GDPR-beleid
Algemeen beleid inzake gegevensbescherming
1. Inleiding
George East (Housewares) Ltd heeft informatie die moet worden beheerd in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG). Dit beleid beschrijft de acties die we ondernemen om naleving van het beleid te garanderen.
We erkennen dat het niet onze gegevens zijn om te gebruiken zoals we willen, maar het zijn uw gegevens die we slechts bewaren. We respecteren volledig dat u uw gegevens aan ons heeft toevertrouwd en we zullen ervoor zorgen dat uw gegevens volledig worden beschermd.
Dit beleid zorgt ervoor dat we:
- voldoen aan de gegevensbeschermingswetgeving en goede praktijken volgen
- ervoor zorgen dat de rechten van personeel, klanten en zakenpartners worden nageleefd
- zijn open over de manier waarop we informatie verwerken en beheren
- het risico op een datalek verkleinen
- zijn in staat snel te reageren bij een inbreuk
2 Toepassingsgebied
Dit beleid is van toepassing op alle activiteiten van George East (Housewares) Ltd, ongeacht de locatie, al het personeel en directe contractanten.
3 Waarom bewaren we gegevens?
We bewaren persoonlijke gegevens en gevoelige persoonlijke gegevens om ons in staat te stellen:
- leidinggeven aan onze medewerkers
- HR-diensten verlenen aan onze klanten
- de gezondheid en veiligheid van onze klanten en hun personeel beheren
- onze diensten op de markt brengen
- via onze nieuwsbrief informatie beschikbaar stellen aan klanten en andere geïnteresseerden
4 Op welke basis bewaren en verwerken we gegevens?
We zullen persoonlijke informatie alleen gebruiken voor legale zakelijke doeleinden zoals uiteengezet onder de AVG.
Waar mogelijk vertrouwen we niet op toestemming om gegevens te bewaren; we zullen een andere reden vinden om het bewaren van gegevens te rechtvaardigen.
We zullen alleen gegevens bewaren en verwerken op basis van wat we hebben uitgelegd; We zullen niet proberen gegevens te verwerken op een manier die afwijkt van de oorspronkelijke bedoeling.
5 Gevoelige persoonlijke gegevens
We zullen geen gevoelige persoonlijke informatie bewaren of verwerken tenzij aan de beveiligings- en beheerregelingen van de hogere AVG-normen is voldaan.
We zullen een gegevensbeschermingseffectbeoordeling (DPIA) en een risicobeoordeling uitvoeren om te bepalen welke maatregelen moeten worden genomen om alle gevoelige persoonsgegevens die we bewaren of verwerken te beschermen.
6 kinderen
Bij George East (Housewares) Ltd bewaren of verwerken we geen gegevens over kinderen.
Als we in de toekomst wel gegevens over kinderen verwerken, zullen we deze op de hogere standaard bewaren en verwerken.
7 Kennisgevingen
We zullen open, nauwkeurig en duidelijk zijn in het uitleggen hoe persoonlijke gegevens zullen worden gebruikt.
Kennisgevingen worden beschikbaar gesteld aan het personeel en indien nodig aan klanten en gasten.
8 Rechten van individuen
We zullen de gevraagde gegevens zo snel mogelijk verstrekken, en in overeenstemming met de tijdschema's die zijn uiteengezet onder de AVG.
Processen om contact met ons op te nemen om gegevens op te vragen waarover wij beschikken, zullen duidelijk beschikbaar en gemakkelijk te begrijpen zijn.
We streven ernaar om alle verzoeken om gegevens binnen 24 uur te erkennen.
9 Gegevensbeheer
9.1 Minimalisatie van gegevens
We zullen de minimale hoeveelheid gegevens bewaren die nodig is voor de werking van ons bedrijf.
9.2 Nauwkeurigheid
We zullen de informatie actueel houden en eventuele onnauwkeurige gegevens die worden geïdentificeerd, corrigeren.
9.3 Bewaring van gegevens
We zullen gegevens niet langer bewaren dan nodig is voor onze zakelijke doeleinden.
Ons beleid voor het bewaren van informatie is te vinden in de bijlage.
9.4 Gegevens naar het buitenland overdragen
We zullen uw gegevens niet naar het buitenland exporteren zonder ervoor te zorgen dat er passende gegevensbeschermingsregelingen zijn getroffen.
9.5 Geautomatiseerde besluitvorming
We zullen geautomatiseerde besluitvorming niet alleen gebruiken bij het nemen van een beslissing die een directe impact heeft op een individu.
10 Beschermende maatregelen
10.1 Beveiliging van gegevens
We zullen ervoor zorgen dat we passende beveiligingsmaatregelen volgens de industriestandaard toepassen bij het beveiligen en verwerken van persoonsgegevens.
We zullen waar nodig deskundig advies inwinnen om ervoor te zorgen dat onze beveiligingsmaatregelen het verwachte beschermingsniveau bieden.
10.2 Incidentrapportage
We zullen alle beveiligingsincidenten als een serieuze zaak behandelen en passende middelen verstrekken voor hun onderzoek.
We zullen beveiligingsincidenten melden zoals vereist door de AVG en het Information Commissioner’s Office (ICO).
Medewerkers en directe contractanten zijn verplicht om incidenten of inbreuken op dit beleid zo snel mogelijk te melden.
Eventuele bevindingen als gevolg van een beveiligingsincident worden gebruikt om onze systemen, processen en training te verbeteren.
10.3 Nieuwe systemen en processen
We zullen ervoor zorgen dat er bij de aanvang van nieuwe informatieverwerkingssystemen en bedrijfsprocessen rekening wordt gehouden met de privacy.
10.4 Derden waarmee we samenwerken
Afhankelijk van het type leverancier ondernemen wij een van de volgende zaken:
hun algemene voorwaarden herzien om ervoor te zorgen dat ze gegevens beschermen in overeenstemming met de AVG-vereisten
details verstrekken over de informatie die we hebben en verwerken, ervoor zorgen dat ze hun verantwoordelijkheden begrijpen om ons te helpen deze te beveiligen, en formeel akkoord gaan met de regelingen
11 Directe marketing
Bij het verkrijgen van marketinggegevens zorgen we ervoor dat deze afkomstig zijn van een leverancier die aan de AVG voldoet.
11.1 Business to Business (B2B)
We zullen ervoor zorgen dat B2B-marketingcommunicatie een duidelijke methode heeft om u af te melden voor verdere communicatie van ons.
We zullen voorzichtig zijn bij het toevoegen van details aan onze mailinglijsten om ervoor te zorgen dat we eenmanszaken en partnerschappen behandelen als Business to Client (B2C) partijen.
11.2 Business to Client (B2C)
We zullen ervoor zorgen dat we toestemming krijgen voordat we u aan onze mailinglijst toevoegen.
We zullen ervoor zorgen dat B2C-marketingcommunicatie een duidelijke methode heeft om u af te melden voor verdere communicatie van ons.
12 Klachten
We zullen klachten of geschillen over het bezit of de verwerking van persoonsgegevens onmiddellijk onderzoeken
Indien nodig werken we samen met de ICO bij het onderzoeken en oplossen van klachten en streven we ernaar eventuele aanbevelingen op te volgen.
13 Naleving
13.1 Storingen
Het niet naleven van dit beleid door het personeel zal worden behandeld volgens onze disciplinaire procedures.
Het niet naleven van dit beleid door directe contractanten zal worden afgehandeld volgens de voorwaarden van het contract tussen ons, waaronder mogelijk ook beëindiging.
13.2 Opleiding
We zullen ons personeel trainen in de AVG en waar nodig opfriscursussen geven.
14 Verantwoording
We hebben gedocumenteerd bewijs om onze AVG-naleving te ondersteunen, waaronder:
- analyse van datatypes en hun stromen
- de locaties (logisch en fysiek) waar gegevens worden bewaard
- de mensen met toegang tot de informatie
- beoordeling van de geschiktheid van de toegepaste beveiligingscontroles
- details van regelingen die we hebben met onze leveranciers om de bescherming te handhaven
15 Bijlage A - Beleid voor het bewaren van informatie
Dit zijn richtlijnen en moeten worden aangepast aan uw bedrijf.
15.1 Interne documenten
|
|
Document |
Bewaartermijn |
Opmerkingen |
|
|
Personeelsdossiers voor senior executives |
Zes jaar |
Sommige records zijn mogelijk vereist voor historische doeleinden. |
|
|
Personeelsdossiers van werknemers |
Zes jaar na beëindiging van het dienstverband |
Voor civiele vorderingen geldt een verjaringstermijn van zes jaar. |
|
|
Sollicitaties voor banen waarbij de kandidaat niet succesvol is |
Een jaar na kennisgeving kandidaat |
Er is een limiet van één jaar om laster te claimen op grond van de Equality Act 2010 |
|
|
Salarisadministratie |
Zes jaar vanaf het einde van het jaar voor naamloze vennootschappen Bedrijven zonder rechtspersoonlijkheid - vijf jaar na 31 januarist van het volgende jaar van beoordeling |
|
|
|
PAYE-records |
Zes jaar |
|
|
|
Nationaal minimumloon |
Drie jaar na het einde van de loonreferentieperiode |
Nationale minimumloonwet 1998 |
|
|
Salarisregisters en herzieningen |
Vijf jaar |
|
|
|
Wettelijke zwangerschapsuitkeringen |
Drie jaar na het belastingjaar waarop ze betrekking hebben |
|
|
|
HMRC-goedkeuringen |
Permanent |
|
|
|
Pensioenregistraties |
Twaalf jaar na uitkeringen. |
|
|
|
Uitgaven |
Zes jaar |
|
|
|
Logboeken van chauffeurs |
Vijf jaar |
|
|
|
Voertuigrecords: kilometerstand, onderhoud, onderhouds- en registratierecords |
Twee jaar na verwijdering van het voertuig |
|
|
|
Ongevallenboek |
Bewaar elk item twaalf jaar |
|
|
|
Gezondheids- en veiligheidsrapporten |
Permanent |
|
|
|
Gezondheids- en veiligheidsrapporten |
Letselschadeclaims – drie jaar Industrieel letsel veroorzaakt door gevaarlijke stoffen – 40 jaar |
|
|
|
Ongevallenrapporten en verzekeringscorrespondentie |
Zes jaar na de sluiting van de zaak |
|
|
|
Beoordelingen in het kader van de gezondheids- en veiligheidswetgeving voor overleg met veiligheidsvertegenwoordigers |
Permanent |
|
|
|
Werkgevers Aansprakelijkheidsverzekering Certificaat Records |
Permanent |
|
|
|
Ziektedossiers |
Drie jaar na het belastingjaar dat zij voor SSP-doeleinden dekken |
|
|
|
Strafbladen en ouderschapsverlof |
Vijf jaar geboorte of adoptie. Achttien jaar als het kind gehandicapt is. |
|
|
|
Tijdboekingsrecords |
Twee jaar |
|
|
|
Werktijdenrecords |
Twee jaar |
|
|
|
Kinderen in werkrecords |
Tot het kind 21 is. |
|
|
|
Opleidingsrecords |
Vijftien jaar |
|
|
|
Collectieve arbeidsovereenkomsten van de vakbond |
Tien jaar |
|
|
|
Notulen van de ondernemingsraad |
Permanent |
|
|
|
Octrooiovereenkomsten met personeel |
20 jaar na het einde van het dienstverband |
|
15.2 Klantdocumenten
|
|
Document |
Bewaarperiode |
Notities |
|
|
Individuele vragen over klantenservice, naam, adres, creditcardgegevens |
6 maanden |