Einführung

Diese Richtlinie und dieser Plan sollen Water2buy dabei helfen, Verstöße gegen personenbezogene Daten effektiv zu verwalten. Water2buy speichert personenbezogene Daten unserer Benutzer, Mitarbeiter, Kunden, Lieferanten und anderer Personen für eine Vielzahl von Geschäftszwecken.

Water2buy bekennt sich nicht nur zum Wortlaut des Gesetzes, sondern auch zum Geist des Gesetzes und legt großen Wert auf den korrekten, rechtmäßigen und fairen Umgang mit allen personenbezogenen Daten unter Wahrung der gesetzlichen Rechte, der Privatsphäre und des Vertrauens aller Personen, mit denen es handelt.

Ein Datenverstoß bezieht sich im Allgemeinen auf den unbefugten Zugriff und das unbefugte Abrufen von Informationen, die Unternehmens- und / oder personenbezogene Daten enthalten können. Datenverletzungen werden allgemein als eine der kostspieligeren Sicherheitsmängel von Organisationen angesehen. Sie können zu finanziellen Verlusten führen und dazu führen, dass Verbraucher das Vertrauen in Water2buy oder unsere Kunden verlieren.

Gemäß den Bestimmungen in den verschiedenen Ländern, in denen Water2buy tätig ist, muss Water2buy angemessene Sicherheitsvorkehrungen treffen, um die von uns besessenen oder kontrollierten personenbezogenen Daten zu schützen und unbefugten Zugriff, Erfassung, Verwendung, Offenlegung oder ähnliche Risiken zu verhindern.

Umfang

Diese Richtlinie gilt für alle Mitarbeiter. Sie müssen mit dieser Richtlinie vertraut sein und deren Bedingungen einhalten. Diese Richtlinie ergänzt unsere anderen Richtlinien in Bezug auf die Internet- und E-Mail-Nutzung. Wir können diese Richtlinie von Zeit zu Zeit durch zusätzliche Richtlinien und Richtlinien ergänzen oder ändern. Jede neue oder geänderte Richtlinie wird vor ihrer Annahme an die Mitarbeiter weitergeleitet.

Ausbildung

Alle Mitarbeiter werden zu dieser Richtlinie geschult. Neue Mitarbeiter werden im Rahmen des Einführungsprozesses geschult. Weitere Schulungen werden mindestens jedes Jahr oder bei wesentlichen Änderungen des Gesetzes oder unserer Richtlinien und Verfahren angeboten.

Die Schulungen werden jährlich durch ein internes Seminar und Online-Schulungen angeboten und decken die geltenden Gesetze zum Datenschutz sowie den Datenschutz von Water2buy und die damit verbundenen Richtlinien und Verfahren ab.

Der Abschluss der Ausbildung ist obligatorisch.

EU-VERORDNUNG ZUM ALLGEMEINEN DATENSCHUTZ (EU) 2016/679 (DSGVO)

Die Verordnung gilt auch für Organisationen mit Sitz außerhalb der Europäischen Union, die personenbezogene Daten von EU-Bürgern erheben oder verarbeiten.

Nach Angaben der Europäischen Kommission sind personenbezogene Daten: „alle Informationen, die sich auf eine Person beziehen, unabhängig davon, ob sie sich auf ihr privates, berufliches oder öffentliches Leben beziehen. Es kann sich um einen Namen, eine Privatadresse, ein Foto oder eine E-Mail-Adresse handeln , Bankdaten, Beiträge auf Websites sozialer Netzwerke, medizinische Informationen oder die IP-Adresse eines Computers. “

Persönliche Daten

Water2buy definiert personenbezogene Daten als die umfassendere der in der DSGVO enthaltenen Definitionen.

Water2buy definiert sensible personenbezogene Daten als die umfassendere der in der DSGVO enthaltenen Definitionen.

Jede Verwendung sensibler personenbezogener Daten ist gemäß dieser Richtlinie streng zu kontrollieren.

Während sich einige Daten immer auf eine Person beziehen, beziehen sich andere Daten möglicherweise nicht auf eine Person. Diese Daten stellen keine personenbezogenen Daten dar, es sei denn, sie sind mit einer bestimmten Person verbunden oder beziehen sich auf diese.

Allgemeine Informationen, die sich nicht auf eine bestimmte Person beziehen, können auch Teil der persönlichen Daten einer Person sein, wenn sie mit persönlichen Daten oder anderen Informationen kombiniert werden, damit eine Person identifiziert werden kann.

Aggregierte Daten sind keine personenbezogenen Daten.

Water2buy sammelt personenbezogene Daten zu zwei Zwecken, um die von unseren Kunden an uns übermittelten Daten zu identifizieren und zu schützen, und für interne Vorgänge.

Personenbezogene Daten für Gesundheitscoaching beziehen sich auf identifizierbare einzelne Benutzer und können Folgendes umfassen:

• Benutzerprofilinformationen wie vollständiger Name, Adresse, Mobiltelefonnummer und persönliche E-Mail-Adresse;
• Nachrichten zwischen Benutzern und unserem Kundenservice.

Personenbezogene Daten, die wir für interne betriebliche Zwecke sammeln, beziehen sich auf identifizierbare Personen wie Bewerber, aktuelle und ehemalige Mitarbeiter, Vertrags- und andere Mitarbeiter, Kunden, Lieferanten und Marketingkontakte. Die gesammelten Daten können Kontaktdaten, Bildungshintergrund und finanzielle Daten von Personen enthalten und Gehaltsangaben, Angaben zu Zertifikaten und Diplomen, Ausbildung und Fähigkeiten, Familienstand, Nationalität, Berufsbezeichnung und Lebenslauf.

Ursachen

Datenverletzungen können durch Mitarbeiter, externe Parteien oder Computersystemfehler verursacht werden.

Menschlicher Fehler
Zu den Ursachen menschlicher Fehler gehören:

• Verlust von Computergeräten (tragbar oder anderweitig), Datenspeichergeräten oder Papieraufzeichnungen, die personenbezogene Daten enthalten
• Weitergabe von Daten an einen falschen Empfänger
• Unbefugter Umgang mit Daten (z. B. Herunterladen einer lokalen Kopie personenbezogener Daten)
• Unerlaubter Zugriff oder Weitergabe personenbezogener Daten durch Mitarbeiter (z. B. Freigabe eines Logins)
• Unsachgemäße Entsorgung personenbezogener Daten (z. B. Festplatte, Speichermedien oder Papierdokumente mit personenbezogenen Daten, die verkauft oder verworfen wurden, bevor Daten ordnungsgemäß gelöscht werden)

Böswillige Aktivitäten
Zu den böswilligen Ursachen gehören:

• Hacking-Vorfälle / Illegaler Zugriff auf Datenbanken mit persönlichen Daten
• Hacking, um über die Coaching App oder API auf nicht autorisierte Daten zuzugreifen
• Diebstahl von Computergeräten (tragbar oder anderweitig), Datenspeichergeräten oder Papieraufzeichnungen, die personenbezogene Daten enthalten
• Betrug, der die Mitarbeiter von Water2buy dazu bringt, personenbezogene Daten von Personen freizugeben

Computersystemfehler
Zu den Fehlerursachen des Computersystems gehören:

• Fehler oder Bugs in der Water2buy-Anwendung oder API
• Ausfall von Cloud-Diensten, Cloud-Computing- oder Cloud-Speichersicherheits- / Authentifizierungs- / Autorisierungssystemen

Verstöße melden

Alle Mitarbeiter sind verpflichtet, tatsächliche oder potenzielle Datenschutzfehler zu melden. Dies ermöglicht uns:

• Untersuchen Sie den Fehler und ergreifen Sie gegebenenfalls Abhilfemaßnahmen
• Führen Sie ein Register über Compliance-Fehler
• Benachrichtigen Sie die Aufsichtsbehörde über alle Compliance-Fehler, die entweder für sich selbst oder als Teil eines Fehlermusters wesentlich sind

Nach der DSGVO ist der Datenschutzbeauftragte gesetzlich verpflichtet, die Aufsichtsbehörde innerhalb von 72 Stunden nach dem Datenverstoß zu benachrichtigen (Artikel 33). Einzelpersonen müssen benachrichtigt werden, wenn nachteilige Auswirkungen festgestellt werden (Artikel 34). Darüber hinaus muss Water2buy betroffene Kunden unverzüglich benachrichtigen, nachdem sie Kenntnis von einem Verstoß gegen personenbezogene Daten erhalten haben (Artikel 33).

Water2buy muss die betroffenen Personen jedoch nicht benachrichtigen, wenn anonymisierte Daten verletzt werden. Insbesondere ist die Benachrichtigung der betroffenen Personen nicht erforderlich, wenn der für die Verarbeitung Verantwortliche Pseudo-Anonymisierungstechniken wie Verschlüsselung sowie angemessene technische und organisatorische Schutzmaßnahmen für die von der Datenschutzverletzung betroffenen personenbezogenen Daten implementiert hat (Artikel 34).

Datenleck

Das Data Breach Team sollte sofort über bestätigte oder vermutete Datenverletzungen informiert werden.

Die Benachrichtigung sollte, sofern verfügbar, folgende Informationen enthalten:

• Ausmaß der Datenverletzung
• Art und Umfang der betroffenen personenbezogenen Daten
• Ursache oder vermutete Ursache des Verstoßes
• Ob der Verstoß behoben wurde
• Maßnahmen und Prozesse, die die Organisation zum Zeitpunkt des Verstoßes eingerichtet hatte
• Informationen darüber, ob betroffene Personen über den Datenschutzverstoß informiert wurden und wenn nicht, wann die Organisation dies beabsichtigt
• Kontaktdaten der Mitarbeiter von Water2buy, mit denen die Aufsichtsbehörde Kontakt aufnehmen kann, um weitere Informationen oder Erläuterungen zu erhalten

Wenn noch keine spezifischen Informationen zum Datenschutzverstoß verfügbar sind, sollte Water2buy eine Zwischenbenachrichtigung mit einer kurzen Beschreibung des Vorfalls senden.

Von Organisationen vorgenommene Benachrichtigungen oder das Fehlen einer Benachrichtigung sowie die Frage, ob Organisationen über angemessene Wiederherstellungsverfahren verfügen, wirken sich auf die Entscheidung (en) der Aufsichtsbehörden aus, ob eine Organisation die von ihr kontrollierten oder in ihrem Besitz befindlichen personenbezogenen Daten angemessen geschützt hat.

Reaktion auf eine Datenverletzung

DATENVERLETZUNGSMANAGEMENT-PLAN

Nach Benachrichtigung über einen (vermuteten oder bestätigten) Datenverstoß sollte das Data Breach-Team den Datenverletzungs- und Reaktionsplan sofort aktivieren.

Der Plan für das Management und die Reaktion auf Datenverletzungen von Water2buy lautet:

1. Bestätigen Sie den Verstoß
2. Enthalten Sie die Verletzung
3. Risiken und Auswirkungen bewerten
4. Melden Sie den Vorfall
5. Bewerten Sie die Reaktion und Wiederherstellung, um zukünftige Verstöße zu verhindern

BESTÄTIGEN SIE DIE VERLETZUNG

Das Data Breach Team (DBT) sollte handeln, sobald es Kenntnis von einem Datenverstoß hat. Nach Möglichkeit sollte zunächst bestätigt werden, dass der Datenverstoß aufgetreten ist. Abhängig von der Wahrscheinlichkeit der Schwere des Risikos kann es für das DBT sinnvoll sein, den Verstoß auf der Grundlage eines nicht bestätigten gemeldeten Datenverstoßes einzudämmen.

Enthalten Sie die Verletzung

Das DBT sollte gegebenenfalls die folgenden Maßnahmen zur Eindämmung des Verstoßes in Betracht ziehen:

• Fahren Sie das gefährdete System herunter, das zur Datenverletzung geführt hat.
• Stellen Sie fest, ob Schritte unternommen werden können, um verlorene Daten wiederherzustellen und den durch den Verstoß verursachten Schaden zu begrenzen. (zB: Remote-Deaktivierung / Löschung eines verlorenen Notizbuchs mit persönlichen Daten von Personen.)
• Verhindern Sie weiteren unbefugten Zugriff auf das System.
• Setzen Sie Kennwörter zurück, wenn Konten und / oder Kennwörter kompromittiert wurden.
• Isolieren Sie die Ursachen der Datenverletzung im System und ändern Sie gegebenenfalls die Zugriffsrechte auf das gefährdete System und entfernen Sie externe Verbindungen zum System.

BEWERTUNG VON RISIKEN UND AUSWIRKUNGEN

Wenn Sie die Risiken und Auswirkungen von Datenschutzverletzungen kennen, können Sie mit Water2buy feststellen, ob schwerwiegende Folgen für betroffene Personen auftreten können, sowie die erforderlichen Schritte, um die betroffenen Personen zu benachrichtigen.

Risiko und Auswirkungen auf den Einzelnen

• Wie viele Menschen waren betroffen?
  Eine höhere Zahl bedeutet möglicherweise kein höheres Risiko, aber die Bewertung dieses Risikos hilft bei der allgemeinen Risikobewertung.
• Wessen personenbezogene Daten wurden verletzt?
  Gehören die personenbezogenen Daten Mitarbeitern, Kunden oder Minderjährigen? Unterschiedliche Personen sind aufgrund des Verlusts personenbezogener Daten einem unterschiedlichen Risiko ausgesetzt.
• Um welche Arten von personenbezogenen Daten handelte es sich?
  Dies hilft festzustellen, ob ein Risiko für Reputation, Identitätsdiebstahl, Sicherheit und / oder finanziellen Verlust betroffener Personen besteht.
• Gibt es zusätzliche Maßnahmen, um die Auswirkungen eines Datenverstoßes zu minimieren? Beispiel: Ein verlorenes Gerät, das durch ein sicheres Kennwort oder eine Verschlüsselung geschützt ist, kann die Auswirkungen einer Datenverletzung verringern.

Risiko und Auswirkungen auf Organisationen

• Was hat den Datenverstoß verursacht?
  Wenn Sie feststellen, wie der Verstoß aufgetreten ist (durch Diebstahl, Unfall, unbefugten Zugriff usw.), können Sie sofort Maßnahmen ergreifen, um den Verstoß einzudämmen und das Vertrauen der Öffentlichkeit in ein Produkt oder eine Dienstleistung wiederherzustellen.
• Wann und wie oft ist der Verstoß aufgetreten?
  Wenn Sie dies untersuchen, kann Water2buy die Art des Verstoßes besser verstehen (z. B. böswillig oder versehentlich).
• Wer könnte Zugang zu den kompromittierten persönlichen Daten erhalten?
  Dadurch wird festgestellt, wie die kompromittierten Daten verwendet werden können. Betroffene Personen müssen insbesondere benachrichtigt werden, wenn personenbezogene Daten von einer nicht autorisierten Person erfasst werden.
• Beeinflussen kompromittierte Daten Transaktionen mit anderen Dritten?
  Wenn Sie dies feststellen, können Sie feststellen, ob andere Organisationen benachrichtigt werden müssen.

MELDEN SIE DEN VORFALL

Water2buy ist gesetzlich verpflichtet, betroffene Personen zu benachrichtigen, wenn ihre persönlichen Daten verletzt wurden. Dies wird Einzelpersonen dazu ermutigen, vorbeugende Maßnahmen zu ergreifen, um die Auswirkungen der Datenverletzung zu verringern, und Water2buy dabei helfen, das Vertrauen der Verbraucher wiederherzustellen.

Wen zu benachrichtigen:

• Benachrichtigen Sie Personen, deren personenbezogene Daten kompromittiert wurden.
• Benachrichtigen Sie gegebenenfalls andere Dritte wie Banken, Kreditkartenunternehmen oder die Polizei.
• Benachrichtigen Sie die DSGVO, insbesondere wenn ein Datenverstoß sensible personenbezogene Daten betrifft.
• Die zuständigen Behörden (z. B. Polizei) sollten benachrichtigt werden, wenn der Verdacht auf kriminelle Aktivitäten besteht, und Beweise für Ermittlungen sollten aufbewahrt werden (z. B. Hacking, Diebstahl oder unbefugter Systemzugriff eines Mitarbeiters).

Wann zu benachrichtigen:

• Benachrichtigen Sie betroffene Personen unverzüglich, wenn ein Datenverstoß sensible personenbezogene Daten betrifft. Auf diese Weise können sie frühzeitig die erforderlichen Maßnahmen ergreifen, um einen möglichen Missbrauch der kompromittierten Daten zu vermeiden.
• Benachrichtigen Sie betroffene Personen, wenn der Datenverstoß behoben ist

So benachrichtigen Sie:

• Verwenden Sie die effektivsten Methoden, um betroffene Personen zu erreichen, und berücksichtigen Sie dabei die Dringlichkeit der Situation und die Anzahl der betroffenen Personen (z. B. Medienmitteilungen, soziale Medien, mobile Nachrichten, SMS, E-Mails, Telefonanrufe).
• Benachrichtigungen sollten einfach zu verstehen und spezifisch sein und klare Anweisungen dazu enthalten, was Einzelpersonen tun können, um sich selbst zu schützen.

Was zu benachrichtigen ist:

• Wie und wann die Datenverletzung aufgetreten ist und welche Arten von personenbezogenen Daten an der Datenverletzung beteiligt sind.

• Was Water2buy als Reaktion auf die durch die Datenverletzung verursachten Risiken getan hat oder tun wird.
• Gegebenenfalls spezifische Fakten zum Datenschutzverstoß und Maßnahmen, die Einzelpersonen ergreifen können, um zu verhindern, dass diese Daten missbraucht oder missbraucht werden.
• Kontaktdaten und wie betroffene Personen die Organisation erreichen können, um weitere Informationen oder Unterstützung zu erhalten (z. B. Helpline-Nummern, E-Mail-Adressen oder Website).

BEWERTEN SIE DIE ANTWORT UND WIEDERHERSTELLUNG, UM ZUKÜNFTIGE VERLETZUNGEN ZU VERMEIDEN

Nachdem Schritte zur Behebung des Datenschutzverstoßes unternommen wurden, sollte Water2buy die Ursache des Verstoßes überprüfen und bewerten, ob vorhandene Schutz- und Präventionsmaßnahmen und -prozesse ausreichen, um das Auftreten ähnlicher Verstöße zu verhindern, und gegebenenfalls Praktiken einstellen, die zu dem Verstoß geführt haben Datenleck.

Betriebliche und politikbezogene Probleme:

• Wurden regelmäßig Audits zu physischen und IT-bezogenen Sicherheitsmaßnahmen durchgeführt?
• Gibt es Prozesse, die optimiert oder eingeführt werden können, um den Schaden bei zukünftigen Verstößen zu begrenzen oder einen Rückfall zu verhindern?
• Gab es Schwachstellen bei bestehenden Sicherheitsmaßnahmen wie der Verwendung veralteter Software und Schutzmaßnahmen oder Schwachstellen bei der Verwendung tragbarer Speichergeräte, beim Netzwerk oder bei der Konnektivität zum Internet?
• Waren die Methoden für den Zugriff auf und die Übermittlung personenbezogener Daten ausreichend sicher, z. B.: Der Zugriff war nur autorisiertem Personal vorbehalten?
• Sollten Support-Services von externen Parteien wie Anbietern und Partnern verbessert werden, um personenbezogene Daten besser zu schützen?
• Wurden die Verantwortlichkeiten von Anbietern und Partnern in Bezug auf den Umgang mit personenbezogenen Daten klar definiert?
• Müssen neue Szenarien für Datenverletzungen entwickelt werden?

Ressourcenbezogene Probleme:

• Wurden genügend Ressourcen bereitgestellt, um die Datenverletzung zu verwalten?

• Sollten externe Ressourcen eingesetzt werden, um solche Vorfälle besser zu bewältigen?
• Wurden Schlüsselpersonen genügend Ressourcen zur Verfügung gestellt, um den Vorfall zu bewältigen?

Mitarbeiterbezogene Probleme:

• Waren sich die Mitarbeiter sicherheitsrelevanter Probleme bewusst?
• Wurden Schulungen zu Fragen des Datenschutzes und zum Management von Vorfällen angeboten?
• Wurden die Mitarbeiter über die Datenverletzung und die Lernpunkte des Vorfalls informiert?

Managementbezogene Probleme:

• Wie war das Management an der Verwaltung der Datenverletzung beteiligt?
• Gab es eine klare Linie der Verantwortung und Kommunikation während des Managements der Datenverletzung?

Überwachung

Jeder muss diese Richtlinie beachten.

Folgen der Nichteinhaltung

Wir nehmen die Einhaltung dieser Richtlinie sehr ernst. Die Nichtbeachtung gefährdet sowohl Sie als auch die Organisation.

Die Bedeutung dieser Richtlinie bedeutet, dass die Nichteinhaltung einer Anforderung zu Disziplinarmaßnahmen im Rahmen unserer Verfahren führen kann, die zur Entlassung führen können.