Polityka dotycząca naruszenia danych – Water2Buy

Wprowadzenie

Niniejsza Polityka i Plan ma na celu pomóc Water2buy w skutecznym zarządzaniu naruszeniami danych osobowych. Water2buy przechowuje dane osobowe naszych użytkowników, pracowników, klientów, dostawców i innych osób do różnych celów biznesowych.

Water2buy przywiązuje wagę nie tylko do litery prawa, ale także do ducha prawa i przywiązuje dużą wagę do prawidłowego, zgodnego z prawem i uczciwego postępowania ze wszystkimi danymi osobowymi, z poszanowaniem praw, prywatności i zaufania wszystkich osób, z którymi dotyczy.

Naruszenie danych zasadniczo odnosi się do nieuprawnionego dostępu i odzyskiwania informacji, które mogą obejmować dane firmowe i / lub dane osobowe. Naruszenie danych jest powszechnie uznawane za jedną z bardziej kosztownych awarii zabezpieczeń organizacji. Mogą prowadzić do strat finansowych i spowodować utratę zaufania konsumentów do Water2buy lub naszych klientów.

Przepisy obowiązujące w różnych jurysdykcjach, w których działa Water2buy, wymagają od Water2buy podjęcia rozsądnych środków bezpieczeństwa w celu ochrony danych osobowych, które posiadamy lub kontrolujemy, aby zapobiec nieautoryzowanemu dostępowi, gromadzeniu, wykorzystywaniu, ujawnianiu lub podobnym zagrożeniom.

Zakres

Ta zasada dotyczy wszystkich pracowników. Musisz zapoznać się z tą polityką i przestrzegać jej warunków. Niniejsza polityka stanowi uzupełnienie innych naszych zasad dotyczących korzystania z Internetu i poczty e-mail. Od czasu do czasu możemy uzupełniać lub zmieniać tę politykę, wprowadzając dodatkowe zasady i wytyczne. Każda nowa lub zmodyfikowana polityka zostanie przekazana personelowi przed przyjęciem.

Trening

Wszyscy pracownicy przejdą szkolenie w zakresie tej polityki. Nowy personel przejdzie szkolenie w ramach procesu wprowadzającego. Dalsze szkolenia będą odbywać się co najmniej raz w roku lub w przypadku istotnej zmiany prawa lub naszej polityki i procedur.

Szkolenie odbywa się w ramach seminarium wewnętrznego i szkolenia online raz do roku i obejmuje obowiązujące przepisy dotyczące ochrony danych oraz ochrony danych Water2buy i powiązanych polityk i procedur.

Ukończenie szkolenia jest obowiązkowe.

OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH UE (UE) 2016/679 (RODO)

Rozporządzenie ma również zastosowanie do organizacji mających siedzibę poza Unią Europejską, jeżeli zbierają lub przetwarzają dane osobowe mieszkańców UE.

Według Komisji Europejskiej dane osobowe to: „wszelkie informacje dotyczące osoby fizycznej, bez względu na to, czy dotyczą jej życia prywatnego, zawodowego czy publicznego. Mogą to być dowolne dane, od imienia i nazwiska, adresu domowego, zdjęcia, adresu e-mail , dane bankowe, posty w serwisach społecznościowych, informacje medyczne lub adres IP komputera ”.

Dane osobiste

Water2buy definiuje Dane Osobowe jako szerszą z definicji zawartych w RODO.

Water2buy definiuje Wrażliwe Dane Osobowe jako szersze z definicji zawartych w RODO.

Każde wykorzystanie wrażliwych danych osobowych podlega ścisłej kontroli zgodnie z niniejszą polityką.

Podczas gdy niektóre dane zawsze będą odnosić się do osoby fizycznej, inne dane mogą same w sobie nie odnosić się do osoby. Takie dane nie stanowią Danych Osobowych, chyba że są powiązane lub odnoszące się do konkretnej osoby.

Informacje ogólne, które nie dotyczą konkretnej osoby, mogą również stanowić część Danych Osobowych osoby fizycznej w połączeniu z Danymi Osobowymi lub innymi informacjami umożliwiającymi identyfikację osoby.

Dane zbiorcze nie są danymi osobowymi.

Water2buy gromadzi dane osobowe w dwóch celach, aby zidentyfikować i chronić dane przekazane nam przez naszych klientów oraz do operacji wewnętrznych.

Dane osobowe do coachingu zdrowotnego dotyczą możliwych do zidentyfikowania indywidualnych użytkowników i mogą obejmować:

Informacje z profilu użytkownika, takie jak imię i nazwisko, adres, numer telefonu komórkowego i osobisty adres e-mail;
Wiadomości między użytkownikami a naszym działem obsługi klienta.

Dane osobowe, które gromadzimy do wewnętrznych celów operacyjnych, dotyczą możliwych do zidentyfikowania osób, takich jak osoby ubiegające się o pracę, obecni i byli pracownicy, pracownicy kontraktowi i inni, klienci, dostawcy i kontakty marketingowe, a gromadzone dane mogą obejmować dane kontaktowe osób, wykształcenie, finanse i szczegóły wynagrodzenia, szczegóły świadectw i dyplomów, wykształcenie i umiejętności, stan cywilny, narodowość, stanowisko i CV.

Przyczyny

Naruszenie danych może być spowodowane przez pracowników, osoby spoza organizacji lub błędy systemu komputerowego.

Ludzki błąd
Przyczyny błędu ludzkiego obejmują:

Utrata urządzeń komputerowych (przenośnych lub innych), nośników danych lub papierowych zapisów zawierających dane osobowe
Ujawnienie danych niewłaściwemu odbiorcy
Obchodzenie się z danymi w sposób nieuprawniony (np .: pobranie lokalnej kopii danych osobowych)
Nieuprawniony dostęp lub ujawnienie danych osobowych przez pracowników (np .: udostępnienie loginu)
Niewłaściwa utylizacja danych osobowych (np .: dysk twardy, nośnik danych lub dokumenty papierowe zawierające dane osobowe sprzedane lub wyrzucone przed prawidłowym usunięciem danych)

Szkodliwe działania
Złośliwe przyczyny obejmują:

Incydenty hakerskie / Nielegalny dostęp do baz danych zawierających dane osobowe
Hakowanie w celu uzyskania dostępu do nieautoryzowanych danych za pośrednictwem aplikacji coachingowej lub interfejsu API
Kradzież urządzeń komputerowych (przenośnych lub innych), urządzeń do przechowywania danych lub papierowych zapisów zawierających dane osobowe
Oszustwa, które nakłaniają pracowników Water2buy do ujawnienia danych osobowych osób

Błąd systemu komputera
Przyczyny błędów systemu komputerowego obejmują:

Błędy lub błędy w aplikacji Water2buy lub API
Awaria usług chmurowych, przetwarzania w chmurze lub systemów bezpieczeństwa / uwierzytelniania / autoryzacji przechowywania w chmurze

Zgłaszanie naruszeń

Wszyscy pracownicy mają obowiązek zgłaszania faktycznych lub potencjalnych niezgodności z przepisami w zakresie ochrony danych. To pozwala nam:

Zbadaj awarię i w razie potrzeby podejmij kroki naprawcze
Prowadź rejestr błędów zgodności
Powiadamianie organu nadzorczego o wszelkich uchybieniach w zakresie zgodności, które są istotne same w sobie lub stanowią część wzorca błędów

Zgodnie z RODO IOD jest prawnie zobowiązany do powiadomienia organu nadzorczego w ciągu 72 godzin od naruszenia danych (art.33). Osoby fizyczne muszą być powiadamiane w przypadku stwierdzenia negatywnego wpływu (art. 34). Ponadto Water2buy musi bez zbędnej zwłoki powiadomić wszystkich poszkodowanych klientów po uzyskaniu informacji o naruszeniu ochrony danych osobowych (artykuł 33).

Jednak Water2buy nie musi powiadamiać osób, których dane dotyczą, w przypadku naruszenia anonimowych danych. W szczególności powiadomienie osób, których dane dotyczą, nie jest wymagane, jeżeli administrator danych wdrożył techniki pseudoanonimizacji, takie jak szyfrowanie, wraz z odpowiednimi technicznymi i organizacyjnymi środkami ochrony danych osobowych, których dotyczy naruszenie danych (art. 34).

Naruszenie danych

Zespół ds. Naruszenia danych powinien zostać natychmiast powiadomiony o każdym potwierdzonym lub podejrzewanym naruszeniu danych.

Powiadomienie powinno zawierać następujące informacje, o ile są dostępne:

Zakres naruszenia danych
Rodzaj i ilość danych osobowych, których to dotyczy
Przyczyna lub podejrzewana przyczyna naruszenia
Czy naruszenie zostało naprawione
Środki i procesy, które organizacja wprowadziła w momencie naruszenia
Informacje, czy osoby dotknięte naruszeniem ochrony danych zostały powiadomione, a jeśli nie, kiedy organizacja zamierza to zrobić
Dane kontaktowe personelu Water2buy, z którym organ nadzorczy może kontaktować się w celu uzyskania dalszych informacji lub wyjaśnień

Jeżeli konkretne informacje o naruszeniu danych nie są jeszcze dostępne, Water2buy powinno wysłać tymczasowe powiadomienie zawierające krótki opis incydentu.

Powiadomienia dokonane przez organizacje lub brak powiadomienia, a także to, czy organizacje mają wdrożone odpowiednie procedury odzyskiwania danych, będą miały wpływ na decyzje organów nadzorujących, czy organizacja w uzasadniony sposób chroniła dane osobowe, które są w jej posiadaniu lub pod jej kontrolą.

Reagowanie na naruszenie danych

PLAN ZARZĄDZANIA NARUSZENIEM DANYCH

Po otrzymaniu powiadomienia o (podejrzewanym lub potwierdzonym) naruszeniu danych zespół ds. Naruszenia danych powinien niezwłocznie aktywować plan na wypadek naruszenia danych i reagowania.

Plan zarządzania i reagowania na naruszenie danych Water2buy to:

Potwierdź naruszenie
Powstrzymaj naruszenie
Oceń ryzyko i wpływ
Zgłoś incydent
Oceń reakcję i odzyskanie, aby zapobiec przyszłym naruszeniom

POTWIERDŹ NARUSZENIE

Zespół ds. Naruszenia danych (DBT) powinien działać, gdy tylko dowie się o naruszeniu danych. W miarę możliwości powinien najpierw potwierdzić, że doszło do naruszenia danych. W zależności od prawdopodobieństwa powagi ryzyka, rozsądne może być, aby DBT kontynuowało Zawarcie naruszenia na podstawie niepotwierdzonego zgłoszonego naruszenia danych.

ZAWIERAĆ NARUSZENIE

DBT powinien rozważyć następujące środki w celu powstrzymania naruszenia, w stosownych przypadkach:

Zamknij zaatakowany system, który doprowadził do naruszenia bezpieczeństwa danych.
Ustal, czy można podjąć kroki w celu odzyskania utraconych danych i ograniczenia szkód spowodowanych naruszeniem. (np. zdalne wyłączanie / czyszczenie utraconego notatnika zawierającego dane osobowe osób).
Zapobiegaj dalszemu nieautoryzowanemu dostępowi do systemu.
Zresetuj hasła, jeśli ktoś włamał się na konta i / lub hasła.
Wyizoluj przyczyny naruszenia bezpieczeństwa danych w systemie i tam, gdzie ma to zastosowanie, zmień prawa dostępu do zaatakowanego systemu i usuń zewnętrzne połączenia z systemem.

OCENA RYZYKA I SKUTKÓW

Znajomość zagrożeń i skutków naruszenia ochrony danych pomoże Water2buy określić, czy mogą wystąpić poważne konsekwencje dla osób, których to dotyczy, a także podjąć kroki niezbędne do powiadomienia tych osób.

Ryzyko i wpływ na osoby fizyczne

Ile osób zostało dotkniętych?
Wyższa liczba może nie oznaczać wyższego ryzyka, ale ocena tego pomaga w ogólnej ocenie ryzyka.
Czyje dane osobowe zostały naruszone?
Czy dane osobowe należą do pracowników, klientów lub nieletnich? Różne osoby będą narażone na różne poziomy ryzyka w wyniku utraty danych osobowych.
Jakie rodzaje danych osobowych były objęte?
Pomoże to ustalić, czy istnieje ryzyko utraty reputacji, kradzieży tożsamości, bezpieczeństwa i / lub strat finansowych poszkodowanych osób.
Czy wdrożono jakieś dodatkowe środki w celu zminimalizowania skutków naruszenia ochrony danych? np .: zgubione urządzenie chronione silnym hasłem lub szyfrowaniem może zmniejszyć skutki naruszenia bezpieczeństwa danych.

Ryzyko i wpływ na organizacje

Co spowodowało naruszenie danych?
Ustalenie, w jaki sposób doszło do naruszenia (w wyniku kradzieży, wypadku, nieuprawnionego dostępu itp.) Pomoże zidentyfikować natychmiastowe kroki, które należy podjąć w celu powstrzymania naruszenia i przywrócenia zaufania publicznego do produktu lub usługi.
Kiedy i jak często dochodziło do naruszenia?
Zbadanie tego pomoże Water2buy lepiej zrozumieć naturę naruszenia (np. Złośliwe lub przypadkowe).
Kto może uzyskać dostęp do zagrożonych danych osobowych?
Pozwoli to ustalić, w jaki sposób można wykorzystać zagrożone dane. W szczególności osoby, których dane dotyczą, muszą zostać powiadomione, jeśli dane osobowe zostaną pozyskane przez osobę nieuprawnioną.
Czy naruszone dane wpłyną na transakcje z innymi stronami trzecimi?
Ustalenie tego pomoże określić, czy należy powiadomić inne organizacje.

ZGŁOŚ ZDARZENIE

Water2buy jest prawnie zobowiązany do powiadamiania osób, których dane dotyczą, w przypadku naruszenia ich danych osobowych. Zachęci to osoby do podjęcia środków zapobiegawczych w celu zmniejszenia wpływu naruszenia danych, a także pomoże Water2buy odbudować zaufanie konsumentów.

Kogo powiadomić:

Powiadom osoby, których dane osobowe zostały naruszone.
W stosownych przypadkach powiadomić inne osoby trzecie, takie jak banki, firmy obsługujące karty kredytowe lub policję.
Powiadom RODO, zwłaszcza jeśli naruszenie danych dotyczy wrażliwych danych osobowych.
Należy powiadomić odpowiednie władze (np. Policję), jeśli podejrzewa się działalność przestępczą, a dowody do śledztwa powinny zostać zachowane (np. Włamanie, kradzież lub nieuprawniony dostęp pracownika do systemu).

Kiedy powiadamiać:

Natychmiast powiadamiaj osoby, których to dotyczy, jeśli naruszenie danych dotyczy wrażliwych danych osobowych. Pozwala im to na wczesne podjęcie niezbędnych działań, aby uniknąć potencjalnego nadużycia danych, które zostały naruszone.
Powiadom osoby dotknięte problemem, gdy naruszenie danych zostanie rozwiązane

Jak powiadomić:

Skorzystaj z najskuteczniejszych sposobów dotarcia do osób dotkniętych chorobą, biorąc pod uwagę pilność sytuacji i liczbę osób dotkniętych (np. Komunikaty prasowe, media społecznościowe, komunikatory mobilne, SMS-y, e-maile, telefony).
Powiadomienia powinny być proste do zrozumienia, szczegółowe i zawierać jasne instrukcje dotyczące tego, co osoby mogą zrobić, aby się chronić.

O czym należy powiadomić:

Jak i kiedy doszło do naruszenia ochrony danych oraz rodzaje danych osobowych, których dotyczy naruszenie.

Co Water2buy zrobił lub będzie robił w odpowiedzi na ryzyko związane z naruszeniem danych.
Konkretne fakty dotyczące naruszenia danych, w stosownych przypadkach, oraz działania, które mogą podjąć osoby, aby zapobiec niewłaściwemu wykorzystaniu lub nadużyciu tych danych.
Dane kontaktowe oraz sposób, w jaki osoby dotknięte chorobą mogą skontaktować się z organizacją w celu uzyskania dalszych informacji lub pomocy (np. Numery telefonów zaufania, adresy e-mail lub strony internetowe).

OCENA REAKCJI I ODZYSKIWANIE W CELU ZAPOBIEGANIA PRZYSZŁYM NARUSZENIOM

Po podjęciu kroków w celu usunięcia naruszenia ochrony danych, Water2buy powinna przeanalizować przyczynę naruszenia i ocenić, czy istniejące środki i procesy ochrony i zapobiegania są wystarczające, aby zapobiec występowaniu podobnych naruszeń, oraz, w stosownych przypadkach, położyć kres praktykom, które doprowadziły do naruszenia naruszenie danych.

Kwestie operacyjne i związane z polityką:

Czy regularnie przeprowadzano audyty środków bezpieczeństwa fizycznego i informatycznego?
Czy istnieją procesy, które można usprawnić lub wprowadzić, aby ograniczyć szkody w przypadku przyszłych naruszeń lub zapobiec nawrotowi?
Czy istnieją słabości w istniejących środkach bezpieczeństwa, takich jak stosowanie przestarzałego oprogramowania i środków ochrony, czy też słabości w korzystaniu z przenośnych urządzeń pamięci masowej, sieci lub łączności z Internetem?
Czy metody uzyskiwania dostępu do danych osobowych i ich przekazywania były wystarczająco bezpieczne, np .: dostęp ograniczony tylko do upoważnionego personelu?
Czy należy ulepszyć usługi wsparcia stron zewnętrznych, takich jak dostawcy i partnerzy, w celu lepszej ochrony danych osobowych?
Czy obowiązki dostawców i partnerów zostały jasno określone w odniesieniu do przetwarzania danych osobowych?
Czy istnieje potrzeba opracowania nowych scenariuszy naruszenia danych?

Problemy związane z zasobami:

Czy przydzielono wystarczające zasoby do zarządzania naruszeniem danych?

Czy należy zaangażować zasoby zewnętrzne, aby lepiej zarządzać takimi incydentami?
Czy kluczowy personel otrzymał wystarczające zasoby do zarządzania incydentem?

Kwestie związane z pracownikami:

Czy pracownicy byli świadomi kwestii związanych z bezpieczeństwem?
Czy przeprowadzono szkolenie z zakresu ochrony danych osobowych i umiejętności zarządzania incydentami?
Czy pracownicy zostali poinformowani o naruszeniu danych i punktach uczenia się wynikających z incydentu?

Kwestie związane z zarządzaniem:

W jaki sposób kierownictwo było zaangażowane w zarządzanie naruszeniem danych?
Czy podczas zarządzania naruszeniem danych istniała jasna linia odpowiedzialności i komunikacji?

Monitorowanie

Wszyscy muszą przestrzegać tej polityki.

Konsekwencje nieprzestrzegania

Bardzo poważnie traktujemy zgodność z tą polityką. Nieprzestrzeganie tego naraża Ciebie i organizację na ryzyko.

Znaczenie tej polityki oznacza, że niespełnienie któregokolwiek z wymagań może prowadzić do postępowania dyscyplinarnego w ramach naszych procedur, które może skutkować zwolnieniem.