Data Retention Policy
1. Introduktion
Denne politik fastlægger forpligtelserne fra Sunglasses2U, 39-43 Monument Hill, Belgrave House, Weybridge, KT13 8RN ("selskabet") vedrørende opbevaring af personoplysninger indsamlet, afholdt og behandlet af selskabet i overensstemmelse med EU-forordning 2016 / 679 Generel databeskyttelsesforordning ("GDPR").
GDPR definerer "personlige data" som enhver information vedrørende en identificeret eller identificerbar fysisk person (et "registreret"). En identificerbar fysisk person er en, der direkte eller indirekte kan identificeres ved henvisning til en identifikator som et navn, et identifikationsnummer, lokaliseringsdata, en online identifikator eller en eller flere faktorer, der er specifikke for fysiske, fysiologiske , den genetiske, mentale, økonomiske, kulturelle eller sociale identitet af den fysiske person.
GDPR'en omhandler også "særlige kategori" personoplysninger (også kendt som "følsomme" personlige data). Sådanne data indbefatter, men er ikke nødvendigvis begrænset til, data vedrørende det registreredes race, etnicitet, politik, religion, fagforeningsmedlemskab, genetik, biometri (hvis anvendt til ID-formål), sundhed, sexliv eller seksuel orientering.
Under GDPR skal personoplysninger opbevares i en form, der gør det muligt at identificere de registrerede ikke længere end nødvendigt for de formål, som personoplysningerne behandles. I visse tilfælde kan personoplysninger opbevares i længere perioder, hvor disse data skal behandles til arkivering, der er af almen interesse, til videnskabelig eller historisk forskning eller til statistiske formål (med forbehold af gennemførelsen af den relevante tekniske og organisatoriske foranstaltninger, der kræves af GDPR for at beskytte disse data).
Derudover inkluderer GDPR retten til at slette eller "retten til at blive glemt". Registrerede personer har ret til at slette deres personlige data (og for at forhindre behandling af disse personoplysninger) under følgende omstændigheder:
- Hvor personoplysningerne ikke længere kræves til det formål, for hvilket det oprindeligt blev indsamlet eller behandlet (se ovenfor);
- Når den registrerede trækker deres samtykke tilbage
- Når den registrerede gør indsigelse mod behandlingen af deres personoplysninger, og selskabet ikke har nogen overvejende legitim interesse
- Når personoplysningerne behandles ulovligt (dvs. i strid med GDPR)
- Når personoplysningerne skal slettes for at overholde en juridisk forpligtelse eller
- Hvor personoplysninger behandles til levering af informationssamfundstjenester til et barn.
Denne politik angiver den eller de typer af personoplysninger, som selskabet besidder, den eller de perioder, for hvilke disse personoplysninger skal opbevares, og hvornår og hvordan den skal slettes eller på anden måde bortskaffes.
For yderligere oplysninger om andre aspekter af databeskyttelse og overholdelse af GDPR, henvises til selskabets databeskyttelsespolitik.
2.1 Hovedformålet med denne politik er at fastsætte grænser for opbevaring af personoplysninger og for at sikre, at disse grænser samt yderligere datasætningsrettigheder til sletning overholdes. I forlængelse heraf har denne politik til formål at sikre, at selskabet fuldt ud opfylder sine forpligtelser og de registreredes rettigheder under GDPR.
2.2 Ud over at sikre de registreredes rettigheder under GDPR, ved at sikre, at der ikke opbevares for store mængder data af selskabet, har denne politik også til formål at forbedre hastigheden og effektiviteten af håndteringen af data.
3.1 Denne politik gælder for alle personoplysninger, som selskabet besidder, og af tredjeparts dataprocessorer, der behandler personoplysninger på selskabets vegne.
3.2 Personlige data, som selskabet besidder, gemmes på følgende måder og på følgende steder:
- Selskabets servere er placeret i Selskabets lokaler i Unit 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ;
- Tredjeparts servere, der drives på vores vegne
- Selskabets computere er permanent beliggende i Selskabets lokaler i Unit 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ;
- Bærbare computere og andre mobile enheder, der leveres af selskabet til dets ansatte;
- Computere og mobile enheder, der ejes af medarbejdere, agenter og underentreprenører, der anvendes i overensstemmelse med selskabets egen kode ("BYOD") -politik;
- Fysiske journaler opbevares i selskabets lokaler på Unit 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ.
Alle personoplysninger, som selskabet besidder, holdes i overensstemmelse med kravene i GDPR og de registreredes rettigheder derunder, som angivet i selskabets databeskyttelsespolitik.
4.1 Registrerede personer holdes fuldt informeret om deres rettigheder, hvilke personoplysninger, som selskabet besidder om dem, hvordan disse personoplysninger anvendes, og hvor længe selskabet vil indeholde disse personoplysninger (eller, hvis der ikke kan fastslås nogen fast retentionstid, de kriterier, hvormed opbevaring af data vil blive bestemt).
4.2 Registrerede personer får kontrol over deres personlige data, som selskabet besidder, herunder retten til at få ukorrekte data korrigeret, retten til at anmode om, at deres personoplysninger slettes eller på anden måde bortskaffes (uanset de tilbageholdelsesperioder, der ellers er fastsat i denne data retention policy) , retten til at begrænse Selskabets brug af deres personoplysninger og yderligere rettigheder i forbindelse med automatiseret beslutningstagning og profilering.
Ved udløbet af de dataopbevaringsperioder, der er angivet nedenfor i del 6 i denne politik, eller når et registreret udøver deres ret til at slette deres personoplysninger, skal personoplysninger slettes, destrueres eller på anden måde bortskaffes som følger:
5.1 Personlige data, der er gemt elektronisk (herunder eventuelle og eventuelle sikkerhedskopier heraf) skal slettes;
5.2 Personlige data, der er lagret i hardcopy form, skal rives.
6.1 Som nævnt ovenfor og i henhold til loven skal selskabet ikke opbevare personlige oplysninger længere end nødvendigt i lyset af formålet / formålene for hvilke disse data indsamles, holdes og behandles.
6.2 Forskellige typer af personoplysninger, der anvendes til forskellige formål, beholdes nødvendigvis i forskellige perioder (og dets opbevaring periodisk gennemgås) som beskrevet nedenfor.
6.3 Ved oprettelse og / eller gennemgang af opbevaringsperioder tages der hensyn til følgende:
- Selskabets mål og krav
- Den pågældende type personoplysninger
- Formålet / formålene for hvilke de pågældende data indsamles, holdes og behandles
- Selskabets retsgrundlag for indsamling, besiddelse og behandling af disse data
- Kategori eller kategorier af data, som dataene vedrører.
6.4 Hvis der ikke kan fastsættes en præcis tilbageholdelsesperiode for en bestemt type data, fastlægges kriterier for fastholdelse af dataene for derved at sikre, at de pågældende data og opbevaring af disse data regelmæssigt kan revideres imod disse kriterier.
6.5 Uanset nedenstående fastsatte tilbageholdelsesperioder kan visse personlige data blive slettet eller på anden måde bortskaffet inden udløbet af den definerede opbevaringsperiode, hvor en beslutning er truffet i selskabet om at gøre det (enten på baggrund af en anmodning fra et registreret eller Ellers).
Datatype | Formålet med data | Tilbageholdelsesperiode |
---|---|---|
Virksomhedsoptegnelser | Etableringsbrev, aktiecertifikater mv | Permanent |
aftaler | Alle kontrakter med: kunder, leverandører, agenter | 10 år efter udløbet |
aftaler | Licensaftaler | 10 år efter udløbet |
aftaler | Leje og leje køb | 10 år efter udløbet |
aftaler | Skadeserstatning og garantier | 10 år efter udløbet |
aftaler | Enhver anden aftale eller kontrakt | 10 år efter udløbet |
Ejendomsregistre | Titler | Indtil solgt eller overført |
Ejendomsregistre | Leasing | 12 år efter opsigelse og eventuelle terminalforespørgsler (fx dilapidationer) er afviklet 6 år efter færdiggørelsen |
Ejendomsregistre | Aftaler med arkitekter, bygherrer | 6 år efter færdiggørelsen |
Ejendomsregistre | Rapporter og udtalelser | 10 år efter korrespondance |
Pensionskort | Alle tillid gerninger og regler | Permanent eller, hvis det fusioneres med en anden fond, 12 år efter fusion |
Pensionskort | Konti og bilag | 6 år fra datakonti underskrevet |
Pensionskort | Godkendelser indenlandsk indtægter | Permanent eller, hvis det fusioneres med en anden fond, 12 år efter fusion |
Pensionskort | Records af pensionister | 12 år efter fordelen ophører |
Pensionskort | Records af tidligere pensionister | Permanent eller, hvis det fusioneres med en anden fond, 12 år efter fusion |
Pensionskort | Gruppe sundhedspolitik | 12 år efter ophør af ydelsen |
Pensionskort | Gruppe personlige ulykkespolitikker | 6 år efter år. I hvilken hændelse der opstod |
Bankregnskaber | Checks, veksler og andre omsætningspapirer | 6 år |
Bankregnskaber | Indbetaling af modstykker | 6 år |
Bankregnskaber | Bankopgørelser og afstemninger | 6 år |
Bankregnskaber | Valutakurser | 15 år |
Bankregnskaber | Instruktioner til banker | 6 år efter ophører med at være effektive |
Forsikringsoptegnelser | Offentlige ansvarspolitikker | Permanent |
Forsikringsoptegnelser | Produktansvar | Permanent |
Forsikringsoptegnelser | Arbejdsgiverens ansvarspolitik | Permanent |
Forsikringsoptegnelser | Forsikringsplaner | 7 år |
Forsikringsoptegnelser | Gruppe sundhedspolitik | 12 år efter ophør af ydelsen |
Forsikringsoptegnelser | Gruppe personlige ulykkespolitikker | 12 år efter ophør af ydelsen |
Forsikringsoptegnelser | Personlige krav | 7 år fra datoen for påstanden |
Forsikringsoptegnelser | Andre politikker | Indtil krav i henhold til politikken er udelukket |
Regnskabs- og skatteregnskaber | At overholde selskabsloven fra 1985 (dette omfatter alle datterregistre til støtte for årsregnskaber) | 3yrs |
Regnskabs- og skatteregnskaber | Budgetter og Periodiske interne finansielle rapporter f.eks. Om bord (Master) | 2yrs |
Regnskabs- og skatteregnskaber | Skatter returnerer og registrerer | 10 år |
Regnskabs- og skatteregnskaber | Momsregistreringer | 6yrs |
Regnskabs- og skatteregnskaber | Indkomstskat & NI returnerer, inklusiv korrespondance med skattekontor | 3 år efter slutningen af FY, hvilke poster vedrører |
Regnskabs- og skatteregnskaber | Indtægter og udgifter | 7 år |
Medarbejderregistre | Personlige & træningsoptegnelser (herunder disciplinære og klagehørnoter) | 6 år efter ophør af ansættelsen kunne være længere med individuel aftale |
Medarbejderregistre | Ansættelses- og personalevalueringsregistre | 5yrs |
Medarbejderregistre | Redundans records | 12 år fra datoen for redundans |
Medarbejderregistre | Ledende stillinger | Permanent |
Medarbejderregistre | Kontaktoplysninger gemt på personlige filer (fx kortindeks, MS Outlook) | Indtil det er tydeligt, er personen ikke længere på den navngivne placering |
Medarbejderregistre | Personlige oplysninger af enhver art på en webside eller et websted | Ikke længere end den periode, der specifikt er aftalt med den enkelte |
Medarbejderregistre | Lønninger og lønregnskaber (inklusive overarbejde, bonusser og udgifter) | 6yrs |
Medarbejderregistre | Lovpligtige sygedagpenge og beregninger | 3 år efter slutningen af FY, hvilke poster vedrører |
Medarbejderregistre | Indkomstskatteopgørelser (fx P45, P60, P58, P48) | 6yrs |
Medarbejderregistre | Årligt afkast af skattepligtig løn og skat betalt | 6yrs |
Aftaleaftaler | Kontrakter | 12 år efter udløbet |
Sundheds- og sikkerhedsregistre | Fortegnelse over konsultationer med sikkerhedsrepræsentanter og udvalg | Permanent |
Sundheds- og sikkerhedsregistre | Træningsregistre vedrørende sikkerhed på arbejdspladsen | Permanent |
Sundheds- og sikkerhedsregistre | Erhvervsspørgsmål | Under ansættelsen |
Sundheds- og sikkerhedsregistre | Under COSHH Regulations | 40yrs |
Sundheds- og sikkerhedsregistre | Klassificeringer data under Kemikalier (Hazard Information & Packaging for Supply) Regulations 1994 | 3yrs |
Transportregistre | Drivere logbøger | 5 år efter færdiggørelsen |
Transportregistre | Køretøjs kilometerregistre | 2 år efter bortskaffelse af køretøj med mindre erstatningsansvar |
Transportregistre | Køretøjsvedligeholdelsesregistre | 2 år efter bortskaffelse af køretøj med mindre erstatningsansvar |
Transportregistre | MOT-optegnelser | 2 år efter bortskaffelse af køretøj med mindre erstatningsansvar |
Transportregistre | Registrering records | 2 år efter bortskaffelse af køretøj med mindre erstatningsansvar |
7.1 Databeskyttelsesledelsen skal være ansvarlig for tilsynet med gennemførelsen af denne politik og for at overvåge overholdelsen af denne politik, selskabets øvrige databeskyttelsesrelaterede politikker (herunder, men ikke begrænset til, dens databeskyttelsespolitik) og med GDPR og anden gældende databeskyttelseslovgivning.
7.2 Databeskyttelsesledelsen skal være direkte ansvarlig for overholdelse af ovennævnte dataopbevaringsperioder i hele selskabet.
7.3Any spørgsmål vedrørende denne politik, opbevaring af personoplysninger eller ethvert andet aspekt af GDPR-overholdelse bør henvises til databeskyttelsesledelsen.
Denne politik anses for effektiv fra den 25. maj 2018. Ingen del af denne politik skal have tilbagevirkende kraft og gælder således kun for forhold, der forekommer på eller efter denne dato.
V1.0
2018/05/23