Propósito, Alcance y Usuarios
Esta política establece los períodos de retención requeridos para categorías específicas de datos personales y establece los estándares mínimos que se aplicarán al destruir cierta información dentro de Halian Holdings Ltd. (empresa»).
Esta Política se aplica a todas las unidades de negocio, procesos y sistemas en todos los países en los que la Compañía realiza negocios y tiene tratos u otras relaciones comerciales con terceros.
Esta Política se aplica a todos los funcionarios, directores, empleados, agentes, afiliados, contratistas, consultores, asesores o proveedores de servicios de la Compañía que puedan recopilar, procesar o tener acceso a datos (incluidos datos personales y / o datos personales confidenciales). Es responsabilidad de todos los anteriores familiarizarse con esta Política y garantizar el cumplimiento adecuado de la misma.
Esta política se aplica a toda la información utilizada en la Empresa. Ejemplos de documentos incluyen:
-
Correos electrónicos
-
Documentos impresos
-
Documentos de copia electrónica
-
Vídeo y audio
-
Datos generados por sistemas físicos de control de acceso
Documentos de Referencia
-
RGPD UE 2016/679 [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46 / CE)
-
Datos personales Política de Protección de Datos
Normas de retención
3.1. Principio General de retención
En el caso de que, para cualquier categoría de documentos no definida específicamente en otra parte de esta Política (y en particular dentro del Programa de Retención de Datos) y a menos que la ley aplicable disponga lo contrario, el período de retención requerido para dicho documento se considerará de 10 años a partir de la fecha de creación del documento.
3.2. Programa General de Conservación
El Delegado de Protección de Datos define el período de tiempo durante el cual los documentos y registros electrónicos deben conservarse a través del Programa de Conservación de Datos.
Como exención, los períodos de retención dentro del Programa de Retención de Datos pueden prolongarse en casos como:
-
Investigaciones en curso de las autoridades de los Estados miembros, si existe la posibilidad de que la Empresa necesite registros de datos personales para demostrar el cumplimiento de cualquier requisito legal;o
-
Al ejercer derechos legales en casos de demandas judiciales o procedimientos judiciales similares reconocidos por la legislación local.
3.3. Protección de los Datos durante el Período de retención
Se considerará la posibilidad de que los soportes de datos utilizados para el archivo se desgasten. Si se eligen soportes de almacenamiento electrónico, también se almacenarán los procedimientos y sistemas que garanticen el acceso a la información durante el período de retención (tanto en lo que respecta al soporte de información como a la legibilidad de los formatos) para proteger la información contra pérdidas como consecuencia de cambios tecnológicos futuros. La responsabilidad del almacenamiento recae en el DPO.
3.4. Destrucción de datos
Por lo tanto, la Empresa y sus empleados deben revisar periódicamente todos los datos, ya sean almacenados electrónicamente en su dispositivo o en papel, para decidir si destruyen o eliminan cualquier dato una vez que el propósito para el que se crearon esos documentos ya no sea relevante. Consulte el apéndice para ver el calendario de retención. La responsabilidad general de la destrucción de los datos recae en el DPO.
Una vez que se haya tomado la decisión de eliminar de acuerdo con el Calendario de Conservación, los datos deben eliminarse, triturarse o destruirse de otro modo en un grado equivalente a su valor para los demás y a su nivel de confidencialidad. El método de eliminación varía y depende de la naturaleza del documento. Por ejemplo, cualquier documento que contenga información sensible o confidencial (y datos personales particularmente sensibles) debe eliminarse como desecho confidencial y estar sujeto a eliminación electrónica segura; algunos contratos vencidos o reemplazados solo pueden justificar la trituración interna. La sección del Programa de Eliminación de documentos que figura a continuación define el modo de eliminación.
En este contexto, el empleado realizará las tareas y asumirá las responsabilidades pertinentes para la destrucción de información de manera adecuada. El proceso específico de eliminación o destrucción podrá ser llevado a cabo por un empleado o por un proveedor de servicios interno o externo que el RPD subcontrate para este fin. Se cumplirán todas las disposiciones generales aplicables en virtud de las leyes de protección de datos pertinentes y la Política de Protección de Datos Personales de la Empresa.
Se establecerán controles adecuados que eviten la pérdida permanente de información esencial de la empresa como resultado de la destrucción maliciosa o no intencional de la información; estos controles se describen en las políticas de seguridad de la información.
El administrador de TI documentará y aprobará plenamente el proceso de destrucción. Se respetarán plenamente los requisitos legales aplicables para la destrucción de información, en particular los requisitos de las leyes de protección de datos aplicables.
3.5. Incumplimiento, Cumplimiento y Cumplimiento
La persona designada como responsable de la Protección de Datos DPO tiene la responsabilidad de garantizar que cada una de las oficinas de la Empresa cumpla con esta Política. También es responsabilidad del DPO ayudar a cualquier oficina local con las consultas de cualquier autoridad local de protección de datos o gubernamental.
Cualquier sospecha de incumplimiento de esta Política debe ser reportada inmediatamente al DPO Todos los casos de sospecha de incumplimiento de la Política deben ser investigados y se tomarán las medidas apropiadas.
El incumplimiento de esta Política puede tener consecuencias adversas, que incluyen, entre otras, pérdida de la confianza del cliente, litigios y pérdida de ventaja competitiva, pérdidas financieras y daños a la reputación de la Empresa, lesiones personales, daños o pérdidas. El incumplimiento de esta Política por parte de empleados permanentes, temporales o contratados, o de terceros, a quienes se les haya concedido acceso a los locales o la información de la Empresa, puede, por lo tanto, dar lugar a procedimientos disciplinarios o a la terminación de su empleo o contrato. Ese incumplimiento también puede dar lugar a acciones legales contra las partes involucradas en esas actividades.
Disposición de documentos
4.1. Cronograma de Eliminación rutinaria
Los registros que pueden destruirse rutinariamente a menos que estén sujetos a una investigación legal o reglamentaria en curso son los siguientes:
-
Anuncios y avisos de reuniones cotidianas y otros actos, incluidas las aceptaciones y las disculpas;
-
Solicitudes de información ordinaria, como direcciones de viaje;
-
Reservas para reuniones internas sin cargos ni costes externos;
-
Documentos de transmisión, como cartas, carátulas de fax, mensajes de correo electrónico, hojas de ruta, hojas de felicitación y artículos similares que acompañan a los documentos pero que no agregan valor;
-
Hojas de mensajes;
-
Lista de direcciones reemplazadas, listas de distribución, etc.;
-
Documentos duplicados, como copias CC y FYI, borradores sin alteraciones, impresiones de instantáneas o extractos de bases de datos y archivos diarios;
-
Almacenar publicaciones internas obsoletas o sustituidas, y
-
Revistas especializadas, catálogos de proveedores, folletos y boletines informativos de proveedores u otras organizaciones externas.
En todos los casos, la eliminación está sujeta a cualquier requisito de divulgación que pueda existir en el contexto de un litigio.
4.2. Método de destrucción
Los documentos de nivel I son aquellos que contienen información de la más alta seguridad y confidencialidad y aquellos que incluyen cualquier dato personal. Estos documentos se eliminarán como residuos confidenciales (triturados e incinerados) y estarán sujetos a eliminación electrónica segura. La eliminación de los documentos debe incluir pruebas de destrucción.
Los documentos de nivel II son documentos de propiedad que contienen información confidencial, como nombres, firmas y direcciones de las partes, o que podrían ser utilizados por terceros para cometer fraude, pero que no contienen datos personales. Los documentos deben ser cortados en tiras y luego colocados en contenedores de basura cerrados para su recolección por una empresa de eliminación aprobada, y los documentos electrónicos estarán sujetos a eliminación electrónica segura.
Los documentos de nivel III son aquellos que no contienen información confidencial o datos personales y son documentos de la Empresa publicados. Estos deben ser triturados en tiras o desechados a través de una empresa de reciclaje e incluyen, entre otras cosas, anuncios, catálogos, folletos y boletines informativos. Estos pueden eliminarse sin una pista de auditoría.
Gestión de los Registros mantenidos sobre la base de este Documento
Nombre de registro | Ubicación de almacenamiento | Persona responsable del almacenamiento | Controles para la protección de registros | Tiempo de retención |
---|---|---|---|---|
Horario de retención de datos | Área de almacenamiento de archivos privados del Delegado de Protección de Datos | DPO | Solo las personas autorizadas pueden acceder a este documento | de forma permanente |
Validez y gestión de documentos
Este documento es válido a partir del 10 de junio de 2018.
Versión 1.2
Apéndices
Apéndice-Programa de retención de datos
Categoría de registro de datos personales | Período de retención obligatorio | Propietario del registro |
---|---|---|
Registros de nómina | Siete años después de la auditoría | Departamento de Recursos Humanos |
Contratos con proveedores | Siete años después de la rescisión del contrato | Operaciones de venta |
Registros ERP / CRM | Del vencimiento del contrato | Ventas / Operaciones de ventas |
Registros PRO | 1 año después caducidad de la visa para copias electrónicas Inmediatamente después del uso previsto para copias en papel | PRO |
Registros de recursos humanos | Información sensible eliminada 1 año después de la terminación/renuncia, registro completo eliminado después de 7 años | Recursos humanos |