数据保留

1.介绍

Moneypenny承诺在所有业务活动中遵守法律法规,包括适用的数据保护法。

我们承诺使用所有适当的技术和组织措施,以确保客户和雇员的个人资料得到保护。

本政策和相关政策阐述了员工,承包商和第三方的预期行为,与企业内的所有数据(包括个人数据)进行保留,储存销毁。此策略应与我们的数据保护策略结合阅读。

2.范围

以系统和可靠的方式维护业务数据对遵守我们的法律和监管要求至关重要。它还降低了与保留不必要信息相关的成本和风险。

我们的数据保护政策和实践的一个重要部分是,个人数据被保留的适当时间,既不太长也不太短。最重要的是,保留期限允许我们满足我们的法律和监管要求,但数据主体的权利也受到保护。

这项政策旨在协助雇员以一贯的方式妥善管理个人资料,胪列如下:

除另有规定外,本保险单包括纸质文件和电子文件。此文件应与我们的数据保护政策一起阅读。

3.定义

个人资料

与已识别或可识别的自然人有关的任何信息(包括意见和意图)。

可识别的自然人

任何可以直接或间接地识别的人,特别是通过参考诸如名称,标识号,数量,位置数据,在线标识符或特定于物理,生理学,遗传,心理的一个或多个因素的标识符,自然人的经济,文化或社会形式。

数据控制器

决定处理个人资料的目的和方法的自然人或法人、公共当局、机构或其他团体。

数据对象

数据所指的识别或可识别的自然人。

处理,处理,处理

无论是否通过自动化手段,对个人数据或个人数据集执行的任何操作或一组操作。所执行的操作可以包括收集,记录,组织,结构化,存储,适应或改变,检索,咨询,使用,通过传输,传播或以其他方式进行可用,对准或组合,限制,擦除或破坏。

数据保护

保护个人数据从未经授权或非法披露,访问,改变,加工,转移或破坏的过程。

数据保护机构

一个独立的公共机构,负责监督相关数据保护条例的应用-在英国这是ICO。

数据处理器

代表数据控制人处理个人数据的自然人或法人、公共当局、机构或其他团体。

同意

任何自由赋予,具体,明确的和明确的数据主体愿望的指示,他或她通过声明或明确的肯定行动,表示协议处理与他或她有关的个人数据。

数据的特殊类别

有关或揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员资格、有关健康或性生活和性取向的数据、遗传数据或生物特征数据。

第三个国家

任何未确认的国家都不承担有关处理个人数据的数据主体的权利和自由度的充分级别的法律保护。

分析

任何形式的个人数据的自动处理,其中个人数据用于评估与可识别的自然人有关的特定或一般特征。特别是分析或预测有关自然人在工作经济局势,健康,个人偏好,利益,可靠性行为,位置或运动中的绩效的某些方面。

违反个人资料

对安全的破坏导致意外或非法的;销毁、遗失、更改、未经授权披露或查阅已传送、储存或以其他方式处理的个人资料。

加密

将资料或数据转换为代码的过程,以防止未经授权的查阅。

Pseudonymisation

以这样的方式修改的数据,即没有个性可以从数据(无论是直接还是间接地)没有允许重新识别数据的键。

匿名化

经任何方式或任何人均无法从该等资料(直接或间接)中辨识个别人士的修订资料。

GDPR

一般数据保护规范

4.角色和职责

所有员工,包括代表我们处理数据的承包商和第三方,都有责任遵守本政策的要求。

数据保护主任(DPO)负责维护该政策。我们的DPO可以通过电子邮件联系(电子邮件保护),或通过邮寄到数据保护官,MoneyPenny,Western Gateway,WREXHAM,LL13 7ZB。

所有部门主管都有责任确保文件化的程序符合本政策的要求。

所有员工都有责任确保他们阅读了该政策的最新版本。

5.政策

信息/记录(硬拷贝和电子)将被保留至少在我们的数据保存指引(见附录1)中指明的期间。

销毁前必须审查所有资料,以确定是否有特殊因素意味着应推迟销毁,例如潜在的诉讼、投诉或正在进行的案件。

硬拷贝和电子录制记录,文件和信息必须在保留期结束时或根据适当的数据保护立法要求。

各部门应定期审查并确定其控制中是否有应按本政策销毁的记录。

5.1暂停销毁日期

如果由索赔,审计,调查,传票或诉讼被宣称或诉诸MoneyPenny,或者合理可预见,我们有义务保留所有相关记录,包括那些将在记录保留下销毁销毁的人日程。

5.2我们应保留多长时间?

只要需要与我们的客户和任何适用的法律要求满足我们的协议条款,应保留数据。我们的数据保留指南已被同意作为对我们的数据和所有监管机构的要求进行评估,以及我们在数据保护法下的义务。

5.3破坏方法

所有资料,无论是硬拷贝或电子资料,均应以稳妥的方式销毁,以确保所有个人资料保密。

所有硬拷贝数据必须在位于业务各领域的机密垃圾箱中处理。在任何情况下,保密或个人数据都应该投入正常的废物箱。我们将维持所有废物的安全破坏的记录,该废物被放入机密浪费。

我们的IT部门将确保所有电子数据以一种无法恢复的方式安全地销毁。他们还将负责确保当企业不再需要任何电子设备时,将其安全擦除,并妥善处理。

5.4分享信息

应销毁不必要的重复信息。如各业务领域之间已定期共享资料,则应注意确保根据资料保留指引销毁所有资料副本。

6.培训

所有的员工都将在这个政策下承担他们的责任,这是他们入职培训的一部分。

所有员工将完成每年一次的培训复习。

如果对此政策和/或相关政策和程序进行了任何更新,MoneyPenny将提供进一步的培训和指导。

7.监控合规

最低限度将对以下方面进行监测,以确保遵守本政策:

关键的业务利益相关者将制定一个计划,并在一个确定的和合理的时间框架内改正任何发现的缺陷。

发现的任何重大缺陷都将报告给DPO并由其监测。

8.审查

本政策由DPO拥有,至少每年进行审核。政策的任何变化将被跟踪,并在适当的情况下对所有适当的个人进行进修培训/更新

9.相关文档

附表1 - 数据保留指南客户个人数据

其中MoneyPenny作为数据控制器的所有数据所有数据都将被保护,保留和删除我们商定的合同协议以及符合数据保护立法。

如Moneypenny作为数据处理器,所有数据将按照与数据控制器的合同协议以及数据保护法律进行保护和处理。

在我们的数据保护政策和隐私通知中引用;个人和敏感数据只会在被要求提供服务(基于合同协议)或被要求删除之前被保留,以最快的日期为准。

数据处理专为营销目的,为此我们使用的任何信息将保存直到你通知我们,您不再希望收到这些信息,或直到数据被删除依照我们的营销指导方针(可以获得进一步的信息在这从我们的DPO通过电子邮件(电子邮件保护)或邮寄至Wrexham, Western Gateway, LL13 7ZB, Moneypenny资料保障主任),以较早者为准。

作为确保我们为您提供合适服务的一部分,我们可以使用您的数据以可合理的方式追求我们的合法利益,这将是运行业务和提供服务的一部分,这将以某种方式进行物质影响您的权利,自由或利益。

核心业务记录

其中MoneyPenny作为数据控制器的所有数据所有数据都将被保护,保留和删除我们商定的合同协议以及符合数据保护立法。

如Moneypenny作为数据处理器,所有数据将按照与数据控制器的合同协议以及数据保护法律进行保护和处理。

对于会计和财务记录,我们将保留6年,除非合同协议另有规定。

对于投诉记录,我们将在解决投诉后保留1年。

对于通知企业的与法律案件或索赔有关的记录,保留期限将根据数据保护法规(见上文5.1)逐案商定。

人力资源记录

MoneyPenny将使用现有的个人和发展指南(CIPD)作为基准来保留所有个人数据。

我们将在年后3年后保留以下敏感个人数据类型的所有记录:

我们会将下列敏感个人资料类别的记录,保存至有关年份后的6年:

如果需要进一步的信息,可以通过电子邮件从我们的DPO获得(电子邮件保护)或者通过邮寄到数据保护官,MoneyPenny,Western Gateway,WREXHAM,LL13 7ZB。