syfte, omfattning och användare
denna policy anger de nödvändiga lagringsperioderna för specificerade kategorier av personuppgifter och anger de miniminormer som ska tillämpas vid förstöring av viss information inom Halian Holdings Ltd. (företag”).
denna Policy gäller för alla affärsenheter, processer och system i alla länder där företaget bedriver verksamhet och har affärer eller andra affärsrelationer med tredje part.
denna Policy gäller för alla företagsledare, styrelseledamöter, anställda, agenter, dotterbolag, entreprenörer, konsulter, rådgivare eller tjänsteleverantörer som kan samla in, bearbeta eller ha tillgång till data (inklusive personuppgifter och / eller känsliga personuppgifter). Det åligger alla ovanstående att bekanta sig med denna Policy och säkerställa adekvat efterlevnad av den.
denna policy gäller all information som används på företaget. Exempel på dokument är:
-
e-post
-
papperskopia dokument
-
mjuka Kopiera dokument
-
Video och ljud
-
data som genereras av fysiska åtkomstkontrollsystem
referensdokument
-
EU GDPR 2016/679 (Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 April 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46 / EG)
-
personlig Dataskyddspolicy
Retentionregler
3, 1. Retention allmän princip
i händelse av att för någon kategori av dokument som inte specifikt definieras någon annanstans i denna Policy (och i synnerhet inom Datalagringsplanen) och om inte annat föreskrivs annorlunda enligt tillämplig lag, kommer den erforderliga lagringsperioden för sådant dokument att anses vara 10 år från dagen för skapandet av dokumentet.
3.2. Retention General Schedule
Data Protection Officer definierar den tidsperiod för vilken dokumenten och elektroniska register ska behållas genom Datalagringsplanen.
som undantag kan lagringsperioder inom Datalagringsplanen förlängas i fall som:
-
pågående utredningar från medlemsstaternas myndigheter, om det finns en chans att register över personuppgifter behövs av företaget för att bevisa att eventuella rättsliga krav uppfylls;eller
-
vid utövande av lagliga rättigheter i fall av lag eller liknande domstolsförfarande som erkänns enligt lokal lag.
3.3. Skydd av Data under lagringsperioden
möjligheten att datamedia som används för arkivering slits ut ska beaktas. Om elektroniska lagringsmedier väljs ska alla förfaranden och system som säkerställer att informationen kan nås under lagringsperioden (både med avseende på informationsbäraren och formatens läsbarhet) också lagras för att skydda informationen mot förlust till följd av framtida tekniska förändringar. Ansvaret för lagringen faller på DPO.
3.4. Förstöring av Data
företaget och dess anställda bör därför regelbundet granska alla data, oavsett om de hålls elektroniskt på sin enhet eller på papper, för att besluta om de ska förstöra eller radera data när det syfte för vilket dessa dokument skapades inte längre är relevant. Se bilaga för retentionsschemat. Det övergripande ansvaret för förstörelse av data faller på DPO.
när beslutet har fattats att avyttra enligt Lagringsschemat bör uppgifterna raderas, strimlas eller på annat sätt förstöras i en grad som motsvarar deras värde för andra och deras konfidentialitetsnivå. Metoden för bortskaffande varierar och beror på dokumentets Art. Till exempel måste alla dokument som innehåller känslig eller konfidentiell information (och särskilt känsliga personuppgifter) kasseras som konfidentiellt avfall och vara föremål för säker elektronisk radering; vissa utgångna eller ersatta kontrakt kan endast motivera intern fragmentering. I avsnittet om bortskaffande av dokument nedan definieras bortskaffningsmetoden.
i detta sammanhang ska arbetstagaren utföra uppgifterna och påta sig det ansvar som är relevant för informationsförstöringen på ett lämpligt sätt. Den specifika raderings-eller förstöringsprocessen kan utföras antingen av en anställd eller av en intern eller extern tjänsteleverantör som DPO underleverantörer för detta ändamål. Alla tillämpliga allmänna bestämmelser enligt relevanta dataskyddslagar och företagets personuppgiftspolicy ska följas.
lämpliga kontroller ska finnas på plats som förhindrar permanent förlust av väsentlig information om företaget till följd av skadlig eller oavsiktlig förstörelse av information – dessa kontroller beskrivs i informationssäkerhetspolicyer.
IT-chefen ska fullständigt dokumentera och godkänna förstöringsprocessen. De tillämpliga lagstadgade kraven för förstörelse av information, särskilt krav enligt gällande dataskyddslagar, ska följas fullt ut.
3.5. Brott, verkställighet och efterlevnad
den person som utsetts med ansvar för dataskydd DPO har ansvaret för att säkerställa att var och en av företagets kontor följer denna Policy. Det är också DPO: s ansvar att hjälpa alla lokala kontor med förfrågningar från alla lokala dataskydd eller statliga myndigheter.
varje misstanke om brott mot denna Policy måste omedelbart rapporteras till DPO alla fall av misstänkta brott mot policyn ska undersökas och åtgärder vidtas vid behov.
underlåtenhet att följa denna Policy kan leda till negativa konsekvenser, inklusive men inte begränsat till förlust av kundförtroende, tvister och förlust av konkurrensfördelar, ekonomisk förlust och skada på företagets rykte, personskada, skada eller förlust. Bristande efterlevnad av denna Policy av permanenta, tillfälliga eller kontraktsanställda, eller tredje part, som har fått tillgång till företagets lokaler eller information, kan därför leda till disciplinära förfaranden eller uppsägning av deras anställning eller kontrakt. Sådan bristande efterlevnad kan också leda till rättsliga åtgärder mot de parter som är involverade i sådan verksamhet.
Dokumentbortfall
4, 1. Rutinmässigt Bortskaffningsschema
poster som rutinmässigt kan förstöras om de inte är föremål för en pågående juridisk eller lagstadgad utredning är följande:
-
meddelanden och meddelanden om dagliga möten och andra evenemang inklusive accepter och ursäkter;
-
begäran om vanlig information såsom vägbeskrivningar;
-
bokningar för interna möten utan avgifter / externa kostnader;
-
Överföringsdokument som brev, faxomslag, e-postmeddelanden, routing-slipsar, komplimang-slipsar och liknande föremål som åtföljer dokument men inte tillför något värde;
-
meddelande glider;
-
ersatta adresslista, distributionslistor etc.;
-
duplicera dokument som CC-och FYI-kopior, oförändrade utkast, snapshot-utskrifter eller utdrag från databaser och dagfiler;
-
lagra interna publikationer som är föråldrade eller ersatta, och
-
facktidskrifter, leverantörskataloger, flygblad och nyhetsbrev från leverantörer eller andra externa organisationer.
i samtliga fall är avyttring föremål för eventuella krav på offentliggörande som kan finnas i samband med tvister.
4.2. Destruktionsmetod
nivå i-dokument är de som innehåller information som är av högsta säkerhet och konfidentialitet och de som innehåller personuppgifter. Dessa dokument ska bortskaffas som konfidentiellt avfall (tvärskuren strimlad och förbränd) och ska vara föremål för säker elektronisk radering. Bortskaffande av dokumenten bör innehålla bevis på förstörelse.
nivå II-dokument är proprietära dokument som innehåller konfidentiell information som parters namn, signaturer och adresser, eller som kan användas av tredje part för att begå bedrägeri, men som inte innehåller några personuppgifter. Dokumenten ska vara tvärgående strimlad och sedan placeras i låsta soptunnor för insamling av ett godkänt bortskaffningsföretag, och elektroniska dokument kommer att bli föremål för säker elektronisk radering.
Nivå III-dokument är de som inte innehåller någon konfidentiell information eller personuppgifter och är publicerade företagsdokument. Dessa bör strimlas eller kasseras genom ett återvinningsföretag och inkluderar bland annat annonser, kataloger, flygblad och nyhetsbrev. Dessa kan bortskaffas utan verifieringskedja.
hantera register som hålls på grundval av detta dokument
| postnamn | lagringsplats | ansvarig för lagring | kontroller för rekordskydd | Lagringstid |
|---|---|---|---|---|
| Datalagringsschema | Dataskyddsombudets privata fillagringsområde | DPO | endast behöriga personer kan komma åt detta dokument | permanent |
giltighet och dokumenthantering
detta dokument är giltigt från 10-juni-2018.
Version 1.2
bilagor
bilaga – Datalagringsschema
| kategori för personuppgifter | Mandaterad lagringsperiod | rekordägare |
|---|---|---|
| löneposter | sju år efter revision | HR-avdelningen |
| leverantörsavtal | sju år efter att kontraktet har avslutats | försäljningsverksamhet |
| ERP / CRM poster | från kontraktets utgång | försäljning / försäljning Ops |
| Pro poster | 1 år efter visa utgångsdatum för elektroniska kopior omedelbart efter avsedd användning för papperskopior | PRO |
| HR-poster | känslig information raderad 1 år efter uppsägning/avgång, fullständig post raderad efter 7 år | HR |