Politica sulla violazione dei dati
Introduzione
La presente politica e piano mira ad aiutare Water2buy a gestire in modo efficace le violazioni dei dati personali. Water2buy conserva i dati personali dei nostri utenti, dipendenti, clienti, fornitori e altri individui per una varietà di scopi commerciali.
Water2buy si impegna non solo alla lettera della legge ma anche allo spirito della legge e attribuisce un elevato valore al trattamento corretto, lecito ed equo di tutti i dati personali, rispettando i diritti legali, la privacy e la fiducia di tutti soggetti con i quali ha a che fare.
Una violazione dei dati si riferisce generalmente all'accesso e al recupero non autorizzati di informazioni che possono includere dati aziendali e/o personali. Le violazioni dei dati sono generalmente riconosciute come uno dei fallimenti di sicurezza più costosi delle organizzazioni. Potrebbero portare a perdite finanziarie e far sì che i consumatori perdano la fiducia in Water2buy o nei nostri clienti.
Le normative nelle varie giurisdizioni in cui opera Water2buy richiedono che Water2buy adotti ragionevoli misure di sicurezza per proteggere i dati personali che possediamo o controlliamo, per impedire l'accesso, la raccolta, l'uso, la divulgazione non autorizzati o rischi simili.
Ambito
Questa politica si applica a tutto il personale. È necessario avere familiarità con questa politica e rispettarne i termini. Questa politica integra le nostre altre politiche relative all'uso di Internet e della posta elettronica. Di tanto in tanto potremmo integrare o modificare la presente politica con politiche e linee guida aggiuntive. Qualsiasi politica nuova o modificata verrà diffusa al personale prima di essere adottata.
Formazione
Tutto il personale riceverà una formazione su questa politica. Il nuovo personale riceverà una formazione come parte del processo di inserimento. Ulteriore formazione sarà fornita almeno ogni anno o ogni volta che si verifica un cambiamento sostanziale nella legge o nella nostra politica e procedura.
La formazione viene fornita tramite un seminario interno e formazione online su base annuale e copre le leggi applicabili in materia di protezione dei dati, la protezione dei dati di Water2buy e le relative politiche e procedure.
Il completamento della formazione è obbligatorio.
REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (UE) 2016/679 (GDPR)
Il regolamento si applica anche alle organizzazioni con sede al di fuori dell'Unione Europea se raccolgono o trattano dati personali di residenti nell'UE.
Secondo la Commissione Europea, i dati personali sono: “qualsiasi informazione relativa a un individuo, sia che si riferisca alla sua vita privata, professionale o pubblica. Può trattarsi di qualsiasi cosa, da un nome, un indirizzo di casa, una foto, un indirizzo e-mail, dettagli bancari, post su siti Web di social network, informazioni mediche o l'indirizzo IP di un computer."
Dati personali
Water2buy definisce i Dati Personali come la più ampia delle definizioni contenute nel GDPR.
Water2buy definisce Dati personali sensibili come la più ampia delle definizioni contenute nel GDPR.
Qualsiasi utilizzo di dati personali sensibili deve essere rigorosamente controllato in conformità con questa politica.
Mentre alcuni dati si riferiranno sempre a un individuo, altri dati potrebbero non riferirsi, da soli, a un individuo. Tali dati non costituirebbero dati personali a meno che non siano associati o collegati a un particolare individuo.
Informazioni generiche che non si riferiscono a un particolare individuo possono anche far parte dei dati personali di un individuo se combinate con dati personali o altre informazioni per consentire l'identificazione di un individuo.
I dati aggregati non sono Dati Personali.
Water2buy raccoglie dati personali per due scopi, per identificare e proteggere i dati forniti dai nostri clienti e per operazioni interne.
I dati personali per l'health coaching si riferiscono a singoli utenti identificabili e possono includere:
- Informazioni sul profilo utente come nome completo, indirizzo, numero di cellulare e indirizzo e-mail personale;
- Messaggi tra gli utenti e il nostro servizio clienti.
I dati personali che raccogliamo per scopi operativi interni si riferiscono a individui identificabili come candidati a un posto di lavoro, dipendenti attuali ed ex, personale a contratto e di altro tipo, clienti, fornitori e contatti di marketing e i dati raccolti possono includere dettagli di contatto degli individui, dati formativi background, dettagli finanziari e retributivi, dettagli di certificati e diplomi, istruzione e competenze, stato civile, nazionalità, titolo professionale e CV.
Cause
Le violazioni dei dati possono essere causate da dipendenti, soggetti esterni all'organizzazione o errori del sistema informatico.
Errore umano
Le cause dell'errore umano includono:
- Perdita di dispositivi informatici (portatili o meno), dispositivi di archiviazione dati o documenti cartacei contenenti dati personali
- Divulgazione dei dati a un destinatario sbagliato
- Gestione dei dati in modo non autorizzato (ad esempio: download di una copia locale dei dati personali)
- Accesso o divulgazione non autorizzata di dati personali da parte dei dipendenti (ad esempio: condivisione di un login)
- Smaltimento improprio di dati personali (ad esempio: disco rigido, supporti di memorizzazione o documenti cartacei contenenti dati personali venduti o eliminati prima che i dati vengano correttamente eliminati)
Attività dannose
Le cause dannose includono:
- Incidenti di pirateria informatica/Accesso illegale a database contenenti dati personali
- Hacking per accedere a dati non autorizzati tramite l'app Coaching o l'API
- Furto di dispositivi informatici (portatili o meno), dispositivi di archiviazione dati o documenti cartacei contenenti dati personali
- Truffe che inducono con l'inganno il personale di Water2buy a rilasciare dati personali di individui
Errore di sistema del computer
Le cause dell'errore di sistema del computer includono:
- Errori o bug nell'applicazione Water2buy o API
- Guasto dei servizi cloud, del cloud computing o dei sistemi di sicurezza/autenticazione/autorizzazione dell'archiviazione cloud
Segnalazione violazioni
Tutti i membri del personale hanno l'obbligo di segnalare eventuali mancanze di conformità alla protezione dei dati, effettive o potenziali. Questo ci permette di:
- Indagare l'errore e adottare misure correttive, se necessario
- Mantenere un registro degli errori di conformità
- Informare l'Autorità di Vigilanza di eventuali carenze di conformità che siano rilevanti di per sé o come parte di una serie di carenze
Ai sensi del GDPR, il DPO è legalmente obbligato a notificare all'Autorità di Controllo entro 72 ore la violazione dei dati (articolo 33). Gli individui devono essere informati se viene determinato un impatto negativo (articolo 34). Inoltre, Water2buy deve informare senza indebito ritardo tutti i clienti interessati dopo essere venuti a conoscenza di una violazione dei dati personali (articolo 33).
Tuttavia, Water2buy non è tenuta a informare gli interessati in caso di violazione dei dati anonimizzati. Nello specifico, l'informativa agli interessati non è richiesta se il titolare del trattamento ha implementato tecniche di pseudo-anonimizzazione come la crittografia unitamente a adeguate misure tecniche e organizzative di protezione dei dati personali interessati dalla violazione dei dati (art. 34).
Violazione dei dati
Il Data Breach Team deve essere immediatamente avvisato di qualsiasi violazione dei dati confermata o sospetta.
La notifica deve includere le seguenti informazioni, ove disponibili:
- Estensione della violazione dei dati
- Tipo e volume dei dati personali coinvolti
- Causa o sospetta causa della violazione
- Se la violazione è stata corretta
- Misure e processi che l'organizzazione aveva messo in atto al momento della violazione
- Informazioni su se le persone interessate dalla violazione dei dati sono state informate e, in caso negativo, quando l'organizzazione intende farlo
- Dettagli di contatto del personale di Water2buy con cui l'autorità di controllo può collaborare per ulteriori informazioni o chiarimenti
Laddove non siano ancora disponibili informazioni specifiche sulla violazione dei dati, Water2buy dovrebbe inviare una notifica provvisoria comprendente una breve descrizione dell'incidente.
Le notifiche effettuate dalle organizzazioni o la mancata notifica, nonché la verifica se le organizzazioni dispongano di adeguate procedure di recupero, influenzeranno le decisioni delle autorità di vigilanza in merito al fatto se un'organizzazione abbia ragionevolmente protetto i dati personali sotto il suo controllo o possesso.
Risposta a una violazione dei dati
PIANO DI GESTIONE DELLA VIOLAZIONE DEI DATI
Dopo aver ricevuto la notifica di una violazione dei dati (sospetta o confermata), il Team Data Breach deve attivare immediatamente il piano di risposta e violazione dei dati.
Il piano di gestione e risposta alla violazione dei dati di Water2buy è:
- Conferma la violazione
- Contenere la violazione
- Valutare i rischi e l'impatto
- Segnala l'incidente
- Valutare la risposta e il ripristino per prevenire future violazioni
CONFERMA LA VIOLAZIONE
Il Data Breach Team (DBT) dovrebbe agire non appena viene a conoscenza di una violazione dei dati. Ove possibile, dovrebbe prima confermare che si è verificata la violazione dei dati. Potrebbe avere senso che il DBT proceda al contenimento della violazione sulla base di una violazione dei dati segnalata non confermata, a seconda della probabilità della gravità del rischio.
CONTENERE LA VIOLAZIONE
Il DBT dovrebbe considerare le seguenti misure per contenere la violazione, ove applicabile:
- Arrestare il sistema compromesso che ha portato alla violazione dei dati.
- Stabilire se è possibile adottare misure per recuperare i dati persi e limitare eventuali danni causati dalla violazione. (es: disabilitazione/cancellazione da remoto di un notebook smarrito contenente dati personali di individui.)
- Prevenire ulteriori accessi non autorizzati al sistema.
- Reimposta le password se account e/o password sono stati compromessi.
- Isolare le cause della violazione dei dati nel sistema e, ove applicabile, modificare i diritti di accesso al sistema compromesso e rimuovere le connessioni esterne al sistema.
VALUTARE I RISCHI E L'IMPATTO
Conoscere i rischi e l'impatto delle violazioni dei dati aiuterà Water2buy a determinare se potrebbero esserci conseguenze gravi per le persone interessate, nonché le misure necessarie per avvisare le persone interessate.
Rischio e impatto sugli individui
- Quante persone sono state colpite?
Un numero più alto potrebbe non significare un rischio più elevato, ma valutare questo aiuta la valutazione complessiva del rischio. - Di chi sono stati violati i dati personali?
I dati personali appartengono a dipendenti, clienti o minori? Persone diverse si troveranno ad affrontare diversi livelli di rischio a causa della perdita di dati personali. - Quali tipi di dati personali sono stati coinvolti?
Ciò aiuterà ad accertare se esistono rischi per la reputazione, il furto di identità, la sicurezza e/o la perdita finanziaria delle persone interessate. - Esistono misure aggiuntive in atto per ridurre al minimo l'impatto di una violazione dei dati? ad esempio: un dispositivo smarrito protetto da una password complessa o da una crittografia potrebbe ridurre l'impatto di una violazione dei dati.
Rischio e impatto sulle organizzazioni
- Che cosa ha causato la violazione dei dati?
Determinare come si è verificata la violazione (tramite furto, incidente, accesso non autorizzato, ecc.) contribuirà a individuare le misure immediate da adottare per contenere la violazione e ripristinare la fiducia del pubblico in un prodotto o servizio. - Quando e con quale frequenza si è verificata la violazione?
Esaminarlo aiuterà Water2buy a comprendere meglio la natura della violazione (ad es.G doloso o accidentale). - Chi potrebbe avere accesso ai dati personali compromessi?
Questo accerterà come potrebbero essere utilizzati i dati compromessi. In particolare, gli interessati dovranno essere informati nel caso in cui i dati personali vengano acquisiti da una persona non autorizzata. - I dati compromessi influenzeranno le transazioni con altre terze parti?
Determinare ciò aiuterà a identificare se altre organizzazioni necessitano di essere informate.
SEGNA L'INCIDENTE
Water2buy è legalmente obbligata a informare le persone interessate se i loro dati personali sono stati violati. Ciò incoraggerà le persone ad adottare misure preventive per ridurre l’impatto della violazione dei dati e aiuterà anche Water2buy a ricostruire la fiducia dei consumatori.
Chi avvisare:
- Informare le persone i cui dati personali sono stati compromessi.
- Informare altre terze parti come banche, società di carte di credito o polizia, ove pertinente.
- Informa il GDPR soprattutto se una violazione dei dati coinvolge dati personali sensibili.
- Le autorità competenti (ad esempio: polizia) dovrebbero essere informate se si sospetta un'attività criminale e le prove per le indagini dovrebbero essere conservate (ad esempio: pirateria informatica, furto o accesso non autorizzato al sistema da parte di un dipendente.)
Quando notificare:
- Informare immediatamente le persone interessate se una violazione dei dati coinvolge dati personali sensibili. Ciò consente loro di intraprendere tempestivamente le azioni necessarie per evitare potenziali abusi dei dati compromessi.
- Informare le persone interessate quando la violazione dei dati viene risolta
Come notificare:
- Utilizzare i modi più efficaci per raggiungere le persone colpite, prendendo in considerazione l'urgenza della situazione e il numero di persone colpite (ad es.G comunicati stampa, social media, messaggistica mobile, SMS, e-mail, telefonate).
- Le notifiche dovrebbero essere semplici da comprendere, specifiche e fornire istruzioni chiare su cosa possono fare le persone per proteggersi.
Cosa notificare:
- Come e quando si è verificata la violazione dei dati e i tipi di dati personali coinvolti nella violazione dei dati.
- Cosa ha fatto o farà Water2buy in risposta ai rischi derivanti dalla violazione dei dati.
- Fatti specifici sulla violazione dei dati, ove applicabile, e azioni che gli individui possono intraprendere per impedire l'uso improprio o l'abuso di tali dati.
- Dettagli di contatto e modalità con cui le persone interessate possono raggiungere l'organizzazione per ulteriori informazioni o assistenza (ad es.G numeri di assistenza, indirizzi e-mail o sito web).
VALUTARE LA RISPOSTA E IL RIPRISTINO PER PREVENIRE FUTURE VIOLAZIONI
Dopo che sono state adottate misure per risolvere la violazione dei dati, Water2buy dovrebbe esaminare la causa della violazione e valutare se le misure e i processi di protezione e prevenzione esistenti sono sufficienti per prevenire il verificarsi di violazioni simili e, ove applicabile, porre fine alle pratiche che ha portato alla violazione dei dati.
Problemi operativi e relativi alle politiche:
- Sono stati condotti regolarmente controlli sulle misure di sicurezza sia fisiche che informatiche?
- Esistono processi che possono essere semplificati o introdotti per limitare i danni in caso di violazioni future o per prevenire una ricaduta?
- Esistono punti deboli nelle misure di sicurezza esistenti, come l'uso di software e misure di protezione obsoleti, o punti deboli nell'uso di dispositivi di archiviazione portatili, reti o connettività a Internet?
- I metodi di accesso e trasmissione dei dati personali erano sufficientemente sicuri, ad esempio: accesso limitato al solo personale autorizzato?
- È opportuno migliorare i servizi di supporto di soggetti esterni, come fornitori e partner, per proteggere meglio i dati personali?
- Le responsabilità dei fornitori e dei partner erano chiaramente definite in relazione al trattamento dei dati personali?
- È necessario sviluppare nuovi scenari di violazione dei dati?
Problemi relativi alle risorse:
- Sono state assegnate risorse sufficienti per gestire la violazione dei dati?
- Dovrebbero essere coinvolte risorse esterne per gestire meglio tali incidenti?
- Al personale chiave sono state fornite risorse sufficienti per gestire l'incidente?
Problemi relativi ai dipendenti:
- I dipendenti erano a conoscenza dei problemi relativi alla sicurezza?
- È stata fornita formazione su questioni relative alla protezione dei dati personali e sulle competenze di gestione degli incidenti?
- I dipendenti sono stati informati della violazione dei dati e degli spunti di apprendimento derivanti dall'incidente?
Problemi relativi alla gestione:
- In che modo è stata coinvolta la direzione nella gestione della violazione dei dati?
- C'è stata una chiara linea di responsabilità e comunicazione durante la gestione della violazione dei dati?
Monitoraggio
Tutti devono osservare questa politica.
Conseguenze del mancato rispetto
Prendiamo molto sul serio il rispetto di questa politica. La mancata osservanza mette a rischio sia te che l’organizzazione.
L'importanza di questa politica fa sì che il mancato rispetto di qualsiasi requisito possa portare ad azioni disciplinari ai sensi delle nostre procedure che potrebbero comportare il licenziamento.