Informazioni elaborate Politica di sicurezza delle informazioni Politica di archivazioni dei dati Politica sulla privacy Procedura di gestione degli incidenti Termini e condizioni

Procedura di risposta agli incidenti

1. SCOPO

Lo scopo della presente Procedura è fornire linee guida in materia di notifica e gestione della violazione dei dati personali. La presente Procedura è un'appendice alla Politica sulla Sicurezza delle Informazioni e alla Politica sulla Protezione dei Dati Personali che descrivono i diritti dell'utente in conformità con il Regolamento generale sulla protezione dei dati (GDPR).

La Procedura si applica a:

- tutti i dati personali generati o raccolti da Uniline in qualsiasi forma

- tutti i dati personali trattati da Uniline

- tutti gli altri sistemi informativi in cui i dati vengono archiviati o elaborati

2. DEFINIZIONI

Per violazione dei dati personali (incidente) si intende una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione accidentale o illegale, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, archiviati o altrimenti trattati.

3. NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI

In caso di violazione dei dati personali, è di vitale importanza notificare l’evento il prima possibile dopo averne venuto a conoscenza al fine di ridurne i potenziali effetti. Tutte le persone che hanno accesso ai sistemi informativi di Uniline sono responsabili di segnalare attività sospette (incidenti) che potrebbero portare a una violazione della riservatezza, dell'integrità e/o della disponibilità dei dati personali. La notifica può essere effettuata inviando un'e-mail a dpo@uniline.hr.

3.1. Verifica iniziale

Una volta ricevuta l'e-mail di cui sopra, il responsabile della protezione dei dati e della gestione degli incidenti indagherà sulla causa dell'incidente o incaricherà un'altra persona di condurre l'indagine. Tutti i registri e le prove dell'incidente verranno inviati direttamente al responsabile della protezione dei dati che li conserverà. L'indagine comprende la verifica della gravità dell'incidente e del suo impatto sui diritti e sulle libertà dei clienti e dei dipendenti di Uniline.

4. CONTENIMENTO E RECUPERO

Una volta accertato che si è verificata una violazione della sicurezza dei dati personali, Uniline prenderà le misure il più presto possibile per limitare l'incidente. A seconda della gravità dell'incidente, la persona responsabile, ove opportuno, coinvolgerà e informerà altre persone al fine di:

- stabilire se esiste la possibilità di recuperare le perdite e limitare i danni che potrebbero essere causati dall'incidente

- stabilire se sia opportuno notificare la violazione dei dati personali alle persone colpite dall'incidente

- stabilire se sia opportuno notificare la violazione dei dati personali all'autorità di controllo competente

4.1. Valutazione del rischio

È necessario stabilire quali ulteriori azioni dovrebbero essere intraprese sulla base della notifica dell’incidente ricevuta al fine di mitigare gli effetti della violazione dei dati personali e per evitare che si ripeta. Uniline documenta tutte le violazioni dei dati personali, compresi i loro effetti e le azioni correttive intraprese.

5. NOTIFICA

Quando la violazione dei dati personali può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, Uniline comunicherà la violazione dei dati personali al cliente senza ingiustificato ritardo. La comunicazione dovrebbe descrivere la natura della violazione dei dati personali nonché raccomandazioni per il cliente interessato per mitigare i potenziali effetti negativi. Tali comunicazioni verranno effettuate non appena ragionevolmente fattibile dal momento in cui il titolare del trattamento viene a conoscenza che si è verificata una violazione dei dati personali. Nel predisporre tali comunicazioni ai clienti, Unline rispetterà le indicazioni fornite dall'autorità di vigilanza o da altre autorità competenti. In caso di violazione dei dati personali, Uniline notificherà la violazione dei dati personali all'autorità di controllo senza indebito ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuta a conoscenza, a meno che sia improbabile che si verifichi una violazione dei dati personali. in un rischio per i diritti e le libertà delle persone fisiche. Qualora tale comunicazione non venga effettuata entro 72 ore, sarà accompagnata dalle motivazioni del ritardo.

La notifica all’autorità di controllo dovrà almeno (ma non solo):

- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di utenti interessati e le categorie e il numero approssimativo di registrazioni di dati personali interessati;

- comunicare il nominativo ed i recapiti del responsabile della protezione dei dati presso il quale potrà ottenere maggiori informazioni;

- descrivere le probabili conseguenze della violazione dei dati personali;

- descrivere le misure adottate o proposte da Uniline per affrontare la violazione dei dati personali, comprese, se del caso, misure per mitigarne i possibili effetti negativi.

6. REGISTRO DELLE VIOLAZIONI DEI DATI PERSONALI

Uniline raccoglierà tutte le informazioni di cui all'articolo di cui sopra, indipendentemente dal fatto che la violazione sia stata notificata o meno all'autorità di controllo, nel proprio registro delle violazioni dei dati personali da archiviare nel file system di Unline.