub pod jej kontrolą.
Reagowanie na naruszenie danych
PLAN ZARZĄDZANIA NARUSZENIEM DANYCH
Po otrzymaniu powiadomienia o (podejrzewanym lub potwierdzonym) naruszeniu danych zespół ds. Naruszenia danych powinien niezwłocznie aktywować plan na wypadek naruszenia danych i reagowania.
Plan zarządzania i reagowania na naruszenie danych Water2buy to:
POTWIERDŹ NARUSZENIE
Zespół ds. Naruszenia danych (DBT) powinien działać, gdy tylko dowie się o naruszeniu danych. W miarę możliwości powinien najpierw potwierdzić, że doszło do naruszenia danych. W zależności od prawdopodobieństwa powagi ryzyka, rozsądne może być, aby DBT kontynuowało Zawarcie naruszenia na podstawie niepotwierdzonego zgłoszonego naruszenia danych.
ZAWIERAĆ NARUSZENIE
DBT powinien rozważyć następujące środki w celu powstrzymania naruszenia, w stosownych przypadkach:
OCENA RYZYKA I SKUTKÓW
Znajomość zagrożeń i skutków naruszenia ochrony danych pomoże Water2buy określić, czy mogą wystąpić poważne konsekwencje dla osób, których to dotyczy, a także podjąć kroki niezbędne do powiadomienia tych osób.
Ryzyko i wpływ na osoby fizyczne
Ryzyko i wpływ na organizacje
ZGŁOŚ ZDARZENIE
Water2buy jest prawnie zobowiązany do powiadamiania osób, których dane dotyczą, w przypadku naruszenia ich danych osobowych. Zachęci to osoby do podjęcia środków zapobiegawczych w celu zmniejszenia wpływu naruszenia danych, a także pomoże Water2buy odbudować zaufanie konsumentów.
Kogo powiadomić:
Kiedy powiadamiać:
Jak powiadomić:
O czym należy powiadomić:
OCENA REAKCJI I ODZYSKIWANIE W CELU ZAPOBIEGANIA PRZYSZŁYM NARUSZENIOM
Po podjęciu kroków w celu usunięcia naruszenia ochrony danych, Water2buy powinna przeanalizować przyczynę naruszenia i ocenić, czy istniejące środki i procesy ochrony i zapobiegania są wystarczające, aby zapobiec występowaniu podobnych naruszeń, oraz, w stosownych przypadkach, położyć kres praktykom, które doprowadziły do naruszenia naruszenie danych.
Kwestie operacyjne i związane z polityką:
Problemy związane z zasobami:
Kwestie związane z pracownikami:
Kwestie związane z zarządzaniem:
Monitorowanie
Wszyscy muszą przestrzegać tej polityki.
Konsekwencje nieprzestrzegania
Bardzo poważnie traktujemy zgodność z tą polityką. Nieprzestrzeganie tego naraża Ciebie i organizację na ryzyko.
Znaczenie tej polityki oznacza, że niespełnienie któregokolwiek z wymagań może prowadzić do postępowania dyscyplinarnego w ramach naszych procedur, które może skutkować zwolnieniem.