Datenaufbewahrungsrichtlinie
- Zweck, Geltungsbereich und Benutzer
Diese Richtlinie legt die erforderlichen Aufbewahrungszeiten für bestimmte Kategorien personenbezogener Daten und die Mindeststandards fest, die bei der Vernichtung bestimmter Informationen innerhalb der Blakell Europlacer Limited (im Folgenden: „Unternehmen“) anzuwenden sind.
Diese Richtlinie gilt für alle Geschäftseinheiten, Prozesse und Systeme in allen Ländern, in denen das Unternehmen Geschäfte tätigt und Geschäfte oder sonstige Geschäftsbeziehungen mit Dritten unterhält.
Diese Richtlinie gilt für alle leitenden Angestellten, Direktoren, Mitarbeiter, Vertreter, verbundenen Unternehmen, Auftragnehmer, Berater, Betreuer oder Dienstleister des Unternehmens, die Daten erheben, verarbeiten oder darauf zugreifen können (einschließlich personenbezogener Daten und/oder sensibler persönlicher Daten). Es liegt in der Verantwortung aller oben Erwähnten, sich mit dieser Richtlinie vertraut zu machen und diesbezüglich eine angemessene Einhaltung sicherzustellen.
Diese Richtlinie gilt für alle im Unternehmen verwendeten Informationen. Beispiele für Dokumente sind:
- E-Mails
• Dokumente in Papierform
• Soft-Copy-Dokumente
• Video und Audio
• Von physischen Zugangskontrollsystemen erzeugte Daten
- Referenzdokument
- EU-GDPR 2016/679 (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr solcher Daten, und zur Aufhebung der Richtlinie 95/46 / EG)
• Richtlinien über den Schutz der persönlichen Daten
- Aufbewahrungsregeln
3.1. Zurückbehaltung – Allgemeiner Grundsatz
Für jede Dokumentenkategorie, die nicht ausdrücklich an anderer Stelle in dieser Richtlinie definiert ist (und insbesondere innerhalb des Datenaufbewahrungsplans), beträgt die erforderliche Aufbewahrungsfrist für dieses Dokument drei Jahre ab dem Erstellungsdatum des Dokuments, sofern gesetzlich nichts anderes vorgeschrieben ist.
3.2. Aufbewahrung – Allgemeiner Zeitplan
Der Datenschutzbeauftragte legt den Zeitraum fest, für den die Dokumente und elektronischen Aufzeichnungen im Datenaufbewahrungsplan aufbewahrt werden sollen.
Als Ausnahme können Aufbewahrungsfristen innerhalb des Datenaufbewahrungsplans in folgenden Fällen verlängert werden:
- Laufende Ermittlungen von Behörden, wenn Aufzeichnungen personenbezogener Daten vorliegen, die das Unternehmen benötigt, um die Einhaltung rechtlicher Anforderungen nachzuweisen; oder
• bei der Ausübung gesetzlicher Rechte in Fällen von Gerichtsverfahren oder ähnlichen Gerichtsverfahren, die nach lokalem Recht anerkannt sind.
3.3. Sicherung der Daten während der Aufbewahrungsfrist
Die Möglichkeit, dass die zur Archivierung verwendeten Datenträger abgenutzt werden, wird in Betracht gezogen. Wenn elektronische Speichermedien gewählt werden, werden alle Verfahren und Systeme, die einen Zugriff auf die Informationen während der Aufbewahrungsfrist (sowohl hinsichtlich des Informationsträgers als auch der Lesbarkeit von Formaten) gewährleisten, ebenfalls gespeichert, um die Informationen vor Verlust durch zukünftige technologische Veränderungen zu schützen.
3.4. Zerstörung von Daten
Das Unternehmen und seine Mitarbeiter sollten daher regelmäßig alle Daten, ob elektronisch auf ihrem Gerät oder auf Papier aufbewahrt, überprüfen, um zu entscheiden, ob sie gelöscht oder gelöscht werden sollen, wenn der Zweck, für den diese Dokumente erstellt wurden nicht mehr relevant ist.
Sobald die Entscheidung getroffen wurde, die Daten gemäß dem Aufbewahrungsplan zu entsorgen, sollten sie in einem Maße gelöscht, geschreddert oder auf andere Weise vernichtet werden, das ihrem Wert und der Vertraulichkeit anderer entspricht. Die Entsorgungsmethode variiert und hängt von der Art des Dokuments ab. Beispielsweise müssen Dokumente, die sensible oder vertrauliche Informationen enthalten (und besonders sensible persönliche Daten), als vertraulicher Abfall entsorgt werden und der elektronischen Löschung unterliegen. Bei einigen abgelaufenen oder abgelösten Verträgen kann nur eine interne Zerkleinerung gewährleistet werden. Der Abschnitt „Zeitplan für die Entsorgung von Dokumenten“ definiert die Art der Entsorgung.
In diesem Zusammenhang muss der Mitarbeiter die Aufgaben erfüllen und die für die Informationsvernichtung relevanten Verantwortlichkeiten in geeigneter Weise übernehmen. Der spezifische Lösch- oder Vernichtungsprozess kann entweder von einem Mitarbeiter oder von einem internen oder externen Dienstleister durchgeführt werden, welchen der Datenschutzbeauftragte für diesen Zweck als Unterauftrag erhält. Alle anwendbaren allgemeinen Bestimmungen der einschlägigen Datenschutzgesetze und der Datenschutzrichtlinie des Unternehmens werden beachtet.
Es sind geeignete Kontrollen vorhanden, die den dauerhaften Verlust wesentlicher Informationen des Unternehmens durch vorsätzliche oder unbeabsichtigte Zerstörung von Informationen verhindern. Diese Kontrollen sind in der IT-Sicherheitsrichtlinie des Unternehmens beschrieben.
Die geltenden gesetzlichen Bestimmungen zur Vernichtung von Informationen, insbesondere die Bestimmungen der geltenden Datenschutzgesetze, sind vollständig einzuhalten.
3.5. Verletzung, Durchsetzung und Einhaltung
Die mit dem Datenschutz beauftragten Personen sind dafür verantwortlich, sicherzustellen, dass jede Geschäftsstelle des Unternehmens diese Richtlinie einhält. Es liegt auch in der Verantwortung der Datenschutz-Lenkungsgruppe, die örtlichen Geschäftsstellen bei Anfragen von lokalen Datenschutzbehörden oder staatlichen Behörden zu unterstützen.
Jeder Verdacht auf einen Verstoß gegen diese Richtlinie muss der Datenschutzgruppe unverzüglich gemeldet werden. Alle Fälle von mutmaßlichen Verstößen gegen die Richtlinie werden untersucht und gegebenenfalls Maßnahmen ergriffen.
Die Nichteinhaltung dieser Richtlinie kann zu nachteiligen Konsequenzen führen, einschließlich Verlust des Vertrauens der Kunden, Rechtsstreitigkeiten und Verlust des Wettbewerbsvorteils, finanzieller Verlust und Reputationsschäden des Unternehmens, Personenschaden, Schaden oder Verlust. Die Nichteinhaltung dieser Richtlinie durch fest angestellte Mitarbeiter, befristete Angestellte, Vertragsbedienstete oder Dritte, denen Zugang zu den Geschäftsräumen oder Informationen des Unternehmens gewährt wurde, kann daher zu Disziplinarverfahren oder zur Beendigung ihrer Beschäftigung oder ihres Vertrags führen. Eine solche Nichteinhaltung kann auch zu rechtlichen Schritten gegen die an solchen Aktivitäten beteiligten Parteien führen.
- Aktenentsorgung
4.1. Routine-Entsorgungsplan
Aufzeichnungen, die routinemäßig vernichtet werden können, sofern keine laufenden rechtlichen oder behördlichen Untersuchungen vorliegen, sind folgende:
- Ankündigungen und Bekanntmachungen von täglichen Meetings und anderen Veranstaltungen, einschließlich Zulassungen und Entschuldigungen;
• Anfragen nach gewöhnlichen Informationen wie Wegbeschreibungen;
• Reservierungen für interne Besprechungen ohne Gebühren/externe Kosten;
• Übermittlungsdokumente wie Briefe, Fax-Deckblätter, E-Mail-Nachrichten, Routing-Lieferscheine, Glückwünsche und ähnliche Elemente, die Dokumenten beigefügt sind, jedoch keinen Mehrwert bieten;
• Mitteilungsmeldung;
• Ersetzte Adressliste, Verteilerlisten usw.;
• Duplikate wie CCs- und FYI-Kopien, unveränderte Entwürfe, Ausdrucke von Momentaufnahmen oder Auszüge aus Datenbanken und Tagesdateien;
• Interne Bestandsveröffentlichungen, die veraltet sind oder ersetzt wurden; und
• Fachzeitschriften, Kataloge von Anbietern, Flyer und Newslettern von Anbietern oder anderen externen Organisationen.
In jedem Fall unterliegt die Beseitigung den Offenlegungspflichten, die möglicherweise im Zusammenhang mit Rechtsstreitigkeiten bestehen.
4.2. Vernichtungssmethode
Level-I-Dokumente sind solche, die Informationen enthalten, die höchste Sicherheit und Vertraulichkeit bieten, und solche, die personenbezogene Daten enthalten. Diese Dokumente sind als vertraulicher Abfall (zerkleinert und verbrannt) zu entsorgen und unterliegen der elektronischen Löschung. Die Entsorgung der Dokumente sollte einen Nachweis über die Vernichtung enthalten.
Level-II-Dokumente sind proprietäre Dokumente, die vertrauliche Informationen enthalten, wie z. B. Namen, Unterschriften und Adressen von Parteien, oder die von Dritten für Betrug verwendet werden könnten, die jedoch keine personenbezogenen Daten enthalten. Die Dokumente sollten geschnitten und zerkleinert und anschließend in verschlossene Abfalleimer abgelegt werden, um sie von einer zugelassenen Entsorgungsfirma abholen zu lassen. Elektronische Dokumente unterliegen der elektronischen Löschung.
Level-III-Dokumente sind solche, die keine vertraulichen Informationen oder personenbezogenen Daten enthalten und veröffentlichte Unternehmensdokumente sind. Diese sollten zerkleinert oder durch ein Recyclingunternehmen entsorgt werden und umfassen unter anderem Anzeigen, Kataloge, Flyer und Newslettern. Diese können ohne Prüfpfad entsorgt werden.
- Gültigkeit und Dokumentenverwaltung
Dieses Dokument ist gültig ab Januar 2019
Eigentümer dieses Dokuments ist die Datenschutz-Lenkungsgruppe, die das Dokument mindestens einmal im Jahr prüfen und gegebenenfalls aktualisieren muss.
- Anhänge
Anhang – Datenaufbewahrungsplan
FinanzdatenJahresabschlüsse Steuerpolitik und -verfahrenSteuerpolitik und -verfahren
Kategorie des persönlichen Datensatzes | Vorgeschriebene Aufbewahrungsfrist | Datensatzbesitzer |
Lohnlisten | Sieben Jahre nach dem Audit | Finanzen |
Lieferantenverträge | Sieben Jahre nach Vertragsende | Finanzen |
Kontenplan | Permanent | Finanzen |
Steuerpolitik und -verfahren | Permanent | Finanzen |
Permanent Audits | Permanent | Finanzen |
Jahresabschlüsse | Permanent | Finanzen |
Hauptbuch | Permanent | Finanzen |
Investitionsunterlagen (Einlagen, Erträge, Auszahlungen) | 7 jahre | Finanzen |
Rechnungen | 7 jahre | Finanzen |
Abgelehnte Schecks | 7 jahre | Finanzen |
Bankeinzahlungsscheine | 7 jahre | Finanzen |
Dokumente zu Geschäftsauslagen | 7 jahre | Finanzen |
Register/Bücher prüfen | 7 jahre | Finanzen |
Immobilien-/Vermögensinventare | 7 jahre | Finanzen |
Kreditkartenbelege | 3 jahre | Finanzen |
Kassenbelege/Dokumente | 3 jahre | Finanzen |
Geschäftsaufzeichnungen
Kategorie des persönlichen Datensatzes | Vorgeschriebene Aufbewahrungsfrist | Datensatzbesitzer |
Satzung zur Beantragung des Unternehmensstatus | Permanent | Finanzen |
Board Policy | Permanent | Finanzen |
Vorstandssitzungsprotokolle | Permanent | Finanzen |
Bezeichnung der Steuer- oder Mitarbeiter-Identifikationsnummer | Permanent | Finanzen |
Büro- und Teammeeting-Protokolle Jährliche Unternehmensanmeldungen | Permanent | Finanzen |
HR: Personalakten
Kategorie des persönlichen Datensatzes | Vorgeschriebene Aufbewahrungsfrist | Datensatzbesitzer |
Disziplinarverfahren, Aufzeichnungen über Beschwerdeverfahren, mündlich, schriftlich, letzte Warnungen, Einsprüche | Wie gesetzlich vorgeschrieben | HR |
Bewerbungen für Stellenangebote, Interviewnotizen – Rekrutierungs- / Beförderungsgruppe Intern Wo der Bewerber nicht erfolgreich ist Wo der Bewerber erfolgreich ist | Sofort gelöscht Dauer der Beschäftigung | HR |
Lohnabrechnungsformulare, Lohn- und Gehaltslisten, Überstunden-/Bonuszahlungen Lohnabrechnungen, Kopien | 7 Jahre | HR |
Bankverbindung – aktuell | Dauer der Anstellung | HR |
Gehaltsliste/Löhne | Dauer der Anstellung | HR |
Beschäftigungsverlauf einschließlich der Personaldatensätze des Personals: Verträge, AGBs; frühere Servicetermine; Lohn- und Rentenhistorie, Pensionsschätzungen, Rücktritts-/Kündigungsschreiben | Wie gesetzlich vorgeschrieben | HR |
Angaben zur Mitarbeiteradresse | Dauer der Anstellung | HR |
Spesenabrechnungen | Wie gesetzlich vorgeschrieben | HR |
Jahresurlaubsnachweise | Dauer der Anstellung | HR |
Unfallbücher Unfallberichte und Korrespondenz |
Wie gesetzlich vorgeschrieben | HR |
Zertifikate und Selbstzertifikate, die sich nicht auf Verletzungen am Arbeitsplatz beziehen; gesetzliche Krankengeldformulare | Wie gesetzlich vorgeschrieben | HR |
Schwangerschafts-/Geburtsbescheinigungen | Wie gesetzlich vorgeschrieben | HR |
Elternurlaub | Dauer der Anstellung | HR |
Mutterschaftsregister und Berechnungen | Wie gesetzlich vorgeschrieben | HR |
Redundanzdetails, Zahlungsberechnungen, Rückerstattungen, Benachrichtigungen | Wie gesetzlich vorgeschrieben | HR |
Schulungs- und Entwicklungsunterlagen | Dauer der Anstellung | HR |
Verträge
Kategorie des persönlichen Datensatzes | Vorgeschriebene Aufbewahrungsfrist | Datensatzbesitzer |
Unterzeichnet | Permanent | Finanzen |
Vertragsänderungen | Permanent | Finanzen |
Erfolgreiche Ausschreibungsunterlagen | Permanent | Finanzen |
Erfolglose Ausschreibungsunterlagen | Permanent | Finanzen |
Ausschreibung – Benutzeranforderungen, Spezifikation, Bewertungskriterien, Einladung | Permanent | Finanzen |
Berichte der Auftragnehmer | Permanent | Finanzen |
Bedienung und Überwachung, z.B. Reklamationen | Permanent | Finanzen |
Kundenangaben
Kategorie des persönlichen Datensatzes | Vorgeschriebene Aufbewahrungsfrist | Datensatzbesitzer |
Plattformdaten – einschließlich Videodaten, Kommentare, Anhänge, Profilbild, E-Mail-Adresse, Vor- und Nachname Wird behalten solange die | Organisation ein Kunde ist oder vom Benutzer gelöscht wird. Sobald eine Organisation alle Datensätze zum Löschen anfordert, werden die Daten innerhalb von 9 Monaten aus den Backups entfernt | Kunde |
Bildschirmaufnahmen von der Support-Sitzung | Automatisch nach 90 Tagen gelöscht | Unterstützung |
CCRM-Daten – einschließlich Name, E-Mail-Adresse, Mobiltelefonnummer, Adresse, E-Mails und Anruflisten, DPO-Informationen | Wird behalten solange die Organisation ein Kunde ist oder vom Benutzer gelöscht wird. Sobald eine Organisation alle Datensätze zum Löschen anfordert, werden die Daten innerhalb von x Monaten aus den Backups entfernt | Unterstützung |
Metrikdaten | Wird behalten solange die Organisation ein Kunde ist oder vom Benutzer gelöscht wird. Sobald eine Organisation alle Datensätze zum Löschen anfordert, werden die Daten anonymisiert | Entwicklungsteam |
Nicht-Kundendaten
Kategorie des persönlichen Datensatzes | Vorgeschriebene Aufbewahrungsfrist | Datensatzbesitzer |
E-Mail-Adresse | Wird so lange aufbewahrt, bis die Person das Abonnement abbestellt/beantragt, vom System entfernt zu werden | Marketing & Vertrieb |
Anrufaufzeichnungen | Werden nach 6 Monaten automatisch gelöscht | Verkauf |
IT
Kategorie des persönlichen Datensatzes | Vorgeschriebene Aufbewahrungsfrist | Datensatzbesitzer |
Papierkörbe | Monatlich gelöscht | Einzelne Mitarbeiter |
Downloads | Monatlich gelöscht | Einzelne Mitarbeiter |
Posteingang | Alle E-Mails mit PII-Anhängen werden nach 3 Jahren | Einzelne Mitarbeiter |
Gelöschte E-Mails | Monatlich gelöscht | Einzelne Mitarbeiter |
Persönliches Netzlaufwerk | Alle Dokumente werden vierteljährlich überprüft, und jene, die PIIs enthalten, werden nach drei Jahren gelöscht | Einzelne Mitarbeiter |
Lokale Laufwerke und Dateien | Monatlich auf Netzlaufwerk verschoben und dann vom lokalen Laufwerk gelöscht | Einzelne Mitarbeiter |
Onedrive/Dropbox | Alle Dokumente werden vierteljährlich überprüft, und jene, die PIIs enthalten, werden nach drei Jahren gelöscht | Einzelne Mitarbeiter |