Linee guida per la segnalazione di violazioni della sicurezza dei dati
Gstaad Palace
1.
Oggetto
e principi fondamentali
La presente Linea Guida per la Segnalazione di Violazioni della sicurezza dei dati (linea guida) contiene le disposizioni per la gestione delle violazioni della sicurezza dei dati e per la notifica all’autorità competente per il controllo della protezione dei dati e agli interessati presso Gstaad Palace - (di seguito azienda). La linea guida fornisce ai dipendenti i principi più importanti per la gestione delle violazioni della sicurezza dei dati e, insieme ad altre misure e documenti, consente loro di reagire prontamente alle violazioni della sicurezza dei dati in collaborazione con l’unità di coordinamento della protezione dei dati. Le varie responsabilità sono descritte dettagliatamente nella sezione 11 della presente linea guida
Poiché l’azienda offre servizi alberghieri e, se del caso, altri servizi e beni e scambia dati personali in questo contesto, le normative svizzere in materia di protezione dei dati e, se del caso, altre leggi in materia di protezione dei dati (per esempio quelle europee) sono pertinenti per l’azienda Nel trattamento dei dati personali, i dipendenti devono attenersi alle loro istruzioni, in particolare per garantire che le violazioni della sicurezza dei dati siano segnalate.
Oltre a questa linea guida, il dipartimento competente per la protezione dei dati potrebbe emanare norme specifiche per ogni Paese e tenerne conto.
2. Finalità della presente linea guida
L’obiettivo di questa linea guida è quello di definire le modalità di risposta alle violazioni della sicurezza dei dati all’interno dell’azienda e di garantire che sia effettuata il prima possibile la notifica richiesta all’autorità competente per la protezione dei dati, ma di norma entro 72 ore dal rilevamento della violazione della sicurezza dei dati.
3. Ambito di applicazione
Questa linea guida si applica a tutti i dipendenti dell’azienda che trattano dati personali, che sono potenzialmente coinvolti in attività di trattamento dei dati o che identificano violazioni della sicurezza dei dati. I dipendenti sono tenuti a rispettare tutte le normative applicabili in materia di protezione dei dati e la presente guida come parte del loro rapporto di lavoro.
4. Definizioni
La normativa applicabile in materia di protezione dei dati definisce alcuni termini importanti. In linea di principio, i termini seguenti hanno lo stesso significato di quelli definiti nella Legge federale sulla protezione dei dati (FADP).
Il concetto di dati personali è particolarmente rilevante:
Dati personali Dati personali che richiedono una protezione speciale
Definizione Per dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile (nome, indirizzo, dati relativi all’ubicazione, identificativi online come ID del dispositivo, ID del cookie, indirizzo IP, tag RFID, preferenze, interessi, ecc.) )
Sensibilità
Dati personali delle seguenti categorie: Dati su opinioni o attività religiose, ideologiche, politiche o sindacali; dati sulla salute, dati riservati o sull’appartenenza razziale o etnica; dati genetici; dati biometrici che identificano in modo univoco una persona fisica; dati relativi a procedimenti o sanzioni amministrative e penali; dati relativi a misure di assistenza sociale (registrazioni di sistemi di videosorveglianza, dati sulla salute del personale, precedenti penali del personale, allergie degli ospiti, ecc.)
Nota: Ci riferiamo a persone fisiche e non persone giuridiche o altre entità. Ma: Anche le informazioni relative a un referente di un fornitore o a un altro rapporto tra imprese (B2B) sono considerate dati personali
Una violazione della sicurezza dei dati è una violazione della sicurezza che comporta la perdita, la cancellazione, la distruzione o l’alterazione involontaria o illegittima di dati personali, oppure la loro divulgazione o accessibilità a persone non autorizzate. In altre parole, un incidente di sicurezza si verifica nel momento in cui la riservatezza, l’integrità o la disponibilità dei dati personali sono temporaneamente o permanentemente compromesse.
5. Le violazioni della sicurezza dei dati e i loro effetti
Una violazione della sicurezza dei dati comporta la distruzione, la perdita, l’alterazione, la divulgazione, l’accesso o la condivisione accidentale o illegittima di dati personali. Ciò include le violazioni sia accidentali che intenzionali. Ciò significa anche che una violazione della sicurezza dei dati va oltre la semplice perdita di dati personali.
Una violazione della sicurezza dei dati, se non viene sanata in modo tempestivo e adeguato, può causare danni fisici, materiali o immateriali agli interessati:
- Perdita di controllo sui propri dati personali o limitazione dei propri diritti;
- Discriminazione;
- Furto d’identità o frode;
- Perdita finanziaria;
- Decifratura non autorizzata della pseudonimizzazione;
- Danno alla reputazione;
- Perdita della riservatezza dei dati personali protetti dal segreto professionale; oppure
- Qualsiasi altro svantaggio economico o sociale significativo subito dagli interessati.
Esempi di violazioni della sicurezza dei dati sono:
- Accesso da parte di terzi non autorizzati (ad es. attacchi di hacker);
- Azione (o omissione) intenzionale o accidentale da parte di un titolare del trattamento dei dati, del soggetto responsabile del trattamento dei dati, o di un responsabile del trattamento (per esempio, perdita di dati);
- Invio di dati personali a un destinatario non corretto (per esempio, invio di un’e-mail con dati personali a un destinatario non corretto);
- Perdita o furto di apparecchiature di elaborazione dati contenenti dati personali (per esempio, perdita di un telefono cellulare o di un notebook aziendale);
- Modifica/trattamento di dati personali senza autorizzazione; e
- Perdita di disponibilità dei dati personali (per es. servizio cloud non disponibile).
6. Obblighi in caso di rilevamento di una violazione della sicurezza dei dati
Ogni dipendente è obbligato alle seguenti attività nel caso di identificazione o sospetto di una violazione della sicurezza dei dati:
- Documentazione immediata della violazione della sicurezza dei dati (ora e data) e ulteriori prove (per es. e-mail, screenshot, ecc.), se applicabile.
- Comunicazione immediata all’unità di coordinamento della protezione dei dati.
- Comunicazione immediata al reparto informatico per garantire la documentazione immediata della violazione della sicurezza dei dati con mezzi adeguati, per esempio :
o Descrizione della violazione;
o Realizzazione di screenshot;
o Raccolta di log o file di log;
o Archiviazione della corrispondenza e-mail, ecc.
- Avviare misure di mitigazione del rischio in collaborazione con l’unità di coordinamento della protezione dei dati.
Potrebbe essere necessario condurre ulteriori indagini per determinare con maggiore precisione la causa della violazione della sicurezza dei dati. L’indagine sarà condotta dall’unità di coordinamento della protezione dei dati e documentata con il questionario di cui all’Allegato 1. Se necessario, l’indagine deve essere affidata a fornitori di servizi esterni.
7. Calendario e obbligo di segnalazione di una violazione della sicurezza dei dati
7.1 Tempistica
La notifica di una violazione della sicurezza dei dati deve essere presentata all’autorità di controllo competente in materia di protezione dei dati il più presto possibile, ma di norma entro 72 ore dal rilevamento
7.2 Obbligo di segnalazione all’autorità di controllo per la protezione dei dati personali
La notifica di una violazione della sicurezza dei dati deve essere effettuata se la violazione comporta un rischio elevato per la personalità o i diritti fondamentali degli interessati. La notifica deve essere effettuata anche se la violazione della sicurezza dei dati non è ancora stata completamente controllata nei dettagli.
Se si è verificata una violazione della sicurezza dei dati, la probabilità e la gravità del rischio conseguente per la personalità o i diritti fondamentali dell’interessato devono essere analizzate e documentate utilizzando la seguente matrice di identificazione del rischio:
Gravità del danno rilevante Basso rischio
Basso rischio
Probabilità del verificarsi di un danno
Una violazione della sicurezza dei dati può avere una serie di conseguenze negative per gli interessati, tra cui disagio emotivo e danni fisici o materiali. Le violazioni della sicurezza dei dati possono causare un disagio significativo agli interessati i cui dati personali sono stati compromessi. Pertanto, ogni violazione deve essere valutata caso per caso, tenendo conto di tutti i fattori rilevanti. Se la valutazione porta a decidere che una violazione della sicurezza dei dati deve essere segnalata all’autorità di controllo competente in materia di protezione dei dati, la decisione finale di effettuare la segnalazione deve essere presa dalla direzione o dalla direzione dell’hotel.
7.3 Obbligo di comunicazione agli interessati
Se una violazione della sicurezza dei dati rende necessario informare gli interessati per la loro protezione o se ciò è richiesto dalla competente autorità di controllo della protezione dei dati, gli interessati devono essere informati direttamente e senza ritardi irragionevoli.
Le informazioni agli interessati devono essere fornite regolarmente in caso di rischio elevato per la loro personalità o i loro diritti fondamentali. Nel valutare i rischi, occorre prendere in considerazione la gravità degli effetti potenziali o effettivi di una violazione della sicurezza dei dati sugli interessati e la probabilità che tali effetti si verifichino (si veda la matrice dei rischi nella sezione 7.2). Se l’impatto della violazione è più grave, il rischio è più elevato, e se la probabilità delle conseguenze è maggiore anche il rischio è più elevato. In questi casi, gli interessati devono essere informati senza indugio, soprattutto se è necessario contenere il rischio diretto di un danno per loro. Uno dei motivi principali per informare gli interessati è aiutarli ad adottare misure per proteggersi dagli effetti di una violazione della sicurezza dei dati
Se la valutazione porta a decidere che gli interessati devono essere informati di una violazione della sicurezza dei dati, la decisione finale deve essere presa dalla direzione o dalla direzione dell’hotel.
8. Procedura per la comunicazione interna di una violazione della sicurezza dei dati
Una violazione della sicurezza dei dati può essere rilevata da qualsiasi dipendente dell’azienda. Come primo passo, il dipendente che rileva l’incidente deve contattare immediatamente l’unità di coordinamento della protezione dei dati e documentare la violazione rilevata (almeno con data e ora, compresa la conservazione degli elementi di prova). In seguito, l’unità di coordinamento della protezione dei dati prende in carico il caso e supporta e consiglia il dipendente
L’unità di coordinamento della protezione dei dati informerà tempestivamente la direzione o la direzione dell’hotel, documenterà la violazione della protezione dei dati (cfr. Allegato 1) e verificherà la necessità di segnalare la violazione della sicurezza dei dati all’autorità di controllo competente in materia di protezione dei dati. Se è necessaria una comunicazione della violazione della sicurezza dei dati, l’unità di coordinamento della protezione dei dati compilerà le informazioni in modo che la direzione o la direzione dell’hotel possano decidere se la violazione debba essere segnalata. Dopo la decisione della direzione o dell’hotel, l’unità di coordinamento della protezione dei dati prepara e presenta la comunicazione (cfr. Allegato 2 e/o Allegato 3).
In generale, la procedura in caso di violazione della sicurezza dei dati comprende le seguenti fasi:
1 Rilevamento della violazione della sicurezza dei dati
2 Documentazione della violazione della sicurezza dei dati (ora e data) e conservazione degli elementi di prova
3 Informazioni all’unità di coordinamento della protezione dei dati
Ogni dipendente
I dipendenti
I dipendenti
4 Controllare la documentazione del dipendente e decidere l’attuazione delle misure.
5 Determinare se è necessaria una notifica di violazione della sicurezza dei dati, documentare la violazione e ottenere l’approvazione da parte della direzione aziendale/alberghiera.
6 Preparazione e invio della notifica di violazione della sicurezza dei dati.
Unità di coordinamento della protezione dei dati
Unità di coordinamento della protezione dei dati
Gestione/Gestione alberghiera
Quando
In qualsiasi momento
Subito dopo il rilevamento della violazione
Subito dopo il rilevamento della violazione
Immediatamente
Immediatamente
7 Documentazione dell’incidente e del rapporto
8 Esaminare l’incidente e richiedere alla direzione/al management dell’hotel misure per prevenire incidenti simili.
Unità di coordinamento della protezione dei dati
Unità di coordinamento della protezione dei dati
Unità di coordinamento della protezione dei dati
Entro 72 ore dal rilevamento della violazione della sicurezza dei dati.
Immediatamente
Dopo la conclusione dell’incidente
I dipendenti devono informare l’unità di coordinamento della protezione dei dati non appena rilevano o sospettano una violazione della sicurezza dei dati. È importante documentare la data e l’ora del rilevamento della violazione per garantire che la notifica all’autorità di controllo competente in materia di protezione dei dati possa essere effettuata il prima possibile, di solito entro 72 ore. L’unità di coordinamento della protezione dei dati informa la direzione o la direzione dell’hotel per decidere se la violazione deve essere segnalata. Inoltre, l’unità di coordinamento della protezione dei dati adotta le misure adeguate in collaborazione con altri dipartimenti.
9. Modello di notifica di una violazione della sicurezza dei dati
Se dall’analisi emerge che una violazione della sicurezza dei dati deve essere segnalata all’autorità di controllo competente per la protezione dei dati (cfr. 7.2), e la direzione o la direzione dell’hotel ha deciso, in consultazione con l’unità di coordinamento della protezione dei dati, di segnalare la violazione della sicurezza dei dati, è necessario utilizzare il modello di cui all’Allegato 2. Il modello compilato viene inviato all’autorità di controllo competente in materia di protezione dei dati e una copia deve essere archiviata.
Se dall’analisi di una violazione della sicurezza dei dati emerge la necessità di informare gli interessati (cfr. 7.3), e la direzione o la direzione dell’hotel abbia deciso, in consultazione con l’unità di coordinamento della protezione dei dati, di informare gli interessati, è necessario utilizzare il modello di cui all’Allegato 3. Il modello compilato può essere inviato a ciascun interessato e una copia deve essere archiviata.
10. Ulteriori informazioni utili
Informazioni utili sulla notifica delle violazioni della sicurezza dei dati sono contenute nelle linee guida del Gruppo di lavoro ex art. 29 sulla notifica delle violazioni della sicurezza dei dati, pubblicate dal Comitato europeo per la protezione dei dati. Particolarmente utile è la tabella alla fine delle linee guida che descrive se un caso particolare è un incidente da segnalare.
Esempi dimostrativi si trovano nell’Allegato 4 e le linee guida complete del Gruppo di lavoro Art. 29 sono disponibili all’indirizzo: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052
11. Responsabilità
11.1 Direzione o direzione alberghiera
La direzione o la direzione dell’hotel determina il quadro generale per la notifica delle violazioni della sicurezza dei dati all’autorità di controllo competente in materia di protezione dei dati e decide in ultima analisi se effettuare una notifica. Essa nomina un responsabile della protezione dei dati - l’unità di coordinamento della protezione dei dati - che funge da autorità di guida, consulenza e controllo per le segnalazioni di violazioni della sicurezza dei dati.
11.2 Supervisori
I supervisori a tutti i livelli sono responsabili dell’applicazione e del rispetto delle disposizioni della normativa sulla protezione dei dati nelle loro aree di responsabilità. In collaborazione con l’unità di coordinamento della protezione dei dati, assicurano che i loro dipendenti siano formati e sensibilizzati. Fungono da modello di riferimento e stimolano la motivazione dei dipendenti a rispettare le misure di protezione dei dati.
11.3 I dipendenti
Ogni dipendente deve assicurarsi di informare immediatamente l’unità di coordinamento della protezione dei dati di qualsiasi violazione della sicurezza dei dati, di documentare la violazione rilevata e di assicurarne gli elementi di prova. I dipendenti devono seguire le istruzioni dell’unità di coordinamento della protezione dei dati. Inoltre, i dipendenti sono tenuti a partecipare a sessioni di formazione periodiche sul tema della sicurezza dei dati.
11.4 Unità di coordinamento della protezione dei dati
L’azienda ha nominato un’unità di coordinamento della protezione dei dati. L’unità di coordinamento della protezione dei dati è il punto di contatto centrale per le questioni relative alla protezione e alla sicurezza dei dati, nonché l’ufficio principale per la segnalazione di una violazione della sicurezza dei dati all’autorità di controllo competente in materia di protezione dei dati in singoli casi, in base alla decisione della direzione o della direzione dell’hotel. Può essere contattato tramite fbm@palace.ch o telefono 861
L’unità di coordinamento della protezione dei dati è responsabile della documentazione delle segnalazioni di violazione della sicurezza dei dati per soddisfare gli standard di responsabilità. Inoltre, l’unità di coordinamento della protezione dei dati ha il compito di esaminare le violazioni della sicurezza dei dati in collaborazione con altri dipartimenti dopo l’incidente e, se necessario, di proporre alla direzione o alla direzione dell’hotel le misure necessarie per prevenire incidenti simili.
12. Sanzioni
Le violazioni di questa Guida possono comportare azioni disciplinari e/o procedimenti civili e/o penali.
13. Disposizioni finali
13.1 Modifiche e integrazioni
Le presenti linee guida possono essere modificate, integrate o revocate per iscritto solo con una delibera della Direzione generale o della direzione dell’hotel. Qualsiasi aggiunta, cancellazione o modifica di singole disposizioni sarà considerata una modifica o un cambiamento. Sono escluse le correzioni di carattere formale.
13.2 Documenti supplementari
Questa linea guida è la base per garantire che le notifiche di violazioni della sicurezza dei dati vengano effettuate solo quando necessario. Da questa linea guida possono essere sviluppati altri documenti necessari in relazione al trattamento dei dati personali, in particolare linee guida specifiche per gli utenti o i reparti.
13.3 Disposizioni integrate
I seguenti allegati sono parte integrante della presente linea guida:
Allegato 1: Questionario per la documentazione delle violazioni della sicurezza dei dati
Allegato 2: Modello di notifica (autorità di controllo della protezione dei dati)
Allegato 3: Modello di notifica (soggetti interessati)
Allegato 4: Esempi dimostrativi
In caso di contraddizioni, prevarrà la presente linea guida.
13.4 Varie
Questa linea guida è accessibile a tutti i dipendenti tramite il sistema di istruzioni esistente in azienda o tramite altri mezzi di comunicazione decisi dall’unità di coordinamento della protezione dei dati.
Le modifiche o le aggiunte a questa linea guida entrano in vigore al momento della pubblicazione su https://issuu.com/gstaadpalace/docs/linea_guida_sulla_violazione_dei_dati_it_8.1.2025?fr=xKAE9_-Dt8g
13.5 Data di entrata in vigore
Questa linea guida entrerà in vigore il Lundi 13 janvier 2025
Allegato 1 Questionario per la documentazione delle violazioni della sicurezza dei dati
Il presente allegato deve essere compilato dal responsabile dell’unità di coordinamento della protezione dei dati. L’allegato compilato deve essere conservato per soddisfare gli obblighi di responsabilità previsti dalla normativa sulla protezione dei dati. Qualsiasi violazione della sicurezza dei dati, ad eccezione degli incidenti minori, deve essere documentata indipendentemente dal livello di rischio per gli interessati. La valutazione dei rischi dovrebbe essere effettuata utilizzando il presente questionario e la matrice di identificazione dei rischi. Infine, questa valutazione può essere trasferita in uno strumento speciale per documentare la violazione della sicurezza dei dati e la decisione presa nel singolo caso.
Descrizione della violazione della sicurezza dei dati (cosa è successo? Come si è verificata la violazione della sicurezza dei dati e in quali circostanze? ecc.)
Data e ora della violazione della sicurezza dei dati
Quali dati personali sono interessati?
Sono interessati dati personali che richiedono una protezione speciale (per esempio, dati sulla salute, ecc.)?
Descrizione delle probabili conseguenze della violazione della sicurezza dei dati
Numero di registrazioni di dati interessati
Numero di soggetti interessati
Descrizione delle misure adottate
1. Responsabilità:
Responsabile dell’unità di coordinamento della protezione dei dati
Responsabile della protezione dei dati (se applicabile)
Persona responsabile della notifica
Nota bene: quando si segnalano le violazioni della sicurezza dei dati all’autorità competente per la protezione dei dati, deve essere coinvolta l’unità di coordinamento della protezione dei dati. La decisione di segnalare una violazione della sicurezza dei dati all’autorità competente per la protezione dei dati deve essere adottata dalla direzione o dalla direzione dell’hotel.
2. Comunicazione nel caso in cui l’azienda sia un responsabile del trattamento
Se l’azienda è un responsabile del trattamento e viene identificata una violazione della sicurezza dei dati, le informazioni sopra indicate devono essere fornite senza indugio al titolare del trattamento. Le sezioni 1 e 3, tuttavia, non devono essere compilate o trasmesse al titolare del trattamento.
Comunicazione inviata al titolare del trattamento dei dati su/da:
3. Schema di convalida
La violazione della sicurezza dei dati comporta un rischio per gli interessati e deve quindi essere informata l’autorità di controllo della protezione dei dati?
Sì No
La notifica all’autorità di vigilanza non è richiesta se è improbabile che la violazione della sicurezza dei dati comporti un rischio elevato per l’interessato.
Motivazione e decisione:
Le persone interessate devono essere informate?
Sì No
Le informazioni degli interessati devono sempre essere fornite se sono necessarie per la loro protezione o se sono richieste dall’autorità di controllo competente per la protezione dei dati. La comunicazione agli interessati non è (più) necessaria se sono in atto misure tecniche e organizzative adeguate che rendono praticamente impossibile l’accesso non autorizzato ai dati personali in questione (per esempio, la crittografia). La comunicazione può anche essere omessa se sono state adottate misure efficaci per limitare il danno. Di norma, la comunicazione deve essere fornita agli interessati se quest’ultima dà loro la possibilità di minimizzare efficacemente il danno attraverso misure proprie (per esempio, bloccando la carta di credito, modificando una password, ecc.)
Motivazione e decisione:
È necessaria una notifica?
Data e ora della notifica
La notifica deve essere effettuata il prima possibile, di solito entro 72 ore, dopo l’individuazione della violazione della sicurezza dei dati.
Se questa scadenza non può essere rispettata, si prega di allegare una giustificazione dettagliata.
Firma del responsabile dell’unità di coordinamento della protezione dati
Approvazione della Direzione Generale/direzione dell’hotel
Allegato 2
Modello di notifica (autorità di controllo della protezione dei dati)
1. Indirizzo dell’autorità di controllo per la protezione dei dati
Per esempio, per la Svizzera: Incaricato federale della protezione dei dati e della trasparenza
Feldeggweg 1
CH - 3003 Berna
2. Nome e informazioni di contatto del titolare del trattamento
ovvero la società interessata
3. Nome e dati di contatto del responsabile dell’unità di coordinamento della protezione dati
4. Descrizione della violazione della sicurezza dei dati
5. Data e ora della violazione della sicurezza dei dati (e, se applicabile, una giustificazione del motivo per cui la notifica è stata fatta solo dopo la scadenza del termine di 72 ore)
6. Quali dati personali sono interessati?
Per esempio, informazioni di contatto, informazioni sulla carta di credito, ecc.
7. Descrizione dei possibili effetti della violazione della sicurezza dei dati
8. Numero di registrazioni di dati interessate
9. Numero di soggetti interessati
10. Descrizione delle misure adottate
Allegato 3 Modello di notifica (soggetti interessati)
1. Indirizzo dell’interessato
2. Nome e dati di contatto del responsabile dell’unità di coordinamento della protezione dati
3. Descrizione della violazione della sicurezza dei dati e dei dati personali in questione
4. Descrizione dei possibili effetti della violazione della sicurezza dei dati
5. Descrizione delle misure adottate:
6. Quali misure può adottare l’interessato?
Allegato 4
Esempi dimostrativi
La seguente selezione di esempi aiuta a determinare se sia necessaria una notifica all’autorità di controllo e/o una comunicazione all’interessato in diversi scenari:
Esempio
Un hotel ha memorizzato su una chiavetta USB la copia di backup di un archivio con dati personali in forma criptata. Durante un furto, la chiavetta USB viene rubata.
Notifica all’autorità di vigilanza competente?
No
Un hotel gestisce un servizio online, per esempio il proprio portale di prenotazione. Il servizio è vittima di un attacco informatico e i dati personali vengono sottratti.
Sì, l’incidente deve essere segnalato all’autorità di vigilanza se si prevedono conseguenze per gli interessati.
Notifica all’interessato? Note
No
La centrale telefonica di un hotel subisce una breve interruzione di corrente della durata di alcuni minuti, per cui gli ospiti non possono raggiungere l’hotel o
No.
Se i dati sono crittografati con un algoritmo all’avanguardia, se esistono backup dei dati, se la chiave unica non è stata compromessa e se i dati possono essere ripristinati tempestivamente, probabilmente non si tratta di una violazione della sicurezza dei dati da segnalare. Tuttavia, se in seguito si verifica una violazione, la notifica è obbligatoria.
Sì, gli interessati devono essere informati, a seconda della natura dei dati personali interessati e se si prevedono gravi conseguenze per gli interessati.
No
Non si tratta di una violazione della sicurezza dei dati da segnalare, ma l’incidente è comunque
accedere alle loro prenotazioni.
Un hotel è vittima di un attacco ransomware, in cui tutti i dati sono crittografati. Non sono disponibili copie di backup e i dati non possono essere ripristinati. Un’indagine rivela che il ransomware è stato utilizzato esclusivamente per la crittografia dei dati e che nessun altro malware era presente nel sistema.
Sì, l’incidente deve essere segnalato all’autorità di controllo competente se si prevedono conseguenze per gli interessati, in quanto si tratta di una perdita di disponibilità dei dati.
Sì, gli interessati devono essere informati, a seconda della natura dei dati personali interessati, del possibile impatto dell’indisponibilità dei dati e di altre probabili conseguenze.
soggetto a documentazione.
Se fosse stato predisposto un backup e i dati fossero stati ripristinati tempestivamente, la notifica all’autorità di controllo e agli interessati non sarebbe stata necessaria, poiché non vi sarebbe stata una perdita permanente della disponibilità o della riservatezza dei dati. Tuttavia, se l’autorità di controllo dovesse venire a conoscenza dell’incidente con altri mezzi, potrebbe prendere in considerazione un’indagine per verificare il rispetto dei requisiti di sicurezza più generali.
Un hotel gestisce un portale di prenotazioni online con ospiti provenienti da diversi Paesi
Dopo un attacco informatico al portale, l’aggressore pubblica i nomi degli utenti, le password e le prenotazioni effettuate su Internet.
Una società di web hosting che agisce come responsabile del trattamento rileva che il codice che controlla
Sì, i casi di trattamento transfrontaliero devono essere segnalati alla/e autorità di controllo competenti.
Sì, perché l’incidente potrebbe comportare un rischio elevato.
In qualità di responsabile del trattamento, la società di web hosting deve informare
Se non è probabile che vi sia un rischio elevato per le persone interessate, non è necessario notificarle.
L’azienda dovrebbe prendere provvedimenti, per esempio obbligando a reimpostare le password degli account interessati, e adottare altre misure per ridurre il rischio.
La società di web hosting (il responsabile del trattamento) deve anche tenere conto di eventuali
l’autorizzazione degli utenti contiene un errore. A causa dell’errore, qualsiasi utente può vedere i dati dell’account di tutti gli altri utenti.
tempestivamente i clienti interessati (i titolari del trattamento).
Supponendo che la società di web hosting abbia condotto le proprie indagini, i titolari del trattamento interessati dovrebbero avere una certezza sufficiente sul fatto che si sia verificata una violazione della sicurezza dei dati nel loro caso specifico, per cui si può probabilmente presumere che siano venuti “a conoscenza” della violazione della sicurezza dei dati con la notifica da parte della società di web hosting (il responsabile del trattamento degli ordini). Il titolare del trattamento deve quindi segnalare la violazione della sicurezza dei dati all’autorità di controllo.
Un’e-mail a scopo di direct mail viene inviata ai destinatari nei campi “A.. ” o “Cc...” “ o “Cc... “ , per cui gli indirizzi email dei destinatari siano visibili a tutti i destinatari.
Sì, la notifica all’autorità di vigilanza può essere obbligatoria se è interessato un numero molto elevato di persone, se vengono divulgati dati sensibili (per esempio, la mailing list di uno psicoterapeuta) o se altri
Sì, gli interessati devono essere informati, a seconda della portata e della natura dei dati personali in questione e della gravità delle possibili conseguenze.
altri obblighi di segnalazione
A meno che non vi sia la prova che la vulnerabilità sia stata sfruttata presso uno dei titolari del trattamento, potrebbe non essersi verificata una violazione della sicurezza dei dati da segnalare.
La notifica potrebbe non essere necessaria se non vengono divulgati dati sensibili e se è visibile solo un numero ridotto di indirizzi email.
fattori comportano un rischio elevato (per esempio, se l’e-mail contiene le password originali).