Zweck, Umfang und Benutzer
Diese Richtlinie legt die erforderlichen Aufbewahrungsfristen für bestimmte Kategorien personenbezogener Daten fest und legt die Mindeststandards fest, die bei der Vernichtung bestimmter Informationen innerhalb von Halian Holdings Ltd. anzuwenden sind. (Unternehmen“).
Diese Richtlinie gilt für alle Geschäftsbereiche, Prozesse und Systeme in allen Ländern, in denen das Unternehmen Geschäfte tätigt und Geschäfte oder sonstige Geschäftsbeziehungen mit Dritten unterhält.
Diese Richtlinie gilt für alle leitenden Angestellten, Direktoren, Mitarbeiter, Vertreter, verbundenen Unternehmen, Auftragnehmer, Berater, Berater oder Dienstleister des Unternehmens, die Daten (einschließlich personenbezogener Daten und / oder sensibler personenbezogener Daten) erfassen, verarbeiten oder darauf zugreifen können. Es liegt in der Verantwortung aller oben genannten Personen, sich mit dieser Richtlinie vertraut zu machen und deren angemessene Einhaltung sicherzustellen.
Diese Richtlinie gilt für alle im Unternehmen verwendeten Informationen. Beispiele für Dokumente sind:
-
E-Mails
-
Hardcopy-Dokumente
-
Softcopy-Dokumente
-
Video und Audio
-
Daten, die von physischen Zugangskontrollsystemen generiert werden
Referenzdokumente
-
EU-DSGVO 2016/679 (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG)
-
Persönliches Datenschutzerklärung
Retentionsregeln
3.1. Allgemeiner Grundsatz der Aufbewahrung
Für den Fall, dass für jede Kategorie von Dokumenten, die an anderer Stelle in dieser Richtlinie (und insbesondere im Rahmen des Datenaufbewahrungsverfahrens) nicht ausdrücklich definiert sind und sofern nicht anders durch geltendes Recht vorgeschrieben, die erforderliche Aufbewahrungsfrist für ein solches Dokument gilt als 10 Jahre ab dem Datum der Erstellung des Dokuments.
3.2. Allgemeiner Aufbewahrungszeitplan
Der Datenschutzbeauftragte definiert den Zeitraum, für den die Dokumente und elektronischen Aufzeichnungen über den Datenaufbewahrungsplan aufbewahrt werden sollen.
Als Ausnahme können Aufbewahrungsfristen innerhalb des Datenaufbewahrungsplans in folgenden Fällen verlängert werden:
-
Laufende Untersuchungen der Behörden der Mitgliedstaaten, falls die Möglichkeit besteht, dass das Unternehmen Aufzeichnungen über personenbezogene Daten benötigt, um die Einhaltung gesetzlicher Anforderungen nachzuweisen;oder
-
Bei der Ausübung gesetzlicher Rechte in Fällen von Klagen oder ähnlichen Gerichtsverfahren, die nach lokalem Recht anerkannt sind.
3.3. Sicherung der Daten während der Aufbewahrungsfrist
Es ist zu berücksichtigen, dass sich die zur Archivierung verwendeten Datenträger abnutzen können. Werden elektronische Speichermedien gewählt, so werden auch alle Verfahren und Systeme gespeichert, die gewährleisten, dass die Informationen während der Aufbewahrungsfrist zugänglich sind (sowohl hinsichtlich des Informationsträgers als auch hinsichtlich der Lesbarkeit der Formate), um die Informationen vor Verlust infolge künftiger technologischer Veränderungen zu schützen. Die Verantwortung für die Speicherung liegt beim DPO.
3.4. Vernichtung von Daten
Das Unternehmen und seine Mitarbeiter sollten daher regelmäßig alle Daten, ob elektronisch auf ihrem Gerät oder auf Papier, überprüfen, um zu entscheiden, ob Daten vernichtet oder gelöscht werden sollen, sobald der Zweck, für den diese Dokumente erstellt wurden, nicht mehr relevant ist. Siehe Anhang für den Aufbewahrungsplan. Die Gesamtverantwortung für die Datenvernichtung liegt beim DSB.
Sobald die Entscheidung getroffen wurde, gemäß dem Aufbewahrungsplan zu verfügen, sollten die Daten in einem Ausmaß gelöscht, geschreddert oder anderweitig zerstört werden, das ihrem Wert für andere und ihrem Vertraulichkeitsgrad entspricht. Die Entsorgungsmethode variiert und hängt von der Art des Dokuments ab. Beispielsweise müssen Dokumente, die sensible oder vertrauliche Informationen (und insbesondere sensible personenbezogene Daten) enthalten, als vertraulicher Abfall entsorgt werden und einer sicheren elektronischen Löschung unterliegen. Der Abschnitt Dokumententsorgungsplan unten definiert die Art der Entsorgung.
In diesem Zusammenhang hat der Mitarbeiter die für die Informationsvernichtung relevanten Aufgaben und Verantwortlichkeiten in geeigneter Weise wahrzunehmen. Der spezifische Löschungs- oder Vernichtungsvorgang kann entweder durch einen Mitarbeiter oder durch einen internen oder externen Dienstleister durchgeführt werden, den der Datenschutzbeauftragte zu diesem Zweck beauftragt. Alle anwendbaren allgemeinen Bestimmungen der einschlägigen Datenschutzgesetze und der Datenschutzrichtlinie des Unternehmens sind einzuhalten.
Es müssen geeignete Kontrollen vorhanden sein, die den dauerhaften Verlust wesentlicher Informationen des Unternehmens durch böswillige oder unbeabsichtigte Zerstörung von Informationen verhindern – diese Kontrollen sind in den Richtlinien zur Informationssicherheit beschrieben.
Der IT-Manager muss den Vernichtungsprozess vollständig dokumentieren und genehmigen. Die geltenden gesetzlichen Anforderungen an die Vernichtung von Informationen, insbesondere die Anforderungen der geltenden Datenschutzgesetze, sind vollumfänglich zu beachten.
3.5. Verletzung, Durchsetzung und Einhaltung
Die mit der Verantwortung für den Datenschutz beauftragte DSB hat die Verantwortung sicherzustellen, dass jedes der Büros des Unternehmens diese Richtlinie einhält. Es liegt auch in der Verantwortung des DSB, jedes lokale Büro bei Anfragen von lokalen Datenschutz- oder Regierungsbehörden zu unterstützen.
Jeder Verdacht auf einen Verstoß gegen diese Richtlinie muss unverzüglich dem DPO gemeldet werden.
Die Nichteinhaltung dieser Richtlinie kann nachteilige Folgen haben, einschließlich, aber nicht beschränkt auf den Verlust des Kundenvertrauens, Rechtsstreitigkeiten und den Verlust von Wettbewerbsvorteilen, finanzielle Verluste und Schäden am Ruf des Unternehmens, Personenschäden, Schäden oder Verluste. Die Nichteinhaltung dieser Richtlinie durch festangestellte, Zeit- oder Vertragsbedienstete oder Dritte, denen Zugang zu Unternehmensräumen oder Informationen gewährt wurde, kann daher zu Disziplinarverfahren oder zur Beendigung ihres Arbeitsverhältnisses oder Vertrags führen. Eine solche Nichteinhaltung kann auch zu rechtlichen Schritten gegen die an solchen Aktivitäten beteiligten Parteien führen.
DocumentDisposal
4.1. Routinemäßiger Entsorgungsplan
Aufzeichnungen, die routinemäßig vernichtet werden können, sofern sie nicht Gegenstand einer laufenden rechtlichen oder behördlichen Untersuchung sind, lauten wie folgt:
-
Ankündigungen und Mitteilungen von Tag-zu-Tag-Sitzungen und anderen Veranstaltungen, einschließlich Zustimmungen und Entschuldigungen;
-
Anfragen nach gewöhnlichen Informationen wie Wegbeschreibungen;
-
Reservierungen für interne Meetings ohne Gebühren / externe Kosten;
-
Sendedokumente wie Briefe, Fax-Deckblätter, E-Mail-Nachrichten, Routing-Belege, Einladungsbelege und ähnliche Gegenstände, die Dokumente begleiten, aber keinen Mehrwert bieten;
-
Nachricht rutscht;
-
Abgelöste Adressliste, Verteilerlisten usw.;
-
Doppelte Dokumente wie CC- und FYI-Kopien, unveränderte Entwürfe, Snapshot-Ausdrucke oder Auszüge aus Datenbanken und Day-Dateien;
-
Bestand an hausinternen Publikationen, die veraltet oder überholt sind; und
-
Fachzeitschriften, Lieferantenkataloge, Flyer und Newsletter von Lieferanten oder anderen externen Organisationen.
In allen Fällen unterliegt die Veräußerung etwaigen Offenlegungspflichten, die im Rahmen von Rechtsstreitigkeiten bestehen können.
4.2. Vernichtungsmethode
Dokumente der Stufe I sind solche, die Informationen enthalten, die von höchster Sicherheit und Vertraulichkeit sind, und solche, die personenbezogene Daten enthalten. Diese Unterlagen sind als vertraulicher Abfall zu entsorgen (Kappschreddern und Verbrennen) und unterliegen einer sicheren elektronischen Löschung. Die Entsorgung der Dokumente sollte den Nachweis der Vernichtung enthalten.
Level II-Dokumente sind geschützte Dokumente, die vertrauliche Informationen wie Namen, Unterschriften und Adressen von Parteien enthalten oder von Dritten zur Begehung von Betrug verwendet werden können, jedoch keine personenbezogenen Daten enthalten. Die Dokumente sollten quergeschreddert und dann in verschlossene Mülleimer zur Sammlung durch eine zugelassene Entsorgungsfirma gelegt werden, und elektronische Dokumente unterliegen einer sicheren elektronischen Löschung.
Dokumente der Stufe III sind solche, die keine vertraulichen Informationen oder persönlichen Daten enthalten und veröffentlichte Unternehmensdokumente sind. Diese sollten bandgeschreddert oder über ein Recyclingunternehmen entsorgt werden und beinhalten unter anderem Anzeigen, Kataloge, Flyer und Newsletter. Diese können ohne Audit Trail entsorgt werden.
Verwalten von Aufzeichnungen, die auf der Grundlage dieses Dokuments geführt werden
| Datensatzname | Speicherort | Für die Speicherung verantwortliche Person | Kontrollen für den Datensatzschutz | Aufbewahrungszeit |
|---|---|---|---|---|
| Vorratsdatenspeicherung | Privater Dateispeicherbereich des Datenschutzbeauftragten | DPO | Nur autorisierte Personen dürfen dauerhaft auf dieses Dokument zugreifen |
Gültigkeit und Dokumentenmanagement
Dieses Dokument ist gültig ab dem 10-Juni-2018.
Ausführung 1.2
Anhänge
Anhang – Vorratsdatenspeicherung
| Datensatzkategorie | Vorgeschriebene Aufbewahrungsfrist | Datensatzinhaber |
|---|---|---|
| Gehaltsabrechnung | Sieben Jahre nach Audit | Personalabteilung |
| Lieferantenverträge | Sieben Jahre nach Vertragsbeendigung | Vertrieb |
| ERP / CRM-Datensätze | Ab Vertragsablauf | Sales / Sales Ops |
| PRO Aufzeichnungen | 1 jahre nach ablauf des Visums für elektronische Kopien Unmittelbar nach bestimmungsgemäßer Verwendung für Papierkopien | PRO |
| HR-Aufzeichnungen | Sensible Informationen 1 Jahr nach Kündigung /Rücktritt gelöscht, vollständiger Datensatz nach 7 Jahren gelöscht | HR |