Data Retention Policy
1. Introduktion
I denna policy anges skyldigheterna för Sunglasses2U, 39-43 Monument Hill, Belgrave House, Weybridge, KT13 8RN ("Företaget") om bevarande av personuppgifter som samlats in, innehas och behandlas av Bolaget i enlighet med EU-förordning 2016 / 679 Allmänna databeskyddsförordningen ("GDPR").
GDPR definierar "personuppgifter" som information om en identifierad eller identifierbar fysisk person (en "registrerad"). En identifierbar fysisk person är en som kan identifieras direkt eller indirekt, särskilt med hänvisning till en identifierare, såsom ett namn, ett identifikationsnummer, platsdata, en onlineidentifierare eller en eller flera faktorer som är specifika för fysiska, fysiologiska , den genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.
GDPR tar även upp "personliga" personuppgifter (även känd som "känsliga" personuppgifter). Sådana uppgifter inkluderar, men är inte nödvändigtvis begränsade till, uppgifter om den registrerades ras, etnicitet, politik, religion, fackligt medlemskap, genetik, biometri (om det används för ID-ändamål), hälsa, sexliv eller sexuell läggning.
Enligt GDPR ska personuppgifter förvaras i en form som tillåter identifiering av registrerade inte längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I vissa fall kan personuppgifter lagras under längre perioder, där uppgifterna ska behandlas för arkiveringsändamål som är av allmänt intresse, för vetenskaplig eller historisk forskning eller för statistiska ändamål (med förbehåll för genomförandet av lämpliga tekniska och organisatoriska åtgärder som krävs av GDPR för att skydda den data).
Dessutom innehåller GDPR rätten att radera eller "rätten att glömma". Uppgiftslämnar har rätt att ta bort sina personuppgifter (och för att förhindra behandling av personuppgifter) under följande omständigheter:
- Om personuppgifterna inte längre krävs för det syfte för vilket det ursprungligen samlades eller bearbetades (se ovan).
- När den registrerade drar tillbaka sitt samtycke
- När den registrerade motsätter sig behandlingen av deras personuppgifter och företaget inte har något övergripande legitimt intresse
- När personuppgifterna behandlas olagligen (dvs. i strid med GDPR)
- När personuppgifterna måste raderas för att uppfylla en laglig skyldighet eller
- Där personuppgifterna behandlas för tillhandahållande av informationssamhällstjänster till ett barn.
Denna policy anger vilken eller vilka typer av personuppgifter som innehas av bolaget, vilken period (er) för vilken personuppgifterna ska behållas, och när och hur det ska raderas eller på annat sätt kasseras.
För ytterligare information om andra aspekter av dataskydd och överensstämmelse med GDPR, hänvisas till företagets dataskyddspolicy.
2.1 Huvudsyftet med denna policy är att fastställa gränser för bevarande av personuppgifter och för att säkerställa att dessa gränser, liksom ytterligare uppgifter om rättigheter att radera, följs. Vidare syftar denna policy till att säkerställa att Bolaget fullgör sina skyldigheter och de registrerades rättigheter enligt GDPR.
2.2 Förutom att skydda de registrerades rättigheter enligt GDPR, genom att säkerställa att alltför stora mängder data inte behålls av bolaget, syftar denna policy också till att förbättra hastigheten och effektiviteten i hanteringen av data.
3.1 Denna policy gäller alla personuppgifter som innehas av bolaget och tredjepartsdataprocessorer som behandlar personuppgifter på bolagets vägnar.
3.2 Personuppgifter, som innehas av företaget, lagras på följande sätt och på följande platser:
- Bolagets servrar finns i bolagets lokaler på Unit 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ;
- Tjänsteman från tredje part, som drivs på våra vägnar;
- Företagets datorer finns permanent i bolagets lokaler på Unit 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ;
- Bärbara datorer och andra mobila enheter som företaget tillhandahåller till sina anställda;
- Datorer och mobila enheter som ägs av anställda, agenter och underentreprenörer som används i enlighet med bolagets "BYOD" -policy.
- Fysiska uppgifter lagrade i bolagets lokaler på Unit 17, IO Center, 57a Croydon Road, Beddington, Croydon, CR0 4WQ.
Alla personuppgifter som innehas av bolaget hålls i enlighet med GDPR: s och registrerades rättigheter enligt det, som anges i bolagets dataskyddspolicy.
4.1 Uppgiftspersoner hålls fullständigt informerade om sina rättigheter, vilka personuppgifter företaget har om dem, hur de personuppgifterna används och hur länge företaget kommer att behålla de personuppgifterna (eller, om ingen fast lagringsperiod kan fastställas, kriterierna för att retentionen av uppgifterna kommer att bestämmas).
4.2 Uppgiftspersoner ges kontroll över sina personuppgifter som innehas av bolaget, inklusive rätten att få felaktiga uppgifter, rätten att begära att deras personuppgifter raderas eller på annat sätt bortskaffas (oavsett de kvarhållningsperioder som annars anges enligt denna policy för lagring av uppgifter) rätten att begränsa bolagets användning av personuppgifter och ytterligare rättigheter avseende automatiserat beslutsfattande och profilering.
Vid utgången av de uppgifter om lagringstid som anges nedan i del 6 i denna policy eller när en registrerad utövar sin rätt att radera sina personuppgifter ska personuppgifter raderas, förstöras eller på annat sätt kasseras enligt följande:
5.1 Personliga data lagrade elektroniskt (inklusive alla och alla säkerhetskopior av dessa) ska raderas.
5.2 Personliga data som lagras i pappersform ska strimlas.
6.1 Som ovan angiven och enligt lag krävs att Bolaget inte längre behåller personuppgifter längre än vad som är nödvändigt med hänsyn till syftet med vilka uppgifterna samlas in, hålls och behandlas.
6.2 Olika typer av personuppgifter, som används för olika ändamål, behålls nödvändigtvis under olika perioder (och dess retention periodiskt granskas), enligt nedan.
6.3 Vid fastställande och / eller granskning av retentionperioder ska följande beaktas:
- Bolagets mål och krav
- Typ av personuppgifter i fråga
- Syftet (erna) för vilka data i fråga samlas in, hålls och bearbetas
- Bolagets rättsliga grund för insamling, innehav och bearbetning av dessa uppgifter.
- Kategorin eller kategorierna av uppgifter som uppgifterna avser.
6.4 Om en exakt kvarhållningsperiod inte kan fastställas för en viss typ av data ska kriterier fastställas genom vilka retentionen av uppgifterna kommer att fastställas och därigenom säkerställas att uppgifterna i fråga och lagring av dessa data kan regelbundet ses över mot dessa kriterier.
6.5 Trots följande fastställda retentionperioder kan vissa personuppgifter raderas eller på annat sätt kasseras före utgången av den definierade retentionstiden där ett beslut fattas inom bolaget att göra det (antingen på begäran av en registrerad eller annat).
| Typ av data | Syftet med data | Retention Period |
|---|---|---|
| Företagsrekord | Intyg om införlivande, aktiecertifikat etc. | Permanent |
| avtal | Alla kontrakt med: kunder, leverantörer, agenter | 10 år efter utgången |
| avtal | Licensavtal | 10 år efter utgången |
| avtal | Hyreskostnader | 10 år efter utgången |
| avtal | Ersättningar och garantier | 10 år efter utgången |
| avtal | Något annat avtal eller kontrakt | 10 år efter utgången |
| Fastighetsrekord | Titelhandlingar | Fram till såld eller överförd |
| Fastighetsrekord | leasing | 12 år efter uppsägning och eventuella terminalfrågor (t.ex. Dilapidations) har avvecklats 6 år efter slutförandet |
| Fastighetsrekord | Avtal med arkitekter, byggare | 6 år efter slutförandet |
| Fastighetsrekord | Rapporter och åsikter | 10 år efter korrespondens |
| Pensionsposter | Alla förtroende och regler | Permanent eller, om de slås samman med en annan fond, 12 år efter sammanslagning |
| Pensionsposter | Konton och bilagor | 6 år från datumkonton undertecknade |
| Pensionsposter | Godkännande av intäkter | Permanent eller, om de slås samman med en annan fond, 12 år efter sammanslagning |
| Pensionsposter | Rekord av pensionärer | 12 år efter att förmånerna upphört |
| Pensionsposter | Rekord av tidigare pensionärer | Permanent eller, om de slås samman med en annan fond, 12 år efter sammanslagning |
| Pensionsposter | Gruppens hälsopolitik | 12 år efter upphörande av förmånen |
| Pensionsposter | Grupp personliga olyckshändelser | 6 år efter år. I vilken händelse inträffade |
| Bankrekord | Checkar, växlar och andra förhandlingsbara instrument | 6 år |
| Bankrekord | Inlämningsböcker | 6 år |
| Bankrekord | Bankredovisningar och avstämningar | 6 år |
| Bankrekord | Valutakurser | 15 år |
| Bankrekord | Instruktioner till banker | 6 år efter att ha upphört att vara effektiv |
| Försäkringsposter | Allmänna ansvarspolicyer | Permanent |
| Försäkringsposter | Produktansvar | Permanent |
| Försäkringsposter | Arbetsgivaransvarspolicy | Permanent |
| Försäkringsposter | Försäkringstider | 7 år |
| Försäkringsposter | Grupphälsopolitik | 12 år efter att förmånen upphört |
| Försäkringsposter | Grupp personliga olyckshändelser | 12 år efter upphörande av förmånen |
| Försäkringsposter | Personliga krav | 7 år från fordringsdatum |
| Försäkringsposter | Annan politik | Innan fordringar enligt policy är spärrade |
| Redovisning och skatteposter | Att följa aktiebolagslagen 1985 (detta inkluderar samtliga dotterbolag för att stödja årsredovisningen) | 3yrs |
| Redovisning och skatteposter | Budgetar och periodiska interna finansiella rapporter, till exempel ombord (Master) | 2yrs |
| Redovisning och skatteposter | Skatter returnerar och registrerar | 10år |
| Redovisning och skatteposter | Momsregistreringar | 6 år |
| Redovisning och skatteposter | Inkomstskatt & NI returnerar, inklusive korrespondens med skattekontoret | 3 år efter slutet av FY till vilka poster hänför sig |
| Redovisning och skatteposter | Inkomster och utgifter | 7yrs |
| Anställda poster | Personliga & träningsrekord (inklusive disciplinära och grievanshörapparater) | 6 år efter anställning upphör kan vara längre med individuell överenskommelse |
| Anställda poster | Utnämning och personalutvärderingsrekord | 5 år |
| Anställda poster | Redundansposter | 12 år från redundansdatum |
| Anställda poster | Ledande befattningshavare | Permanent |
| Anställda poster | Kontaktuppgifter som lagras på personliga filer (t.ex. kortindex, MS Outlook) | Till dess det är uppenbart är personen inte längre på den angivna platsen |
| Anställda poster | Personlig information av något slag på en webbsida eller webbplats | Inte längre än den period som specifikt överenskommits med individen |
| Anställda poster | Löner och löneposter (inklusive övertid, bonusar och utgifter) | 6 år |
| Anställda poster | Lagstadgade sjuklöneposter och beräkningar | 3 år efter slutet av FY till vilka poster hänför sig |
| Anställda poster | Inkomstskatteregister (t.ex. P45, P60, P58, P48) | 6 år |
| Anställda poster | Årlig avkastning av beskattningsbar lön och skatt betald | 6 år |
| Avtalsavtal | kontrakt | 12 år efter utgången |
| Hälso- och säkerhetsregister | Rekord av samråd med säkerhetsrepresentanter och kommittéer | Permanent |
| Hälso- och säkerhetsregister | Utbildningsregister avseende säkerhet i arbetet | Permanent |
| Hälso- och säkerhetsregister | Arbetshälsoregister | Under anställning |
| Hälso- och säkerhetsregister | Enligt COSHH-förordningarna | 40yrs |
| Hälso- och säkerhetsregister | Klassificeringar data enligt kemikalier (Risk Information & Packaging for Supply) Regulations 1994 | 3yrs |
| Transportrekord | Drivers loggböcker | 5 år efter slutförandet |
| Transportrekord | Fordonsmängdsrekord | 2 år efter bortskaffande av fordon om inte ansvarsskador |
| Transportrekord | Fordonsunderhållsregister | 2 år efter bortskaffande av fordon om inte ansvarsskador |
| Transportrekord | MOT-poster | 2 år efter bortskaffande av fordon om inte ansvarsskador |
| Transportrekord | Registreringsregister | 2 år efter bortskaffande av fordon om inte ansvarsskador |
7.1 Dataskyddsledaren ska ansvara för övervakningen av genomförandet av denna policy och för att övervaka efterlevnaden av denna policy, bolagets övriga dataskyddspolicyer (inklusive, men inte begränsat till, dess dataskyddspolicy) och med GDPR och annan tillämplig lagstiftning om dataskydd.
7.2 Dataskyddsledaren ska ha direkt ansvar för att överensstämmelse med ovanstående uppgifter om lagring av data i hela bolaget respekteras.
7.3Anya frågor angående denna policy, behållande av personuppgifter eller någon annan aspekt av GDPR-överensstämmelse bör hänvisas till dataskyddsledningen.
Denna policy ska anses effektiv från och med den 25 maj 2018. Ingen del av denna policy ska ha retroaktiv verkan och gäller således endast för frågor som uppstår på eller efter detta datum.
V1.0
2018/05/23