この個人データに関連する事件の報告に関するポリシー（「ポリシー」）は、ブラジルのビジネス調停仲裁会議所（CAMARB）（「CAMARB」）の行動を導く原則と行動基準で構成されており、情報に関連するあらゆる事件に関してセキュリティ、CAMARB の事業継続のためのルールを確立します。

このポリシーは、CAMARB のプライバシーおよび個人データ保護ガバナンス ポリシーに従属し、それを補完するものであり、そのポリシーのガイドラインと原則に従って解釈される必要があります。

 

1. 範囲

1.1.本ポリシーの対象となるセキュリティ インシデントには、CAMARB の管理下にある個人データの不正アクセス、および破壊、紛失、変更、通信、またはあらゆる形式の不適切または違法な処理に関する偶発的または違法な状況 (「インシデント」) が含まれます。

1.2.このポリシーの対象となる個人データは、適用法に従い、特定された自然人に関連するすべての情報、または CAMARB による合理的な努力を通じて特定できるすべての情報、または CAMARB による情報の処理を通じて個別化できるすべての情報です。 CAMARB、身元が明かされなくても。これには、取締役、従業員、顧客、サプライヤー、サービス プロバイダー、および CAMARB と関係のあるその他の人物に関する情報が含まれます。

1.3.この文書は、CAMARBが処理する個人データに関連するセキュリティインシデントへの対応と、影響を受ける個人または法人への通知について説明しています。CAMARBのプライバシーおよび個人データ保護ガバナンスポリシーに概説されている原則とルールに従い、個人データの適切かつタイムリーな管理を保証します。セキュリティインシデントおよびそれに起因する損失の軽減または排除（CAMARB、その請負業者および下請け業者が保有する個人データを含む情報および文書の最終的な処分および/または消去を含む）

 

2. アプリケーション

2.1.このポリシーは、CAMARB が実行する個人データ処理業務に関与するすべての従業員、取締役、顧問、パートナー、サプライヤー、サービス プロバイダーに適用されます。 

 

3. 目的

3.1.このポリシーの目的は次のとおりです。

a) 一般個人データ保護法（LGPD）（13.709年14月2018日法律第XNUMX号）およびその他の適用法および規制に準拠するために、CAMARBが個人データに関連するインシデントに迅速かつ効果的に対応することを保証する。

b) 法律で定められたリスク評価とインシデント報告の必要性に関する決定を客観的に定義する。

c) 本ポリシーで取り上げられているインシデントが個人データ保有者のプライバシーや CAMARB のイメージおよび市場価値に及ぼす有害な影響を回避する。

d) 情報セキュリティの必要性と重要性、および個人データに関連するインシデントへの効果的な対応とコミュニケーションについて、CAMARBの従業員、取締役、顧問、パートナー、サプライヤー、サービスプロバイダーに指導する。そして

e) 情報共有プロセスにおける帰属、権限、責任を定義します。

 

4. 情報セキュリティおよび個人情報保護委員会

4.1. CAMARBの経営陣の定義により、CAMARB情報セキュリティおよび個人データ保護委員会（「委員会」）が設立されました。任期はXNUMX年で、個人データ処理責任者と取締役会および部門の代表者で構成されています。法務、人事CAMARB のリソースとテクノロジー。

 

5. 個人情報に関わるセキュリティインシデントへの対応

5.1.セキュリティインシデント対応手順は、委員会メンバーの営業日および/または通常の勤務時間外を含め、最高の優先度と緊急性を持って実行されます。

5.2.インシデントとなる可能性のあるイベントはすべて委員会に転送されなければならず、委員会はインシデントを認識してから 2 営業日以内に、その解決手順を確立する責任を負います。委員会の決定により、CAMARB の他の部門の代表者が関与する場合があります。

5.2.1.この期限に間に合うことができない場合、担当者はその理由を記録しなければならず、インシデントを伝達することに決めた場合は、国家個人情報保護機関（ANPD）にも報告する必要があります。

5.3. CAMARB は委員会の指導の下、必要に応じて情報技術、広報（報道）、法律の外部アドバイザーを動員し、事件への対応を支援します。

5.4.インシデントが設定されると、委員会は、本ポリシーおよび CD/ANPD 決議第 15/2024 号に従って、インシデントを中断し、影響を受けた個人データを回復し、インシデントを伝達するために必要な措置を講じる責任を負います。

5.5.緊急措置の審議と並行して、委員会はCAMARBの情報技術部門の職員を任命し、侵害されたリポジトリとシステムを検証し、その担当者は個人情報記録でCAMARBが管理する個人データのカテゴリを確認する責任を負う。データ処理業務。およびそれぞれの影響を受ける保有者と連絡を取り、インシデントの範囲と、個人データ保有者、第三者、および CAMARB への潜在的なリスクを制限する必要があります。

5.6.担当官は、事件の範囲や潜在的なリスクなど、事件に対応するために CAMARB が講じた措置に関する報告書を作成します。この報告書に基づき、委員会は、CAMARB 管理局に対して、事件に関する合理的な意見と、特に保有者に対する潜在的なリスクに関する理解、および条項に従って事件を通知する必要性に関する適切な勧告を提出する予定です。 LGPD の 48。当該意見では、ANPD が推奨するリスク マトリックスを採用するか、そのようなリスク マトリックスがない場合は、一貫性があり適切であると判断した別のリスク マトリックスを採用します。

5.7. CAMARB のイメージに対するリスクの印象に応じて、委員会の意見を全部または一部受け入れるか、拒否するかを決定するのは CAMARB の取締役会の責任となります。決定は速やかに委員会に伝えられ、担当者が記録する責任を負います。

5.8.事件の報告があった場合、委員会は外部の広報および報道顧問とともに報告の草案を作成し、CAMARBの経営陣によって検証された後、市場および/または影響を受ける、または影響を受ける可能性のある保有者。

5.9.同様のケースでは、委員会はCAMARBの法務部門顧問とともに、制度的な手段とチャネル、特に「国家データ保護機関への個人データセキュリティインシデント通知フォーム」を通じてANPDにインシデントが通知されるよう手配します。 、ANPD が要求する措置を実施する必要があります。

5.10.担当役員は、委員会を代表して、このポリシーの目的において CAMARB のスポークスマンとなり、事件に関してコメントし、一般の人々に連絡する権限を持つ唯一の人物となります。 CAMARB の他のすべての従業員、取締役、顧問、パートナーは、この件に関して公にコメントすることを禁じられています。

 

6. 個人データの運営者およびその他の管理者

6.1. CAMARB に関連する、または CAMARB を通じて取得された個人データの運営者または管理者として活動する第三者は、インシデントが発生した場合にこのポリシーに従うこと、および次のことを約束する必要があります。

a) インシデントを認識したら直ちにマネージャーに通知する。

b) CAMARB と協力して事件に対応し、必要な情報と支援を直ちに提供する。

c) 個人データ管理者の場合は、インシデントに独自に対応することは控え、CAMARB と共同で対応する必要があります。オペレーターの場合は、CAMARB の指示に従うことに限定してください。

6.2. CAMARBが第三者が管理する個人データのデータ処理者として行動する場合、損失、損害、またはCAMARB に損害を与えること、または第三者コントローラーの不作為に対して CAMARB に責任を負わせること。

6.3. CAMARB は、このポリシーに対する第三者の同意を得るためのメカニズムを提供する必要があります。

 

7.責任

7.1. CAMARBの各従業員、取締役、顧問、サービスプロバイダー、請負業者は、CAMARBでの活動に応じて、本ポリシーの遵守に関連する自らの行動、本ポリシーおよびその他の適用可能な基準の遵守、ならびに担当者と委員会の業務が円滑に遂行できるよう支援します。取締役、顧問、管理者は、それぞれの職務に従い、責任下にある従業員および第三者による本ポリシーの遵守を確保する責任も負います。

7.2.このポリシーに従わなかった場合、CAMARBとの関係の性質、違反の重大性、CAMARBの内部規則に応じて処罰され、違反者の解雇または解雇につながる可能性があります。ただし、CAMARBに生じた損失や損害に対する補償は受けられません。カマーブ。

8.その他

8.1.このポリシーは CAMARB の従業員に伝達され、少なくとも年に XNUMX 回は見直されます。