1. 范围

1.1.本文件（“政策”）涵盖了由 CÂMARA DE MEDIÇÃO E ARBITRAAGEM EMPRESARIAL – BRASIL (CAMARB)（“CAMARB”）、其签约的第三方和任何分包商控制的个人数据的存储和删除规则，以保证处置并适当及时删除含有个人数据的信息和文件。

1.2.根据适用法律，本政策所涵盖的个人数据是指与已识别自然人相关的所有信息，或可通过 CAMARB 的合理努力识别的信息，或可通过 CAMARB 对此类信息的处理而个性化的信息。 CAMARB，甚至没有被识别。

 

2. 申请

2.1.本政策适用于参与 CAMARB 和/或其母公司控制的个人数据处理操作的所有员工、董事、顾问、合作伙伴、供应商和服务提供商。 

 

3. 目的

3.1.本政策的目标是：

a) 确保 CAMARB 控制的个人数据不会超过其各自目的所需的范围，也不会超过适用法律或此类个人数据持有者所允许的适当时间或授权时间，以遵守《通用数据保护条例》法律。个人数据保护 - LGPD（13.709 年 14 月 2018 日第 XNUMX 号法律）以及其他适用法律法规；

b) 根据个人数据的保留目的和处理活动的特点，通过指定删除、匿名化或阻止个人数据处理的期限或触发条件，规范 CAMARB 控制的个人数据库存管理；

c) 指导 CAMARB 员工、主管、合作伙伴、供应商和服务提供商了解控制个人数据存储和安全删除的必要性和重要性；和

d) 明确信息共享过程中的归属、权限和责任。

 

4. 个人数据库存控制

4.1.受 CAMARB 控制的参与个人数据处理操作的员工、董事、合作伙伴、供应商和服务提供商负责按照本标准规定的程序对个人数据进行注册、访问控制、存储、阻止和删除。

4.2. CAMARB 保存个人数据处理操作记录，其中注明 CAMARB 控制的每一类个人数据、各自的目的、处理的法律依据、数据将受到的处理操作、与经济集团内其他公司的数据共享。以及与第三方的合作伙伴关系，以及它们各自的生命周期。

4.3.负责涉及处理个人数据的 CAMARB 活动的员工必须向 CAMARB 个人数据处理官员在个人数据处理操作注册表中注册，并且还必须在活动或流程发生变化时提供更新。如果活动或流程涉及第三方，则合同负责人必须确保与第三方的共享以及他们在个人数据生命周期中的各自角色记录在个人数据处理操作登记册中。

 

5. 个人信息的存储

5.1.包含个人数据的物理和数字文档以及其他信息将存储在 CAMARB 的控制之下，只要其合法且确定的目的存在，就像在个人数据操作处理登记册中记录的那样。

5.2.负责处理个人数据活动的员工有责任在个人数据处理官的协助下，制定时间表，记录包含个人数据的信息和文件的具体保护期，并考虑到其处理目的，规定期限、合同条款以及强制储存的法律或法规条款。

5.3.每当需要调整给定一组个人数据集的临时表时，与每组报告的活动相对应的个人数据处理操作记录都会被更新。

5.4.包含为不同目的存储的个人数据的文档将在物理或逻辑上被隔离，以便只有参与处理活动的人员才能访问并了解其内容。

5.5.如果根据本政策，出于多个目的需要删除个人数据，则所有针对该目的的个人数据处理将被阻止，但将继续存储并用于其他目的。

 

6. 删除个人数据

6.1.如果 CAMARB 负责处理个人数据的员工或负责人确认，由于（i）库存或注册，不再存在任何值得维护的处理目的，则个人数据（无论以何种媒介形式存在）将被删除审查个人数据处理操作； (ii) 行使个人数据持有人的权利，迫使 CAMARB 销毁这些数据； (iii) 在 CAMARB 基于持有人的同意处理个人数据的情况下，撤销持有人对处理个人数据的同意； （iv）根据与 CAMARB 签署的数据共享合同或类似文件所规定的第三方个人数据控制者的指示； (v) 司法机关或主管当局裁定。

6.2.一旦知道可能需要删除个人数据，应咨询以下人员：（i）个人数据处理操作注册表中确定的此类数据的用户业务领域； (ii) 由 CAMARB 个人数据处理官代表的隐私和数据保护委员会，就个人数据的处置或部分保护发表意见，以履行法律或监管义务、签订合同、某些规定性期限或者由于某些正在进行的行政或司法程序。 

6.2.1.如果决定删除个人数据，则负责该活动的员工必须以安全且不可挽回的方式处理这些数据，例如通过粉碎或焚烧文件和覆盖媒体。此外，CAMARB 必须确保：（i）考虑到 CAMARB 可用的资源和技术，如果删除个人数据在技术上不可行，则在备份和遗留系统中删除个人数据，或阻止其处理； (ii) 其他可能拥有该数据副本的业务领域应继续进行安全处置； (iii) 经济集团内的其他公司和在 CAMARB 控制下拥有个人数据的第三方应根据与 CAMARB 签署的各自合同对个人数据进行安全处理。

6.2.2.如果决定部分保护个人数据，CAMARB 将阻止其处理和访问，从而导致删除数据，仅为剩余目的保留必要和隔离的数据。

6.3.当 CAMARB 决定按照本政策规定删除或阻止个人数据时，以及当 CAMARB 的一个或多个业务领域认为此类数据对于某些活动或流程有用途而不需要识别或个性化任何人时，CAMARB 可能会对个人数据进行匿名化处理。在这种情况下，将使用当时可用的合理技术手段，保证这些个人数据不可能直接或间接地与个人相关联，以便即使使用合理的技术手段也无法再识别相应的持有者. 并且可用。一旦匿名化，这些信息将不再被视为个人数据。

 

7。 责任

7.1. CAMARB 的每位员工、董事、顾问、合作伙伴、服务提供商和供应商均有责任遵守本政策中关于保护其访问、从他人处接收和与他人共享的个人数据的规定，并协助数据保护官员。负责 CAMARB 处理个人数据以履行其职责和任务。

7.2.不遵守本政策的规定将导致根据 CAMARB 行为准则对不合规责任人实施纪律或合同制裁，但不影响 CAMARB 对所遭受的损失和损害的赔偿。

 

8. CAMARB 隐私治理

8.1. CAMARB 拥有基于公司之间合同的全球个人数据保护计划，为个人数据保护建立了最低基础。此外，CAMARB 在其个人数据保护官和管理人员的持续监督下，根据数据保护政策和规则维护本地隐私和个人数据治理计划。

8.2.一旦发现 CAMARB 的存储实践和个人数据删除方法不足以满足 LGPD 和其他适用法律法规所要求的最低水平，就必须进行更新和更改，并力求至少达到其中最严格的水平。

8.3.设立年度评审会议。