Gegevensbewaarbeleid
1. Inleiding
Dit beleid beschrijft de verplichtingen van Sunglasses2U, van 39-43 Monument Hill, Belgrave House, Weybridge, KT13 8RN ("het bedrijf") met betrekking tot het bewaren van persoonlijke gegevens die zijn verzameld, bewaard en verwerkt door het bedrijf in overeenstemming met EU-verordening 2016 / 679 Algemene verordening gegevensbescherming ("GDPR").
De GDPR definieert "persoonlijke gegevens" als alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (een "gegevenssubject"). Een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.
De GDPR behandelt ook persoonlijke gegevens "speciale categorie" (ook bekend als "gevoelige" persoonlijke gegevens). Dergelijke gegevens omvatten, maar zijn niet noodzakelijkerwijs beperkt tot, gegevens over ras, etniciteit, politiek, religie, vakbondslidmaatschap, genetica, biometrie (indien gebruikt voor ID-doeleinden), gezondheid, seksleven of seksuele geaardheid van de betrokkene.
Op grond van de AVGB worden persoonsgegevens niet langer bewaard in een vorm die het mogelijk maakt om betrokkenen te identificeren dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. In bepaalde gevallen kunnen persoonsgegevens gedurende langere perioden worden opgeslagen wanneer die gegevens moeten worden verwerkt voor archiveringsdoeleinden die in het algemeen belang zijn, voor wetenschappelijk of historisch onderzoek, of voor statistische doeleinden (afhankelijk van de implementatie van de passende technische en organisatorische doeleinden). maatregelen die de GDPR vereist om die gegevens te beschermen).
Bovendien omvat de GDPR het recht om te wissen of "het recht om te worden vergeten". Betrokkenen hebben het recht om hun persoonlijke gegevens te laten wissen (en om de verwerking van die persoonlijke gegevens te voorkomen) in de volgende omstandigheden:
- Wanneer de persoonlijke gegevens niet langer nodig zijn voor het doel waarvoor ze oorspronkelijk zijn verzameld of verwerkt (zie hierboven);
- Wanneer de betrokkene zijn toestemming intrekt;
- Wanneer de betrokkene bezwaar maakt tegen de verwerking van zijn persoonsgegevens en de Vennootschap geen doorslaggevend gerechtvaardigd belang heeft;
- Wanneer de persoonsgegevens onrechtmatig worden verwerkt (dwz in strijd met de AVG);
- Wanneer de persoonlijke gegevens moeten worden gewist om te voldoen aan een wettelijke verplichting; of
- Waar de persoonsgegevens worden verwerkt voor het leveren van diensten van de informatiemaatschappij aan een kind.
Dit beleid beschrijft het (de) soort (en) persoonlijke gegevens in het bezit van het bedrijf, de periode (n) waarvoor die persoonlijke gegevens moeten worden bewaard, en wanneer en hoe het moet worden verwijderd of op andere wijze wordt verwijderd.
Raadpleeg het gegevensbeschermingsbeleid van het bedrijf voor meer informatie over andere aspecten van gegevensbescherming en naleving van de GDPR.
2.1 Het primaire doel van dit beleid is om limieten vast te stellen voor het bewaren van persoonlijke gegevens en om ervoor te zorgen dat die limieten, evenals de verdere rechten van gegevensgebruikers om te wissen, worden nageleefd. Bij uitbreiding beoogt dit beleid ervoor te zorgen dat het bedrijf volledig voldoet aan zijn verplichtingen en de rechten van betrokkenen onder de AVG.
2.2 Naast het beschermen van de rechten van betrokkenen onder de AVG, door ervoor te zorgen dat buitensporige hoeveelheden gegevens niet door het Bedrijf worden bewaard, is dit Beleid ook bedoeld om de snelheid en efficiëntie van het beheren van gegevens te verbeteren.
3.1 Dit beleid is van toepassing op alle persoonlijke gegevens van het bedrijf en van externe gegevensverwerkers die namens het bedrijf persoonsgegevens verwerken.
3.2 Persoonlijke gegevens, zoals deze door het Bedrijf worden bewaard, worden op de volgende manieren en op de volgende locaties opgeslagen:
- De servers van het bedrijf zijn gevestigd in het bedrijfspand op Unit 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ;
- Servers van derden die namens ons worden beheerd;
- De computers van het Bedrijf bevinden zich permanent in het bedrijfspand op Unit 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ;
- Laptopcomputers en andere mobiele apparaten die door het Bedrijf aan zijn werknemers worden verstrekt;
- Computers en mobiele apparaten die eigendom zijn van werknemers, agenten en onderaannemers en die worden gebruikt in overeenstemming met het Beleid van Bring Your Own Device (BYOD) van het bedrijf;
- Fysieke gegevens die zijn opgeslagen in het bedrijfspand op Unit 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ.
Alle persoonlijke gegevens van het bedrijf worden bewaard in overeenstemming met de vereisten van de GDPR en de rechten van betrokkenen daaronder, zoals uiteengezet in het gegevensbeschermingsbeleid van het bedrijf.
4.1 Betrokkenen worden volledig op de hoogte gehouden van hun rechten, van welke persoonlijke gegevens het Bedrijf over hen bewaart, hoe die persoonlijke gegevens worden gebruikt en hoe lang het Bedrijf die persoonlijke gegevens zal bewaren (of, als geen vaste bewaartermijn kan worden bepaald, de criteria waarmee de bewaring van de gegevens zal worden bepaald).
4.2 De betrokkenen krijgen controle over hun persoonlijke gegevens die het bedrijf in bezit heeft, inclusief het recht om onjuiste gegevens te laten corrigeren, het recht om te verzoeken dat hun persoonlijke gegevens worden verwijderd of op andere wijze worden verwijderd (niettegenstaande de bewaartermijnen die anders zijn vastgelegd in dit beleid voor gegevensbewaring) , het recht om het gebruik van hun persoonlijke gegevens door het bedrijf te beperken, en verdere rechten met betrekking tot geautomatiseerde besluitvorming en profilering.
Na het verstrijken van de bewaartermijnen voor gegevens die hieronder in Deel 6 van dit beleid zijn uiteengezet, of wanneer een betrokkene gebruik maakt van zijn recht om zijn persoonsgegevens te laten wissen, worden persoonsgegevens als volgt verwijderd, vernietigd of anderszins verwijderd:
5.1 Persoonlijke gegevens die elektronisch worden opgeslagen (inclusief alle back-ups daarvan) worden verwijderd;
5.2 Persoonlijke gegevens die zijn opgeslagen op papieren formulier zullen worden versnipperd.
6.1 Zoals hierboven vermeld, en zoals vereist door de wet, zal het bedrijf geen persoonlijke gegevens bewaren voor langer dan noodzakelijk is in het licht van het doel / de doeleinden waarvoor die gegevens worden verzameld, bewaard en verwerkt.
6.2 Verschillende soorten persoonlijke gegevens, die voor verschillende doeleinden worden gebruikt, zullen noodzakelijkerwijs worden bewaard voor verschillende perioden (en de retentie ervan wordt periodiek beoordeeld), zoals hieronder uiteengezet.
6.3 Bij het vaststellen en / of beoordelen van bewaartermijnen, moet het volgende in aanmerking worden genomen:
- De doelstellingen en vereisten van het bedrijf;
- Het type persoonlijke gegevens in kwestie;
- Het doel (de doelen) waarvoor de betreffende gegevens worden verzameld, bewaard en verwerkt;
- De wettelijke basis van het bedrijf voor het verzamelen, vasthouden en verwerken van die gegevens;
- De categorie of categorieën gegevenssubjecten waarop de gegevens betrekking hebben.
6.4 Indien een precieze bewaringstermijn niet voor een bepaald type gegevens kan worden vastgesteld, worden er criteria vastgesteld waarmee de bewaring van de gegevens wordt bepaald, waardoor wordt gewaarborgd dat de betreffende gegevens en de bewaring van die gegevens regelmatig kunnen worden getoetst tegen die criteria.
6.5 Niettegenstaande de volgende vastgestelde bewaartermijnen, kunnen bepaalde persoonlijke gegevens worden verwijderd of op andere wijze worden verwijderd vóór het verstrijken van de gedefinieerde bewaringstermijn wanneer een beslissing binnen de Vennootschap wordt genomen om dit te doen (hetzij in antwoord op een verzoek van een betrokkene of anders).
| Type gegevens | Doel van gegevens | Bewaartermijn |
|---|---|---|
| Bedrijfsrecords | Certificaat van oprichting, aandeelbewijzen, enz | blijvend |
| Overeenkomsten | Alle contracten met: klanten, leveranciers, agenten | 10 jaar na afloop |
| Overeenkomsten | Licentieovereenkomsten | 10 jaar na afloop |
| Overeenkomsten | Verhuur & huurkoop | 10 jaar na afloop |
| Overeenkomsten | Vrijwaringen en garanties | 10 jaar na afloop |
| Overeenkomsten | Elke andere overeenkomst of contract | 10 jaar na afloop |
| Eigendomsrecords | Akte van eigendom | Tot verkocht of overgedragen |
| Eigendomsrecords | leases | 12yrs na beëindiging & eventuele terminalvragen (bijv. Dilapidations) zijn na voltooiing afgerond 6yrs |
| Eigendomsrecords | Overeenkomsten met architecten, bouwers | 6jr na voltooiing |
| Eigendomsrecords | Verslagen en meningen | 10jr na correspondentie |
| Pensioenregisters | Alle vertrouwenwekkende daden en regels | Permanent of, indien samengevoegd met een ander fonds, 12 jaar na samenvoeging |
| Pensioenregisters | Accounts & ondersteunende documenten | 6jr vanaf datum rekeningen ondertekend |
| Pensioenregisters | Inland Revenue-goedkeuringen | Permanent of, indien samengevoegd met een ander fonds, 12 jaar na samenvoeging |
| Pensioenregisters | Gegevens van gepensioneerden | 12jr nadat het voordeel ophoudt |
| Pensioenregisters | Gegevens van ex-gepensioneerden | Permanent of, indien samengevoegd met een ander fonds, 12 jaar na samenvoeging |
| Pensioenregisters | Groepsgezondheidsbeleid | 12 jaar na het beëindigen van de uitkering |
| Pensioenregisters | Groepeer persoonlijk ongevallenbeleid | 6jr na jr. In welke gebeurtenis is opgetreden |
| Bankgegevens | Cheques, wissels en andere verhandelbare instrumenten | 6 jaar |
| Bankgegevens | Inlegbladen | 6 jaar |
| Bankgegevens | Bankafschriften en reconciliaties | 6 jaar |
| Bankgegevens | Wisselkoers buitenlandse valuta | 15 jaar |
| Bankgegevens | Instructies voor banken | 6jr nadat het niet meer werkt |
| Verzekeringsdossiers | Publiek aansprakelijkheidbeleid | blijvend |
| Verzekeringsdossiers | Productaansprakelijkheid | blijvend |
| Verzekeringsdossiers | Werkgeversaansprakelijkheidsbeleid | blijvend |
| Verzekeringsdossiers | Verzekeringsschema's | 7 jaar |
| Verzekeringsdossiers | Groepsgezondheidsbeleid | 12 jaar na het beëindigen van de uitkering |
| Verzekeringsdossiers | Groepeer persoonlijk ongevallenbeleid | 12 jaar na het beëindigen van de uitkering |
| Verzekeringsdossiers | Persoonlijke claims | 7jr vanaf datum van claim |
| Verzekeringsdossiers | Ander beleid | Tot claims onder het beleid zijn uitgesloten |
| Boekhoudkundige en fiscale gegevens | Om te voldoen aan de Companies Act 1985 (dit omvat alle dochteradministratie ter ondersteuning van de jaarrekening) | 3yrs |
| Boekhoudkundige en fiscale gegevens | Begrotingen en periodieke interne financiële verslagen, bijvoorbeeld om in te stappen (Master) | 2jr |
| Boekhoudkundige en fiscale gegevens | Belastingen retouren en records | 10yrs |
| Boekhoudkundige en fiscale gegevens | BTW-records | 6yrs |
| Boekhoudkundige en fiscale gegevens | Inkomstenbelasting & NI rendement, inclusief correspondentie met belastingdienst | 3 jaar na einde FY waarop de gegevens betrekking hebben |
| Boekhoudkundige en fiscale gegevens | Inkomsten en uitgaven | 7 jr |
| Werknemersrecords | Persoonlijke en trainingsregistraties (inclusief hoorzittingen voor disciplinaire en grieven) | 6jr na beëindiging van het dienstverband; kan langer zijn met instemming van een persoon |
| Werknemersrecords | Afspraken en personeelsbeoordelingen | 5yrs |
| Werknemersrecords | Ontslagregistratie | 12jr vanaf de datum van ontslag |
| Werknemersrecords | Senior executive records | blijvend |
| Werknemersrecords | Contactgegevens op persoonlijke bestanden (bijv. Kaartindex, MS Outlook) | Tot het duidelijk is dat de persoon niet langer op de genoemde locatie is |
| Werknemersrecords | Persoonlijke informatie van welke aard dan ook op een webpagina of site | Niet langer dan de specifiek met de persoon overeengekomen periode |
| Werknemersrecords | Payrolls & loonbestanden (inclusief overuren, bonussen en onkosten) | 6yrs |
| Werknemersrecords | Wettelijke ziekbetalingsregistraties & berekeningen | 3 jaar na einde FY waarop de gegevens betrekking hebben |
| Werknemersrecords | Inkomstenbelastingen (bijvoorbeeld P45, P60, P58, P48) | 6yrs |
| Werknemersrecords | Jaarlijkse aangifte van betaalde belastbare kosten en belastingen | 6yrs |
| Contractuele overeenkomsten | contracten | 12 jaar na verstrijking |
| Gezondheids- en veiligheidsdossiers | Verslag van het overleg met veiligheidsvertegenwoordigers en comités | blijvend |
| Gezondheids- en veiligheidsdossiers | Trainingsregisters met betrekking tot veiligheid op het werk | blijvend |
| Gezondheids- en veiligheidsdossiers | Bedrijfsgezondheidsdossiers | Tijdens het dienstverband |
| Gezondheids- en veiligheidsdossiers | Volgens de COSHH-voorschriften | 40yrs |
| Gezondheids- en veiligheidsdossiers | Classificatiegegevens onder Chemicals (Hazard Information & Packaging for Supply) Regulations 1994 | 3yrs |
| Transportregistratie | Chauffeurs logboeken | 5 jaar na voltooiing |
| Transportregistratie | Voertuig kilometers bijhouden | 2 jaar na verwijdering van het voertuig, tenzij aansprakelijkheidsclaims |
| Transportregistratie | Voertuig onderhoudsrecords | 2 jaar na verwijdering van het voertuig, tenzij aansprakelijkheidsclaims |
| Transportregistratie | APK-records | 2 jaar na verwijdering van het voertuig, tenzij aansprakelijkheidsclaims |
| Transportregistratie | Registratie records | 2 jaar na verwijdering van het voertuig, tenzij aansprakelijkheidsclaims |
7.1 De gegevensbeschermingslead is verantwoordelijk voor het toezicht op de implementatie van dit beleid en voor het toezicht op de naleving van dit beleid, het andere beleid van de onderneming op het gebied van gegevensbescherming (inclusief, maar niet beperkt tot, zijn gegevensbeschermingsbeleid) en de GDPR en andere toepasselijke wetgeving inzake gegevensbescherming.
7.2 De gegevensbeschermingslead is rechtstreeks verantwoordelijk voor het waarborgen van naleving van de bovenstaande bewaartermijnen voor gegevens gedurende het hele bedrijf.
7.3Alle vragen met betrekking tot dit Beleid, het bewaren van persoonsgegevens of enig ander aspect van GDPR-conformiteit moeten worden verwezen naar de leidraad voor gegevensbescherming.
Dit beleid wordt geacht effectief te zijn vanaf 25 mei 2018. Geen enkel deel van dit beleid heeft terugwerkende kracht en is dus alleen van toepassing op zaken die zich voordoen op of na deze datum.
V1.0
2018/05/23