Data Breach. Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente. Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento, corsi di formazione sulla corretta gestione dei dati personali.
Data Breach. Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente.
Data Breach. Il Responsabile del trattamento si obbliga a informare, senza giustificato ritardo e comunque entro 24 (ventiquattro) ore dal momento in cui ne è venuto a conoscenza, di ogni violazione della sicurezza che comporti anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati ed a prestare ogni necessaria collaborazione al Titolare del trattamento in relazione all’adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni all’Autorità ai sensi dell’art. 33 del GDPR o di comunicazione della stessa agli interessati ai sensi dell’art. 34 del GDPR. La comunicazione al Titolare del trattamento, ai sensi del paragrafo che precede, deve contenere almeno una descrizione della natura della violazione di Dati Personali e/o informazioni ed elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di Dati Personali e/o informazioni. La comunicazione descrive, inoltre, le conseguenze della violazione di Dati Personali e/o informazioni e le misure proposte o adottate dal Responsabile del trattamento per porvi rimedio. Quanto previsto al periodo che precede deve essere applicato anche qualora la violazione sia solo presunta o esista un sospetto pur in assenza di certezze. Il Responsabile del trattamento dovrà tenere un aggiornato inventario delle violazioni dei Dati Personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Titolare del trattamento di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario devono figurare unicamente le informazioni necessarie a tal fine. Il Titolare del trattamento avrà diritto, direttamente e/o indirettamente tramite terzi di propria fiducia, di effettuare ogni verifica, anche presso le sedi del Responsabile del trattamento, utile al fine di verificare il rispetto da parte del Responsabile del trattamento delle prescrizioni del presente articolo. Il Titolare del trattamento avrà altresì il diritto di richiede la compilazione da parte del Responsabile del trattamento di questionari di self assessment. Resta ferma l’applicabilità di ogni eventuale disposizione di legge di ogni genere e natura in materia di segnalazione delle violazioni dei dati.
Data Breach. In caso di qualsivoglia violazione dei dati personali, ai sensi degli artt. 33 e 34 del Regolamento, il Responsabile deve informare, senza ingiustificato ritardo, il Titolare non appena sia venuto a conoscenza della violazione, in modo da consentire al Titolare di rispettare le tempistiche indicate nel Regolamento, agli articoli citati, per la notifica alle Autorità di controllo e, nei casi previsti dalla norma, agli interessati. Il Responsabile deve fornire a mezzo PEC al Titolare tutte le informazioni necessarie all’assolvimento dei suddetti obblighi di notifica, Il Responsabile deve inoltre fornire al Titolare tutte le informazioni che consentano a quest’ultimo di assolvere all’obbligo di documentare qualsiasi violazione dei dati personali . Tale documentazione consente all'Autorità di controllo di verificare il rispetto di quanto previsto dall’art. 33 del Regolamento. Il Responsabile si impegna a predisporre: idonei piani di formazione per i soggetti autorizzati al trattamento dei dati, fornendo loro appropriate istruzioni sul comportamento da tenere per la prevenzione e la gestione di eventuali violazione dei dati; adeguate procedure che, in caso di violazione dei dati, garantiscano la continuità operativa aziendale e il ripristino dei dati.
Data Breach. Il Responsabile si impegna a notificare al Titolare, senza ingiustificato ritardo dall’avvenuta conoscenza, e comunque entro 24 ore dalla scoperta con comunicazione da inviarsi all’indirizzo PEC del titolare, ogni violazione dei dati personali (data breach) fornendo, altresì: • la descrizione della natura della violazione e l’indicazione delle categorie dei dati personali e il numero approssimativo di interessati coinvolti; • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; • la descrizione delle probabili conseguenze; • la descrizione delle misure adottate o di cui dispone per porre rimedio alla violazione o, quantomeno, per attenuarne i possibili effetti negativi. Fermo quanto sopra previsto, il Responsabile si impegna a prestare ogni più ampia assistenza al Titolare al fine di consentirgli di assolvere agli obblighi di cui agli artt. 32 - 34 del GDPR. Una volta definite le ragioni della violazione, il Responsabile di concerto con il Titolare e/o altro soggetto da quest’ultimo indicato, su richiesta, si attiverà per implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative atte ad arginare il verificarsi di una nuova violazione della stessa specie di quella verificatasi, al riguardo anche avvalendosi dell’operato di subfornitori. È fatto obbligo di mantenere l’assoluto riserbo sulle violazioni intercorse. Al riguardo tali notizie non dovranno essere in alcun modo diffuse in qualunque forma, anche mediante la loro messa a disposizione o consultazione. La comunicazione della violazione è ammessa solo tra il Titolare e/o altro soggetto da questo indicati e il Responsabile, fatte salve quelle comunicazioni richieste dalla legge o da autorità pubbliche.
Data Breach. Si intende per Data Breach ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dal titolare del trattamento. Qualora uno dei Titolari accertasse il verificarsi di un’ipotesi di data breach, dovrà:
Data Breach. Il Responsabile trasmette al Titolare del trattamento, senza ingiustificato ritardo, notizia di ogni violazione dei dati personali di cui sia venuto a conoscenza, specificando le seguenti informazioni: - la natura della violazione dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; - il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso il Responsabile da cui ottenere più informazioni; - le probabili conseguenze della violazione dei dati personali; - le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Tali informazioni, o alcune di esse, qualora non possano essere fornite contestualmente, possono essere trasmesse al Titolare in fasi successive, senza ulteriore ingiustificato ritardo. Il Responsabile si impegna inoltre a: - fornire ove possibile assistenza al Titolare del trattamento per far fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti; - attivarsi per mitigare, ove possibile, gli effetti delle violazioni proponendo tempestive azioni correttive al Titolare ed attuando tempestivamente tutte le 21 azioni correttive approvate e/o richieste dal Titolare stesso. ART. 9 -
Data Breach. 7.1 In aderenza agli artt. 33 e 34 del GDPR Lepida gestisce gli incidenti di sicurezza informatica e data breach, in particolare: ● preparando il personale ad affrontare situazioni anomale e non codificate; ● individuando i parametri atti ad identificare un incidente di sicurezza e/o data breach; ● minimizzando i danni relativi all’incidente ed impedirne la propagazione; ● gestendo correttamente il processo di ripristino dei sistemi e delle applicazioni; ● gestendo correttamente il processo di notifica al Garante e di comunicazione agli interessati; ● acquisendo nel modo appropriato le eventuali evidenze digitali di reato.
Data Breach. Prima di procedere con la protocollazione e con la gestione della richiesta di uso terapeutico o di plasma iperimmune, la Segreteria è tenuta a verificare che la richiesta non contenga dati sensibili del paziente (esempio nome e cognome per esteso del paziente). I documenti infatti dovranno essere inviati senza che vengano precompilati gli spazi relativi ai pazienti, rappresentanti legali e/o testimoni. Nel caso in cui ci si verifichi una violazione della privacy del paziente non è possibile procedere con la protocollazione e gestione della richiesta e sarà necessario effettuare la segnalazione del data breach al DPO di Arcs, alle direzioni sanitarie e all’autore della violazione.
Data Breach. Artt. 28 e 33 GDPR