Zásady ochrany osobních údajů
Úvod
Cílem těchto zásad a plánu je pomoci společnosti Water2buy efektivně řídit narušení osobních údajů. Water2buy uchovává osobní údaje o našich uživatelích, zaměstnancích, klientech, dodavatelích a dalších jednotlivcích pro různé obchodní účely.
Water2buy se zavazuje nejen dodržovat literu zákona, ale také ducha zákona a klade vysoký důraz na správné, zákonné a spravedlivé nakládání se všemi osobními údaji, respektující zákonná práva, soukromí a důvěru všech jednotlivci, se kterými jedná.
Porušením ochrany dat se obecně rozumí neoprávněný přístup a získávání informací, které mohou zahrnovat firemní a/nebo osobní údaje. Úniky dat jsou obecně považovány za jedno z nejdražších bezpečnostních selhání organizací. Mohly by vést k finančním ztrátám a způsobit, že spotřebitelé ztratí důvěru ve Water2buy nebo naše klienty.
Předpisy v různých jurisdikcích, ve kterých Water2buy působí, vyžadují, aby Water2buy provedla přiměřená bezpečnostní opatření k ochraně osobních údajů, které vlastníme nebo kontrolujeme, aby zabránila neoprávněnému přístupu, shromažďování, použití, zveřejnění nebo podobným rizikům.
Rozsah
Tyto zásady platí pro všechny zaměstnance. Musíte být obeznámeni s těmito zásadami a dodržovat jejich podmínky. Tyto zásady doplňují naše další zásady týkající se používání internetu a e-mailu. Čas od času můžeme tyto zásady doplnit nebo upravit dalšími zásadami a pokyny. Jakékoli nové nebo upravené zásady budou před přijetím rozeslány zaměstnancům.
Školení
Všichni zaměstnanci absolvují školení o těchto zásadách. Noví zaměstnanci absolvují školení v rámci zaváděcího procesu. Další školení bude poskytováno minimálně každý rok nebo kdykoli dojde k podstatné změně zákona nebo naší politiky a postupu.
Školení je poskytováno prostřednictvím interního semináře a online školení na roční bázi a zahrnuje platné zákony týkající se ochrany údajů a ochrany údajů společnosti Water2buy a související zásady a postupy.
Absolvování školení je povinné.
OBECNÉ NAŘÍZENÍ EU O OCHRANĚ ÚDAJŮ (EU) 2016/679 (GDPR)
Nařízení se vztahuje také na organizace se sídlem mimo Evropskou unii, pokud shromažďují nebo zpracovávají osobní údaje obyvatel EU.
Podle Evropské komise jsou osobní údaje: „jakékoli informace týkající se jednotlivce, ať už se týkají jeho soukromého, profesního nebo veřejného života. Může to být cokoli od jména, domácí adresy, fotografie, e-mailové adresy, bankovních údajů, příspěvků na webových stránkách sociálních sítí, lékařských informací nebo IP adresy počítače. "
."Osobní údaje
Water2buy definuje Osobní údaje jako širší z definic obsažených v GDPR.
Water2buy definuje citlivé osobní údaje jako širší z definic obsažených v GDPR.
Jakékoli použití citlivých osobních údajů musí být přísně kontrolováno v souladu s těmito zásadami.
Zatímco některé údaje se budou vždy týkat jednotlivce, jiné údaje se samy o sobě nemusejí týkat jednotlivce. Takové údaje nebudou představovat osobní údaje, pokud nejsou spojeny s konkrétní osobou nebo s ní nejsou spojeny.
Obecné informace, které se netýkají konkrétního jednotlivce, mohou také tvořit součást osobních údajů jednotlivce, pokud jsou kombinovány s osobními údaji nebo jinými informacemi umožňujícími identifikaci jednotlivce.
Agregovaná data nejsou osobními údaji.
Water2buy shromažďuje osobní údaje pro dva účely, pro identifikaci a ochranu údajů, které nám poskytli naši zákazníci, a pro interní operace.
Osobní údaje pro zdravotní koučování se týkají identifikovatelných jednotlivých uživatelů a mohou zahrnovat:
- Informace o uživatelském profilu, jako je celé jméno, adresa, číslo mobilního telefonu a osobní e-mailová adresa;
- Zprávy mezi uživateli a naším zákaznickým servisem.
Osobní údaje, které shromažďujeme pro interní provozní účely, se týkají identifikovatelných osob, jako jsou uchazeči o zaměstnání, současní a bývalí zaměstnanci, smluvní a jiní zaměstnanci, klienti, dodavatelé a marketingové kontakty a shromážděné údaje mohou zahrnovat kontaktní údaje jednotlivců, vzdělávací pozadí, finanční a platové údaje, podrobnosti o certifikátech a diplomech, vzdělání a dovednosti, rodinný stav, národnost, pracovní zařazení a životopis.
Příčiny
Porušení dat může být způsobeno zaměstnanci, stranami mimo organizaci nebo chybami počítačového systému.
Human Error
Příčiny lidských chyb zahrnují:
- Ztráta počítačových zařízení (přenosných nebo jiných), zařízení pro ukládání dat nebo papírových záznamů obsahujících osobní údaje
- Prozrazení dat nesprávnému příjemci
- Nakládání s daty neoprávněným způsobem (např.: stahování místní kopie osobních údajů)
- Neoprávněný přístup nebo zpřístupnění osobních údajů zaměstnanci (např.: sdílení přihlašovacích údajů)
- Nesprávná likvidace osobních údajů (např.: pevný disk, paměťová média nebo papírové dokumenty obsahující osobní údaje prodané nebo vyřazené před řádným smazáním dat)
Škodlivé aktivity
Škodlivé příčiny zahrnují:
- Incidenty hackerů / Nelegální přístup k databázím obsahujícím osobní údaje
- Hacking pro přístup k neoprávněným datům prostřednictvím aplikace Coaching nebo API
- Krádež počítačových zařízení (přenosných nebo jiných), zařízení pro ukládání dat nebo papírových záznamů obsahujících osobní údaje
- Podvody, které oklamou zaměstnance Water2buy, aby zveřejnili osobní údaje jednotlivců
Chyba systému počítače
Příčiny systémových chyb počítače zahrnují:
- Chyby nebo chyby v aplikaci Water2buy‘ nebo API
- Selhání cloudových služeb, cloud computingu nebo systémů zabezpečení / ověřování / autorizace cloudového úložiště
Hlášení porušení
Všichni zaměstnanci mají povinnost hlásit skutečné nebo potenciální selhání ochrany údajů. To nám umožňuje:
- Prozkoumejte poruchu a v případě potřeby podnikněte kroky k nápravě
- Udržujte registr selhání shody
- Oznamte dozorčímu úřadu jakákoli selhání shody, která jsou podstatná buď sama o sobě, nebo jako součást vzoru selhání
Podle GDPR je DPO ze zákona povinen informovat dozorový úřad do 72 hodin od porušení ochrany údajů (článek 33). Jednotlivci musí být informováni, pokud je zjištěn nepříznivý dopad (článek 34). Kromě toho musí Water2buy bez zbytečného odkladu poté, co se o porušení ochrany osobních údajů dozví, informovat všechny dotčené klienty (článek 33).
Water2buy však nemusí informovat subjekty údajů, pokud dojde k porušení anonymizovaných údajů. Konkrétně se oznámení subjektům údajů nevyžaduje, pokud správce údajů zavedl techniky pseudoanonymizace, jako je šifrování, spolu s odpovídajícími technickými a organizačními opatřeními na ochranu osobních údajů dotčených porušením ochrany údajů (článek 34).
Narušení dat
Tým pro narušení dat by měl být okamžitě upozorněn na jakékoli potvrzené nebo podezření na narušení dat.
Oznámení by mělo obsahovat následující informace, jsou-li k dispozici:
- Rozsah úniku dat
- Typ a objem dotčených osobních údajů
- Příčina nebo předpokládaná příčina porušení
- Zda bylo porušení napraveno
- Opatření a procesy, které organizace zavedla v době porušení
- Informace o tom, zda dotčení jednotlivci byli o narušení bezpečnosti informováni, a pokud ne, kdy tak organizace zamýšlí učinit
- Kontaktní údaje zaměstnanců Water2buy, s nimiž může orgán dozoru kontaktovat další informace nebo objasnění
Pokud konkrétní informace o narušení dat ještě nejsou k dispozici, měl by Water2buy zaslat prozatímní oznámení obsahující stručný popis incidentu.
Oznámení ze strany organizací nebo chybějící oznámení, stejně jako to, zda organizace mají zavedeny adekvátní postupy obnovy, ovlivní rozhodnutí dohlížejících orgánů o tom, zda organizace přiměřeně chránila osobní údaje, které má pod kontrolou nebo v držení.
Reakce na narušení dat
PLÁN ŘÍZENÍ PORUŠENÍ DAT
Po upozornění na (podezření nebo potvrzené) narušení dat by tým pro narušení dat měl okamžitě aktivovat plán narušení a reakce na porušení dat.
Řízení narušení dat a plán reakce společnosti Water2buy je:
- Potvrďte porušení
- Obsahovat porušení
- Posuďte rizika a dopad
- Nahlásit incident
- Vyhodnoťte reakci a zotavení, abyste předešli budoucím porušením
POTVRDIT PORUŠENÍ
Tým pro narušení dat (DBT) by měl jednat, jakmile si je vědom narušení dat. Pokud je to možné, měl by nejprve potvrdit, že došlo k narušení bezpečnosti údajů. Pro DBT může mít smysl, aby postup Contain the Breach pokračoval na základě nepotvrzeného nahlášeného porušení dat, v závislosti na pravděpodobnosti závažnosti rizika.
OBSAHUJTE PORUŠENÍ
DBT by měl zvážit následující opatření k omezení porušení, kde je to vhodné:
- Vypněte napadený systém, který vedl k narušení dat.
- Zjistěte, zda lze podniknout kroky k obnovení ztracených dat a omezit jakékoli škody způsobené porušením. (např.: vzdálené vypnutí / vymazání ztraceného notebooku obsahujícího osobní údaje jednotlivců. )
- Zabraňte dalšímu neoprávněnému přístupu do systému.
- Resetujte hesla, pokud byly prozrazeny účty a/nebo hesla.
- Izolujte příčiny narušení dat v systému a případně změňte přístupová práva k napadenému systému a odstraňte externí připojení k systému.
POSOUZIT RIZIKA A DOPAD
Znalost rizik a dopadu narušení dat pomůže společnosti Water2buy určit, zda by to mohlo mít vážné důsledky pro postižené jednotlivce, a také kroky nezbytné k oznámení dotčeným jednotlivcům.
Riziko a dopad na jednotlivce
- Kolik lidí bylo postiženo?
Větší číslo nemusí znamenat vyšší riziko, ale toto posouzení pomáhá celkovému hodnocení rizika. - Čí osobní údaje byly porušeny?
Patřují osobní údaje zaměstnancům, zákazníkům nebo nezletilým? Různí lidé budou čelit různým úrovním rizika v důsledku ztráty osobních údajů. - O jaké typy osobních údajů se jednalo?
To pomůže zjistit, zda existuje riziko pro pověst, krádež identity, bezpečnost a/nebo finanční ztrátu dotčených osob. - Jsou zavedena nějaká další opatření k minimalizaci dopadu úniku dat? např.: ztracené zařízení chráněné silným heslem nebo šifrováním by mohlo snížit dopad narušení dat.
Riziko a dopad na organizace
- Co způsobilo narušení dat?
Určení, jak k narušení došlo (krádeží, nehodou, neoprávněným přístupem atd. ) pomůže identifikovat okamžité kroky, které je třeba podniknout k omezení narušení a obnovení důvěry veřejnosti v produkt nebo službu. - Kdy a jak často k porušení došlo?
Prozkoumání této skutečnosti pomůže společnosti Water2buy lépe porozumět povaze porušení (např. G zlomyslné nebo náhodné). - Kdo může získat přístup ke kompromitovaným osobním údajům?
Tím se zjistí, jak by mohla být kompromitovaná data použita. Zejména musí být dotčené osoby informovány, pokud osobní údaje získá neoprávněná osoba. - Ovlivní kompromitovaná data transakce s jinými třetími stranami?
Toto určení pomůže určit, zda je třeba upozornit další organizace.
NAHLÁŠTE UDÁLOST
Water2buy je ze zákona povinna informovat dotčené jednotlivce, pokud byly porušeny jejich osobní údaje. To povzbudí jednotlivce, aby přijali preventivní opatření ke snížení dopadu úniku dat, a také pomůže Water2buy znovu vybudovat důvěru spotřebitelů.
Koho upozornit:
- Upozorněte jednotlivce, jejichž osobní údaje byly ohroženy.
- V případě potřeby informujte další třetí strany, jako jsou banky, společnosti vydávající kreditní karty nebo policii.
- Upozorněte na GDPR, zejména pokud se porušení ochrany osobních údajů týká citlivých osobních údajů.
- Příslušné orgány (např. policie) by měly být informovány, pokud existuje podezření na trestnou činnost, a měly by být zachovány důkazy pro vyšetřování (např.: hackování, krádež nebo neoprávněný přístup zaměstnance do systému. )
Kdy upozornit:
- Okamžitě informujte dotčené osoby, pokud se porušení zabezpečení dat týká citlivých osobních údajů. To jim umožňuje včas podniknout nezbytné kroky, aby se zabránilo možnému zneužití kompromitovaných dat.
- Upozornit dotčené osoby, až bude porušení zabezpečení dat vyřešeno
Jak upozornit:
- Používejte nejúčinnější způsoby, jak oslovit postižené osoby, s ohledem na naléhavost situace a počet postižených jedinců (např. G mediální zprávy, sociální média, mobilní zprávy, SMS, e-maily, telefonní hovory).
- Oznámení by měla být snadno srozumitelná, konkrétní a měla by poskytovat jasné pokyny, co mohou jednotlivci udělat, aby se ochránili.
Co upozornit:
- Jak a kdy došlo k porušení ochrany osobních údajů a typy osobních údajů, kterých se porušení zabezpečení týká.
- Co Water2buy udělal nebo bude dělat v reakci na rizika způsobená únikem dat.
- Konkrétní fakta o porušení zabezpečení údajů, kde je to vhodné, a opatření, která mohou jednotlivci podniknout, aby zabránili zneužití těchto údajů.
- Kontaktní údaje a způsob, jak mohou postižení jednotlivci kontaktovat organizaci pro další informace nebo pomoc (např. G čísla linek pomoci, e-mailové adresy nebo webové stránky).
VYHODNOTE ODPOVĚĎ A OBNOVENÍ, ABYSTE PŘEDEŠLI BUDOUCÍM PORUŠENÍM
Po přijetí kroků k vyřešení narušení dat by měl Water2buy přezkoumat příčinu narušení a vyhodnotit, zda stávající ochranná a preventivní opatření a procesy jsou dostatečné k tomu, aby zabránily podobným narušením, a případně ukončit praktiky, které vedlo k úniku dat.
Provozní problémy a problémy související se zásadami:
- Byly pravidelně prováděny audity fyzických i IT bezpečnostních opatření?
- Existují procesy, které lze zefektivnit nebo zavést, aby se omezily škody v případě budoucích porušení nebo aby se zabránilo opakování?
- Vyskytly se nedostatky ve stávajících bezpečnostních opatřeních, jako je použití zastaralého softwaru a ochranných opatření, nebo nedostatky v používání přenosných úložných zařízení, sítí nebo připojení k internetu?
- Byly způsoby přístupu k osobním údajům a jejich předávání dostatečně zabezpečené, např.: přístup omezen pouze na oprávněné osoby?
- Měly by být vylepšeny služby podpory od externích stran, jako jsou dodavatelé a partneři, aby lépe chránily osobní údaje?
- Byly jasně definovány povinnosti prodejců a partnerů ve vztahu k nakládání s osobními údaji?
- Je potřeba vyvinout nové scénáře narušení dat?
Problémy související se zdroji:
- Byly přiděleny dostatečné zdroje pro řízení úniku dat?
- Měly by být pro lepší řízení takových incidentů použity externí zdroje?
- Byly klíčovému personálu poskytnuty dostatečné zdroje pro řízení incidentu?
Problémy související se zaměstnanci:
- Byli si zaměstnanci vědomi problémů souvisejících se zabezpečením?
- Bylo poskytnuto školení o záležitostech ochrany osobních údajů a dovednostech v oblasti řízení incidentů?
- Byli zaměstnanci informováni o narušení dat a poučení z incidentu?
Problémy související se správou:
- Jak se vedení podílelo na řízení úniku dat?
- Byla během řízení úniku dat jasná linie odpovědnosti a komunikace?
Monitorování
Tuto zásadu musí dodržovat každý.
Důsledky nedodržení
Dodržování těchto zásad bereme velmi vážně. Nedodržení vystavuje riziku vás i organizaci.
Důležitost těchto zásad znamená, že nesplnění jakéhokoli požadavku může vést k disciplinárnímu řízení podle našich postupů, které může vést k propuštění.