Richtlinie zur Datenaufbewahrung
1. Einleitung
Diese Richtlinie legt die Verpflichtungen von Sunglasses2U, von 39-43 Monument Hill, Belgrave House, Weybridge, KT13 8RN ("das Unternehmen") bezüglich der Aufbewahrung von personenbezogenen Daten fest, die von der Gesellschaft gemäß der EU-Verordnung 2016 / 679 Datenschutz-Grundverordnung (DSGVO).
Die DSGVO definiert "personenbezogene Daten" als Informationen über eine bestimmte oder bestimmbare natürliche Person (eine "betroffene Person"). Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere unter Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Standortdaten, einen Online-Identifikator oder einen oder mehrere physikalische oder physiologische Faktoren genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person.
Die Datenschutz-Grundverordnung behandelt auch personenbezogene Daten der "besonderen Kategorie" (auch als "sensible" personenbezogene Daten bezeichnet). Solche Daten umfassen, sind aber nicht notwendigerweise darauf beschränkt, Daten bezüglich Rasse, Ethnizität, Politik, Religion, Gewerkschaftsmitgliedschaft, Genetik, Biometrie (wenn sie für ID-Zwecke verwendet werden), Gesundheit, Sexualleben oder sexueller Orientierung.
Gemäß der Datenschutz-Grundverordnung müssen personenbezogene Daten in einer Form aufbewahrt werden, die es ermöglicht, betroffene Personen nicht länger zu identifizieren, als dies für die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, erforderlich ist. In bestimmten Fällen können personenbezogene Daten für längere Zeiträume gespeichert werden, wenn diese Daten zu Archivierungszwecken im öffentlichen Interesse, für wissenschaftliche oder historische Forschung oder für statistische Zwecke (vorbehaltlich der Durchführung der entsprechenden technischen und organisatorischen Daten) verarbeitet werden sollen Maßnahmen, die von der Datenschutz-Grundverordnung gefordert werden, um diese Daten zu schützen).
Darüber hinaus beinhaltet die DSGVO das Recht auf Löschung oder "das Recht auf Vergessenwerden". Die betroffenen Personen haben das Recht, ihre persönlichen Daten unter folgenden Umständen zu löschen (und die Verarbeitung dieser personenbezogenen Daten zu verhindern):
- Wenn die personenbezogenen Daten für den Zweck, für den sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr benötigt werden (siehe oben);
- Wenn die betroffene Person ihre Zustimmung widerruft;
- Wenn die betroffene Person der Verarbeitung ihrer personenbezogenen Daten widerspricht und die Gesellschaft kein überwiegendes berechtigtes Interesse hat;
- Wenn die personenbezogenen Daten rechtswidrig verarbeitet werden (dh gegen die DSGVO verstoßen);
- Wenn die persönlichen Daten gelöscht werden müssen, um einer gesetzlichen Verpflichtung nachzukommen; oder
- Wenn die personenbezogenen Daten für die Bereitstellung von Diensten der Informationsgesellschaft für ein Kind verarbeitet werden.
Diese Richtlinie legt die Art (en) personenbezogener Daten fest, die von der Firma gehalten werden, die Periode (n), für die diese persönlichen Daten aufbewahrt werden sollen, und wann und wie sie gelöscht oder anderweitig entsorgt werden sollen.
Weitere Informationen zu anderen Aspekten des Datenschutzes und zur Einhaltung der DSGVO finden Sie in der Datenschutzrichtlinie des Unternehmens.
2.1 Das vorrangige Ziel dieser Richtlinie besteht darin, Grenzen für die Aufbewahrung personenbezogener Daten festzulegen und dafür zu sorgen, dass diese Beschränkungen sowie weitere Löschungsrechte der betroffenen Personen eingehalten werden. Durch diese Richtlinie soll außerdem sichergestellt werden, dass das Unternehmen seinen Verpflichtungen und den Rechten der betroffenen Personen im Rahmen der DSGVO in vollem Umfang nachkommt.
2.2 Neben der Wahrung der Rechte der betroffenen Personen im Rahmen der Datenschutz-Grundverordnung sollen durch diese Richtlinie auch die Geschwindigkeit und Effizienz der Datenverwaltung verbessert werden, indem sichergestellt wird, dass nicht zu viele Daten von der Gesellschaft gespeichert werden.
3.1 Diese Richtlinie gilt für alle persönlichen Daten, die von der Firma und von Datenverarbeitern von Dritten gespeichert werden, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten.
3.2 Persönliche Daten, wie sie vom Unternehmen gespeichert werden, werden auf folgende Arten und an folgenden Orten gespeichert:
- Die Server des Unternehmens befinden sich in den Geschäftsräumen des Unternehmens in Block 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ;
- Server von Drittanbietern, die in unserem Auftrag betrieben werden;
- Die Computer des Unternehmens befinden sich ständig in den Geschäftsräumen des Unternehmens in der Einheit 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ;
- Laptop-Computer und andere mobile Geräte, die das Unternehmen seinen Mitarbeitern zur Verfügung stellt;
- Computer und mobile Geräte von Mitarbeitern, Agenten und Subunternehmern, die gemäß der Bring Your Own Device ("BYOD") - Richtlinie des Unternehmens verwendet werden;
- Physische Aufzeichnungen, die in den Geschäftsräumen des Unternehmens in Block 17, IO Centre, 57a Croydon Road, Beddington, Croydon, CR0 4WQ, gespeichert sind.
Alle personenbezogenen Daten, die sich im Besitz des Unternehmens befinden, werden gemäß den Anforderungen der DSGVO und der Rechte der betroffenen Personen gemäß den Datenschutzrichtlinien des Unternehmens behandelt.
4.1. Die betroffenen Personen werden vollständig über ihre Rechte, über die persönlichen Daten, die das Unternehmen über sie besitzt, darüber informiert, wie diese personenbezogenen Daten verwendet werden, und darüber, wie lange diese personenbezogenen Daten aufbewahrt werden (oder, wenn keine feste Aufbewahrungsfrist festgelegt werden kann). die Kriterien, nach denen die Aufbewahrung der Daten bestimmt wird).
4.2 Die betroffenen Personen erhalten die Kontrolle über ihre persönlichen Daten, die das Unternehmen besitzt, einschließlich des Rechts auf Berichtigung falscher Daten, das Recht, die Löschung oder anderweitige Entsorgung ihrer persönlichen Daten zu verlangen (ungeachtet der Aufbewahrungsfristen, die anderweitig in dieser Datenspeicherungspolitik festgelegt sind). das Recht, die Nutzung personenbezogener Daten durch das Unternehmen einzuschränken, sowie weitere Rechte in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung.
Nach Ablauf der Datenhaltefristen, die in Teil 6 dieser Richtlinie aufgeführt sind, oder wenn eine betroffene Person von ihrem Recht auf Löschung ihrer personenbezogenen Daten Gebrauch macht, werden personenbezogene Daten wie folgt gelöscht, vernichtet oder anderweitig entsorgt:
5.1 Auf elektronischem Weg gespeicherte personenbezogene Daten (einschließlich aller Sicherungen davon) werden gelöscht;
5.2 Persönliche Daten, die in Papierform gespeichert sind, müssen geschreddert werden.
6.1 Wie oben erwähnt, und wie gesetzlich vorgeschrieben, darf das Unternehmen keine persönlichen Daten länger aufbewahren, als dies für den / die Zweck (e) erforderlich ist, für die diese Daten erhoben, aufbewahrt und verarbeitet werden.
6.2 Verschiedene Arten personenbezogener Daten, die für unterschiedliche Zwecke verwendet werden, werden notwendigerweise für verschiedene Zeiträume aufbewahrt (und ihre Aufbewahrung wird regelmäßig überprüft), wie nachstehend dargelegt.
6.3 Bei der Erstellung und / oder Überprüfung von Aufbewahrungsfristen ist Folgendes zu berücksichtigen:
- Die Ziele und Anforderungen des Unternehmens;
- Die Art der personenbezogenen Daten;
- Die Zwecke, für die die fraglichen Daten erhoben, gespeichert und verarbeitet werden;
- Die Rechtsgrundlage des Unternehmens für das Sammeln, Halten und Verarbeiten dieser Daten;
- Die Kategorie (n) der Daten, auf die sich die Daten beziehen.
6.4 Kann für eine bestimmte Art von Daten keine genaue Aufbewahrungsfrist festgelegt werden, werden Kriterien festgelegt, nach denen die Aufbewahrung der Daten bestimmt wird, um sicherzustellen, dass die fraglichen Daten und die Aufbewahrung dieser Daten regelmäßig überprüft werden können gegen diese Kriterien.
6.5 Ungeachtet der folgenden festgelegten Aufbewahrungsfristen können bestimmte personenbezogene Daten vor Ablauf der festgelegten Aufbewahrungsfrist gelöscht oder auf andere Weise entsorgt werden, wenn innerhalb des Unternehmens eine Entscheidung dazu getroffen wird (ob auf Ersuchen einer betroffenen Person oder Andernfalls).
| Art der Daten | Zweck der Daten | Aufbewahrungsfrist |
|---|---|---|
| Firmendaten | Gründungsurkunde, Aktienzertifikate usw | Permanent |
| Vereinbarungen | Alle Verträge mit: Kunden, Lieferanten, Agenten | 10 Jahre nach Ablauf |
| Vereinbarungen | Lizenzvereinbarungen | 10 Jahre nach Ablauf |
| Vereinbarungen | Miet- und Mietkauf | 10 Jahre nach Ablauf |
| Vereinbarungen | Entschädigungen und Garantien | 10 Jahre nach Ablauf |
| Vereinbarungen | Jede andere Vereinbarung oder Vertrag | 10 Jahre nach Ablauf |
| Eigentumsrekorde | Eigentumsrechte | Bis verkauft oder übertragen |
| Eigentumsrekorde | Leasing | 12 Jahre nach der Kündigung und alle Terminalabfragen (zB Dilapidations) wurden 6 Jahre nach Fertigstellung erledigt |
| Eigentumsrekorde | Vereinbarungen mit Architekten, Bauherren | 6 Jahre nach Fertigstellung |
| Eigentumsrekorde | Berichte und Meinungen | 10 Jahre nach der Korrespondenz |
| Rentenrekorde | Alle vertrauen Taten und Regeln | Dauerhaft oder, falls mit einem anderen Fonds verschmolzen, 12 Jahre nach der Fusion |
| Rentenrekorde | Konten und Belege | 6 Jahre nach Datum der Unterzeichnung |
| Rentenrekorde | Inland Revenue Genehmigungen | Dauerhaft oder, falls mit einem anderen Fonds verschmolzen, 12 Jahre nach der Fusion |
| Rentenrekorde | Aufzeichnungen von Rentnern | 12 Jahre, nachdem der Nutzen aufhört |
| Rentenrekorde | Aufzeichnungen von Ex-Rentnern | Dauerhaft oder, falls mit einem anderen Fonds verschmolzen, 12 Jahre nach der Fusion |
| Rentenrekorde | Gruppenrichtlinien für Gesundheit | 12 Jahre nach Beendigung des Vorteils |
| Rentenrekorde | Gruppenrichtlinien für persönliche Unfälle | 6 Jahre nach dem Jahr, in welchem Ereignis aufgetreten ist |
| Bankunterlagen | Schecks, Wechsel und andere verhandelbare Instrumente | 6 Jahre |
| Bankunterlagen | Einzahlungs-Counterfoils | 6 Jahre |
| Bankunterlagen | Kontoauszüge und Abstimmungen | 6 Jahre |
| Bankunterlagen | Ausländische Wechselkurse | 15 Jahre |
| Bankunterlagen | Anweisungen an Banken | 6 Jahre nach dem Ende der Wirksamkeit |
| Versicherungsunterlagen | Grundsätze der öffentlichen Haftung | Permanent |
| Versicherungsunterlagen | Produkthaftung | Permanent |
| Versicherungsunterlagen | Haftpflichtversicherung der Arbeitgeber | Permanent |
| Versicherungsunterlagen | Versicherungspläne | 7 Jahre |
| Versicherungsunterlagen | Gruppenrichtlinien für Gesundheit | 12 Jahre nach Einstellung des Vorteils |
| Versicherungsunterlagen | Gruppenrichtlinien für persönliche Unfälle | 12 Jahre nach Beendigung des Vorteils |
| Versicherungsunterlagen | Persönliche Ansprüche | 7 Jahre ab Datum des Anspruchs |
| Versicherungsunterlagen | Andere Richtlinien | Bis Ansprüche aus der Police ausgeschlossen sind |
| Buchführung und Steuern | Zur Einhaltung des Companies Act 1985 (dies beinhaltet alle Nebenbücher zur Unterstützung des Jahresabschlusses) | 3 Jahre |
| Buchführung und Steuern | Budgets & Periodische interne Finanzberichte zB zu Board (Master) | 2 Jahre |
| Buchführung und Steuern | Steuererklärungen und Aufzeichnungen | 10 Jahre |
| Buchführung und Steuern | MwSt-Aufzeichnungen | 6 Jahre |
| Buchführung und Steuern | Einkommenssteuer und NI-Rücksendungen, einschließlich Korrespondenz mit dem Finanzamt | 3 Jahre nach Ende des Geschäftsjahres, auf die sich die Aufzeichnungen beziehen |
| Buchführung und Steuern | Einnahmen und Ausgaben | 7 Jahre |
| Mitarbeiterdaten | Personal- und Trainingsunterlagen (einschließlich Disziplinar- und Beschwerdeanhörungen) | 6 Jahre nach Beendigung der Beschäftigung; könnte mit Zustimmung des Einzelnen länger sein |
| Mitarbeiterdaten | Termin- und Beurteilungsunterlagen | 5 Jahre |
| Mitarbeiterdaten | Redundanzsätze | 12 Jahre ab Datum der Entlassung |
| Mitarbeiterdaten | Aufzeichnungen der leitenden Angestellten | Permanent |
| Mitarbeiterdaten | Kontaktdetails in persönlichen Dateien (zB Karteikarte, MS Outlook) | Bis es offensichtlich ist, ist die Person nicht mehr am benannten Ort |
| Mitarbeiterdaten | Persönliche Informationen jeglicher Art auf einer Webseite oder Website | Nicht länger als der mit der Person ausdrücklich vereinbarte Zeitraum |
| Mitarbeiterdaten | Lohn- und Gehaltslisten (einschließlich Überstunden, Prämien und Ausgaben) | 6 Jahre |
| Mitarbeiterdaten | Gesetzliche Krankenlohnaufzeichnungen und Berechnungen | 3 Jahre nach Ende des Geschäftsjahres, auf die sich die Aufzeichnungen beziehen |
| Mitarbeiterdaten | Einkommensteueraufzeichnungen (zB P45, P60, P58, P48) | 6 Jahre |
| Mitarbeiterdaten | Jährliche Rückerstattung der zu zahlenden Steuern und Steuern | 6 Jahre |
| Vertragliche Vereinbarungen | Verträge | 12 Jahre nach Ablauf |
| Gesundheits- und Sicherheitsaufzeichnungen | Aufzeichnung der Konsultationen mit Sicherheitsvertretern und Ausschüssen | Permanent |
| Gesundheits- und Sicherheitsaufzeichnungen | Aufzeichnungen über die Sicherheit bei der Arbeit | Permanent |
| Gesundheits- und Sicherheitsaufzeichnungen | Arbeitsmedizinische Aufzeichnungen | Während der Beschäftigung |
| Gesundheits- und Sicherheitsaufzeichnungen | Nach COSHH-Vorschriften | 40 Jahre |
| Gesundheits- und Sicherheitsaufzeichnungen | Klassifizierungsdaten unter Chemikalien (Gefahreninformation und Verpackung für das Angebot) Regulations 1994 | 3 Jahre |
| Transportdatensätze | Treiber Logbücher | 5 Jahre nach Fertigstellung |
| Transportdatensätze | Fahrzeugmeilensätze | 2 Jahre nach Entsorgung des Fahrzeuges, außer bei Haftungsansprüchen |
| Transportdatensätze | Aufzeichnungen zur Fahrzeugwartung | 2 Jahre nach Entsorgung des Fahrzeuges, außer bei Haftungsansprüchen |
| Transportdatensätze | MOT-Aufzeichnungen | 2 Jahre nach Entsorgung des Fahrzeuges, außer bei Haftungsansprüchen |
| Transportdatensätze | Registrierungsdatensätze | 2 Jahre nach Entsorgung des Fahrzeuges, außer bei Haftungsansprüchen |
7.1 Der Datenschutzbeauftragte ist verantwortlich für die Überwachung der Umsetzung dieser Richtlinie und für die Überwachung der Einhaltung dieser Richtlinie, der anderen datenschutzrelevanten Richtlinien des Unternehmens (einschließlich, aber nicht beschränkt auf deren Datenschutzrichtlinie) und der Datenschutz-Grundverordnung und andere anwendbare Datenschutzgesetze.
7.2 Der Datenschutzbeauftragte ist direkt dafür verantwortlich, dass die oben genannten Datenspeicherfristen im gesamten Unternehmen eingehalten werden.
7.3Alle Fragen bezüglich dieser Richtlinie, der Aufbewahrung personenbezogener Daten oder anderer Aspekte der Einhaltung der DSGVO sollten an die Datenschutzleitung verwiesen werden.
Diese Richtlinie gilt ab dem 25. Mai 2018. Kein Teil dieser Richtlinie hat eine Rückwirkung und gilt daher nur für Ereignisse, die an oder nach diesem Datum eintreten.
V1.0
23.05.2018