Datenaufbewahrungsrichtlinie

  1. Zweck, Geltungsbereich und Benutzer

Diese Richtlinie legt die erforderlichen Aufbewahrungszeiten für bestimmte Kategorien personenbezogener Daten und die Mindeststandards fest, die bei der Vernichtung bestimmter Informationen innerhalb der Blakell Europlacer Limited (im Folgenden: „Unternehmen“) anzuwenden sind.
Diese Richtlinie gilt für alle Geschäftseinheiten, Prozesse und Systeme in allen Ländern, in denen das Unternehmen Geschäfte tätigt und Geschäfte oder sonstige Geschäftsbeziehungen mit Dritten unterhält.
Diese Richtlinie gilt für alle leitenden Angestellten, Direktoren, Mitarbeiter, Vertreter, verbundenen Unternehmen, Auftragnehmer, Berater, Betreuer oder Dienstleister des Unternehmens, die Daten erheben, verarbeiten oder darauf zugreifen können (einschließlich personenbezogener Daten und/oder sensibler persönlicher Daten). Es liegt in der Verantwortung aller oben Erwähnten, sich mit dieser Richtlinie vertraut zu machen und diesbezüglich eine angemessene Einhaltung sicherzustellen.
Diese Richtlinie gilt für alle im Unternehmen verwendeten Informationen. Beispiele für Dokumente sind:

  • E-Mails
    • Dokumente in Papierform
    • Soft-Copy-Dokumente
    • Video und Audio
    • Von physischen Zugangskontrollsystemen erzeugte Daten
  1. Referenzdokument
  • EU-GDPR 2016/679 (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr solcher Daten, und zur Aufhebung der Richtlinie 95/46 / EG)
    • Richtlinien über den Schutz der persönlichen Daten
  1. Aufbewahrungsregeln

3.1. Zurückbehaltung – Allgemeiner Grundsatz

Für jede Dokumentenkategorie, die nicht ausdrücklich an anderer Stelle in dieser Richtlinie definiert ist (und insbesondere innerhalb des Datenaufbewahrungsplans), beträgt die erforderliche Aufbewahrungsfrist für dieses Dokument drei Jahre ab dem Erstellungsdatum des Dokuments, sofern gesetzlich nichts anderes vorgeschrieben ist.

3.2. Aufbewahrung – Allgemeiner Zeitplan

Der Datenschutzbeauftragte legt den Zeitraum fest, für den die Dokumente und elektronischen Aufzeichnungen im Datenaufbewahrungsplan aufbewahrt werden sollen.
Als Ausnahme können Aufbewahrungsfristen innerhalb des Datenaufbewahrungsplans in folgenden Fällen verlängert werden:

  • Laufende Ermittlungen von Behörden, wenn Aufzeichnungen personenbezogener Daten vorliegen, die das Unternehmen benötigt, um die Einhaltung rechtlicher Anforderungen nachzuweisen; oder
    • bei der Ausübung gesetzlicher Rechte in Fällen von Gerichtsverfahren oder ähnlichen Gerichtsverfahren, die nach lokalem Recht anerkannt sind.

3.3. Sicherung der Daten während der Aufbewahrungsfrist

Die Möglichkeit, dass die zur Archivierung verwendeten Datenträger abgenutzt werden, wird in Betracht gezogen. Wenn elektronische Speichermedien gewählt werden, werden alle Verfahren und Systeme, die einen Zugriff auf die Informationen während der Aufbewahrungsfrist (sowohl hinsichtlich des Informationsträgers als auch der Lesbarkeit von Formaten) gewährleisten, ebenfalls gespeichert, um die Informationen vor Verlust durch zukünftige technologische Veränderungen zu schützen.

3.4. Zerstörung von Daten

Das Unternehmen und seine Mitarbeiter sollten daher regelmäßig alle Daten, ob elektronisch auf ihrem Gerät oder auf Papier aufbewahrt, überprüfen, um zu entscheiden, ob sie gelöscht oder gelöscht werden sollen, wenn der Zweck, für den diese Dokumente erstellt wurden nicht mehr relevant ist.
Sobald die Entscheidung getroffen wurde, die Daten gemäß dem Aufbewahrungsplan zu entsorgen, sollten sie in einem Maße gelöscht, geschreddert oder auf andere Weise vernichtet werden, das ihrem Wert und der Vertraulichkeit anderer entspricht. Die Entsorgungsmethode variiert und hängt von der Art des Dokuments ab. Beispielsweise müssen Dokumente, die sensible oder vertrauliche Informationen enthalten (und besonders sensible persönliche Daten), als vertraulicher Abfall entsorgt werden und der elektronischen Löschung unterliegen. Bei einigen abgelaufenen oder abgelösten Verträgen kann nur eine interne Zerkleinerung gewährleistet werden. Der Abschnitt „Zeitplan für die Entsorgung von Dokumenten“ definiert die Art der Entsorgung.
In diesem Zusammenhang muss der Mitarbeiter die Aufgaben erfüllen und die für die Informationsvernichtung relevanten Verantwortlichkeiten in geeigneter Weise übernehmen. Der spezifische Lösch- oder Vernichtungsprozess kann entweder von einem Mitarbeiter oder von einem internen oder externen Dienstleister durchgeführt werden, welchen der Datenschutzbeauftragte für diesen Zweck als Unterauftrag erhält. Alle anwendbaren allgemeinen Bestimmungen der einschlägigen Datenschutzgesetze und der Datenschutzrichtlinie des Unternehmens werden beachtet.
Es sind geeignete Kontrollen vorhanden, die den dauerhaften Verlust wesentlicher Informationen des Unternehmens durch vorsätzliche oder unbeabsichtigte Zerstörung von Informationen verhindern. Diese Kontrollen sind in der IT-Sicherheitsrichtlinie des Unternehmens beschrieben.
Die geltenden gesetzlichen Bestimmungen zur Vernichtung von Informationen, insbesondere die Bestimmungen der geltenden Datenschutzgesetze, sind vollständig einzuhalten.

3.5. Verletzung, Durchsetzung und Einhaltung

Die mit dem Datenschutz beauftragten Personen sind dafür verantwortlich, sicherzustellen, dass jede Geschäftsstelle des Unternehmens diese Richtlinie einhält. Es liegt auch in der Verantwortung der Datenschutz-Lenkungsgruppe, die örtlichen Geschäftsstellen bei Anfragen von lokalen Datenschutzbehörden oder staatlichen Behörden zu unterstützen.
Jeder Verdacht auf einen Verstoß gegen diese Richtlinie muss der Datenschutzgruppe unverzüglich gemeldet werden. Alle Fälle von mutmaßlichen Verstößen gegen die Richtlinie werden untersucht und gegebenenfalls Maßnahmen ergriffen.
Die Nichteinhaltung dieser Richtlinie kann zu nachteiligen Konsequenzen führen, einschließlich Verlust des Vertrauens der Kunden, Rechtsstreitigkeiten und Verlust des Wettbewerbsvorteils, finanzieller Verlust und Reputationsschäden des Unternehmens, Personenschaden, Schaden oder Verlust. Die Nichteinhaltung dieser Richtlinie durch fest angestellte Mitarbeiter, befristete Angestellte, Vertragsbedienstete oder Dritte, denen Zugang zu den Geschäftsräumen oder Informationen des Unternehmens gewährt wurde, kann daher zu Disziplinarverfahren oder zur Beendigung ihrer Beschäftigung oder ihres Vertrags führen. Eine solche Nichteinhaltung kann auch zu rechtlichen Schritten gegen die an solchen Aktivitäten beteiligten Parteien führen.

  1. Aktenentsorgung

4.1. Routine-Entsorgungsplan

Aufzeichnungen, die routinemäßig vernichtet werden können, sofern keine laufenden rechtlichen oder behördlichen Untersuchungen vorliegen, sind folgende:

  • Ankündigungen und Bekanntmachungen von täglichen Meetings und anderen Veranstaltungen, einschließlich Zulassungen und Entschuldigungen;
    • Anfragen nach gewöhnlichen Informationen wie Wegbeschreibungen;
    • Reservierungen für interne Besprechungen ohne Gebühren/externe Kosten;
    • Übermittlungsdokumente wie Briefe, Fax-Deckblätter, E-Mail-Nachrichten, Routing-Lieferscheine, Glückwünsche und ähnliche Elemente, die Dokumenten beigefügt sind, jedoch keinen Mehrwert bieten;
    • Mitteilungsmeldung;
    • Ersetzte Adressliste, Verteilerlisten usw.;
    • Duplikate wie CCs- und FYI-Kopien, unveränderte Entwürfe, Ausdrucke von Momentaufnahmen oder Auszüge aus Datenbanken und Tagesdateien;
    • Interne Bestandsveröffentlichungen, die veraltet sind oder ersetzt wurden; und
    • Fachzeitschriften, Kataloge von Anbietern, Flyer und Newslettern von Anbietern oder anderen externen Organisationen.

In jedem Fall unterliegt die Beseitigung den Offenlegungspflichten, die möglicherweise im Zusammenhang mit Rechtsstreitigkeiten bestehen.

4.2. Vernichtungssmethode

Level-I-Dokumente sind solche, die Informationen enthalten, die höchste Sicherheit und Vertraulichkeit bieten, und solche, die personenbezogene Daten enthalten. Diese Dokumente sind als vertraulicher Abfall (zerkleinert und verbrannt) zu entsorgen und unterliegen der elektronischen Löschung. Die Entsorgung der Dokumente sollte einen Nachweis über die Vernichtung enthalten.
Level-II-Dokumente sind proprietäre Dokumente, die vertrauliche Informationen enthalten, wie z. B. Namen, Unterschriften und Adressen von Parteien, oder die von Dritten für Betrug verwendet werden könnten, die jedoch keine personenbezogenen Daten enthalten. Die Dokumente sollten geschnitten und zerkleinert und anschließend in verschlossene Abfalleimer abgelegt werden, um sie von einer zugelassenen Entsorgungsfirma abholen zu lassen. Elektronische Dokumente unterliegen der elektronischen Löschung.
Level-III-Dokumente sind solche, die keine vertraulichen Informationen oder personenbezogenen Daten enthalten und veröffentlichte Unternehmensdokumente sind. Diese sollten zerkleinert oder durch ein Recyclingunternehmen entsorgt werden und umfassen unter anderem Anzeigen, Kataloge, Flyer und Newslettern. Diese können ohne Prüfpfad entsorgt werden.

  1. Gültigkeit und Dokumentenverwaltung

Dieses Dokument ist gültig ab Januar 2019
Eigentümer dieses Dokuments ist die Datenschutz-Lenkungsgruppe, die das Dokument mindestens einmal im Jahr prüfen und gegebenenfalls aktualisieren muss.

  1. Anhänge

Anhang – Datenaufbewahrungsplan

FinanzdatenJahresabschlüsse Steuerpolitik und -verfahrenSteuerpolitik und -verfahren

Kategorie des persönlichen Datensatzes Vorgeschriebene Aufbewahrungsfrist Datensatzbesitzer
Lohnlisten Sieben Jahre nach dem Audit Finanzen
Lieferantenverträge Sieben Jahre nach Vertragsende Finanzen
Kontenplan Permanent Finanzen
Steuerpolitik und -verfahren Permanent Finanzen
Permanent Audits Permanent Finanzen
Jahresabschlüsse Permanent Finanzen
Hauptbuch Permanent Finanzen
Investitionsunterlagen (Einlagen, Erträge, Auszahlungen) 7 jahre Finanzen
Rechnungen 7 jahre Finanzen
Abgelehnte Schecks 7 jahre Finanzen
Bankeinzahlungsscheine 7 jahre Finanzen
Dokumente zu Geschäftsauslagen 7 jahre Finanzen
Register/Bücher prüfen 7 jahre Finanzen
Immobilien-/Vermögensinventare 7 jahre Finanzen
Kreditkartenbelege 3 jahre Finanzen
Kassenbelege/Dokumente 3 jahre Finanzen

 

Geschäftsaufzeichnungen

Kategorie des persönlichen Datensatzes Vorgeschriebene Aufbewahrungsfrist Datensatzbesitzer
Satzung zur Beantragung des Unternehmensstatus Permanent Finanzen
Board Policy Permanent Finanzen
Vorstandssitzungsprotokolle Permanent Finanzen
Bezeichnung der Steuer- oder Mitarbeiter-Identifikationsnummer Permanent Finanzen
Büro- und Teammeeting-Protokolle Jährliche Unternehmensanmeldungen Permanent Finanzen

 

HR: Personalakten

Kategorie des persönlichen Datensatzes Vorgeschriebene Aufbewahrungsfrist Datensatzbesitzer
Disziplinarverfahren, Aufzeichnungen über Beschwerdeverfahren, mündlich, schriftlich, letzte Warnungen, Einsprüche Wie gesetzlich vorgeschrieben HR
Bewerbungen für Stellenangebote, Interviewnotizen – Rekrutierungs- / Beförderungsgruppe Intern Wo der Bewerber nicht erfolgreich ist Wo der Bewerber erfolgreich ist Sofort gelöscht Dauer der Beschäftigung HR
Lohnabrechnungsformulare, Lohn- und Gehaltslisten, Überstunden-/Bonuszahlungen Lohnabrechnungen, Kopien 7 Jahre HR
Bankverbindung – aktuell Dauer der Anstellung HR
Gehaltsliste/Löhne Dauer der Anstellung HR
Beschäftigungsverlauf einschließlich der Personaldatensätze des Personals: Verträge, AGBs; frühere Servicetermine; Lohn- und Rentenhistorie, Pensionsschätzungen, Rücktritts-/Kündigungsschreiben Wie gesetzlich vorgeschrieben HR
Angaben zur Mitarbeiteradresse Dauer der Anstellung HR
Spesenabrechnungen Wie gesetzlich vorgeschrieben HR
Jahresurlaubsnachweise Dauer der Anstellung HR
Unfallbücher
Unfallberichte und Korrespondenz
Wie gesetzlich vorgeschrieben HR
Zertifikate und Selbstzertifikate, die sich nicht auf Verletzungen am Arbeitsplatz beziehen; gesetzliche Krankengeldformulare Wie gesetzlich vorgeschrieben HR
Schwangerschafts-/Geburtsbescheinigungen Wie gesetzlich vorgeschrieben HR
Elternurlaub Dauer der Anstellung HR
Mutterschaftsregister und Berechnungen Wie gesetzlich vorgeschrieben HR
Redundanzdetails, Zahlungsberechnungen, Rückerstattungen, Benachrichtigungen Wie gesetzlich vorgeschrieben HR
Schulungs- und Entwicklungsunterlagen Dauer der Anstellung HR

 

 Verträge

Kategorie des persönlichen Datensatzes Vorgeschriebene Aufbewahrungsfrist Datensatzbesitzer
Unterzeichnet Permanent Finanzen
Vertragsänderungen Permanent Finanzen
Erfolgreiche Ausschreibungsunterlagen Permanent Finanzen
Erfolglose Ausschreibungsunterlagen Permanent Finanzen
Ausschreibung – Benutzeranforderungen, Spezifikation, Bewertungskriterien, Einladung Permanent Finanzen
Berichte der Auftragnehmer Permanent Finanzen
Bedienung und Überwachung, z.B. Reklamationen Permanent Finanzen

 

Kundenangaben

Kategorie des persönlichen Datensatzes Vorgeschriebene Aufbewahrungsfrist Datensatzbesitzer
Plattformdaten – einschließlich Videodaten, Kommentare, Anhänge, Profilbild, E-Mail-Adresse, Vor- und Nachname Wird behalten solange die Organisation ein Kunde ist oder vom Benutzer gelöscht wird. Sobald eine Organisation alle Datensätze zum Löschen anfordert, werden die Daten innerhalb von 9 Monaten aus den Backups entfernt Kunde
Bildschirmaufnahmen von der Support-Sitzung Automatisch nach 90 Tagen gelöscht Unterstützung
CCRM-Daten – einschließlich Name, E-Mail-Adresse, Mobiltelefonnummer, Adresse, E-Mails und Anruflisten, DPO-Informationen Wird behalten solange die Organisation ein Kunde ist oder vom Benutzer gelöscht wird. Sobald eine Organisation alle Datensätze zum Löschen anfordert, werden die Daten innerhalb von x Monaten aus den Backups entfernt Unterstützung
Metrikdaten Wird behalten solange die Organisation ein Kunde ist oder vom Benutzer gelöscht wird. Sobald eine Organisation alle Datensätze zum Löschen anfordert, werden die Daten anonymisiert Entwicklungsteam

 

Nicht-Kundendaten 

Kategorie des persönlichen Datensatzes Vorgeschriebene Aufbewahrungsfrist Datensatzbesitzer
E-Mail-Adresse Wird so lange aufbewahrt, bis die Person das Abonnement abbestellt/beantragt, vom System entfernt zu werden Marketing & Vertrieb
Anrufaufzeichnungen Werden nach 6 Monaten automatisch gelöscht Verkauf

IT

Kategorie des persönlichen Datensatzes Vorgeschriebene Aufbewahrungsfrist Datensatzbesitzer
Papierkörbe Monatlich gelöscht Einzelne Mitarbeiter
Downloads Monatlich gelöscht Einzelne Mitarbeiter
Posteingang Alle E-Mails mit PII-Anhängen werden nach 3 Jahren Einzelne Mitarbeiter
Gelöschte E-Mails Monatlich gelöscht Einzelne Mitarbeiter
Persönliches Netzlaufwerk Alle Dokumente werden vierteljährlich überprüft, und jene, die PIIs enthalten, werden nach drei Jahren gelöscht Einzelne Mitarbeiter
Lokale Laufwerke und Dateien Monatlich auf Netzlaufwerk verschoben und dann vom lokalen Laufwerk gelöscht Einzelne Mitarbeiter
Onedrive/Dropbox Alle Dokumente werden vierteljährlich überprüft, und jene, die PIIs enthalten, werden nach drei Jahren gelöscht Einzelne Mitarbeiter