Politique de conservation des données

Objet, portée et Utilisateurs

Cette politique définit les périodes de conservation requises pour certaines catégories de données personnelles et définit les normes minimales à appliquer lors de la destruction de certaines informations au sein de Halian Holdings Ltd. (entreprise »).

Cette Politique s’applique à toutes les unités commerciales, processus et systèmes dans tous les pays dans lesquels la Société exerce des activités et a des relations commerciales ou d’autres relations commerciales avec des tiers.

Cette Politique s’applique à tous les dirigeants, administrateurs, employés, agents, affiliés, sous-traitants, consultants, conseillers ou fournisseurs de services de la Société susceptibles de collecter, traiter ou avoir accès à des données (y compris des données personnelles et / ou des données personnelles sensibles). Il est de la responsabilité de tous ceux qui précèdent de se familiariser avec cette Politique et d’en assurer le respect adéquat.

Cette politique s’applique à toutes les informations utilisées par l’Entreprise. Voici des exemples de documents ::

• E-Mails

• Documents imprimés

• Documents de copie électronique

• Vidéo et audio

• Données générées par les systèmes de contrôle d’accès physiques

Documents de Référence

• RGPD UE 2016/679 (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE)

• Personnel Politique de Protection des Données

Règles de rétention

3.1. Principe général de conservation

Dans le cas où, pour toute catégorie de documents non spécifiquement définie ailleurs dans la présente Politique (et notamment dans le Calendrier de Conservation des Données) et sauf disposition contraire de la loi applicable, la durée de conservation requise pour ce document sera réputée être de 10 ans à compter de la date de création du document.

3.2. Calendrier général de conservation

Le Délégué à la protection des données définit la période pendant laquelle les documents et les enregistrements électroniques doivent être conservés dans le cadre du Calendrier de conservation des données.

À titre d’exemption, les périodes de conservation dans le Calendrier de conservation des données peuvent être prolongées dans des cas tels que:

• Enquêtes en cours auprès des autorités des États membres, s’il est possible que l’Entreprise ait besoin d’enregistrements de données personnelles pour prouver le respect des exigences légales;ou

• Lors de l’exercice des droits légaux dans les cas de poursuites judiciaires ou de procédures judiciaires similaires reconnues par le droit local.

3.3. Protection des données pendant la Période de conservation

La possibilité que les supports de données utilisés pour l’archivage s’usent doit être envisagée. Si des supports de stockage électroniques sont choisis, les procédures et systèmes permettant d’accéder aux informations pendant la période de conservation (tant en ce qui concerne le support d’informations que la lisibilité des formats) doivent également être stockés afin de protéger les informations contre la perte résultant des changements technologiques futurs. La responsabilité du stockage incombe au DPO.

3.4. Destruction des données

L’Entreprise et ses employés devraient donc examiner régulièrement toutes les données, qu’elles soient conservées électroniquement sur leur appareil ou sur papier, pour décider de les détruire ou de les supprimer une fois que la finalité pour laquelle ces documents ont été créés n’est plus pertinente. Voir l’annexe pour le calendrier de conservation. La responsabilité globale de la destruction des données incombe au DPO.

Une fois que la décision est prise de disposer selon le calendrier de conservation, les données doivent être supprimées, déchiquetées ou détruites d’une autre manière à un degré équivalent à leur valeur pour les autres et à leur niveau de confidentialité. La méthode d’élimination varie et dépend de la nature du document. Par exemple, tout document contenant des informations sensibles ou confidentielles (et en particulier des données personnelles sensibles) doit être éliminé en tant que déchet confidentiel et faire l’objet d’une suppression électronique sécurisée; certains contrats expirés ou remplacés ne peuvent justifier qu’un déchiquetage interne. La section Calendrier d’élimination des documents ci-dessous définit le mode d’élimination.

Dans ce contexte, l’employé doit effectuer les tâches et assumer les responsabilités pertinentes pour la destruction des informations de manière appropriée. Le processus spécifique de suppression ou de destruction peut être effectué soit par un salarié, soit par un prestataire de services interne ou externe que DPO sous-traite à cet effet. Toutes les dispositions générales applicables en vertu des lois pertinentes sur la protection des données et de la Politique de protection des Données personnelles de la Société doivent être respectées.

Des contrôles appropriés doivent être mis en place pour prévenir la perte permanente d’informations essentielles de l’entreprise à la suite d’une destruction malveillante ou involontaire d’informations – ces contrôles sont décrits dans les politiques de sécurité de l’information.

Le responsable informatique doit entièrement documenter et approuver le processus de destruction. Les exigences légales applicables en matière de destruction d’informations, en particulier les exigences des lois applicables en matière de protection des données, doivent être pleinement respectées.

3.5. Violation, Application et Conformité

La personne désignée responsable de la Protection des données DPO a la responsabilité de s’assurer que chacun des bureaux de la Société respecte la présente Politique. Il est également de la responsabilité du DPO d’aider tout bureau local à répondre aux demandes de toute autorité locale en matière de protection des données ou de gouvernement.

Tout soupçon de violation de la présente Politique doit être signalé immédiatement au DPO Tous les cas de suspicion de violation de la Politique doivent faire l’objet d’une enquête et des mesures doivent être prises le cas échéant.

Le non-respect de la présente Politique peut entraîner des conséquences négatives, notamment, mais sans s’y limiter, une perte de confiance du client, des litiges et une perte d’avantage concurrentiel, des pertes financières et des dommages à la réputation de la Société, des blessures corporelles, des dommages ou des pertes. Le non-respect de la présente Politique par des employés permanents, temporaires ou contractuels, ou tout tiers, qui ont eu accès aux locaux ou aux informations de l’entreprise, peut donc entraîner une procédure disciplinaire ou la résiliation de leur emploi ou de leur contrat. Ce non-respect peut également entraîner des poursuites judiciaires contre les parties impliquées dans de telles activités.

Distribution du document

4.1. Calendrier d’élimination de routine

Les documents qui peuvent être détruits régulièrement à moins d’être soumis à une enquête légale ou réglementaire en cours sont les suivants:

• Annonces et avis de réunions quotidiennes et d’autres événements, y compris les acceptations et les excuses;

• Demandes d’informations ordinaires telles que les directions de voyage;

• Réservations pour des réunions internes sans frais / coûts externes;

• Documents de transmission tels que lettres, feuilles de couverture de télécopie, messages électroniques, bordereaux d’acheminement, bordereaux de compliments et articles similaires qui accompagnent les documents mais n’ajoutent aucune valeur;

• Feuillets de messages;

• Liste d’adresses remplacée, listes de distribution, etc.;

• Documents en double tels que des copies CC et FYI, des brouillons non modifiés, des impressions instantanées ou des extraits de bases de données et de fichiers journaliers;

• Stocker les publications internes qui sont obsolètes ou remplacées; et

• Magazines spécialisés, catalogues de fournisseurs, dépliants et bulletins d’information de fournisseurs ou d’autres organisations externes.

Dans tous les cas, la cession est soumise à toutes les exigences de divulgation qui peuvent exister dans le cadre d’un litige.

4.2. Méthode de destruction

Les documents de niveau I sont ceux qui contiennent des informations de la plus haute sécurité et confidentialité et ceux qui incluent des données personnelles. Ces documents doivent être éliminés en tant que déchets confidentiels (déchiquetés et incinérés) et doivent faire l’objet d’une suppression électronique sécurisée. L’élimination des documents doit inclure une preuve de destruction.

Les documents de niveau II sont des documents exclusifs qui contiennent des informations confidentielles telles que les noms, signatures et adresses des parties, ou qui pourraient être utilisés par des tiers pour commettre une fraude, mais qui ne contiennent aucune donnée personnelle. Les documents doivent être déchiquetés et ensuite placés dans des poubelles verrouillées pour être collectés par une entreprise d’élimination agréée, et les documents électroniques seront soumis à une suppression électronique sécurisée.

Les documents de niveau III sont ceux qui ne contiennent aucune information confidentielle ou donnée personnelle et sont des documents d’entreprise publiés. Ceux-ci doivent être déchiquetés ou éliminés par l’intermédiaire d’une entreprise de recyclage et comprennent, entre autres, des publicités, des catalogues, des dépliants et des bulletins d’information. Ceux-ci peuvent être éliminés sans piste de vérification.

Gestion des Registres Tenus sur la base de ce Document

Validité et gestion des documents

Ce document est valable à compter du 10 juin 2018.

Version 1.2

Annexes

Annexe – Calendrier de conservation des données