1. Introducción
Esta Política establece las obligaciones de Mike Lane Mods Limited ("la Compañía") con respecto a la retención de datos personales recopilados, retenidos y procesados por la Compañía de acuerdo con el Reglamento de la UE 2016/679 Reglamento General de Protección de Datos ("GDPR").
El RGPD define "datos personales" como cualquier información relacionada con una persona física identificada o identificable (un "sujeto de datos"). Una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico , genética, psíquica, económica, cultural o social de esa persona natural.
El RGPD también aborda los datos personales de "categoría especial" (también conocidos como datos personales "sensibles"). Dichos datos incluyen, entre otros, datos relacionados con la raza, el origen étnico, la política, la religión, la afiliación sindical, la genética, la biometría (si se usa con fines de identificación), la salud, la vida sexual o la orientación sexual del interesado.
Según el RGPD, los datos personales se conservarán en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se procesan los datos personales. En ciertos casos, los datos personales pueden almacenarse durante períodos más prolongados cuando esos datos se procesen con fines de archivo que sean de interés público, para investigaciones científicas o históricas, o para fines estadísticos (sujeto a la implementación de las normas técnicas y organizativas adecuadas). medidas requeridas por el GDPR para proteger esos datos).
Además, el GDPR incluye el derecho a borrar o "el derecho a ser olvidado". Los interesados tienen derecho a que se borren sus datos personales (y para evitar el procesamiento de esos datos personales) en las siguientes circunstancias:
a) Cuando los datos personales ya no sean necesarios para el propósito para el que se recopilaron o procesaron originalmente (ver arriba);
b) Cuando el interesado retire su consentimiento;
c) Cuando el interesado se opone al procesamiento de sus datos personales y la Compañía no tiene un interés legítimo superior;
d) Cuando los datos personales se procesan ilegalmente (es decir, en violación del RGPD);
e) Cuando los datos personales deben borrarse para cumplir con una obligación legal; o
f) Cuando los datos personales se procesan para la prestación de servicios de la sociedad de la información a un niño.
Esta Política establece el(los) tipo(s) de datos personales en poder de la Compañía para administrar los proyectos de los clientes, el(los) período(s) durante los cuales se conservarán esos datos personales, los criterios para establecer y revisar dicho(s) período(s), y cuándo y cómo debe eliminarse o eliminarse de otro modo.
Para más información sobre otros aspectos de la protección de datos y el cumplimiento del RGPD, consulte la Política de Protección de Datos de la Compañía.
2. Metas y objetivos
2.1 El objetivo principal de esta Política es establecer límites para la retención de datos personales y garantizar que se cumplan esos límites, así como otros derechos de borrado de los interesados. Por extensión, esta Política tiene como objetivo garantizar que la Compañía cumpla íntegramente con sus obligaciones y los derechos de los interesados en virtud del RGPD.
2.2 Además de salvaguardar los derechos de los interesados en virtud del RGPD, al garantizar que la Compañía no retenga cantidades excesivas de datos, esta Política también tiene como objetivo mejorar la velocidad y la eficiencia de la gestión de datos.
3. Alcance
3.1 Esta Política se aplica a todos los datos personales en poder de la Compañía y de los procesadores de datos de terceros que procesan datos personales en nombre de la Compañía.
3.2 Los datos personales, tal como los posee la Compañía, se almacenan de las siguientes maneras y en las siguientes ubicaciones:
a) Servidores de terceros, operados por un proveedor de servicios de almacenamiento en la nube que cumpla con el RGPD;
b) Computadoras ubicadas permanentemente en las instalaciones de la Compañía; y
c) Registros físicos almacenados en las instalaciones de la Compañía.
4. Derechos del interesado e integridad de los datos
Todos los datos personales en poder de la Compañía se mantienen de acuerdo con los requisitos del RGPD y los derechos de los interesados en virtud del mismo, como se establece en la Política de Protección de Datos de la Compañía.
4.1 Los sujetos de datos se mantienen completamente informados de sus derechos, de qué datos personales tiene la Compañía sobre ellos, cómo se utilizan esos datos personales según lo establecido en las Partes 12 y 13 de la Política de Protección de Datos de la Compañía, y cuánto tiempo la Compañía mantendrá esos datos. datos personales (o, si no se puede determinar un período de retención fijo, los criterios por los cuales se determinará la retención de los datos).
4.2 Los interesados tienen control sobre sus datos personales en poder de la Compañía, incluido el derecho a que se rectifiquen los datos incorrectos, el derecho a solicitar que sus datos personales se eliminen o eliminen de otro modo (sin perjuicio de los períodos de retención establecidos de otra manera por esta Política de retención de datos) , el derecho a restringir el uso de sus datos personales por parte de la Compañía, y otros derechos relacionados con la toma de decisiones automatizada y la elaboración de perfiles.
5. Medidas de seguridad de los datos técnicos y organizativos
5.1 Todos los datos personales almacenados electrónicamente deben tener una copia de seguridad a intervalos regulares con copias de seguridad almacenadas en el sitio y fuera del sitio. Todas las copias de seguridad deben cifrarse mediante cifrado estándar de cifrado avanzado (AES) de 256 bits. La recuperación de datos debería ser posible de forma remota en caso de un desastre en el área local u otra interrupción de los procedimientos de acceso normales;
a) Todos los correos electrónicos que contengan datos personales deben estar encriptados;
b) Todos los correos electrónicos que contengan datos personales deben marcarse como "confidencial";
c) Los datos personales sólo podrán ser transmitidos a través de redes seguras;
d) Los datos personales no pueden transmitirse a través de una red inalámbrica si existe una alternativa cableada razonable;
e) Los datos personales contenidos en el cuerpo de un correo electrónico, ya sea enviado o recibido, deben copiarse del cuerpo de ese correo electrónico y almacenarse de forma segura. El correo electrónico en sí y los archivos temporales asociados deben eliminarse;
f) Cuando los datos personales se envíen por transmisión de fax, el destinatario debe ser informado con anticipación y debe esperar para recibirlos;
g) Cuando los datos personales deban transferirse en forma impresa, deben transmitirse directamente al destinatario o dirigirse específicamente al destinatario si se entregan por correo;
h) Todos los datos personales transferidos físicamente deben transferirse en un contenedor adecuado marcado como "confidencial";
i) No se pueden compartir datos personales de manera informal y si se requiere acceso a algún dato personal, dicho acceso debe solicitarse formalmente al Oficial de Protección de Datos de la Compañía.
j) Todas las copias impresas de los datos personales, junto con las copias electrónicas almacenadas en medios físicos, deben almacenarse de forma segura;
k) No se pueden transferir datos personales a ningún empleado, agente, contratista u otras partes, ya sea que dichas partes trabajen en nombre de la Compañía o no, sin autorización;
l) Los datos personales deben manejarse con cuidado en todo momento y no deben dejarse desatendidos o a la vista;
m) Las computadoras utilizadas para ver datos personales siempre deben bloquearse antes de dejarse desatendidas;
n) No se deben almacenar datos personales en ningún dispositivo móvil, ya sea que dicho dispositivo pertenezca a la Compañía o no;
o) Todos los datos personales almacenados electrónicamente deben respaldarse a intervalos regulares, con copias de seguridad almacenadas en el sitio y fuera del sitio. Todas las copias de seguridad deben estar encriptadas;
p) Todas las copias electrónicas de los datos personales deben almacenarse de forma segura mediante contraseñas y cifrado;
q) Todas las contraseñas utilizadas para proteger los datos personales deben cambiarse periódicamente y deben ser seguras;
r) En ningún caso se escribirán o compartirán contraseñas. Si se olvida una contraseña, debe restablecerse utilizando el método aplicable;
s) Todo el software debe mantenerse actualizado. Las actualizaciones relacionadas con la seguridad deben instalarse tan pronto como sea razonablemente posible después de que estén disponibles;
t) No se puede instalar ningún software en ninguna computadora o dispositivo propiedad de la Compañía sin aprobación; y
u) Cuando los datos personales en poder de la Empresa se utilicen con fines de marketing, la Empresa se asegurará de que se obtenga el consentimiento adecuado y de que ningún interesado haya optado por no participar, ya sea directamente o a través de un servicio de terceros como el TPS.
5.2 Las siguientes medidas organizativas están implementadas dentro de la Compañía para proteger la seguridad de los datos personales. Consulte la Parte 27 de la Política de protección de datos de la Compañía para obtener más detalles:
a) Todos los empleados y otras partes que trabajen en nombre de la Empresa deberán ser plenamente conscientes de sus responsabilidades individuales y de las responsabilidades de la Empresa en virtud del RGPD y de la Política de Protección de Datos de la Empresa;
b) Solo los empleados y otras partes que trabajen en nombre de la Compañía que necesiten acceso y uso de datos personales para realizar su trabajo tendrán acceso a los datos personales en poder de la Compañía;
c) Todos los empleados y otras partes que trabajen en nombre de la Compañía que manejen datos personales recibirán la capacitación adecuada para hacerlo;
d) Todos los empleados y otras partes que trabajan en nombre de la Compañía que manejan datos personales serán debidamente supervisados;
e) Todos los empleados y otras partes que trabajan en nombre de la Compañía que manejan datos personales deben tener cuidado y precaución al discutir cualquier trabajo relacionado con datos personales en todo momento;
f) Los métodos de recopilación, conservación y procesamiento de datos personales se evaluarán y revisarán periódicamente;
g) El desempeño de aquellos empleados y otras partes que trabajan en nombre de la Compañía que manejan datos personales se evaluará y revisará periódicamente;
h) Todos los empleados y otras partes que trabajan en nombre de la Compañía que manejan datos personales estarán obligados por contrato a cumplir con el RGPD y la Política de Protección de Datos de la Compañía;
i) Todos los agentes, contratistas u otras partes que trabajen en nombre de la Compañía que manejen datos personales deben asegurarse de que todos y cada uno de los empleados relevantes estén sujetos a las mismas condiciones que los empleados relevantes de la Compañía que surjan del RGPD y la Protección de datos de la Compañía. Política;
j) Cuando cualquier agente, contratista u otra parte que trabaje en nombre de la Compañía que maneje datos personales no cumpla con sus obligaciones bajo el RGPD y/o la Política de Protección de Datos de la Compañía, esa parte deberá indemnizar y eximir a la Compañía de cualquier costo, responsabilidad, daños, perjuicios, reclamaciones o procedimientos que pudieran derivarse de dicho incumplimiento.
6. Eliminación de datos
Al expirar los períodos de retención de datos establecidos a continuación en la Parte 7 de esta Política, o cuando un interesado ejerza su derecho a que se borren sus datos personales, los datos personales se eliminarán, destruirán o eliminarán de la siguiente manera:
6.1 Los datos personales almacenados electrónicamente (incluidas todas y cada una de las copias de seguridad de los mismos) se eliminarán;
6.2 Los datos personales almacenados en forma impresa se triturarán y reciclarán o eliminarán.
6.3 Al deshacerse de computadoras viejas u otro equipo que contenga datos personales, se deben tomar medidas minuciosas para eliminar por completo los datos. Esto debe incluir la eliminación de todos los datos del dispositivo, realizar un restablecimiento de fábrica y la destrucción física y eliminación segura de los discos duros, cuando corresponda.
7. Retención de datos
7.1 Como se indicó anteriormente, y según lo exige la ley, la Compañía no retendrá ningún dato personal por más tiempo del necesario a la luz del (los) propósito (s) para el cual se recopilan, retienen y procesan esos datos.
7.2 Los diferentes tipos de datos personales, utilizados para diferentes propósitos, necesariamente se conservarán durante diferentes períodos (y su conservación se revisará periódicamente), como se establece a continuación.
7.3 Al establecer y / o revisar períodos de retención, se tendrá en cuenta lo siguiente:
a) Los objetivos y requisitos de la Compañía;
b) El tipo de datos personales en cuestión;
c) El (los) propósito (s) para los cuales se recopilan, retienen y procesan los datos en cuestión;
d) La base legal de la Compañía para recolectar, mantener y procesar esos datos;
e) La categoría o categorías de interesados a los que se refieren los datos;
7.4 Si no se puede fijar un período de retención preciso para un tipo particular de datos, se establecerán criterios por los cuales se determinará la retención de los datos, asegurando así que los datos en cuestión, y la retención de esos datos, puedan revisarse regularmente en contra de esos criterios.
7.5 Sin perjuicio de los siguientes períodos de retención definidos, ciertos datos personales pueden eliminarse o eliminarse antes de la expiración de su período de retención definido cuando se tome una decisión dentro de la Compañía para hacerlo (ya sea en respuesta a una solicitud de un sujeto de datos o de lo contrario).
Tipo de datos: Detalles de contacto del cliente a través del formulario de consulta del sitio web: nombre, dirección de correo electrónico y mensaje
Propósito de los datos: Sirve como método de contacto para los clientes, así como también como método para recopilar consultas de ventas a través del sitio web de la Compañía.
Período de revisión: dos años
Período o Criterio de Retención: Indefinido – retenido hasta que ya no sea necesario
Tipo de datos: Detalles del cliente a través de la tienda del sitio web: nombre, nombre de la empresa (opcional), dirección de envío, dirección de facturación, número de teléfono (opcional), dirección de correo electrónico
Propósito de los datos: Esencial para procesar, enviar, administrar y respaldar pedidos existentes y futuros, comunicación con el cliente, finanzas y facturación.
Período de revisión: dos años
Período o Criterio de Retención: Indefinido – retenido hasta que ya no sea necesario
Tipo de datos: Detalles del cliente a través de mensaje directo: nombre, dirección, dirección de correo electrónico
Propósito de los datos: Esencial para procesar, enviar, administrar y respaldar pedidos existentes y futuros, comunicación con el cliente, finanzas y facturación.
Período de revisión: dos años
Período o Criterio de Retención: Indefinido – retenido hasta que ya no sea necesario
8. Implementación de la política
Esta Política se considerará efectiva a partir del 1 de mayo de 2018. Ninguna parte de esta Política tendrá efecto retroactivo y, por lo tanto, se aplicará solo a los asuntos que ocurran en o después de esta fecha.
