Zásady pro porušení zabezpečení dat – Water2Buy – Water Filtration Made Easy

Úvod

Cílem těchto zásad a plánu je pomoci společnosti Water2buy účinně řídit narušení bezpečnosti osobních údajů. Water2buy uchovává osobní údaje o našich uživatelích, zaměstnancích, klientech, dodavatelích a dalších osobách pro různé obchodní účely.

Water2buy se zavazuje nejen k literě zákona, ale také k duchu zákona a klade vysokou prémii na správné, zákonné a spravedlivé zacházení se všemi osobními údaji, respektování zákonných práv, soukromí a důvěry všech osob, s nimiž jedná.

Porušení zabezpečení údajů obecně odkazuje na neoprávněný přístup a vyhledávání informací, které mohou zahrnovat firemní a / nebo osobní údaje. Narušení zabezpečení dat jsou obecně uznávána jako jedno z nákladnějších selhání zabezpečení organizací. Mohly by vést k finančním ztrátám, a způsobit spotřebitelům ztratit důvěru v Water2buy nebo našich klientů.

Předpisy v různých jurisdikcích, ve kterých Water2buy působí, vyžadují, aby společnost Water2buy učinila přiměřená bezpečnostní opatření na ochranu osobních údajů, které máme nebo kontrolujeme, aby se zabránilo neoprávněnému přístupu, shromažďování, používání, zveřejňování nebo podobným rizikům.

Rozsah

Tyto zásady platí pro všechny zaměstnance. Tyto zásady musíte znát a dodržovat jejich podmínky. Tyto zásady doplňují naše další zásady týkající se používání internetu a e-mailu. Tyto zásady můžeme čas od času doplnit nebo změnit dalšími zásadami a pokyny. Všechny nové nebo upravené politiky budou rozeslány zaměstnancům před přijetím.

Školení

Všichni zaměstnanci budou v této politice vyškolit. Noví zaměstnanci absolvují školení v rámci indukčního procesu. Další školení bude poskytováno nejméně každý rok nebo kdykoli dojde k podstatné změně zákona nebo naší politiky a postupu.

Školení je poskytováno prostřednictvím interního semináře a on-line školení na ročním základě a zahrnuje platné zákony týkající se ochrany údajů a ochrany údajů společnosti Water2buy a související ch politik a postupů.

Absolvování školení je povinné.

Obecné nařízení EU o ochraně osobních údajů (EU) 2016/679 (GDPR)

Nařízení se rovněž vztahuje na organizace se sídlem mimo Evropskou unii, pokud shromažďují nebo zpracovávají osobní údaje obyvatel EU.

Podle Evropské komise jsou osobní údaje: „veškeré informace týkající se jednotlivce, ať už se týkají jeho soukromého, profesního nebo veřejného života. Může to být cokoli od jména, adresy bydliště, fotografie, e-mailové adresy, bankovních údajů, příspěvků na webových stránkách sociálních sítí, lékařských informací nebo IP adresy počítače.“

Osobní údaje

Water2buy definuje osobní údaje jako širší definice obsažené v GDPR.

Water2buy definuje citlivé osobní údaje jako širší definice obsažené v GDPR.

Jakékoli použití citlivých osobních údajů musí být přísně kontrolováno v souladu s těmito zásadami.

Zatímco některé údaje se budou vždy týkat jednotlivce, jiné údaje se samy o sobě nemusí vztahovat k jednotlivci. Tyto údaje by nepředstavovaly osobní údaje, pokud nejsou spojeny s konkrétní osobou nebo se s ní netýkají.

Obecné informace, které se netýkají konkrétní osoby, mohou být také součástí osobních údajů jednotlivce v kombinaci s osobními údaji nebo jinými informacemi, které umožní identifikaci jednotlivce.

Agregované údaje nejsou osobními údaji.

Water2buy shromažďuje osobní údaje pro dva účely, k identifikaci a ochraně údajů, které nám poskytli naši zákazníci, a pro interní operace.

Osobní údaje pro zdravotní koučování se týkají identifikovatelných jednotlivých uživatelů a mohou zahrnovat:

  • Informace o profilu uživatele, jako je celé jméno, adresa, číslo mobilního telefonu a osobní e-mailová adresa;
  • Zprávy mezi uživateli a naším zákaznickým servisem.

Osobní údaje, které shromažďujeme pro interní provozní účely, se týkají identifikovatelných osob, jako jsou uchazeči o zaměstnání, současní a bývalí zaměstnanci, smluvní a další zaměstnanci, klienti, dodavatelé a marketingové kontakty, a shromážděné údaje mohou zahrnovat kontaktní údaje jednotlivců, vzdělání, finanční a mzdové údaje, podrobnosti o certifikátech a diplomech, vzdělání a dovednosti, rodinný stav, státní příslušnost, pracovní pozici a životopis.

Způsobuje

Porušení zabezpečení dat může být způsobeno zaměstnanci, stranami mimo organizaci nebo chybami počítačového systému.

Lidská chyba
Mezi příčiny lidské chyby patří:

  • Ztráta výpočetních zařízení (přenosných nebo jiných), zařízení pro ukládání dat nebo papírových záznamů obsahujících osobní údaje
  • Zveřejnění dat nesprávnému příjemci
  • Zpracování údajů neoprávněným způsobem (např.: stažení místní kopie osobních údajů)
  • Neoprávněný přístup nebo zpřístupnění osobních údajů zaměstnanci (např.: sdílení přihlašovacích údajů)
  • Nesprávné odstranění osobních údajů (např.: pevný disk, paměťová média nebo papírové dokumenty obsahující osobní údaje prodané nebo zahozené před řádným vymazáním údajů)

Škodlivé aktivity
Mezi škodlivé příčiny patří:

  • Hacking incidenty / Nelegální přístup k databázím obsahujícím osobní údaje
  • Hacking pro přístup k neoprávněným datům prostřednictvím aplikace Coaching nebo API
  • Krádež výpočetních zařízení (přenosných nebo jiných), zařízení pro ukládání dat nebo papírových záznamů obsahujících osobní údaje
  • Podvody, které trik Water2buy zaměstnanců do uvolnění osobních údajů jednotlivců

Chyba systému počítače
Mezi příčiny systémových chyb počítače patří:

  • Chyby nebo chyby v aplikaci Water2buy‘ nebo API
  • Selhání cloudových služeb, cloud computingu nebo zabezpečení cloudových úložišť / autentizačních / autorizačních systémů

Hlášení porušení

Všichni zaměstnanci mají povinnost hlásit skutečné nebo potenciální nedostatky v dodržování předpisů v oblasti ochrany údajů. To nám umožňuje:

  • Prozkoumat selhání a v případě potřeby provést nápravná opatření
  • Udržovat registr selhání dodržování předpisů
  • Informujte dozorový úřad o všech selháních dodržování předpisů, která jsou podstatná buď sama o sobě, nebo jako součást vzorce selhání

Podle GDPR je inspektor ochrany údajů ze zákona povinen informovat dozorový úřad do 72 hodin od porušení zabezpečení údajů (článek 33). Jednotlivci musí být informováni, pokud je určen nepříznivý dopad (článek 34). Kromě toho musí Společnost Water2buy neprodleně informovat všechny dotčené klienty poté, co se dozvěděla o narušení bezpečnosti osobních údajů (článek 33).

Společnost Water2buy však nemusí subjekty údajů informovat, pokud dojde k porušení anonymizovaných údajů. Konkrétně se oznámení subjektům údajů nevyžaduje, pokud správce údajů zavedl pseudoanonymizační techniky, jako je šifrování, spolu s odpovídajícími technickými a organizačními ochrannými opatřeními pro osobní údaje, kterých se narušení bezpečnosti údajů týká (článek 34).

Porušení zabezpečení dat

Tým pro narušení bezpečnosti dat by měl být okamžitě upozorněn na jakékoli potvrzené nebo domnělé narušení bezpečnosti údajů.

Oznámení by mělo obsahovat tyto informace, jsou-li k dispozici:

  • Rozsah narušení bezpečnosti údajů
  • Druh a objem dotčených osobních údajů
  • Příčina nebo podezření na porušení
  • Zda bylo porušení napraveno
  • Opatření a postupy, které organizace zavedla v době porušení
  • Informace o tom, zda byly dotčené osoby narušení bezpečnosti údajů oznámeny, a pokud ne, pokud tak organizace zamýšlí učinit
  • Kontaktní údaje zaměstnanců společnosti Water2buy, s nimiž může dozorový úřad navázat kontakt pro další informace nebo objasnění

Pokud konkrétní informace o narušení bezpečnosti údajů ještě nejsou k dispozici, měla by společnost Water2buy zaslat prozatímní oznámení obsahující stručný popis incidentu.

Oznámení učiněná organizacemi nebo neoznámení, jakož i to, zda organizace mají zavedeny odpovídající postupy obnovy, ovlivní rozhodnutí orgánů dohledu o tom, zda organizace přiměřeně chránila osobní údaje, které má pod kontrolou nebo má.

Reakce na narušení bezpečnosti dat

PLÁN ŘÍZENÍ NARUŠENÍ BEZPEČNOSTI DAT

Poté, co byl tým pro narušení bezpečnosti údajů informován o (podezření nebo potvrzeném) porušení zabezpečení údajů, měl by okamžitě aktivovat plán narušení bezpečnosti údajů a reakce na ně.

Water2buy ‚řízení bezpečnosti dat a reakce plán je:

  1. Potvrďte porušení
  2. Zadržet porušení
  3. Posoudit rizika a dopad
  4. Nahlásit incident
  5. Vyhodnoťte odpověď a zotavení, abyste zabránili budoucím porušením

POTVRĎTE PORUŠENÍ

Tým pro porušení zabezpečení dat (DBT) by měl jednat, jakmile se dozví o narušení bezpečnosti údajů. Pokud je to možné, měl by nejprve potvrdit, že došlo k narušení bezpečnosti údajů. Může mít smysl, aby DBT pokračovala V případě porušení zabezpečení na základě nepotvrzeného porušení údajů, v závislosti na pravděpodobnosti závažnosti rizika.

OBSAHOVAT PORUŠENÍ

DBT by měla zvážit následující opatření k omezení porušení, případně:

  • Vypněte kompromitovaný systém, který vedl k narušení dat.
  • Zjišťujte, zda lze podniknout kroky k obnovení ztracených dat a omezit škody způsobené porušením. (např.: vzdáleně znemožnění / vymazání ztraceného notebooku obsahujícího osobní údaje jednotlivců.)
  • Zabraňte dalšímu neoprávněnému přístupu do systému.
  • Resetujte hesla, pokud byly prozrazeny účty a / nebo hesla.
  • Izolujte příčiny narušení bezpečnosti dat v systému a případně změňte přístupová práva k ohroženému systému a odeberte externí připojení k systému.

POSOUDIT RIZIKA A DOPAD

Znalost rizik a dopadu narušení bezpečnosti dat pomůže společnosti Water2buy určit, zda by mohlo dojít k vážným důsledkům pro postižené osoby, stejně jako kroky nezbytné k informování dotčených osob.

Riziko a dopad na jednotlivce

  • Kolik lidí bylo postiženo?
    Vyšší počet nemusí znamenat vyšší riziko, ale jeho posouzení pomáhá při celkovém posouzení rizik.
  • Čí osobní údaje byly porušeny?
    Patří osobní údaje zaměstnancům, zákazníkům nebo nezletilým osobám? Různí lidé budou čelit různým úrovním rizika v důsledku ztráty osobních údajů.
  • O jaké typy osobních údajů se jednalo?
    To pomůže zjistit, zda existuje riziko pro pověst, krádež identity, bezpečnost a / nebo finanční ztrátu dotčených osob.
  • Nějaká další opatření k minimalizaci dopadu narušení bezpečnosti údajů? například: ztracené zařízení chráněné silným heslem nebo šifrováním by mohlo snížit dopad narušení bezpečnosti dat.

Rizika a dopad na organizace

  • Co způsobilo narušení dat?
    Určení, jak k porušení došlo (krádeží, nehodou, neoprávněným přístupem atd.), pomůže identifikovat okamžité kroky, které je třeba podniknout k omezení porušení a obnovení důvěry veřejnosti v produkt nebo službu.
  • Kdy a jak často k porušení došlo?
    Zkoumání to pomůže Water2buy lépe pochopit povahu porušení (např. škodlivý nebo náhodný).
  • Kdo by mohl získat přístup k kompromitovaným osobním údajům?
    Tím se zjistí, jak by mohla být ohrožená data použita. Dotčené osoby musí být zejména informovány, pokud osobní údaje získá neoprávněná osoba.
  • Ovlivní kompromitovaná data transakce s jinými třetími stranami?
    Toto určení pomůže určit, zda je třeba upozorňovat jiné organizace.

NAHLÁŠENÍ INCIDENTU

Water2buy je ze zákona povinen informovat dotčené osoby, pokud došlo k porušení jejich osobních údajů. To bude motivovat jednotlivce, aby přijaly preventivní opatření ke snížení dopadu narušení bezpečnosti údajů, a také pomoci Water2buy obnovit důvěru spotřebitelů.

Koho upozornit:

  • Uvědomte fyzické osoby, jejichž osobní údaje byly ohroženy.
  • Uvědomte další třetí strany, jako jsou banky, společnosti vydávající kreditní karty nebo případně policii.
  • Upozorněte GDPR zejména v případě, že narušení bezpečnosti údajů zahrnuje citlivé osobní údaje.
  • Příslušné orgány (např. policie) by měly být informovány, pokud existuje podezření na trestnou činnost a měly by být zachovány důkazy pro vyšetřování (např.: hacking, krádež nebo neoprávněný přístup zaměstnance k systému).)

Kdy upozornit:

  • Oznamte dotčené osoby okamžitě, pokud narušení bezpečnosti údajů zahrnuje citlivé osobní údaje. To jim umožňuje včas přijmout nezbytná opatření, aby se zabránilo možnému zneužití ohrožených dat.
  • Upozornit dotčené osoby při vyřešení narušení bezpečnosti dat

Jak upozornit:

  • Využijte nejúčinnější způsoby, jak oslovit postižené osoby, s přihlédnutím k naléhavosti situace a počtu dotčených osob (např. zprávy z médií, sociální média, mobilní zprávy, SMS, e-maily, telefonní hovory).
  • Oznámení by měla být srozumitelná, konkrétní a měla by poskytovat jasné pokyny, co mohou jednotlivci udělat, aby se ochránili.

Co upozornit:

  • Jak a kdy došlo k narušení bezpečnosti údajů a typy osobních údajů, které se na narušení bezpečnosti údajů podílely.
  • Co Water2buy udělal nebo bude dělat v reakci na rizika způsobená narušením bezpečnosti údajů.
  • Konkrétní skutečnosti týkající se případného narušení bezpečnosti údajů a opatření, která mohou jednotlivci podniknout, aby zabránili zneužití nebo zneužití těchto údajů.
  • Kontaktní údaje a způsob, jakým se dotčené osoby mohou k organizaci dostat s žádostí o další informace nebo pomoc (např. čísla linky pomoci, e-mailové adresy nebo webové stránky).

Vyhodnotit reakci a zotavení, aby se zabránilo budoucím porušením

Poté, co byly podniknuty kroky k vyřešení narušení bezpečnosti údajů, by měl Water2buy přezkoumat příčinu porušení a vyhodnotit, zda jsou stávající ochranná a preventivní opatření a postupy dostatečné k tomu, aby zabránily podobným porušením, a případně zastavit praktiky, které vedly k narušení bezpečnosti údajů.

Provozní a politické otázky:

  • Prováděly se pravidelně audity fyzických bezpečnostních opatření i bezpečnostních opatření souvisejících s IT?
  • Existují procesy, které lze zefektivnit nebo zavést, aby se omezily škody, pokud dojde k budoucímu porušení, nebo aby se zabránilo relapsu?
  • Byly zjištěny nedostatky ve stávajících bezpečnostních opatřeních, jako je používání zastaralého softwaru a ochranných opatření, nebo nedostatky v používání přenosných paměťových zařízení, sítí nebo připojení k internetu?
  • Byly metody pro přístup k osobním údajům a jejich předávání dostatečně bezpečné, např.: přístup byl omezen pouze na oprávněné osoby?
  • Měly by být posíleny služby podpory od externích stran, jako jsou dodavatelé a partneři, aby se lépe chránily osobní údaje?
  • Byly povinnosti dodavatelů a partnerů jasně definovány ve vztahu k nakládání s osobními údaji?
  • Je třeba vyvinout nové scénáře narušení bezpečnosti dat?

Problémy související se zdroji:

  • Byly přiděleny dostatečné prostředky na správu narušení bezpečnosti údajů?
  • Měly by být k lepšímu řízení takových incidentů zapojeny externí zdroje?
  • Byly klíčovým pracovníkům poskytnuty dostatečné prostředky na zvládnutí incidentu?

Problémy související se zaměstnanci:

  • Byli zaměstnanci informováni o problémech souvisejících se zabezpečením?
  • Byla poskytnuta odborná příprava v oblasti ochrany osobních údajů a dovedností v oblasti řízení incidentů?
  • Byli zaměstnanci informováni o narušení bezpečnosti údajů a bodech učení z incidentu?

Problémy související s řízením:

  • Jak bylo vedení zapojeno do řízení narušení bezpečnosti údajů?
  • Existovala během správy narušení bezpečnosti údajů jasná linie odpovědnosti a komunikace?

Sledování

Každý musí dodržovat tuto politiku.

Důsledky nedodržení

Dodržování těchto zásad bereme velmi vážně. Nedodržení ohrožuje vás i organizaci.

Význam této politiky znamená, že nedodržení jakéhokoli požadavku může vést k disciplinárnímu řízení v rámci našich postupů, které mohou vést k propuštění.