本《个人信息事件报告政策》（“政策”）包含指导巴西商业调解仲裁庭（CAMARB）（“CAMARB”）处理个人信息事件的原则和行为标准。安全，为CAMARB的业务连续性制定规则。

本政策从属于并补充CAMARB的隐私和个人数据保护治理政策，必须根据该政策的指导方针和原则进行解释。

 

1. 范围

1.1.根据本政策，安全事件包括任何未经授权的访问以及意外或非法破坏、丢失、更改、通信或任何形式的对 CAMARB 控制下的个人数据进行不充分或非法处理的情况（“事件”）。

1.2.根据适用法律，本政策所涵盖的个人数据是指与已识别自然人相关的所有信息，或可通过 CAMARB 的合理努力识别的信息，或可通过 CAMARB 对此类信息的处理而个性化的信息。 CAMARB，即使没有被确认身份。这包括有关董事、工人、客户、供应商和服务提供商以及与 CAMARB 有关系的其他人的信息。

1.3.本文件涵盖了对 CAMARB 处理的个人数据安全事件的响应，以及向受影响的个人或法人实体的沟通，遵循 CAMARB 隐私和个人数据保护治理政策中概述的原则和规则，以保证充分和及时地管理安全事件并减轻或消除由此产生的任何损失，包括最终处置和/或消除 CAMARB、其承包商和分包商所持有的包含个人数据的信息和文件。

 

2. 申请

2.1.本政策适用于参与 CAMARB 进行的个人数据处理操作的所有员工、董事、顾问、合作伙伴、供应商和服务提供商。 

 

3. 目的

3.1.本政策的目标是：

a) 确保 CAMARB 对涉及个人数据的事件做出快速有效的反应，以遵守《通用个人数据保护法》 - LGPD（13.709 年 14 月 2018 日第 XNUMX 号法律）和其他适用法律法规；

b) 客观地定义法律规定的关于报告事件必要性的风险评估和决定；

c) 避免本政策所涉及的事件对个人数据持有者的隐私以及CAMARB的形象和市场价值造成有害后果；

d) 指导 CAMARB 员工、主管、顾问、合作伙伴、供应商和服务提供商了解信息安全的必要性和重要性以及涉及个人数据事件的有效应对和沟通；和

e) 明确信息共享过程中的归属、权限和责任。

 

4. 信息安全与个人信息保护委员会

4.1.根据CAMARB管理层的定义，CAMARB信息安全和个人数据保护委员会（“委员会”）成立，任期两年，由个人数据处理官和董事会及部门代表组成。法律、人力CAMARB 的资源和技术。

 

5. 个人信息安全事故应对

5.1.安全事件响应程序将以最高优先级和紧急程度进行，包括在工作日之外和/或委员会成员的正常工作时间进行。

5.2.任何可能构成事件的事件均须转交委员会，委员会将在获悉事件后的 2（两个）工作日内负责制定解决程序。根据委员会的决定，其他 CAMARB 部门的代表也可以参与。

5.2.1.如果无法在该期限前完成，负责人必须记录原因，如果决定通报该事件，还必须向国家个人数据保护局 - ANPD 报告。

5.3.在该委员会的指导下，CAMARB 将在必要时调动信息技术、公共关系（新闻）和法律方面的外部顾问协助应对该事件。

5.4.一旦事件配置完毕，委员会将负责采取必要的措施来中断事件，恢复受影响的个人数据，并根据本政策并遵守 CD/ANPD 第 15/2024 号决议传达事件。

5.5.在审议紧急措施的同时，委员会将指派一名来自 CAMARB 信息技术部门的员工来验证受损的存储库和系统，负责人负责核实 CAMARB 在个人数据记录中控制的个人数据类别。数据处理操作。以及各自受影响的持有人，以划定事件的范围和对个人数据持有人、第三方和 CAMARB 的潜在风险。

5.6.该官员将准备一份关于 CAMARB 为应对该事件所采取的措施的报告，包括其程度和潜在风险。根据该报告，委员会将就该事件向 CAMARB 管理部门提出合理意见和中肯建议，特别是考虑到持有人可能面临的风险以及根据第 48 条规定通报该事件的必要性。 LGPD 第 XNUMX 条。该意见将采用ANPD建议的风险矩阵，如果没有，则采用其认为一致且充分的其他风险矩阵。

5.7. CAMARB 董事会将根据其对 CAMARB 形象风险的印象，决定是否全部或部分接受委员会的意见，或拒绝它。该决定将及时通知委员会，并由负责人负责记录。

5.8.如果发生事件，委员会将与外部公共关系和新闻顾问一起准备沟通草案，该草案将由CAMARB管理层验证，然后向市场披露和/或对受影响或可能受影响的持有人。视情况而定。

5.9.在同一案件中，委员会将与CAMARB法律部门顾问一起安排通过机构手段和渠道将事件通报给ANPD，特别是“向国家数据保护局“个人”提交的个人数据安全事件通报表”并必须执行ANPD要求的措施。

5.10.负责官员将代表委员会，作为本政策的 CAMARB 发言人，也是唯一有权就事件发表评论和向公众通报的人。 CAMARB 的所有其他员工、董事、顾问和合作伙伴均不得公开评论此事。

 

6. 个人信息的运营者和其他控制者

6.1.任何作为与 CAMARB 相关的或通过 CAMARB 获取的个人数据的运营者或控制者的第三方，均须承诺在发生事故时遵守本政策，并：

a) 发现事件后立即通知经理；

b) 配合CAMARB应对事件，立即提供所有必要的信息和协助；

c) 不要自行应对事件，如​​果您是个人数据控制者，则必须与CAMARB联合应对；如果您是运营商，则仅限于遵循CAMARB的指示。

6.2.如果 CAMARB 作为第三方控制的个人数据的数据处理者，则其将负责与第三方合作通报事件，在存在丢失、损坏或对 CAMARB 造成损害。或者要求 CAMARB 对第三方控制者的惰性承担责任。

6.3. CAMARB 必须提供第三方同意本政策的机制。

 

7。 责任

7.1. CAMARB 的每位员工、主管、顾问、服务提供商和承包商均应根据其在 CAMARB 开展的活动，对其遵守本政策的行为负责，并遵守本政策和其他适用标准，以及使负责人和委员会能够很好地履行工作职责。董事、顾问和经理还负责确保其负责的员工和第三方根据其职责遵守本政策。

7.2.不遵守本政策的行为将根据违法者与CAMARB的关系性质、违法行为的严重程度以及CAMARB的内部规定予以处罚，并可能导致违法者被解雇或解聘，但不影响对所造成的损失和损害的赔偿。卡马布。

8.其他

8.1.本政策将传达给 CAMARB 员工，并且每年至少审查一次。