1. Einleitung

Diese Richtlinie legt die Verpflichtungen von Mike Lane Mods Limited („das Unternehmen“) in Bezug auf die Aufbewahrung personenbezogener Daten fest, die vom Unternehmen gemäß der EU-Verordnung 2016/679 der Allgemeinen Datenschutzverordnung („DSGVO“) erhoben, gespeichert und verarbeitet werden.

Die DSGVO definiert „personenbezogene Daten“ als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (eine „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen der physischen, physiologischen , genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person.

Die DSGVO befasst sich auch mit personenbezogenen Daten der „besonderen Kategorie“ (auch als „sensible“ personenbezogene Daten bekannt). Zu diesen Daten gehören unter anderem Daten zu Rasse, ethnischer Zugehörigkeit, Politik, Religion, Gewerkschaftszugehörigkeit, Genetik, Biometrie (sofern zu Identifikationszwecken verwendet), Gesundheit, Sexualleben oder sexueller Orientierung der betroffenen Person.

Nach der DSGVO werden personenbezogene Daten in einer Form aufbewahrt, die eine Identifizierung der betroffenen Personen ermöglicht, nicht länger als für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist. In bestimmten Fällen können personenbezogene Daten länger gespeichert werden, wenn diese Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeitet werden (vorbehaltlich geeigneter technischer und organisatorischer Maßnahmen). die von der DSGVO zum Schutz dieser Daten vorgeschriebenen Maßnahmen).

Darüber hinaus beinhaltet die DSGVO das Recht auf Löschung oder das Recht auf Vergessenwerden. Betroffene haben das Recht, ihre personenbezogenen Daten löschen zu lassen (und die Verarbeitung dieser personenbezogenen Daten zu verhindern), wenn folgende Umstände vorliegen:
a) wenn die personenbezogenen Daten für den Zweck, für den sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr benötigt werden (siehe oben);
b) wenn die betroffene Person ihre Einwilligung widerruft;
c) wenn die betroffene Person der Verarbeitung ihrer personenbezogenen Daten widerspricht und das Unternehmen kein übergeordnetes berechtigtes Interesse hat;
d) wenn die personenbezogenen Daten rechtswidrig verarbeitet werden (dh gegen die DSGVO verstoßen);
e) wenn die personenbezogenen Daten gelöscht werden müssen, um einer gesetzlichen Verpflichtung nachzukommen; oder
f) Wenn die personenbezogenen Daten für die Bereitstellung von Diensten der Informationsgesellschaft für ein Kind verarbeitet werden.

Diese Richtlinie legt die Art(en) personenbezogener Daten fest, die das Unternehmen für die Verwaltung von Kundenprojekten hält, den Zeitraum, für den diese personenbezogenen Daten aufzubewahren sind, die Kriterien für die Festlegung und Überprüfung dieser Zeiträume und wann und wie es gelöscht oder anderweitig entsorgt werden soll.

Weitere Informationen zu weiteren Aspekten des Datenschutzes und der Einhaltung der DSGVO finden Sie in der Datenschutzerklärung des Unternehmens.

2. Ziele und Aufgaben

2.1 Das Hauptziel dieser Richtlinie ist es, Grenzen für die Speicherung personenbezogener Daten festzulegen und sicherzustellen, dass diese Grenzen sowie weitere Rechte der betroffenen Person auf Löschung eingehalten werden. Darüber hinaus soll diese Richtlinie sicherstellen, dass das Unternehmen seinen Verpflichtungen und den Rechten der betroffenen Personen gemäß der DSGVO vollständig nachkommt.
2.2 Zusätzlich zum Schutz der Rechte der betroffenen Personen gemäß der DSGVO, indem sichergestellt wird, dass keine übermäßigen Datenmengen vom Unternehmen gespeichert werden, zielt diese Richtlinie auch darauf ab, die Geschwindigkeit und Effizienz der Datenverwaltung zu verbessern.

3. Umfang

3.1 Diese Richtlinie gilt für alle personenbezogenen Daten, die im Besitz des Unternehmens und von externen Datenverarbeitern sind, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten.
3.2 Personenbezogene Daten im Besitz des Unternehmens werden auf folgende Weise und an folgenden Orten gespeichert:
a) Server von Drittanbietern, die von einem DSGVO-konformen Cloud-Speicher-Dienstleister betrieben werden;
b) Computer, die sich ständig auf dem Firmengelände befinden; und
c) Physische Aufzeichnungen, die in den Räumlichkeiten des Unternehmens aufbewahrt werden.

4. Rechte der betroffenen Person und Datenintegrität

Alle vom Unternehmen gespeicherten personenbezogenen Daten werden in Übereinstimmung mit den Anforderungen der DSGVO und den daraus resultierenden Rechten der betroffenen Personen aufbewahrt, wie in der Datenschutzrichtlinie des Unternehmens dargelegt.

4.1 Betroffene Personen werden umfassend über ihre Rechte informiert, darüber, welche personenbezogenen Daten das Unternehmen über sie besitzt, wie diese personenbezogenen Daten gemäß den Bestimmungen in den Teilen 12 und 13 der Datenschutzrichtlinie des Unternehmens verwendet werden und wie lange das Unternehmen diese aufbewahren wird personenbezogene Daten (oder, falls keine feste Aufbewahrungsfrist bestimmt werden kann, die Kriterien, nach denen die Aufbewahrung der Daten bestimmt wird).
4.2 Die betroffenen Personen haben die Kontrolle über ihre personenbezogenen Daten, die im Besitz des Unternehmens sind, einschließlich des Rechts auf Berichtigung unrichtiger Daten, des Rechts auf Löschung ihrer personenbezogenen Daten oder anderweitiger Beseitigung (ungeachtet der in dieser Richtlinie zur Vorratsdatenspeicherung festgelegten Aufbewahrungsfristen). , das Recht, die Verwendung ihrer personenbezogenen Daten durch das Unternehmen einzuschränken, sowie weitere Rechte in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung.

5. Technische und organisatorische Datensicherheitsmaßnahmen

5.1 Alle elektronisch gespeicherten personenbezogenen Daten sollten in regelmäßigen Abständen mit Backups vor Ort und außerhalb gespeichert werden. Alle Backups sollten mit Advanced Encryption Standard (AES) 256-Bit-Verschlüsselung verschlüsselt werden. Die Wiederherstellung von Daten sollte im Falle einer lokalen Katastrophe oder einer anderen Störung der normalen Zugriffsverfahren aus der Ferne möglich sein;
a) Alle E-Mails mit persönlichen Daten müssen verschlüsselt sein.
b) Alle E-Mails mit personenbezogenen Daten müssen als „vertraulich“ gekennzeichnet sein;
c) Personenbezogene Daten dürfen nur über sichere Netze übermittelt werden;
d) Personenbezogene Daten dürfen nicht über ein drahtloses Netzwerk übertragen werden, wenn es eine zumutbare kabelgebundene Alternative gibt;
e) Personenbezogene Daten, die im Text einer E-Mail enthalten sind, egal ob gesendet oder empfangen, sollten aus dem Text dieser E-Mail kopiert und sicher gespeichert werden. Die E-Mail selbst und die zugehörigen temporären Dateien sollten gelöscht werden;
f) Wenn personenbezogene Daten per Telefax übermittelt werden sollen, sollte der Empfänger im Voraus informiert werden und auf den Empfang warten;
g) Soweit personenbezogene Daten in Papierform übermittelt werden sollen, sollen diese direkt an den Empfänger weitergegeben oder bei postalischer Zustellung gezielt an den Empfänger adressiert werden;
h) Alle physisch übertragenen personenbezogenen Daten sollten in einem geeigneten Behälter mit der Aufschrift „vertraulich“ übertragen werden;
i) Es dürfen keine personenbezogenen Daten informell weitergegeben werden und wenn der Zugang zu personenbezogenen Daten erforderlich ist, sollte dieser Zugang formell beim Datenschutzbeauftragten des Unternehmens beantragt werden.
j) Alle Papierkopien personenbezogener Daten sowie alle elektronischen Kopien, die auf physischen Medien gespeichert sind, sollten sicher aufbewahrt werden;
k) Es dürfen keine personenbezogenen Daten ohne Genehmigung an Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien weitergegeben werden, unabhängig davon, ob diese Parteien im Auftrag des Unternehmens arbeiten oder nicht;
l) Personenbezogene Daten müssen jederzeit mit Sorgfalt behandelt werden und dürfen nicht unbeaufsichtigt oder sichtbar gelassen werden;
m) Computer, die zum Einsehen personenbezogener Daten verwendet werden, müssen immer gesperrt werden, bevor sie unbeaufsichtigt gelassen werden;
n) Es dürfen keine personenbezogenen Daten auf einem mobilen Gerät gespeichert werden, unabhängig davon, ob dieses Gerät dem Unternehmen gehört oder anderweitig;
o) Alle elektronisch gespeicherten personenbezogenen Daten sollten in regelmäßigen Abständen gesichert werden, wobei Backups vor Ort und außerhalb gespeichert werden. Alle Backups sollten verschlüsselt werden;
p) Alle elektronischen Kopien personenbezogener Daten sollten unter Verwendung von Passwörtern und Verschlüsselung sicher gespeichert werden;
q) Alle zum Schutz personenbezogener Daten verwendeten Passwörter sollten regelmäßig geändert werden und müssen sicher sein;
r) Unter keinen Umständen dürfen Passwörter aufgeschrieben oder weitergegeben werden. Wenn ein Passwort vergessen wird, muss es mit der entsprechenden Methode zurückgesetzt werden;
s) Die gesamte Software sollte auf dem neuesten Stand gehalten werden. Sicherheitsrelevante Updates sollten so schnell wie möglich nach Verfügbarkeit installiert werden;
t) Ohne Genehmigung darf keine Software auf unternehmenseigenen Computern oder Geräten installiert werden; und
u) Wenn personenbezogene Daten im Besitz des Unternehmens zu Marketingzwecken verwendet werden, stellt das Unternehmen sicher, dass die entsprechende Einwilligung eingeholt wird und keine betroffenen Personen sich abgemeldet haben, sei es direkt oder über einen Drittanbieterdienst wie den TPS.

5.2 Die folgenden organisatorischen Maßnahmen werden innerhalb des Unternehmens zum Schutz der Sicherheit personenbezogener Daten getroffen. Weitere Informationen finden Sie in Teil 27 der Datenschutzrichtlinie des Unternehmens:
a) Alle Mitarbeiter und andere Parteien, die im Namen des Unternehmens arbeiten, werden sowohl über ihre individuellen Verantwortlichkeiten als auch über die Verantwortlichkeiten des Unternehmens gemäß der DSGVO und der Datenschutzrichtlinie des Unternehmens informiert;
b) Nur Mitarbeiter und andere Parteien, die im Auftrag des Unternehmens arbeiten, die Zugang zu personenbezogenen Daten und deren Verwendung benötigen, um ihre Arbeit auszuführen, haben Zugriff auf personenbezogene Daten, die sich im Besitz des Unternehmens befinden;
c) Alle Mitarbeiter und andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, werden entsprechend geschult;
d) Alle Mitarbeiter und andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, werden angemessen beaufsichtigt;
e) Alle Mitarbeiter und andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, sollten bei der Erörterung von Arbeiten im Zusammenhang mit personenbezogenen Daten jederzeit Sorgfalt und Vorsicht walten lassen;
f) Die Methoden zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten werden regelmäßig evaluiert und überprüft;
g) Die Leistung der Mitarbeiter und anderer Personen, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, wird regelmäßig bewertet und überprüft;
h) Alle Mitarbeiter und andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, sind vertraglich zur Einhaltung der DSGVO und der Datenschutzrichtlinie des Unternehmens verpflichtet;
i) Alle Agenten, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, müssen sicherstellen, dass alle relevanten Mitarbeiter zu den gleichen Bedingungen wie diese relevanten Mitarbeiter des Unternehmens gehalten werden, die sich aus der DSGVO und dem Datenschutz des Unternehmens ergeben Politik;
j) Wenn ein Vertreter, Auftragnehmer oder eine andere Partei, die im Namen des Unternehmens mit personenbezogenen Daten arbeitet, seinen Verpflichtungen gemäß der DSGVO und/oder der Datenschutzrichtlinie des Unternehmens nicht nachkommt, stellt diese Partei das Unternehmen schad- und klaglos von allen Kosten, Haftung, Schäden, Verluste, Ansprüche oder Verfahren, die sich aus diesem Versäumnis ergeben können.

6. Datenentsorgung

Nach Ablauf der in Teil 7 dieser Richtlinie angegebenen Aufbewahrungsfristen oder wenn eine betroffene Person von ihrem Recht Gebrauch macht, ihre personenbezogenen Daten löschen zu lassen, werden personenbezogene Daten wie folgt gelöscht, vernichtet oder anderweitig entsorgt:
6.1 Elektronisch gespeicherte personenbezogene Daten (einschließlich aller Sicherungskopien davon) werden gelöscht;
6.2 In Papierform gespeicherte personenbezogene Daten werden kreuzvernichtet und recycelt oder entsorgt.
6.3 Bei der Entsorgung alter Computer oder anderer Geräte, die personenbezogene Daten enthalten, sollten gründliche Schritte unternommen werden, um die Daten vollständig zu entfernen. Dies sollte das Löschen aller Daten vom Gerät, das Zurücksetzen auf die Werkseinstellungen und gegebenenfalls die physische Zerstörung und sichere Entsorgung von Festplatten umfassen.

7. Vorratsdatenspeicherung

7.1 Wie oben angegeben und gesetzlich vorgeschrieben, darf das Unternehmen personenbezogene Daten nicht länger aufbewahren, als dies angesichts der Zwecke erforderlich ist, für die diese Daten gesammelt, gespeichert und verarbeitet werden.
7.2 Verschiedene Arten von personenbezogenen Daten, die für verschiedene Zwecke verwendet werden, werden notwendigerweise für verschiedene Zeiträume aufbewahrt (und ihre Aufbewahrung regelmäßig überprüft), wie unten beschrieben.
7.3 Bei der Festlegung und / oder Überprüfung von Aufbewahrungsfristen ist Folgendes zu berücksichtigen:
a) die Ziele und Anforderungen des Unternehmens;
b) die Art der betreffenden personenbezogenen Daten;
c) die Zwecke, für die die betreffenden Daten gesammelt, gespeichert und verarbeitet werden;
d) die Rechtsgrundlage des Unternehmens für die Erhebung, Speicherung und Verarbeitung dieser Daten;
e) die Kategorie oder Kategorien der betroffenen Person, auf die sich die Daten beziehen;
7.4 Wenn für eine bestimmte Art von Daten keine genaue Aufbewahrungsfrist festgelegt werden kann, sind Kriterien festzulegen, anhand derer die Aufbewahrung der Daten bestimmt wird, um sicherzustellen, dass die betreffenden Daten und die Aufbewahrung dieser Daten regelmäßig überprüft werden können gegen diese Kriterien.
7.5 Ungeachtet der folgenden festgelegten Aufbewahrungsfristen können bestimmte personenbezogene Daten vor Ablauf ihrer festgelegten Aufbewahrungsfrist gelöscht oder anderweitig vernichtet werden, wenn eine entsprechende Entscheidung innerhalb des Unternehmens getroffen wird (sei es auf Anfrage einer betroffenen Person oder ansonsten).

Art der Daten: Kundenkontaktdaten über Website-Anfrageformular – Name, E-Mail-Adresse und Nachricht
Zweck der Daten: Dient als Kontaktmethode für Kunden sowie als Methode zum Sammeln von Verkaufsanfragen über die Website des Unternehmens
Überprüfungszeitraum: Zwei Jahre
Aufbewahrungsfrist oder -kriterien: Unbefristet – Aufbewahrung bis nicht mehr erforderlich

Art der Daten: Kundendaten über den Website-Shop – Name, Firmenname (optional), Lieferadresse, Rechnungsadresse, Telefonnummer (optional), E-Mail-Adresse
Zweck der Daten: Unverzichtbar für die Verarbeitung, den Versand, die Verwaltung und Unterstützung bestehender und zukünftiger Bestellungen, Kundenkommunikation, Finanzen und Rechnungsstellung
Überprüfungszeitraum: Zwei Jahre
Aufbewahrungsfrist oder -kriterien: Unbefristet – Aufbewahrung bis nicht mehr erforderlich

Art der Daten: Kundendaten per Direktnachricht – Name, Adresse, E-Mail-Adresse
Zweck der Daten: Unverzichtbar für die Verarbeitung, den Versand, die Verwaltung und Unterstützung bestehender und zukünftiger Bestellungen, Kundenkommunikation, Finanzen und Rechnungsstellung
Überprüfungszeitraum: Zwei Jahre
Aufbewahrungsfrist oder -kriterien: Unbefristet – Aufbewahrung bis nicht mehr erforderlich

8. Umsetzung der Politik

Diese Richtlinie gilt ab dem 1. Mai 2018. Kein Teil dieser Richtlinie hat rückwirkende Wirkung und gilt daher nur für Angelegenheiten, die an oder nach diesem Datum eintreten.