Polityka przechowywania danych

cel, zakres i Użytkownicy

niniejsza polityka określa wymagane okresy przechowywania określonych kategorii danych osobowych i określa minimalne standardy, które należy stosować przy niszczeniu niektórych informacji w firmie Halian Holdings Ltd. („Spółka”).

niniejsza Polityka dotyczy wszystkich jednostek biznesowych, procesów i systemów we wszystkich krajach, w których firma prowadzi działalność i ma kontakty lub inne relacje biznesowe z osobami trzecimi.

niniejsza Polityka dotyczy wszystkich dyrektorów, dyrektorów, pracowników, agentów, podmiotów stowarzyszonych, wykonawców, konsultantów, doradców lub usługodawców, którzy mogą gromadzić, przetwarzać lub mieć dostęp do danych (w tym danych osobowych i / lub wrażliwych danych osobowych). Obowiązkiem wszystkich powyższych osób jest zapoznanie się z niniejszą polityką i zapewnienie jej odpowiedniego przestrzegania.

niniejsza polityka dotyczy wszystkich informacji wykorzystywanych w firmie. Przykładowe dokumenty to:

  • e-maile

  • dokumenty w wersji papierowej

  • dokumenty z miękką kopią

  • wideo i audio

  • dane generowane przez fizyczne systemy kontroli dostępu

dokumenty referencyjne

  • UE RODO 2016/679 (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE)

  • osobiste Polityka Ochrony Danych

Zasady Retencji

3.1. Ogólna zasada przechowywania

w przypadku, gdy dla każdej kategorii dokumentów, które nie zostały wyraźnie określone w innych miejscach niniejszej polityki (w szczególności w ramach harmonogramu przechowywania danych) i o ile obowiązujące prawo nie stanowi inaczej, wymagany okres przechowywania takiego dokumentu będzie uważany za 10 lat od daty jego utworzenia.

3.2. Ogólny harmonogram przechowywania danych

Inspektor Ochrony Danych określa okres, przez jaki dokumenty i zapisy elektroniczne powinny być przechowywane w ramach harmonogramu przechowywania danych.

jako wyjątek okresy przechowywania danych w ramach harmonogramu przechowywania danych mogą zostać przedłużone w takich przypadkach, jak:

  • trwające dochodzenia ze strony organów państw członkowskich, jeśli istnieje szansa, że firma potrzebuje danych osobowych, aby udowodnić zgodność z wymogami prawnymi;lub

  • podczas wykonywania uprawnień w sprawach pozwów sądowych lub podobnych postępowań sądowych uznanych na mocy prawa lokalnego.

3.3. Ochrona danych w okresie przechowywania

rozważa się możliwość zużycia nośników danych wykorzystywanych do archiwizacji. W przypadku wyboru elektronicznych nośników danych przechowywane są również wszelkie procedury i systemy zapewniające dostęp do informacji w okresie przechowywania (zarówno w odniesieniu do nośnika informacji, jak i czytelności formatów) w celu zabezpieczenia informacji przed utratą w wyniku przyszłych zmian technologicznych. Odpowiedzialność za przechowywanie spada na IOD.

3.4. Niszczenie danych

Firma i jej pracownicy powinni zatem regularnie sprawdzać wszystkie dane, przechowywane elektronicznie na ich urządzeniu lub na papierze, w celu podjęcia decyzji o zniszczeniu lub usunięciu jakichkolwiek danych, gdy cel, dla którego te dokumenty zostały utworzone, nie jest już istotny. Zob. załącznik do harmonogramu zatrzymywania. Ogólna odpowiedzialność za zniszczenie danych spoczywa na IOD.

po podjęciu decyzji o usunięciu zgodnie z harmonogramem przechowywania DANE powinny zostać usunięte, zniszczone lub w inny sposób zniszczone w stopniu równoważnym ich wartości dla innych i ich poziomowi poufności. Sposób utylizacji jest różny i zależy od charakteru dokumentu. Na przykład wszelkie dokumenty zawierające wrażliwe lub poufne informacje (a zwłaszcza wrażliwe dane osobowe) muszą być usuwane jako poufne odpady i podlegać bezpiecznemu usunięciu elektronicznemu; niektóre wygasłe lub zastąpione umowy mogą tylko gwarantować niszczenie wewnętrzne. Poniższa sekcja harmonogramu usuwania dokumentów określa sposób usuwania.

w tym kontekście pracownik wykonuje w odpowiedni sposób zadania i ponosi odpowiedzialność za niszczenie informacji. Konkretny proces usuwania lub niszczenia może być przeprowadzony przez pracownika lub przez wewnętrznego lub zewnętrznego dostawcę usług, który IOD zleca podwykonawcom w tym celu. Przestrzegane są wszelkie obowiązujące przepisy ogólne wynikające z odpowiednich przepisów o ochronie danych osobowych i Polityki Ochrony Danych Osobowych spółki.

stosuje się odpowiednie kontrole, które zapobiegają trwałej utracie istotnych informacji Spółki w wyniku złośliwego lub niezamierzonego zniszczenia informacji – kontrole te są opisane w polityce bezpieczeństwa informacji.

Kierownik IT w pełni dokumentuje i zatwierdza proces niszczenia. Należy w pełni przestrzegać obowiązujących wymogów ustawowych dotyczących niszczenia informacji, w szczególności wymogów wynikających z obowiązujących przepisów o ochronie danych.

3.5. Naruszenie, egzekwowanie i zgodność

osoba wyznaczona do odpowiedzialności za ochronę danych osobowych ma obowiązek zapewnić, że każde biuro spółki przestrzega niniejszej Polityki. Obowiązkiem Inspektora Ochrony Danych jest również udzielanie pomocy lokalnym urzędom w zakresie zapytań od lokalnych organów ochrony danych lub organów rządowych.

każde podejrzenie naruszenia niniejszej Polityki musi zostać niezwłocznie zgłoszone Inspektorowi Ochrony Danych wszystkie przypadki podejrzenia naruszenia Polityki zostaną zbadane i podjęte odpowiednie działania.

nieprzestrzeganie tej polityki może skutkować niekorzystnymi konsekwencjami, w tym, ale nie wyłącznie, utratą zaufania klientów, sporami sądowymi i utratą przewagi konkurencyjnej, stratą finansową i uszkodzeniem reputacji firmy, obrażeniami ciała, szkodami lub stratami. Nieprzestrzeganie niniejszej Polityki przez pracowników stałych, tymczasowych lub kontraktowych lub osoby trzecie, którym przyznano dostęp do pomieszczeń firmy lub informacji, może zatem skutkować postępowaniem dyscyplinarnym lub rozwiązaniem umowy o pracę lub umowy. Takie nieprzestrzeganie może również prowadzić do podjęcia kroków prawnych przeciwko stronom zaangażowanym w takie działania.

DocumentDisposal

4.1. Rutynowy harmonogram usuwania

zapisy, które mogą być rutynowo niszczone, chyba że podlegają bieżącemu dochodzeniu prawnemu lub regulacyjnemu, są następujące:

  • ogłoszenia i zawiadomienia o bieżących spotkaniach i innych imprezach, w tym przyjęcia i przeprosiny;

  • wnioski o zwykłe informacje, takie jak wskazówki dojazdu;

  • rezerwacje na posiedzenia wewnętrzne bez opłat / koszty zewnętrzne;

  • dokumenty przesyłania, takie jak listy, arkusze okładek faksu, wiadomości e-mail, poślizgi routingu, poślizgi komplementów i podobne elementy, które towarzyszą dokumentom, ale nie dodają żadnej wartości;

  • slips wiadomości;

  • zastąpiona lista adresowa, listy dystrybucyjne itp.;

  • duplikaty dokumentów, takie jak kopie CC i FYI, niezmienione wersje robocze, wydruki migawkowe lub wyciągi z baz danych i plików dziennych;

  • Stock in-house publications, które są przestarzałe lub zastąpione; oraz

  • czasopisma branżowe, katalogi dostawców, ulotki i biuletyny od dostawców lub innych organizacji zewnętrznych.

we wszystkich przypadkach zbycie podlega wszelkim wymogom ujawnienia, które mogą istnieć w kontekście sporu sądowego.

4.2. Metoda niszczenia

dokumenty poziomu i to te, które zawierają informacje o najwyższym bezpieczeństwie i poufności oraz te, które zawierają wszelkie dane osobowe. Dokumenty te są usuwane jako poufne odpady (rozdrobnione i spalone) i podlegają bezpiecznemu usunięciu elektronicznemu. Dysponowanie dokumentami powinno zawierać dowód zniszczenia.

dokumenty poziomu II są dokumentami zastrzeżonymi, które zawierają poufne informacje, takie jak nazwiska, podpisy i adresy stron lub które mogą być wykorzystane przez strony trzecie do popełnienia oszustwa, ale nie zawierają żadnych danych osobowych. Dokumenty powinny być przekrojone, a następnie umieszczone w zamkniętych pojemnikach na śmieci do odbioru przez zatwierdzoną firmę utylizacyjną, a dokumenty elektroniczne będą podlegać bezpiecznemu usunięciu elektronicznemu.

dokumenty poziomu III to te, które nie zawierają żadnych informacji poufnych ani danych osobowych i są publikowanymi dokumentami firmowymi. Należy je rozdrabniać lub usuwać za pośrednictwem firmy recyklingowej i obejmować między innymi reklamy, katalogi, ulotki i biuletyny. Mogą one zostać usunięte bez ścieżki audytu.

Zarządzanie Dokumentacją prowadzoną na podstawie tego dokumentu

Nazwa rekordu miejsce przechowywania osoba odpowiedzialna za przechowywanie Kontrola ochrony rekordu czas przechowywania
harmonogram przechowywania danych prywatny obszar przechowywania plików Inspektora Ochrony Danych IOD tylko upoważnione osoby mogą uzyskać stały dostęp do tego dokumentu

ważność i zarządzanie dokumentami

ten dokument jest ważny od 10-czerwiec-2018.

Wersja 1.2

załączniki

Załącznik-harmonogram przechowywania danych

Kategoria rekordu danych osobowych obowiązany okres przechowywania właściciel rekordu
ewidencja płac siedem lat po kontroli dział HR
umowy z dostawcami siedem lat po rozwiązaniu umowy operacje sprzedaży
ewidencja ERP/CRM od wygaśnięcia umowy Sprzedaż / Sprzedaż Ops
PRO Records 1 rok po wygaśnięcie wizy dla kopii elektronicznych natychmiast po zamierzonym użyciu dla kopii papierowych PRO
rekordy HR dane wrażliwe usunięte 1 rok po rozwiązaniu / rezygnacji, pełny rekord usunięty po 7 latach HR

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

More: