Beleid voor het bewaren van gegevens

Gegevensbewaringsbeleid

1. Inleiding

Dit beleid beschrijft de verplichtingen van Mike Lane Mods Limited ("het bedrijf") met betrekking tot het bewaren van persoonlijke gegevens die door het bedrijf zijn verzameld, bewaard en verwerkt in overeenstemming met EU-verordening 2016/679 Algemene verordening gegevensbescherming ("AVG").

De AVG definieert "persoonsgegevens" als alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (een "gegevenssubject"). Een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator, of van een of meer elementen die specifiek zijn voor de fysieke, fysiologische , genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.

De AVG heeft ook betrekking op persoonsgegevens van de "bijzondere categorie" (ook bekend als "gevoelige" persoonsgegevens). Dergelijke gegevens omvatten, maar zijn niet noodzakelijkerwijs beperkt tot, gegevens over ras, etniciteit, politiek, religie, vakbondslidmaatschap, genetica, biometrie (indien gebruikt voor ID-doeleinden), gezondheid, seksleven of seksuele geaardheid.

Onder de AVG mogen persoonsgegevens niet langer worden bewaard in een vorm die identificatie van betrokkenen mogelijk maakt dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. In bepaalde gevallen kunnen persoonsgegevens voor langere perioden worden bewaard wanneer die gegevens moeten worden verwerkt voor archiveringsdoeleinden die in het algemeen belang zijn, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden (onder voorbehoud van de implementatie van de juiste technische en organisatorische maatregelen vereist door de AVG om die gegevens te beschermen).

Daarnaast bevat de AVG het recht op wissen of “het recht om vergeten te worden”. Betrokkenen hebben het recht om hun persoonsgegevens te laten wissen (en om de verwerking van die persoonsgegevens te voorkomen) in de volgende omstandigheden:
a) Wanneer de persoonsgegevens niet langer nodig zijn voor het doel waarvoor ze oorspronkelijk zijn verzameld of verwerkt (zie hierboven);
b) Wanneer de betrokkene zijn toestemming intrekt;
c) Wanneer de betrokkene bezwaar maakt tegen de verwerking van zijn persoonsgegevens en het bedrijf geen doorslaggevend legitiem belang heeft;
d) Wanneer de persoonsgegevens onrechtmatig (d.w.z. in strijd met de AVG) worden verwerkt;
e) Wanneer de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting; of
f) Wanneer de persoonsgegevens worden verwerkt voor het verlenen van diensten van de informatiemaatschappij aan een kind.

Dit beleid beschrijft de soort(en) persoonsgegevens die door het bedrijf worden bewaard voor het beheer van klantprojecten, de periode(n) waarvoor die persoonlijke gegevens moeten worden bewaard, de criteria voor het vaststellen en herzien van dergelijke periode(n) en wanneer en hoe het moet worden verwijderd of anderszins verwijderd.

Raadpleeg het gegevensbeschermingsbeleid van het bedrijf voor meer informatie over andere aspecten van gegevensbescherming en naleving van de AVG.

2. Doelstellingen en doelstellingen

2.1 Het primaire doel van dit beleid is om limieten vast te stellen voor het bewaren van persoonsgegevens en om ervoor te zorgen dat aan die limieten, evenals aan verdere rechten van betrokkenen om te wissen, wordt voldaan. Bij uitbreiding heeft dit beleid tot doel ervoor te zorgen dat het bedrijf volledig voldoet aan zijn verplichtingen en de rechten van betrokkenen onder de AVG.
2.2 Naast het beschermen van de rechten van betrokkenen onder de AVG, door ervoor te zorgen dat buitensporige hoeveelheden gegevens niet door het bedrijf worden bewaard, heeft dit beleid ook tot doel de snelheid en efficiëntie van het gegevensbeheer te verbeteren.

3. strekking

3.1 Dit beleid is van toepassing op alle persoonlijke gegevens die worden bewaard door het bedrijf en door externe gegevensverwerkers die namens het bedrijf persoonlijke gegevens verwerken.
3.2 Persoonlijke gegevens, zoals bewaard door het bedrijf, worden op de volgende manieren en op de volgende locaties opgeslagen:
a) Servers van derden, beheerd door een AVG-compatibele cloudopslagdienstverlener;
b) Computers die zich permanent op het terrein van het Bedrijf bevinden; En
c) Fysieke documenten opgeslagen op het terrein van het bedrijf.

4. Rechten van betrokkenen en gegevensintegriteit

Alle persoonlijke gegevens die door het bedrijf worden bewaard, worden bewaard in overeenstemming met de vereisten van de AVG en de rechten van betrokkenen daaronder, zoals uiteengezet in het gegevensbeschermingsbeleid van het bedrijf.

4.1 Betrokkenen worden volledig op de hoogte gehouden van hun rechten, van welke persoonlijke gegevens het bedrijf over hen bewaart, hoe die persoonlijke gegevens worden gebruikt zoals uiteengezet in delen 12 en 13 van het gegevensbeschermingsbeleid van het bedrijf, en hoe lang het bedrijf dat zal bewaren persoonsgegevens (of, indien geen vaste bewaartermijn kan worden bepaald, de criteria aan de hand waarvan de bewaring van de gegevens zal worden bepaald).
4.2 Betrokkenen krijgen controle over hun persoonlijke gegevens die door het bedrijf worden bewaard, inclusief het recht om onjuiste gegevens te laten rectificeren, het recht om te verzoeken dat hun persoonlijke gegevens worden verwijderd of anderszins worden verwijderd (niettegenstaande de bewaartermijnen die anders zijn vastgelegd in dit gegevensbewaringsbeleid) , het recht om het gebruik van hun persoonlijke gegevens door het bedrijf te beperken, en andere rechten met betrekking tot geautomatiseerde besluitvorming en profilering.

5. Technische en organisatorische gegevensbeveiligingsmaatregelen

5.1 Van alle elektronisch opgeslagen persoonsgegevens moet regelmatig een back-up worden gemaakt met back-ups die onsite en offsite worden opgeslagen. Alle back-ups moeten worden versleuteld met Advanced Encryption Standard (AES) 256-bits versleuteling. Herstel van gegevens moet op afstand mogelijk zijn in het geval van een plaatselijke ramp of andere verstoring van de normale toegangsprocedures;
a) Alle e-mails met persoonsgegevens moeten versleuteld zijn;
b) Alle e-mails met persoonsgegevens moeten worden gemarkeerd als "vertrouwelijk";
c) Persoonsgegevens mogen alleen via beveiligde netwerken worden verzonden;
d) Persoonsgegevens mogen niet via een draadloos netwerk worden verzonden als er een redelijk bekabeld alternatief is;
e) Persoonlijke gegevens in de hoofdtekst van een e-mail, verzonden of ontvangen, moeten worden gekopieerd van de hoofdtekst van die e-mail en veilig worden opgeslagen. De e-mail zelf en de bijbehorende tijdelijke bestanden moeten worden verwijderd;
f) Wanneer persoonlijke gegevens per fax moeten worden verzonden, moet de ontvanger hiervan vooraf op de hoogte worden gesteld en moet hij wachten om deze te ontvangen;
g) Wanneer persoonlijke gegevens in hardcopy-vorm moeten worden overgedragen, moeten deze rechtstreeks aan de ontvanger worden doorgegeven of specifiek aan de ontvanger worden geadresseerd als ze per post worden afgeleverd;
h) Alle fysiek overgedragen persoonsgegevens moeten worden overgedragen in een geschikte container met de vermelding "vertrouwelijk";
i) Er mogen geen persoonlijke gegevens informeel worden gedeeld en als toegang tot persoonlijke gegevens vereist is, moet dergelijke toegang formeel worden aangevraagd bij de functionaris voor gegevensbescherming van het bedrijf.
j) Alle papieren kopieën van persoonlijke gegevens, samen met alle elektronische kopieën die op fysieke media zijn opgeslagen, moeten veilig worden opgeslagen;
k) Er mogen geen persoonlijke gegevens worden overgedragen aan werknemers, agenten, aannemers of andere partijen, ongeacht of deze partijen namens het bedrijf werken of niet, zonder toestemming;
l) Persoonlijke gegevens moeten te allen tijde met zorg worden behandeld en mogen niet onbeheerd of in het zicht worden achtergelaten;
m) Computers die worden gebruikt om persoonlijke gegevens in te zien, moeten altijd worden vergrendeld voordat ze onbeheerd worden achtergelaten;
n) Er mogen geen persoonlijke gegevens worden opgeslagen op een mobiel apparaat, of dat apparaat nu van het Bedrijf is of niet;
o) Van alle persoonlijke gegevens die elektronisch zijn opgeslagen, moet regelmatig een back-up worden gemaakt, met back-ups die onsite en offsite worden opgeslagen. Alle back-ups moeten worden gecodeerd;
p) Alle elektronische kopieën van persoonsgegevens moeten veilig worden opgeslagen met behulp van wachtwoorden en encryptie;
q) Alle wachtwoorden die worden gebruikt om persoonsgegevens te beschermen, moeten regelmatig worden gewijzigd en moeten veilig zijn;
r) In geen geval mogen wachtwoorden worden opgeschreven of gedeeld. Als een wachtwoord is vergeten, moet het opnieuw worden ingesteld met behulp van de toepasselijke methode;
s) Alle software moet up-to-date worden gehouden. Beveiligingsgerelateerde updates moeten zo snel als redelijkerwijs mogelijk is nadat ze beschikbaar zijn gekomen worden geïnstalleerd;
t) Er mag geen software worden geïnstalleerd op een computer of apparaat dat eigendom is van het Bedrijf zonder toestemming; En
u) Wanneer persoonlijke gegevens die door het bedrijf worden bewaard, worden gebruikt voor marketingdoeleinden, zorgt het bedrijf ervoor dat de juiste toestemming wordt verkregen en dat geen betrokkenen zich hebben afgemeld, hetzij rechtstreeks, hetzij via een externe service zoals de TPS.

5.2 Binnen het bedrijf zijn de volgende organisatorische maatregelen getroffen om de beveiliging van persoonsgegevens te waarborgen. Raadpleeg deel 27 van het gegevensbeschermingsbeleid van het bedrijf voor meer informatie:
a) Alle werknemers en andere partijen die namens het bedrijf werken, moeten volledig op de hoogte worden gebracht van zowel hun individuele verantwoordelijkheden als de verantwoordelijkheden van het bedrijf onder de AVG en onder het gegevensbeschermingsbeleid van het bedrijf;
b) Alleen werknemers en andere partijen die namens het bedrijf werken en die toegang tot en gebruik van persoonsgegevens nodig hebben om hun werk uit te voeren, hebben toegang tot de persoonsgegevens die in het bezit zijn van het bedrijf;
c) Alle werknemers en andere partijen die namens het bedrijf werken en persoonlijke gegevens verwerken, zullen hiervoor op passende wijze worden opgeleid;
d) Alle werknemers en andere partijen die namens het bedrijf werken en persoonlijke gegevens verwerken, zullen op passende wijze worden gecontroleerd;
e) Alle werknemers en andere partijen die namens het bedrijf werken en omgaan met persoonlijke gegevens, moeten te allen tijde zorgvuldig en voorzichtig zijn bij het bespreken van werk met betrekking tot persoonlijke gegevens;
f) Methoden voor het verzamelen, bewaren en verwerken van persoonsgegevens worden regelmatig geëvalueerd en herzien;
g) De prestaties van die werknemers en andere partijen die namens het bedrijf werken en omgaan met persoonlijke gegevens, zullen regelmatig worden geëvalueerd en beoordeeld;
h) Alle werknemers en andere partijen die namens het bedrijf werken en persoonlijke gegevens verwerken, zijn contractueel gebonden om te voldoen aan de AVG en het gegevensbeschermingsbeleid van het bedrijf;
i) Alle agenten, contractanten of andere partijen die namens het bedrijf werken en persoonlijke gegevens verwerken, moeten ervoor zorgen dat alle relevante werknemers worden gehouden aan dezelfde voorwaarden als die relevante werknemers van het bedrijf die voortvloeien uit de AVG en de gegevensbescherming van het bedrijf Beleid;
j) Wanneer een agent, contractant of andere partij die namens het bedrijf werkt en persoonlijke gegevens verwerkt, tekortschiet in zijn verplichtingen onder de AVG en/of het gegevensbeschermingsbeleid van het bedrijf, zal die partij het bedrijf schadeloos stellen en vrijwaren van alle kosten, aansprakelijkheid, schade, verlies, claims of procedures die kunnen voortvloeien uit dat falen.

6. Gegevensverwijdering

Na het verstrijken van de gegevensbewaringstermijnen die hieronder in deel 7 van dit beleid worden uiteengezet, of wanneer een betrokkene zijn recht uitoefent om zijn persoonlijke gegevens te laten wissen, zullen persoonlijke gegevens als volgt worden verwijderd, vernietigd of anderszins verwijderd:
6.1 Persoonsgegevens die elektronisch zijn opgeslagen (inclusief alle back-ups daarvan) zullen worden verwijderd;
6.2 Persoonsgegevens die op papier zijn opgeslagen, worden kruiselings versnipperd en gerecycled of verwijderd.
6.3 Bij het afvoeren van oude computers of andere apparatuur die persoonsgegevens bevat, dienen grondige maatregelen te worden genomen om de gegevens volledig te verwijderen. Dit omvat het verwijderen van alle gegevens van het apparaat, het uitvoeren van een fabrieksreset en de fysieke vernietiging en veilige verwijdering van harde schijven, indien van toepassing.

7. Dataretentie

7.1 Zoals hierboven vermeld, en zoals vereist door de wet, zal het bedrijf geen persoonsgegevens langer bewaren dan nodig is in het licht van het doel of de doeleinden waarvoor die gegevens worden verzameld, bewaard en verwerkt.
7.2 Verschillende soorten persoonsgegevens die voor verschillende doeleinden worden gebruikt, zullen noodzakelijkerwijs voor verschillende perioden worden bewaard (en de bewaring ervan wordt periodiek herzien), zoals hieronder uiteengezet.
7.3 Bij het vaststellen en/of herzien van bewaartermijnen wordt rekening gehouden met:
a) De doelstellingen en vereisten van het bedrijf;
b) Het soort persoonsgegevens in kwestie;
c) De doelstelling(en) waarvoor de gegevens in kwestie worden verzameld, bewaard en verwerkt;
d) de wettelijke basis van het bedrijf voor het verzamelen, bewaren en verwerken van die gegevens;
e) de categorie of categorieën van betrokkenen waarop de gegevens betrekking hebben;
7.4 Indien voor een bepaald type gegevens geen precieze bewaartermijn kan worden vastgesteld, worden criteria vastgesteld aan de hand waarvan de bewaring van de gegevens wordt bepaald, zodat wordt gewaarborgd dat de gegevens in kwestie en de bewaring van die gegevens regelmatig kunnen worden gecontroleerd tegen die criteria.
7.5 Niettegenstaande de volgende gedefinieerde bewaartermijnen, kunnen bepaalde persoonsgegevens worden verwijderd of op een andere manier worden verwijderd vóór het verstrijken van de gedefinieerde bewaartermijn, indien binnen het Bedrijf daartoe wordt besloten (hetzij als reactie op een verzoek van een betrokkene of anders).

Type gegevens: contactgegevens van de klant via het aanvraagformulier voor de website - naam, e-mailadres en bericht
Doel van de gegevens: Dient als contactmethode voor klanten en als methode voor het verzamelen van verkoopaanvragen via de website van het bedrijf
Herzieningsperiode: twee jaar
Bewaartermijn of criteria: Onbepaald – bewaard tot niet langer nodig

Type gegevens: klantgegevens via websitewinkel - naam, bedrijfsnaam (optioneel), verzendadres, factuuradres, telefoonnummer (optioneel), e-mailadres
Doel van de gegevens: essentieel voor het verwerken, verzenden, beheren en ondersteunen van bestaande en toekomstige bestellingen, klantcommunicatie, financiën en facturering
Herzieningsperiode: twee jaar
Bewaartermijn of criteria: Onbepaald – bewaard tot niet langer nodig

Soort gegevens: klantgegevens via direct bericht – naam, adres, e-mailadres
Doel van de gegevens: essentieel voor het verwerken, verzenden, beheren en ondersteunen van bestaande en toekomstige bestellingen, klantcommunicatie, financiën en facturering
Herzieningsperiode: twee jaar
Bewaartermijn of criteria: Onbepaald – bewaard tot niet langer nodig

8. Uitvoering van beleid

Dit beleid wordt geacht van kracht te zijn vanaf 1 mei 2018. Geen enkel onderdeel van dit beleid heeft terugwerkende kracht en is dus alleen van toepassing op zaken die op of na deze datum plaatsvinden.