PROTOCOL OBBLIGO DI SEGNALAZIONE DELLE VIOLAZIONI DEI DATI

PROTOCOL OBBLIGO DI SEGNALAZIONE DELLE VIOLAZIONI DEI DATI

Considerazioni:

CalmActiva attribuisce importanza a una buona sicurezza dei suoi sistemi (elettronici) in cui sono memorizzati e trattati i dati personali

tuttavia non si può mai completamente evitare che si verifichi una violazione dei dati

CalmActiva è obbligata, ai sensi del Regolamento generale sulla protezione dei dati (GDPR), a segnalare le violazioni dei dati (gravi) all'Autorità per la protezione dei dati e agli interessati

CalmActiva desidera adempiere ai propri obblighi legali

CalmActiva ha quindi formulato una politica per agire nel modo più adeguato possibile nel caso in cui si verifichi un'imprevista violazione dei dati.

1 - Definizione di data breach

Si parla di una violazione dei dati quando si verifica una violazione della sicurezza che porta accidentalmente o illecitamente alla distruzione, perdita, modifica o alla fornitura non autorizzata di o accesso non autorizzato a dati trasmessi, memorizzati o altrimenti elaborati.

2 - Responsabili interni segnalazione di violazioni dei dati

CalmActiva ha nominato responsabili interni per la gestione delle violazioni dei dati, che sono responsabili della segnalazione di una violazione dei dati.

1. 1.Questi responsabili sono: Dirk Verburg, numero di telefono: 0624523564; indirizzo e-mail: info@calmactiva.com. nl e se non è raggiungibile Yvo Langhoor, numero di telefono: 0650589123; indirizzo e-mail: linfo@calmactiva.com, di seguito denominato: ‘responsabile interno.
2. Se possibile, colui che ha scoperto la violazione dei dati deve contemporaneamente assicurarsi che i dati trapelati vengano immediatamente cancellati o resi inaccessibili da remoto.
3. Messaggio interno in caso di scoperta di una violazione dei dati

4 - Ricerca da parte del responsabile interno            

Il responsabile interno esamina tra l'altro:

se sono stati persi dati personali o se possono essere utilizzati in modo illecito chi o quali reparti all'interno dell'organizzazione sono coinvolti nella violazione dei dati o se un elaboratore è coinvolto nell'incidente

5 - Combattimento delle violazioni dei dati

Il responsabile interno interrompe la violazione dei dati se possibile e adotta ulteriori misure necessarie per combattere la violazione dei dati nel miglior modo possibile.

6 - Determinazione delle conseguenze di una violazione dei dati

Il responsabile interno esamina le possibili conseguenze della violazione dei dati in base alla natura e all'entità delle informazioni trapelate e determina quali possano essere le conseguenze negative per gli interessati.

7 - Collaborazione fornitura dati riguardo la violazione dei datiIl scopritore/segnalatore della violazione dei dati offre tutta la collaborazione al responsabile interno rispondendo il più rapidamente e nel miglior modo possibile (per iscritto) alle seguenti domande:

• cosa è successo? (descrizione dell'incidente)
• è successo per caso o è stato causato da dolo (pensa a dati hackerati)? quando è successo? (data e ora)
• quando è stato scoperto?
• quali dati (registri) sono stati compromessi? i dati sono crittografati, e se sì, come?
• i dati potevano essere cancellati o resi inaccessibili da remoto, e se sì, è successo? quali sono le possibili conseguenze per le persone coinvolte?
• quale gruppo/i di persone è/sono colpito/i da questo? (ad esempio: studenti, pazienti, membri premium) quante persone sono state colpite (approssimativamente) da questo?
• ci sono anche dati di persone in altri paesi dell'UE colpiti dalla violazione dei dati?
• erano già state adottate misure tecniche e/o organizzative in seguito all'incidente?

8 - Disponibilità del personale dopo la scoperta della violazione dei dati

Il responsabile del dipartimento da cui è avvenuta la violazione dei dati, così come il scopritore della violazione dei dati e chiunque, in base alla propria funzione o conoscenza, sia in grado di adottare misure organizzative e/o tecniche per limitare le conseguenze della violazione dei dati, rimarranno disponibili per consultazioni con il responsabile interno e, se necessario, per l'esecuzione di compiti assegnati a seguito della violazione dei dati nelle prime 24 ore dopo la scoperta della violazione.

9 - Decisione comunicazione violazioni dei dati

1. Il responsabile interno decide il prima possibile, ma in ogni caso entro 60 ore dalla scoperta della violazione dei dati - eventualmente in consultazione con il responsabile del dipartimento da cui è stata scoperta la violazione dei dati e/o con esperti da lui designati - se la violazione dei dati debba essere segnalata all'Autorità per la protezione dei dati e/o agli interessati.
2. Una violazione dei dati deve essere sempre segnalata all'Autorità per la protezione dei dati, a meno che non sia improbabile che la violazione dei dati comporti un rischio per i diritti e le libertà degli interessati.
3. La segnalazione della violazione dei dati è accompagnata dalla risposta alle domande come descritto nella sezione 7.
4. Una violazione dei dati segnalata all'Autorità per la protezione dei dati viene altresì comunicata agli interessati se comporta un alto rischio per i diritti e le libertà delle persone fisiche, a meno che nel frattempo non siano state adottate misure adeguate che abbiano mitigato l'alto rischio.

10 - Notifica di violazioni dei dati all'Autorità per la protezione dei dati e/o agli interessati

1. Il responsabile interno si occupa, se necessario, della segnalazione all'Autorità per la protezione dei dati e/o ai soggetti interessati.
2. La segnalazione avviene il prima possibile dopo la scoperta e al più tardi entro 72 ore dalla scoperta della violazione dei dati.
3. Non è consentito ad alcun altro dipendente, diverso dal responsabile interno, di segnalare il (possibile) data breach all'Autorità per la protezione dei dati e/o ai soggetti interessati.
4. Se un dipendente non è d'accordo con la decisione del responsabile interno riguardo alla segnalazione o meno della violazione dei dati all'Autorità per la protezione dei dati e/o ai soggetti interessati, può esprimere le proprie lamentele alla direzione.

Se richiesto, un dipendente fornisce tutta la collaborazione al responsabile per informare le persone interessate in conformità all'articolo 34 del GDPR riguardo alla violazione dei dati.

5.

11 - Conseguenze della segnalazione delle violazioni dei dati

Se la violazione dei dati ha conseguenze negative per le persone coinvolte, il responsabile interno farà tutto il possibile per limitare tali conseguenze.

1.

2. A seconda della natura e dell'entità della violazione dei dati, il responsabile interno determina: in che modo gli interessati vengono informati (incluso, in ogni caso, quali tipi di dati personali sono stati colpiti, quali possono essere le conseguenze, quali misure Calma Activa adotta e in che modo gli interessati possono prevenire o limitare i danni).

quale assistenza post-vendita ricevono gli interessati

quali azioni sono necessarie nell'interesse dell'organizzazione

Se si è verificata una violazione dei dati - indipendentemente dal fatto che sia stata segnalata o meno - verranno adottate il prima possibile misure tecniche e/o organizzative adeguate per prevenire future violazioni simili dei dati.

3.

12 - Tenere un registro delle violazioni dei dati

Il responsabile interno tiene un registro di tutte le violazioni dei dati, in cui vengono registrate tutte le informazioni relative alla violazione dei dati, come:

• una descrizione dell'incidente data e ora della violazione dei dati
• data e ora della scoperta della violazione dei dati?
• descrizione del tipo di dati personali trapelati
• descrizione della categoria(e) di soggetti interessati colpiti
• descrizione numero di coinvolti (approssimativo)
• o anche i dati di persone in altri paesi dell'UE sono stati compromessi