Finalidade, Âmbito de aplicação e Usuários
Esta diretiva define o exigido períodos de retenção para determinadas categorias de dados pessoais e estabelece as normas mínimas para ser aplicado quando destruir certas informações dentro de Halian Holdings Ltd. (empresa”).Esta política aplica-se a todas as unidades de Negócio, processos e sistemas em todos os países em que a empresa realiza negócios e tem relações comerciais ou outras relações comerciais com terceiros.Esta política aplica-se a todos os funcionários, diretores, empregados, agentes, afiliados, empreiteiros, consultores, consultores ou prestadores de serviços que possam recolher, processar ou ter acesso a dados (incluindo dados pessoais e / ou dados pessoais sensíveis). É da responsabilidade de tudo o que precede familiarizar-se com esta política e garantir o seu cumprimento adequado.Esta política aplica-se a todas as informações utilizadas na empresa. Exemplos de documentos incluem::
-
e-Mails
-
cópia de documentos
-
cópia de documentos
-
áudio e Vídeo
-
os Dados gerados por sistemas de controle de acesso físico
Documentos de Referência
-
UE GDPR 2016/679 (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à protecção das pessoas singulares no que respeita ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Directiva 95/46/CE)
-
Pessoal Política De Protecção De Dados
Regras De Referência
3.1. Princípio geral de conservação
no caso, para qualquer categoria de documentos não especificamente definida noutra parte desta política (e em especial no âmbito do calendário de conservação de dados) e salvo disposição em contrário da legislação aplicável, o período de conservação exigido para tal documento será considerado como sendo de 10 anos a contar da data de criação do documento.
3.2. O Calendário Geral de conservação
o responsável pela protecção de dados define o período durante o qual os documentos e os registos electrónicos devem ser conservados através do calendário de conservação de dados.Como derrogação ,os períodos de retenção dentro do calendário de retenção de dados podem ser prolongados em casos como::
-
investigações em curso por parte das autoridades dos Estados-Membros, caso a empresa necessite de registos aleatórios de dados pessoais para provar o cumprimento de quaisquer requisitos legais;ou
-
no exercício de direitos legais em processos judiciais ou processos judiciais similares reconhecidos de acordo com o direito local.
3.3. Deve ser considerada a salvaguarda dos dados durante o período de retenção
a possibilidade de os suportes de dados utilizados para o arquivamento se esgotarem. Se forem escolhidos suportes electrónicos de armazenamento, os procedimentos e sistemas que garantam o acesso à informação durante o período de conservação (tanto no que diz respeito ao suporte da informação como à legibilidade dos formatos) devem igualmente ser armazenados, a fim de salvaguardar a informação contra perdas em resultado de futuras alterações tecnológicas. A responsabilidade pelo armazenamento cabe ao EPD.
3.4. Destruição dos dados
a empresa e os seus empregados devem, por conseguinte, rever regularmente todos os dados, quer sejam armazenados electronicamente no seu dispositivo quer em papel, a fim de decidir se devem destruir ou eliminar quaisquer dados logo que a finalidade para a qual esses documentos foram criados deixe de ser relevante. Ver apêndice para o calendário de retenção. A responsabilidade global pela destruição dos dados cabe ao encarregado da protecção de dados.
uma vez tomada a decisão de eliminar de acordo com o calendário de conservação, os dados devem ser apagados, retalhados ou destruídos de qualquer outra forma, de forma equivalente ao seu valor para os outros e ao seu nível de confidencialidade. O método de eliminação varia e depende da natureza do documento. Por exemplo, quaisquer documentos que contenham informações sensíveis ou confidenciais (e dados pessoais particularmente sensíveis) devem ser eliminados como resíduos confidenciais e sujeitos a eliminação electrónica segura; alguns contratos caducados ou substituídos só podem justificar a destruição interna. A secção abaixo do calendário de eliminação de documentos define o modo de eliminação.Neste contexto, o trabalhador deve desempenhar as tarefas e assumir as responsabilidades relevantes para a destruição da informação de forma adequada. O processo específico de eliminação ou destruição pode ser realizado por um empregado ou por um prestador de serviços interno ou externo que o EPD subcontrate para o efeito. Devem ser respeitadas todas as disposições gerais aplicáveis ao abrigo da legislação aplicável em matéria de protecção de dados e da Política de protecção de Dados Pessoais da empresa.Devem existir controlos adequados que evitem a perda permanente de informações essenciais da empresa em resultado da destruição maliciosa ou não intencional de informações – estes controlos são descritos nas políticas de segurança da informação.
o Gestor de TI deve documentar e aprovar integralmente o processo de destruição. Devem ser plenamente respeitados os requisitos legais aplicáveis à destruição de informações, nomeadamente os requisitos previstos na legislação aplicável em matéria de protecção de dados.
3.5. Violação, execução e cumprimento
a pessoa nomeada responsável pela protecção de dados DPO tem a responsabilidade de garantir que cada um dos escritórios da empresa cumpre esta política. É também da responsabilidade do encarregado da protecção de dados prestar assistência a qualquer serviço local em caso de pedidos de informação por parte de qualquer autoridade local responsável pela protecção de dados ou governamental.Qualquer suspeita de violação desta política deve ser imediatamente comunicada ao RPD.todos os casos de suspeita de violação da Política devem ser investigados e tomadas as medidas adequadas.
o não cumprimento desta política pode resultar em consequências adversas, incluindo, mas não se limitando a, perda de confiança do cliente, litígio e perda de vantagem competitiva, perda financeira e danos à reputação da empresa, lesão pessoal, dano ou perda. O incumprimento desta Política por parte dos trabalhadores permanentes, temporários ou contratuais, ou de terceiros, a quem tenha sido concedido acesso às instalações ou informações da empresa, pode, por conseguinte, resultar em processos disciplinares ou rescisão do seu contrato ou emprego. Esse incumprimento pode igualmente conduzir a uma acção judicial contra as partes envolvidas nessas actividades.
DocumentDisposal
4.1. Rotina de Eliminação de Programação
Registros que podem ser rotineiramente destruídos, a não ser sujeito a um legais ou regulamentares inquérito são como segue:
-
Anúncios e avisos do dia-a-dia de reuniões e outros eventos, incluindo recursos de aceites e desculpas;
-
Pedidos de informação comum, tais como instruções de viagem;
-
Reservas para reuniões internas, sem encargos / custos externos;
-
a Transmissão de documentos, tais como cartas, folhas de rosto de fax, e-mail, o encaminhamento de boleto elogios deslizamentos e itens semelhantes que acompanham os documentos, mas não adicione qualquer valor;
-
Mensagem de deslizamentos;
-
Substituída lista de endereços, listas de distribuição, etc.;
-
documentos duplicados, tais como cópias CC e FYI, rascunhos não alterados, impressões instantâneas ou extractos de bases de dados e ficheiros diários;
-
existências internas de publicações obsoletas ou substituídas; e
-
revistas comerciais, catálogos de vendedores, panfletos e boletins de vendedores ou outras organizações externas.
em todos os casos, a alienação está sujeita a quaisquer requisitos de divulgação que possam existir no contexto de litígios.
4.2. O método de destruição
documentos de Nível I são aqueles que contêm informações de máxima segurança e confidencialidade e aqueles que incluem quaisquer dados pessoais. Estes documentos devem ser eliminados como resíduos confidenciais (retalhados e incinerados) e sujeitos a eliminação electrónica segura. A eliminação dos documentos deve incluir provas de destruição.
os documentos de Nível II são documentos de propriedade que contêm informações confidenciais, tais como nomes, assinaturas e endereços das partes, ou que podem ser utilizados por terceiros para cometer fraude, mas que não contêm quaisquer dados pessoais. Os documentos devem ser triturados e, em seguida, colocados em contentores de lixo fechados para recolha por uma empresa de eliminação aprovada, e os documentos electrónicos serão sujeitos a eliminação electrónica segura.Os documentos de Nível III são aqueles que não contêm quaisquer informações confidenciais ou dados pessoais e que são documentos da empresa publicados. Estas devem ser trituradas ou eliminadas através de uma empresa de reciclagem e incluir, entre outras coisas, anúncios, catálogos, folhetos e boletins informativos. Estes podem ser eliminados sem uma pista de auditoria.
Gerenciamento de Registros Mantidos na Base deste Documento
| nome de Registo | local de Armazenamento | Pessoa responsável pelo armazenamento | Controles para a proteção de registro | tempo de Retenção |
|---|---|---|---|---|
| Retenção de dados de Agenda | responsável pela Proteção de Dados privados de arquivo de área de armazenamento | DPO | Somente pessoas autorizadas podem acessar este documento | Permanentemente |
Validade e gestão de documentos
Este documento é válido como de 10 de junho de 2018.
Version 1.2
Anexos
Apêndice – Dados da tabela de Retenção
| dados Pessoais categoria de registro | Mandatado período de retenção | o proprietário do Registro |
|---|---|---|
| registros de Folha de pagamento | Sete anos após a auditoria | departamento de RH |
| A contratação de fornecedores | Sete anos após a rescisão do contrato de | Operações de Vendas |
| ERP/CRM Registros | a Partir da expiração do contrato | Vendas / Vendas Ops |
| PRO Registros | 1 anos depois validade do visto para cópias electrónicas imediatamente após a utilização prevista para cópias em papel | PRO |
| informações sensíveis eliminadas 1 ano após a cessação/demissão, registo completo suprimido após 7 anos | HR |