Richtlinie zu Datenschutzverletzungen
Einführung
Diese Richtlinie und dieser Plan sollen Water2buy dabei helfen, Verstöße gegen den Schutz personenbezogener Daten effektiv zu bewältigen. Water2buy speichert personenbezogene Daten über unsere Benutzer, Mitarbeiter, Kunden, Lieferanten und andere Personen für verschiedene Geschäftszwecke.
Water2buy bekennt sich nicht nur zum Wortlaut des Gesetzes, sondern auch zum Geist des Gesetzes und legt großen Wert auf den korrekten, rechtmäßigen und fairen Umgang mit allen personenbezogenen Daten unter Wahrung der gesetzlichen Rechte, der Privatsphäre und des Vertrauens aller Personen, mit denen es zu tun hat.
Eine Datenschutzverletzung bezieht sich im Allgemeinen auf den unbefugten Zugriff und Abruf von Informationen, zu denen auch Unternehmens- und/oder personenbezogene Daten gehören können. Datenschutzverletzungen gelten allgemein als einer der kostspieligeren Sicherheitsmängel von Unternehmen. Sie könnten zu finanziellen Verlusten führen und dazu führen, dass Verbraucher das Vertrauen in Water2buy oder unsere Kunden verlieren.
Die Vorschriften in den verschiedenen Gerichtsbarkeiten, in denen Water2buy tätig ist, verlangen von Water2buy, angemessene Sicherheitsvorkehrungen zu treffen, um die personenbezogenen Daten, die wir besitzen oder kontrollieren, zu schützen und unbefugten Zugriff, unerlaubte Sammlung, Verwendung, Offenlegung oder ähnliche Risiken zu verhindern.
Bereich
Diese Richtlinie gilt für alle Mitarbeiter. Sie müssen mit dieser Richtlinie vertraut sein und ihre Bedingungen einhalten. Diese Richtlinie ergänzt unsere anderen Richtlinien in Bezug auf die Internet- und E-Mail-Nutzung. Wir können diese Richtlinie von Zeit zu Zeit durch zusätzliche Richtlinien und Richtlinien ergänzen oder ändern. Jede neue oder geänderte Richtlinie wird den Mitarbeitern vor ihrer Annahme mitgeteilt.
Training
Alle Mitarbeiter werden zu dieser Richtlinie geschult. Neue Mitarbeiter werden im Rahmen des Einarbeitungsprozesses geschult. Weitere Schulungen werden mindestens jedes Jahr oder immer dann angeboten, wenn sich das Gesetz oder unsere Richtlinien und Verfahren wesentlich ändern.
Die Schulung erfolgt im Rahmen eines internen Seminars und einer Online-Schulung auf jährlicher Basis und deckt die geltenden Gesetze zum Datenschutz sowie den Datenschutz von Water2buy und die damit verbundenen Richtlinien und Verfahren ab.
Der Abschluss der Ausbildung ist obligatorisch.
EU-ALLGEMEINE DATENSCHUTZVERORDNUNG (EU) 2016/679 (DSGVO)
Die Verordnung gilt auch für Organisationen mit Sitz außerhalb der Europäischen Union, wenn sie personenbezogene Daten von EU-Bürgern erheben oder verarbeiten.
Nach Angaben der Europäischen Kommission sind personenbezogene Daten: „alle Informationen, die sich auf eine Person beziehen, unabhängig davon, ob sie sich auf deren privates, berufliches oder öffentliches Leben beziehen. Dabei kann es sich um einen Namen, eine Privatadresse, ein Foto, eine E-Mail-Adresse, Bankdaten, Beiträge in sozialen Netzwerken, medizinische Informationen oder die IP-Adresse eines Computers handeln.”
Personenbezogene Daten
Water2buy definiert personenbezogene Daten als die weiter gefasste Definition der DSGVO.
Water2buy definiert „sensible personenbezogene Daten“ als die umfassendere der in der DSGVO enthaltenen Definitionen.
Jede Verwendung sensibler personenbezogener Daten muss gemäß dieser Richtlinie streng kontrolliert werden.
Während sich einige Daten immer auf eine Einzelperson beziehen, beziehen sich andere Daten für sich genommen möglicherweise nicht auf eine Einzelperson. Bei solchen Daten handelt es sich nicht um personenbezogene Daten, es sei denn, sie sind einer bestimmten Person zugeordnet oder auf diese bezogen.
Allgemeine Informationen, die sich nicht auf eine bestimmte Person beziehen, können auch Teil der personenbezogenen Daten einer Person sein, wenn sie mit personenbezogenen Daten oder anderen Informationen kombiniert werden, um eine Identifizierung einer Person zu ermöglichen.
Aggregierte Daten sind keine personenbezogenen Daten.
Water2buy erfasst personenbezogene Daten zu zwei Zwecken: zur Identifizierung und zum Schutz der uns von unseren Kunden zur Verfügung gestellten Daten sowie für interne Abläufe.
Personenbezogene Daten für Gesundheitscoaching beziehen sich auf identifizierbare einzelne Benutzer und können Folgendes umfassen:
- Benutzerprofilinformationen wie vollständiger Name, Adresse, Mobiltelefonnummer und persönliche E-Mail-Adresse;
- Nachrichten zwischen Benutzern und unserem Kundenservice.
Personenbezogene Daten, die wir für interne Betriebszwecke erfassen, beziehen sich auf identifizierbare Personen wie Stellenbewerber, aktuelle und ehemalige Mitarbeiter, Vertrags- und andere Mitarbeiter, Kunden, Lieferanten und Marketingkontakte. Die erfassten Daten können Kontaktdaten und Bildungsdaten von Personen umfassen Hintergrund, Finanz- und Gehaltsdaten, Einzelheiten zu Zertifikaten und Diplomen, Ausbildung und Fähigkeiten, Familienstand, Nationalität, Berufsbezeichnung und Lebenslauf.
Ursachen
Datenverstöße können durch Mitarbeiter, Parteien außerhalb der Organisation oder Computersystemfehler verursacht werden.
Menschlicher Fehler
Zu den Ursachen menschlicher Fehler gehören:
- Verlust von Computergeräten (tragbar oder anderweitig), Datenspeichergeräten oder Papierunterlagen mit personenbezogenen Daten
- Weitergabe von Daten an einen falschen Empfänger
- Unberechtigter Umgang mit Daten (z. B. Herunterladen einer lokalen Kopie personenbezogener Daten)
- Unbefugter Zugriff oder Offenlegung personenbezogener Daten durch Mitarbeiter (z. B. Weitergabe eines Logins)
- Unsachgemäße Entsorgung personenbezogener Daten (z. B. Festplatte, Speichermedien oder Papierdokumente mit personenbezogenen Daten werden verkauft oder entsorgt, bevor die Daten ordnungsgemäß gelöscht werden)
Böswillige Aktivitäten
Zu den böswilligen Ursachen gehören:
- Hacking-Vorfälle / illegaler Zugriff auf Datenbanken mit personenbezogenen Daten
- Hacking, um über die Coaching-App oder API auf nicht autorisierte Daten zuzugreifen
- Diebstahl von Computergeräten (tragbar oder anderweitig), Datenspeichergeräten oder Papierunterlagen mit personenbezogenen Daten
- Betrügereien, die Mitarbeiter von Water2buy dazu verleiten, personenbezogene Daten von Einzelpersonen preiszugeben
Computersystemfehler
Zu den Ursachen von Computersystemfehlern gehören:
- Fehler oder Bugs in der Water2buy-Anwendung oder API
- Versagen von Cloud-Diensten, Cloud-Computing oder Cloud-Speicher-Sicherheits-/Authentifizierungs-/Autorisierungssystemen
Verstöße melden
Alle Mitarbeiter sind verpflichtet, tatsächliche oder potenzielle Verstöße gegen die Einhaltung des Datenschutzes zu melden. Dies ermöglicht uns:
- Untersuchen Sie den Fehler und ergreifen Sie gegebenenfalls Abhilfemaßnahmen
- Führen Sie ein Register der Compliance-Fehler
- Benachrichtigen Sie die Aufsichtsbehörde über alle Compliance-Verstöße, die entweder für sich genommen oder als Teil eines Fehlermusters wesentlich sind
Nach der DSGVO ist der Datenschutzbeauftragte gesetzlich verpflichtet, die Aufsichtsbehörde innerhalb von 72 Stunden nach der Datenschutzverletzung zu benachrichtigen (Artikel 33). Einzelpersonen müssen benachrichtigt werden, wenn nachteilige Auswirkungen festgestellt werden (Artikel 34). Darüber hinaus muss Water2buy alle betroffenen Kunden unverzüglich benachrichtigen, nachdem es Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat (Artikel 33).
Water2buy muss die betroffenen Personen jedoch nicht benachrichtigen, wenn anonymisierte Daten verletzt werden. Insbesondere ist die Benachrichtigung der betroffenen Personen nicht erforderlich, wenn der für die Verarbeitung Verantwortliche Pseudoanonymisierungstechniken wie Verschlüsselung sowie angemessene technische und organisatorische Schutzmaßnahmen für die von der Datenschutzverletzung betroffenen personenbezogenen Daten implementiert hat (Artikel 34).
Datenschutzverstoß
Das Data Breach Team sollte sofort über jede bestätigte oder vermutete Datenschutzverletzung informiert werden.
Die Benachrichtigung sollte die folgenden Informationen enthalten, sofern verfügbar:
- Ausmaß der Datenschutzverletzung
- Art und Umfang der betroffenen personenbezogenen Daten
- Ursache oder vermutete Ursache des Verstoßes
- Ob der Verstoß behoben wurde
- Maßnahmen und Prozesse, die die Organisation zum Zeitpunkt des Verstoßes eingeführt hatte
- Informationen darüber, ob betroffene Personen von der Datenschutzverletzung benachrichtigt wurden und wenn nicht, wann die Organisation dies beabsichtigt
- Kontaktdaten der Water2buy-Mitarbeiter, mit denen sich die Aufsichtsbehörde für weitere Informationen oder Klarstellungen in Verbindung setzen kann
Wenn noch keine spezifischen Informationen über die Datenschutzverletzung vorliegen, sollte Water2buy eine Zwischenbenachrichtigung mit einer kurzen Beschreibung des Vorfalls senden.
Benachrichtigungen von Organisationen oder das Fehlen einer Benachrichtigung sowie die Frage, ob Organisationen über angemessene Wiederherstellungsverfahren verfügen, wirken sich auf die Entscheidung(en) der Aufsichtsbehörden darüber aus, ob eine Organisation die personenbezogenen Daten, die sich unter ihrer Kontrolle oder in ihrem Besitz befinden, angemessen geschützt hat.
Reaktion auf eine Datenschutzverletzung
PLAN ZUM MANAGEMENT VON DATENVERLETZUNGEN
Sobald das Team für Datenschutzverletzungen über eine (vermutete oder bestätigte) Datenschutzverletzung informiert wird, sollte es sofort den Datenschutzverletzungs- und Reaktionsplan aktivieren.
Der Management- und Reaktionsplan für Datenschutzverletzungen von Water2buy lautet:
- Bestätigen Sie den Verstoß
- Den Verstoß eindämmen
- Risiken und Auswirkungen bewerten
- Melden Sie den Vorfall
- Bewerten Sie die Reaktion und Wiederherstellung, um zukünftige Verstöße zu verhindern
BESTÄTIGEN SIE DEN VERLETZ
Das Data Breach Team (DBT) sollte handeln, sobald es von einer Datenschutzverletzung Kenntnis erlangt. Wenn möglich, sollte zunächst bestätigt werden, dass die Datenschutzverletzung stattgefunden hat. Abhängig von der Wahrscheinlichkeit der Schwere des Risikos kann es sinnvoll sein, dass das DBT die Eindämmung des Verstoßes auf der Grundlage eines unbestätigten gemeldeten Datenschutzverstoßes vornimmt.
DIE VERLETZUNG EINHALTEN
Das DBT sollte gegebenenfalls die folgenden Maßnahmen zur Eindämmung des Verstoßes in Betracht ziehen:
- Fahren Sie das kompromittierte System herunter, das zu der Datenpanne geführt hat.
- Stellen Sie fest, ob Schritte unternommen werden können, um verlorene Daten wiederherzustellen und den durch den Verstoß verursachten Schaden zu begrenzen. (Beispiel: Deaktivieren/Löschen eines verlorenen Notizbuchs aus der Ferne, das persönliche Daten von Einzelpersonen enthält.)
- Verhindern Sie weiteren unbefugten Zugriff auf das System.
- Passwörter zurücksetzen, wenn Konten und/oder Passwörter kompromittiert wurden.
- Isolieren Sie die Ursachen der Datenschutzverletzung im System und ändern Sie gegebenenfalls die Zugriffsrechte auf das gefährdete System und entfernen Sie externe Verbindungen zum System.
RISIKEN UND AUSWIRKUNGEN BEWERTEN
Das Wissen um die Risiken und Auswirkungen von Datenschutzverletzungen wird Water2buy dabei helfen, festzustellen, ob es schwerwiegende Folgen für betroffene Personen haben könnte, und welche Schritte erforderlich sind, um die betroffenen Personen zu benachrichtigen.
Risiko und Auswirkungen auf Einzelpersonen
- Wie viele Menschen waren betroffen?
Eine höhere Zahl bedeutet möglicherweise kein höheres Risiko, aber die Bewertung hilft bei der Gesamtrisikobewertung. - Wessen personenbezogene Daten wurden verletzt?
Gehören die personenbezogenen Daten Mitarbeitern, Kunden oder Minderjährigen? Der Verlust personenbezogener Daten birgt für verschiedene Personen ein unterschiedlich hohes Risiko. - Welche Arten von personenbezogenen Daten waren betroffen?
Dies wird dazu beitragen, festzustellen, ob für die betroffenen Personen ein Risiko für den Ruf, Identitätsdiebstahl, Sicherheit und/oder ein finanzieller Verlust besteht. - Gibt es zusätzliche Maßnahmen, um die Auswirkungen einer Datenschutzverletzung zu minimieren? Beispiel: Ein verlorenes Gerät, das durch ein starkes Passwort oder eine Verschlüsselung geschützt ist, könnte die Auswirkungen einer Datenschutzverletzung verringern.
Risiko und Auswirkungen auf Organisationen
- Was hat den Datenverstoß verursacht?
Bestimmen, wie der Verstoß zustande kam (durch Diebstahl, Unfall, unbefugten Zugriff usw.)) wird dabei helfen, unmittelbar zu ergreifende Maßnahmen zu ermitteln, um den Verstoß einzudämmen und das Vertrauen der Öffentlichkeit in ein Produkt oder eine Dienstleistung wiederherzustellen. - Wann und wie oft kam es zu dem Verstoß?
Die Untersuchung wird Water2buy dabei helfen, die Art des Verstoßes besser zu verstehen (z.G böswillig oder versehentlich). - Wer könnte Zugriff auf die kompromittierten personenbezogenen Daten erhalten?
Dadurch wird ermittelt, wie die kompromittierten Daten verwendet werden könnten. Insbesondere müssen betroffene Personen benachrichtigt werden, wenn personenbezogene Daten von einer unbefugten Person erlangt werden. - Wirken sich kompromittierte Daten auf Transaktionen mit anderen Dritten auswirken?
Wenn Sie dies ermitteln, können Sie feststellen, ob andere Organisationen benachrichtigt werden müssen.
MELDEN SIE DEN VORFALL
Water2buy ist gesetzlich verpflichtet, betroffene Personen zu benachrichtigen, wenn ihre personenbezogenen Daten verletzt wurden. Dies wird Einzelpersonen dazu ermutigen, vorbeugende Maßnahmen zu ergreifen, um die Auswirkungen der Datenschutzverletzung zu verringern, und Water2buy außerdem dabei helfen, das Vertrauen der Verbraucher wiederherzustellen.
Wer zu benachrichtigen ist:
- Benachrichtigen Sie Personen, deren personenbezogene Daten kompromittiert wurden.
- Benachrichtigen Sie gegebenenfalls andere Dritte wie Banken, Kreditkartenunternehmen oder die Polizei.
- Benachrichtigen Sie die DSGVO, insbesondere wenn eine Datenschutzverletzung sensible personenbezogene Daten betrifft.
- Die zuständigen Behörden (z. B. die Polizei) sollten benachrichtigt werden, wenn der Verdacht einer kriminellen Aktivität besteht, und Beweise für Ermittlungen sollten aufbewahrt werden (z. B. Hackerangriff, Diebstahl oder unbefugter Systemzugriff durch einen Mitarbeiter).)
Wann zu benachrichtigen ist:
- Benachrichtigen Sie betroffene Personen unverzüglich, wenn eine Datenschutzverletzung sensible personenbezogene Daten betrifft. Dies ermöglicht es ihnen, frühzeitig die notwendigen Maßnahmen zu ergreifen, um einen möglichen Missbrauch der kompromittierten Daten zu verhindern.
- Benachrichtigen Sie betroffene Personen, wenn die Datenschutzverletzung behoben ist
So benachrichtigen Sie:
- Verwenden Sie die effektivsten Wege, um betroffene Personen zu erreichen, und berücksichtigen Sie dabei die Dringlichkeit der Situation und die Anzahl der betroffenen Personen (z.G Medienmitteilungen, soziale Medien, Mobile Messaging, SMS, E-Mails, Telefonanrufe).
- Benachrichtigungen sollten einfach zu verstehen und spezifisch sein und klare Anweisungen dazu enthalten, was Einzelpersonen tun können, um sich selbst zu schützen.
Was zu benachrichtigen ist:
- Wie und wann kam es zu der Datenschutzverletzung und welche Arten personenbezogener Daten waren von der Datenschutzverletzung betroffen?
- Was Water2buy als Reaktion auf die durch die Datenschutzverletzung verursachten Risiken getan hat oder tun wird.
- Gegebenenfalls konkrete Fakten zum Datenschutzverstoß und Maßnahmen, die Einzelpersonen ergreifen können, um zu verhindern, dass diese Daten missbraucht werden.
- Kontaktdetails und wie betroffene Personen die Organisation für weitere Informationen oder Unterstützung erreichen können (z.G Hotline-Nummern, E-Mail-Adressen oder Website).
BEWERTEN SIE DIE REAKTION UND WIEDERHERSTELLUNG, UM ZUKÜNFTIGE VERLETZUNGEN ZU VERHINDERN
Nachdem Maßnahmen zur Behebung des Datenverstoßes ergriffen wurden, sollte Water2buy die Ursache des Verstoßes prüfen und bewerten, ob die bestehenden Schutz- und Präventionsmaßnahmen und -prozesse ausreichen, um das Auftreten ähnlicher Verstöße zu verhindern, und gegebenenfalls Praktiken unterbinden, die dazu führen, dass Datenverstöße auftreten zur Datenpanne geführt hat.
Betriebliche und richtlinienbezogene Probleme:
- Wurden regelmäßig Audits sowohl der physischen als auch der IT-bezogenen Sicherheitsmaßnahmen durchgeführt?
- Gibt es Prozesse, die gestrafft oder eingeführt werden können, um den Schaden bei künftigen Verstößen zu begrenzen oder einen Rückfall zu verhindern?
- Gab es Schwachstellen bei den bestehenden Sicherheitsmaßnahmen, wie z. B. der Einsatz veralteter Software und Schutzmaßnahmen, oder Schwachstellen bei der Nutzung tragbarer Speichergeräte, Netzwerke oder Konnektivität zum Internet?
- Waren die Methoden für den Zugriff auf und die Übermittlung personenbezogener Daten ausreichend sicher, z. B.: Der Zugriff war nur auf autorisiertes Personal beschränkt?
- Sollten die Supportleistungen von externen Parteien wie Anbietern und Partnern verbessert werden, um personenbezogene Daten besser zu schützen?
- Wurden die Verantwortlichkeiten von Anbietern und Partnern in Bezug auf den Umgang mit personenbezogenen Daten klar definiert?
- Besteht die Notwendigkeit, neue Szenarien für Datenschutzverletzungen zu entwickeln?
Ressourcenbezogene Probleme:
- Wurden ausreichend Ressourcen zur Bewältigung der Datenschutzverletzung bereitgestellt?
- Sollten externe Ressourcen eingesetzt werden, um solche Vorfälle besser zu bewältigen?
- Wurden Schlüsselpersonen ausreichende Ressourcen zur Bewältigung des Vorfalls zur Verfügung gestellt?
Mitarbeiterbezogene Probleme:
- Waren sich die Mitarbeiter der sicherheitsrelevanten Probleme bewusst?
- Wurden Schulungen zu Fragen des Schutzes personenbezogener Daten und zu Fähigkeiten zur Bewältigung von Vorfällen angeboten?
- Wurden die Mitarbeiter über die Datenschutzverletzung und die Erkenntnisse aus dem Vorfall informiert?
Managementbezogene Probleme:
- Wie war das Management an der Bewältigung der Datenschutzverletzung beteiligt?
- Gab es bei der Bewältigung des Datenschutzverstoßes eine klare Verantwortungs- und Kommunikationslinie?
Überwachung
Jeder muss diese Richtlinie beachten.
Konsequenzen bei Nichtbeachtung
Wir nehmen die Einhaltung dieser Richtlinie sehr ernst. Die Nichteinhaltung gefährdet sowohl Sie als auch die Organisation.
Die Bedeutung dieser Richtlinie bedeutet, dass die Nichteinhaltung einer Anforderung gemäß unseren Verfahren zu Disziplinarmaßnahmen führen kann, die bis zur Entlassung führen können.