Política de Retenção de Dados
1. Introdução
Esta Política estabelece as obrigações do Sunglasses2U, de 39-43 Monument Hill, Belgrave House, Weybridge, KT13 8RN ("a Empresa") em relação à retenção de dados pessoais coletados, mantidos e processados pela Empresa de acordo com o Regulamento da UE 2016 / 679 Regulamento Geral de Proteção de Dados ("GDPR").
O GDPR define "dados pessoais" como qualquer informação relativa a uma pessoa singular identificada ou identificável (um "titular de dados"). Uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador on-line ou a um ou mais fatores específicos da fisiologia. identidade genética, mental, econômica, cultural ou social dessa pessoa natural.
O GDPR também aborda dados pessoais de "categoria especial" (também conhecidos como dados pessoais "sensíveis"). Esses dados incluem, mas não se limitam necessariamente a, dados relativos à raça, etnia, política, religião, filiação a sindicatos, genética, biometria (se usada para fins de identificação), saúde, vida sexual ou orientação sexual.
De acordo com o GDPR, os dados pessoais devem ser mantidos em um formato que permita a identificação dos titulares de dados por não mais do que o necessário para as finalidades para as quais os dados pessoais são processados. Em certos casos, os dados pessoais podem ser armazenados por períodos mais longos, onde esses dados devem ser processados para fins de arquivamento que sejam de interesse público, para pesquisa científica ou histórica ou para fins estatísticos (sujeito à implementação do sistema técnico e organizacional apropriado). medidas exigidas pelo GDPR para proteger esses dados).
Além disso, o GDPR inclui o direito de apagar ou "o direito de ser esquecido". Os titulares dos dados têm o direito de apagar os seus dados pessoais (e impedir o processamento desses dados pessoais) nas seguintes circunstâncias:
- Onde os dados pessoais não são mais necessários para o propósito para o qual foram originalmente coletados ou processados (veja acima);
- Quando o titular dos dados retira o seu consentimento;
- Quando a pessoa em causa se opuser ao processamento dos seus dados pessoais e a Empresa não tiver um interesse legítimo superior;
- Quando os dados pessoais são processados ilegalmente (ou seja, em violação do GDPR);
- Quando os dados pessoais tiverem que ser apagados para cumprir uma obrigação legal; ou
- Onde os dados pessoais são processados para a prestação de serviços da sociedade da informação para uma criança.
Esta Política define o (s) tipo (s) de dados pessoais mantidos pela Empresa, o (s) período (s) para o (s) qual (is) esses dados pessoais devem ser retidos e quando e como devem ser excluídos ou descartados.
Para obter mais informações sobre outros aspectos da proteção de dados e conformidade com o GDPR, consulte a Política de Proteção de Dados da Empresa.
2.1 O objectivo principal desta Política é estabelecer limites para a retenção de dados pessoais e garantir que esses limites, bem como os direitos adicionais de eliminação de dados, sejam cumpridos. Por extensão, esta Política visa assegurar que a Empresa cumpra integralmente suas obrigações e os direitos dos titulares de dados no âmbito do GDPR.
2.2 Além de salvaguardar os direitos dos titulares dos dados ao abrigo do GDPR, assegurando que quantidades excessivas de dados não sejam retidas pela Empresa, esta Política visa também melhorar a velocidade e eficiência da gestão de dados.
3.1 Esta Política se aplica a todos os dados pessoais mantidos pela Empresa e por processadores de dados de terceiros que processam dados pessoais em nome da Empresa.
3.2 Dados pessoais, como mantidos pela Empresa, são armazenados das seguintes formas e nos seguintes locais:
- Os servidores da Companhia localizados nas instalações da Companhia na Unidade 17, Centro IO, 57a Croydon Road, Beddington, Croydon, CR0 4WQ;
- Servidores de terceiros, operados em nosso nome;
- Os computadores da Companhia permanentemente localizados nas instalações da Companhia na Unidade 17, Centro IO, 57a Croydon Road, Beddington, Croydon, CR0 4WQ;
- Computadores portáteis e outros dispositivos móveis fornecidos pela Empresa aos seus funcionários;
- Computadores e dispositivos móveis de propriedade de funcionários, agentes e subcontratados usados de acordo com a Política da Empresa para Tratar Seu Próprio Dispositivo ("BYOD");
- Registros físicos armazenados nas instalações da Empresa na Unidade 17, Centro IO, 57a Croydon Road, Beddington, Croydon, CR0 4WQ.
Todos os dados pessoais detidos pela Empresa são detidos em conformidade com os requisitos do GDPR e dos direitos das pessoas em causa, conforme estabelecido na Política de Proteção de Dados da Empresa.
4.1 Os titulares de dados são mantidos completamente informados sobre seus direitos, sobre quais dados pessoais a Empresa detém sobre eles, como esses dados pessoais são usados e por quanto tempo a Empresa reterá esses dados pessoais (ou, se nenhum período fixo de retenção puder ser determinado, os critérios pelos quais a retenção dos dados será determinada).
4.2 Os titulares de dados recebem controle sobre seus dados pessoais mantidos pela Empresa, incluindo o direito de retificar dados incorretos, o direito de solicitar que seus dados pessoais sejam excluídos ou descartados (não obstante os períodos de retenção estabelecidos por esta Política de Retenção de Dados) , o direito de restringir o uso de seus dados pessoais pela Empresa e outros direitos relacionados à tomada de decisões e perfis automatizados.
Após o término dos períodos de retenção de dados estabelecidos abaixo na Parte 6 desta Política, ou quando um titular de dados exercer o direito de apagar seus dados pessoais, os dados pessoais serão excluídos, destruídos ou descartados da seguinte forma:
5.1 Dados pessoais armazenados eletronicamente (incluindo todo e qualquer backup) devem ser excluídos;
5.2 Os dados pessoais armazenados em formato impresso devem ser triturados.
6.1 Como declarado acima, e conforme exigido por lei, a Empresa não reterá quaisquer dados pessoais por mais tempo do que o necessário à luz da (s) finalidade (s) para a (s) qual (quais) os dados são coletados, mantidos e processados.
6.2 Diferentes tipos de dados pessoais, usados para diferentes propósitos, serão necessariamente retidos por diferentes períodos (e sua retenção periodicamente revisada), conforme descrito abaixo.
6.3 Ao estabelecer e / ou revisar os períodos de retenção, deve-se considerar o seguinte:
- Os objetivos e requisitos da empresa;
- O tipo de dados pessoais em questão;
- O propósito (s) para o qual os dados em questão são coletados, mantidos e processados;
- Base jurídica da empresa para coletar, manter e processar esses dados;
- A categoria ou categorias de dados sujeitos a quem os dados se referem.
6.4 Se não for possível fixar um período de retenção preciso para um tipo específico de dados, serão estabelecidos critérios pelos quais a retenção dos dados será determinada, garantindo assim que os dados em questão e a retenção desses dados possam ser regularmente revisados. contra esses critérios.
6.5 Não obstante os seguintes períodos de retenção definidos, determinados dados pessoais podem ser excluídos ou eliminados antes de expirar o período de retenção definido, caso seja tomada uma decisão dentro da Empresa (em resposta a um pedido por um titular de dados ou de outra forma).
| Tipo de dados | Finalidade dos dados | Período de retenção |
|---|---|---|
| Registros da empresa | Certificado de incorporação, certificados de ações, etc. | Permanentemente |
| Acordos | Todos os contratos com: clientes, fornecedores, agentes | 10 anos após o vencimento |
| Acordos | Acordos de licenciamento | 10 anos após o vencimento |
| Acordos | Aluguel e compra de aluguel | 10 anos após o vencimento |
| Acordos | Indemnizações e garantias | 10 anos após o vencimento |
| Acordos | Qualquer outro acordo ou contrato | 10 anos após o vencimento |
| Registros de Propriedade | Ações de título | Até ser vendido ou transferido |
| Registros de Propriedade | Locações | 12 anos após o término e quaisquer consultas terminais (por exemplo, Dilapidações) foram resolvidas 6 anos após a conclusão |
| Registros de Propriedade | Acordos com arquitetos, construtores | 6 anos após a conclusão |
| Registros de Propriedade | Relatórios e opiniões | 10 anos após correspondência |
| Registros de pensão | Todas as ações de confiança e regras | Permanentemente ou, se fundida com outro fundo, 12 anos após a fusão |
| Registros de pensão | Contas e documentos comprovativos | 6 anos a partir de contas de data assinadas |
| Registros de pensão | Aprovações da receita interna | Permanentemente ou, se fundida com outro fundo, 12 anos após a fusão |
| Registros de pensão | Registros de pensionistas | 12 anos após o benefício cessar |
| Registros de pensão | Registros de ex-aposentados | Permanentemente ou, se fundida com outro fundo, 12 anos após a fusão |
| Registros de pensão | Diretivas de integridade de grupo | 12 anos após a cessação do benefício |
| Registros de pensão | Políticas de acidentes pessoais em grupo | 6 anos depois do ano em que ocorreu o evento |
| Registros bancários | Cheques, letras de câmbio e outros instrumentos negociáveis | 6 anos |
| Registros bancários | Pay-in counterfoils | 6 anos |
| Registros bancários | Extratos bancários e reconciliações | 6 anos |
| Registros bancários | Taxa de câmbio estrangeiro | 15 anos |
| Registros bancários | Instruções para os bancos | 6 anos depois de deixar de ser eficaz |
| Registros de seguro | Políticas de responsabilidade pública | Permanentemente |
| Registros de seguro | Responsabilidade do produto | Permanentemente |
| Registros de seguro | Políticas de responsabilidade dos empregadores | Permanentemente |
| Registros de seguro | Horários de seguros | 7 anos |
| Registros de seguro | Políticas de Grupo de Saúde | 12 anos após a cessação do benefício |
| Registros de seguro | Políticas de acidentes pessoais em grupo | 12 anos após a cessação do benefício |
| Registros de seguro | Reivindicações pessoais | 7 anos a partir da data da reivindicação |
| Registros de seguro | Outras políticas | Até que reivindicações sob política sejam barradas |
| Registros contábeis e fiscais | Em conformidade com o Companies Act 1985 (inclui todos os registros subsidiários para dar suporte às contas anuais) | 3 anos |
| Registros contábeis e fiscais | Orçamentos e relatórios financeiros internos periódicos, por exemplo, para embarcar (mestre) | 2 anos |
| Registros contábeis e fiscais | Retornos e registros de impostos | 10 anos |
| Registros contábeis e fiscais | Registros de IVA | 6 anos |
| Registros contábeis e fiscais | Imposto de Renda e NI retorna, incluindo correspondência com o Departamento Fiscal | 3 anos após o final do ano fiscal ao qual os registros se relacionam |
| Registros contábeis e fiscais | Renda e despesas | 7 anos |
| Registros de funcionários | Registros pessoais e de treinamento (incluindo notas de audiência disciplinares e de queixas) | 6 anos após o término do emprego; poderia ser mais longo com o acordo de indivíduo |
| Registros de funcionários | Compromissos e registros de avaliação de pessoal | 5 anos |
| Registros de funcionários | Registros de redundância | 12 anos a partir da data de redundância |
| Registros de funcionários | Registros do executivo sênior | Permanentemente |
| Registros de funcionários | Detalhes de contato mantidos em arquivos pessoais (por exemplo, índice de cartões, MS Outlook) | Até que seja aparente, a pessoa não está mais no local indicado |
| Registros de funcionários | Informações pessoais de qualquer tipo em uma página da web ou site | Não mais do que o período especificamente acordado com o indivíduo |
| Registros de funcionários | Folhas de pagamento e registros salariais (incluindo horas extras, bônus e despesas) | 6 anos |
| Registros de funcionários | Registros e cálculos estatutários do pagamento por doença | 3 anos após o final do ano fiscal ao qual os registros se relacionam |
| Registros de funcionários | Registros de Imposto de Renda (por exemplo, P45, P60, P58, P48) | 6 anos |
| Registros de funcionários | Retorno anual do pagamento tributável e imposto pago | 6 anos |
| Acordos contratuais | Contratos | 12 anos após o vencimento |
| Registros de saúde e segurança | Registro de consultas com representantes de segurança e comitês | Permanentemente |
| Registros de saúde e segurança | Registros de treinamento relacionados à segurança no trabalho | Permanentemente |
| Registros de saúde e segurança | Registros de saúde ocupacional | Durante o emprego |
| Registros de saúde e segurança | Nos termos do Regulamento COSHH | 40 anos |
| Registros de saúde e segurança | Classificações de dados sob os Regulamentos de Produtos Químicos (Informações sobre Perigos e Embalagem para Fornecimento) 1994 | 3 anos |
| Registros de transporte | Cadernos de registro de motoristas | 5 anos após a conclusão |
| Registros de transporte | Registros de milhagem de veículos | 2 anos após o veículo ser descartado, a menos que haja reclamações de responsabilidade |
| Registros de transporte | Registros de manutenção de veículos | 2 anos após o veículo ser descartado, a menos que haja reclamações de responsabilidade |
| Registros de transporte | Registros MOT | 2 anos após o veículo ser descartado, a menos que haja reclamações de responsabilidade |
| Registros de transporte | Registros de registro | 2 anos após o veículo ser descartado, a menos que haja reclamações de responsabilidade |
7.1 O líder de proteção de dados deve ser responsável por supervisionar a implementação desta Política e monitorar a conformidade com esta Política, as outras políticas relacionadas à Proteção de Dados da Empresa (incluindo, mas não limitado a, sua Política de Proteção de Dados) e com o GDPR e outra legislação aplicável em matéria de protecção de dados.
7.2 O líder de proteção de dados deve ser diretamente responsável por garantir a conformidade com os períodos de retenção de dados acima em toda a Empresa.
7.3Quaisquer questões relativas a esta Política, a retenção de dados pessoais ou qualquer outro aspecto da conformidade com o GDPR devem ser encaminhados ao líder de proteção de dados.
Esta Apólice entrará em vigor em 25 de maio de 2018. Nenhuma parte desta Apólice terá efeito retroativo e, portanto, se aplicará apenas a assuntos ocorridos a partir dessa data.
V1.0
23.05.2018