개인 데이터 관련 사고 보고에 대한 이 정책(“정책”)은 정보 관련 사고와 관련하여 브라질 상업 중재 및 중재 회의소(CAMARB)(“CAMARB”)의 조치를 안내하는 원칙 및 행동 표준을 포함합니다. 보안, CAMARB의 사업 연속성을 위한 규칙 수립.

본 정책은 CAMARB의 개인정보 보호 및 개인 데이터 보호 거버넌스 정책에 종속적이고 보완적이며, 해당 정책의 지침 및 원칙에 따라 해석되어야 합니다.

 

1. 범위

1.1. 본 정책에 따른 보안 사고에는 CAMARB의 통제 하에 있는 개인 데이터의 무단 액세스 및 우발적 또는 불법적 파괴, 손실, 변경, 통신 또는 모든 형태의 부적절하거나 불법적인 처리 상황이 포함됩니다("사고").

1.2. 본 정책의 적용을 받는 개인 데이터는 관련 법률에 따라 식별된 자연인과 관련된 모든 정보이거나 CAMARB가 합리적인 노력을 통해 식별할 수 있는 모든 정보 또는 CAMARB가 해당 정보에 대한 처리를 통해 개별화할 수 있는 모든 정보입니다. CAMARB, 신원이 밝혀지지 않았더라도. 여기에는 이사, 근로자, 고객, 공급업체, 서비스 제공자 및 CAMARB와 관계가 있는 다른 사람들에 대한 정보가 포함됩니다.

1.3. 본 문서는 CAMARB에서 처리하는 개인 데이터와 관련된 보안 사고에 대한 대응과 CAMARB의 개인정보 보호 및 개인 데이터 보호 거버넌스 정책에 명시된 원칙과 규칙에 따라 영향을 받는 개인 또는 법인에 대한 통신을 다루며 적절하고 시기적절한 관리를 보장합니다. 보안 사고와 그로 인해 발생하는 손실을 완화 또는 없애는 것, 특히 CAMARB, 계약자 및 하청업체가 보유한 개인 데이터가 포함된 정보 및 문서의 최종 폐기 및/또는 제거를 포함합니다.

 

2. 앱

2.1. 본 정책은 CAMARB가 수행하는 개인 데이터 처리 작업에 참여하는 모든 직원, 이사, 고문, 파트너, 공급업체 및 서비스 제공자에게 적용됩니다. 

 

3. 오브제티보스

3.1. 본 정책의 목적은 다음과 같습니다.

a) CAMARB가 일반 개인정보보호법(13.709년 14월 2018일 법률 제XNUMX호) 및 기타 관련 법률과 규정을 준수하기 위해 개인 데이터와 관련된 사고에 신속하고 효과적으로 대응하도록 보장합니다.

b) 법률이 정한 바에 따라 사고 보고의 필요성에 대한 위험 평가 및 결정을 객관적으로 정의합니다.

c) 본 정책에서 다루는 사건으로 인해 개인 데이터 보유자의 사생활과 CAMARB의 이미지와 시장 가치에 해로운 결과가 초래되는 것을 방지합니다.

d) CAMARB 직원, 이사, 고문, 파트너, 공급업체 및 서비스 제공자에게 정보 보안의 필요성과 중요성, 개인 데이터와 관련된 사고의 효과적인 대응 및 소통에 대해 교육합니다. 그리고

e) 정보 공유 과정에서 속성, 권한 및 책임을 정의합니다.

 

4. 정보보호 및 개인정보보호위원회

4.1. CAMARB 경영진이 정의한 대로, CAMARB 정보 보안 및 개인 데이터 보호 위원회("위원회")가 설립되었으며, 임기는 XNUMX년이고 개인 데이터 처리 책임자와 이사회 및 부서 대표로 구성됩니다. 법률, 인적 CAMARB의 자원과 기술.

 

5. 개인정보 관련 보안사고 대응

5.1. 보안 사고 대응 절차는 최우선 순위와 긴급성을 가지고 수행되며, 위원회 위원들의 영업일 외 및/또는 정규 근무 시간 외에서도 수행됩니다.

5.2. 사고로 간주될 수 있는 모든 사건은 위원회에 전달되어야 하며, 위원회는 사고를 인지한 날로부터 2(이) 영업일 이내에 사고 해결을 위한 절차를 수립해야 합니다. 위원회의 결정에 따라, 다른 CAMARB 부서의 대표자가 참여할 수 있습니다.

5.2.1. 이 기한을 준수할 수 없는 경우, 담당자는 불가능 사유를 기록해야 하며, 사건을 전달하기로 결정한 경우 국가 개인정보보호기관(ANPD)에도 보고해야 합니다.

5.3. 위원회의 지도에 따라 CAMARB는 필요에 따라 정보 기술, 홍보(언론), 법률 분야의 외부 고문을 동원하여 사건 대응에 도움을 줄 것입니다.

5.4. 사고가 구성되면 위원회는 본 정책과 CD/ANPD 결의안 15/2024에 따라 사고를 중단하고, 영향을 받은 개인 데이터를 복구하고, 사고를 전달하는 데 필요한 조치를 취할 책임을 맡게 됩니다.

5.5. 비상 조치에 대한 심의와 병행하여 위원회는 CAMARB 정보 기술 부문의 직원을 지정하여 침해된 저장소 및 시스템을 확인하게 되며, 담당자는 CAMARB가 개인 기록에서 관리하는 개인 데이터 범주를 확인할 책임이 있습니다. 데이터 처리 작업 및 해당 영향을 받는 보유자에게 연락하여 사고의 범위와 개인 데이터 보유자, 제XNUMX자 및 CAMARB에 대한 잠재적 위험을 파악합니다.

5.6. 담당자는 CAMARB가 사건에 대응하기 위해 취한 조치에 대한 보고서를 작성해야 하며, 여기에는 사건의 범위와 잠재적 위험이 포함됩니다. 위원회는 이 보고서를 토대로 해당 사고에 대한 합리적 의견을 CAMARB 행정부에 발표하며, 특히 소지자에게 발생할 수 있는 위험에 대한 이해와 제48조에 따라 사고를 통보할 필요성에 대한 관련 권장 사항을 제시합니다. LGPD의 XNUMX. 해당 의견은 ANPD가 권장하는 위험 매트릭스를 채택하거나, 그러한 위험 매트릭스가 없는 경우에는 ANPD의 의견에 따라 일관성 있고 적절한 다른 위험 매트릭스를 채택하게 됩니다.

5.7. CAMARB 이사회는 CAMARB 이미지에 미치는 위험에 대한 인상에 따라 위원회의 의견을 전부 또는 일부를 수용할지, 거부할지를 결정합니다. 결정은 위원회에 즉시 전달되며, 담당자는 이를 기록할 책임을 맡습니다.

5.8. 사건에 대한 통보가 있는 경우 위원회는 외부 홍보 및 언론 고문과 협력하여 CAMARB 경영진이 검증한 후 시장에 공개할 통보 초안을 작성해야 합니다. 영향을 받거나 영향을 받을 가능성이 있는 소지자에게. 해당되는 경우, 영향을 받는 소지자에게.

5.9. 동일한 경우, 위원회는 CAMARB 법무부 고문과 함께 기관적 수단 및 채널, 특히 “국가 데이터 보호 기관에 대한 개인 데이터 보안 사고 통신 양식”을 통해 ANPD에 사고를 전달하도록 조치할 것입니다. , ANPD가 요구하는 조치를 수행해야 합니다.

5.10. 위원회를 대표하는 담당자는 이 정책의 목적을 위한 CAMARB의 대변인이 되며, 사건에 관해 대중에게 의견을 제시하고 소통할 권한이 있는 유일한 사람이 됩니다. CAMARB의 다른 모든 직원, 이사, 고문 및 파트너는 이 문제에 대해 공개적으로 의견을 제시하는 것이 금지되어 있습니다.

 

6. 개인 데이터의 운영자 및 기타 관리자

6.1. CAMARB와 관련된 개인 데이터의 운영자 또는 관리자 역할을 하는 제XNUMX자 또는 CAMARB를 통해 수집된 개인 데이터는 사고 발생 시 본 정책을 준수하고 다음 사항을 준수해야 합니다.

a) 사고를 인지한 후 즉시 관리자에게 알립니다.

b) 사건에 대응하기 위해 CAMARB와 협력하고, 즉시 모든 필요한 정보와 지원을 제공합니다.

c) 사고에 단독으로 대응하지 말고, 개인정보 관리자인 경우 CAMARB와 공동으로 대응해야 하며, 운영자인 경우 CAMARB의 지시를 따르는 것으로 제한해야 합니다.

6.2. CAMARB가 제XNUMX자가 관리하는 개인정보의 운영자로서 행동하는 경우, 손실, 손상 또는 피해의 위험이 있는 경우, 이 정책을 보조적인 방식으로 적용하여 사고를 전달하는 데 있어 제XNUMX자와 협력할 책임이 있습니다. CAMARB에 책임을 묻거나, 제XNUMX자 통제자의 무관심에 대해 CAMARB에 책임을 묻습니다.

6.3. CAMARB는 이 정책에 대한 제XNUMX자의 동의를 위한 메커니즘을 제공해야 합니다.

 

7. 책임

7.1. CAMARB의 각 직원, 이사, 고문, 서비스 제공자 및 계약자는 CAMARB에서 수행하는 활동에 따라 이 정책 준수와 관련된 자신의 행동, 이 정책 및 기타 해당 표준 준수에 대해 책임을 져야 합니다. 담당자와 위원회의 업무가 원활하게 수행될 수 있도록 지원해 주시기 바랍니다. 이사, 고문 및 관리자는 업무에 따라 책임 있는 직원 및 제XNUMX자가 본 정책을 준수하도록 보장할 책임도 있습니다.

7.2. 본 정책을 준수하지 않을 경우 위반자와 CAMARB 간의 관계의 성격, 위반의 심각성 및 CAMARB 내부 규칙에 따라 처벌을 받으며, 위반자의 해고 또는 해고로 이어질 수 있으나, 이로 인해 발생한 손실 및 피해에 대한 보상에는 영향을 미치지 않습니다. 카마르브.

8. 기타

8.1. 본 정책은 CAMARB 직원에게 전달되며, 최소 XNUMX년에 한 번 검토됩니다.