Spedizione gratuita a partire da € 55
0
  • Casa
  • /
  • Protocollo sull'obbligo di segnalazione delle violazioni dei dati

Protocollo sull'obbligo di segnalazione delle violazioni dei dati

Considerazioni:

  • Crystal Colloidals B.V. attribuisce grande importanza alla sicurezza dei propri sistemi (elettronici) in cui vengono memorizzati ed elaborati i dati personali.
  • Tuttavia, non si può mai evitare del tutto che si verifichi una fuga di dati.
  • Crystal Colloidals B.V. è tenuta, ai sensi del Regolamento generale sulla protezione dei dati (RGPD), a segnalare le violazioni (gravi) dei dati all'Autorità olandese per la protezione dei dati e alle persone coinvolte.
  • Crystal Colloidals B.V. desidera adempiere ai suoi obblighi legali
  • Crystal Colloidals B.V. ha pertanto formulato una politica per agire nel modo più adeguato possibile nel caso improbabile di una fuga di dati.

1 - Definizione di violazione dei dati

Una violazione dei dati si verifica quando si verifica una violazione della sicurezza che comporta la distruzione accidentale o illegale, la perdita, l'alterazione o la divulgazione non autorizzata o l'accesso ai dati trasmessi, memorizzati o altrimenti elaborati.

2 - Responsabile interno per la segnalazione delle violazioni dei dati

  1. Crystal Colloidals B.V. ha nominato un responsabile interno del trattamento dei dati che ha la responsabilità di segnalare una violazione dei dati.
  2. Il responsabile è la Direzione, il cui primo contatto è Cade Howe, numero di telefono: 0475-785447; indirizzo e-mail: info@crystal-colloidaal.nl , di seguito denominato"responsabile interno".

3 - Notifica interna alla scoperta di una violazione dei dati

  1. Chiunque scopra una violazione dei dati presso Crystal Colloidals B.V. lo riferirà immediatamente al responsabile interno.
  2. Se possibile, la persona che ha scoperto la fuga di dati deve allo stesso tempo garantire che i dati trapelati siano immediatamente e remotamente cancellati o resi inaccessibili.

4 - Indagine del responsabile interno

Il responsabile interno esamina, tra l'altro, i seguenti aspetti:

  • se i dati personali sono stati persi o possono essere utilizzati illegalmente
  • Chi o quali dipartimenti all'interno dell'organizzazione sono coinvolti nella violazione dei dati
  • se un trasformatore è coinvolto nell'incidente

5 - Combattere una violazione dei dati

Il responsabile interno blocca la fuga di dati, se ancora possibile, e adotta inoltre le misure necessarie per contrastare al meglio la fuga di dati.

6 - Determinare le conseguenze di una violazione dei dati

Il responsabile interno indaga sulle possibili conseguenze della fuga di dati in base alla natura e all'entità dei dati trapelati e stabilisce quali potrebbero essere le conseguenze negative per le persone coinvolte.

7 - Cooperazione nel fornire informazioni sulla violazione dei dati

Chi scopre/segnala la fuga di dati deve collaborare pienamente con il responsabile interno rispondendo alle seguenti domande nel modo più rapido e corretto possibile (per iscritto):

  • cosa è successo? (descrizione dell'incidente)
  • È stato accidentale o causato da un intento doloso (ad esempio, dati violati)?
  • Quando è successo? (data e ora)
  • quando è stato scoperto?
  • che tipo di dati sono trapelati?
  • I dati sono criptati e, se sì, come?
  • I dati possono essere cancellati o resi inaccessibili da remoto e, in caso affermativo, è stato fatto?
  • Quali sono le possibili conseguenze per le persone coinvolte?
  • quale/i gruppo/i di persone è/sono interessato/i (es. alunni, pazienti, membri premium)?
  • Quante persone sono interessate (approssimativamente)?
  • Anche i dati di persone in altri paesi dell'UE sono stati colpiti dalla violazione dei dati?
  • Sono già state adottate misure tecniche e/o organizzative a seguito dell'incidente?

8 - Disponibilità del personale dopo la scoperta della violazione dei dati

Il responsabile della funzione da cui si è verificata la fuga di dati, nonché la persona che ha scoperto la fuga di dati e chiunque, in base alla sua posizione o alle sue conoscenze, sia in grado di adottare misure organizzative e/o tecniche per limitare le conseguenze della fuga di dati, sarà a disposizione nelle prime 24 ore dalla scoperta della fuga di dati per la consultazione del responsabile interno o di eventuali esperti da lui nominati e, se necessario, per l'esecuzione di lavori ordinati a seguito della fuga di dati.

9 - Decisione sulla notifica delle violazioni dei dati

  1. Il responsabile interno decide nel più breve tempo possibile, e comunque entro 60 ore dalla scoperta della fuga di dati - in consultazione o meno con il responsabile della funzione da cui è stata scoperta la fuga di dati e/o con esperti da lui nominati - se la fuga di dati deve essere segnalata all'Autorità Garante per la Protezione dei Dati Personali e/o agli interessati.
  2. In linea di principio, una fuga di dati viene sempre segnalata all'Autorità Garante per i dati personali, a meno che non sia improbabile che la fuga di dati comporti un rischio per i diritti e le libertà delle persone coinvolte.
  3. La notifica della violazione dei dati è accompagnata dalle risposte alle domande descritte nella sezione 7.
  4. Una fuga di dati segnalata all'Autorità per la protezione dei dati personali deve essere segnalata anche agli interessati se rappresenta un rischio elevato per i diritti e le libertà delle persone fisiche, a meno che non siano state adottate nel frattempo misure idonee a scongiurare il rischio elevato.

10 - Segnalazione delle violazioni dei dati all'Autorità per la protezione dei dati personali e/o alle persone coinvolte

  1. Se necessario, il responsabile interno provvede alla notifica all'Autorità per la protezione dei dati personali e/o all'interessato o agli interessati.
  2. La notifica deve essere effettuata il prima possibile dopo la scoperta e non oltre 72 ore dalla scoperta della fuga di dati.
  3. Qualsiasi dipendente diverso dal responsabile interno non è autorizzato a segnalare la (possibile) fuga di dati all'Autorità per la protezione dei dati personali e/o alla persona interessata.
  4. Se un dipendente non è d'accordo con la decisione del responsabile interno sull'opportunità o meno di segnalare la violazione dei dati all'Autorità Garante per i dati personali e/o agli interessati, può presentare le proprie rimostranze alla direzione.
  5. Se richiesto, il dipendente deve collaborare pienamente con il responsabile per poter informare le persone interessate della fuga di dati ai sensi dell'articolo 34 della legge AVG.

11 - Conseguenze della segnalazione di violazioni di dati

  1. Se la violazione dei dati ha conseguenze negative per le persone coinvolte, il responsabile interno farà il possibile per limitare il più possibile tali conseguenze.
  2. A seconda della natura e dell'entità della violazione dei dati per le persone coinvolte, il responsabile interno decide:
  • Il modo in cui gli interessati saranno informati (compresi, in ogni caso, i tipi di dati personali che sono stati colpiti, le possibili conseguenze, le misure che Crystal Colloidals B.V. adotterà e i modi in cui gli interessati possono prevenire o limitare il danno stesso).
  • che tipo di assistenza post-vendita riceveranno le persone coinvolte
  • quali azioni sono necessarie nell'interesse dell'organizzazione
  1. Se si è verificata una violazione dei dati, indipendentemente dal fatto che sia stata segnalata o meno, verranno adottate quanto prima misure tecniche e/o organizzative adeguate per prevenire future violazioni dei dati simili.

12 - Mantenimento del registro delle violazioni dei dati

Il responsabile interno tiene un registro di tutte le violazioni dei dati, in cui vengono registrati tutti i dati relativi alla violazione, come ad esempio:

  • una descrizione dell'incidente
  • Data e ora della violazione dei dati
  • Data e ora della scoperta della violazione dei dati
  • descrizione del tipo di dati personali trapelati
  • Descrizione della/e categoria/e di dati interessati/e
  • Descrizione del numero di persone coinvolte (approssimativo)
  • se sono trapelati anche dati di persone di altri paesi dell'UE
  • se l'incidente è stato segnalato all'Autorità per la protezione dei dati personali e, in caso affermativo, la data e l'ora della segnalazione
  • se l'incidente è stato segnalato alle persone coinvolte e, in caso affermativo, la data e l'ora della segnalazione
  • come sono state informate le persone coinvolte
  • le conseguenze della violazione dei dati, compresi, se possibile, data e ora
  • quali misure tecniche e/o organizzative sono state adottate dopo la fuga di dati, comprese data e ora