Data retention policy

Einführung

Diese Richtlinie legt die Verpflichtungen von Whitehall Resources Limited, einem in England unter der Nummer 5999991 eingetragenen Unternehmen mit Sitz in 350 The Crescent, Colchester, Essex, CO4 9AT („wir“, „uns“, „unser“), hinsichtlich der Aufbewahrung personenbezogener Daten fest, die wir erheben, speichern und verarbeiten.

Organisationen im Vereinigten Königreich, die personenbezogene Daten verarbeiten, unterliegen derzeit zwei Gesetzen: der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) („EU-DSGVO“) und dem britischen Datenschutzgesetz 2018 („UK DPA“). Mit dem laufenden Brexit gelten beide Gesetze bis zum Ende der Übergangszeit (31. Dezember 2020).

Die EU-DSGVO wird nach Ablauf der Übergangszeit nicht mehr direkt im Vereinigten Königreich gelten. Allerdings müssen britische Organisationen auch danach die Anforderungen der DSGVO erfüllen.

Erstens setzt der UK DPA die Anforderungen der EU-DSGVO im britischen Recht um. Zweitens hat die britische Regierung ein Gesetz verabschiedet – die Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019, die den UK DPA ändern und mit den Anforderungen der EU-DSGVO kombinieren, um ein Datenschutzregime zu schaffen, das in einem britischen Kontext nach dem Brexit funktioniert. Dieses neue Regime wird als „UK GDPR“ bekannt sein.

Es gibt nur geringe materielle Unterschiede zwischen der EU-DSGVO und der vorgeschlagenen UK GDPR. Die EU/UK DSGVO definiert „personenbezogene Daten“ als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (eine „betroffene Person“) beziehen. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt anhand eines Identifikators wie eines Namens, einer Kennnummer, Standortdaten, eines Online-Identifikators oder anhand eines oder mehrerer spezifischer Faktoren, die sich auf die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person beziehen, identifiziert werden kann.

Die EU/UK DSGVO bezieht sich auch auf „besondere Kategorien“ personenbezogener Daten (auch bekannt als „sensible“ personenbezogene Daten). Solche Daten umfassen, aber sind nicht unbedingt beschränkt auf, Daten über die ethnische Herkunft, politische Ansichten, religiöse Überzeugungen, Gewerkschaftsmitgliedschaft, genetische und biometrische Daten (falls für ID-Zwecke verwendet), Gesundheit, Sexualleben oder sexuelle Orientierung der betroffenen Person.

Gemäß der EU/UK DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie dies für die Zwecke, für die sie verarbeitet werden, erforderlich ist. In bestimmten Fällen dürfen personenbezogene Daten jedoch länger gespeichert werden, wenn sie zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden, vorausgesetzt, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, um diese Daten zu schützen.

Zusätzlich enthält die EU/UK DSGVO das Recht auf Löschung oder das „Recht auf Vergessenwerden“. Betroffene Personen haben das Recht, die Löschung ihrer personenbezogenen Daten (und die Verhinderung der Verarbeitung dieser Daten) unter den folgenden Umständen zu verlangen:

  1. Wenn die personenbezogenen Daten für den ursprünglichen Zweck, für den sie erhoben oder verarbeitet wurden, nicht mehr erforderlich sind;
  2. Wenn die betroffene Person ihre Einwilligung widerruft;
  3. Wenn die betroffene Person der Verarbeitung ihrer personenbezogenen Daten widerspricht und keine überwiegenden berechtigten Interessen vorliegen;
  4. Wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden (d.h. gegen die DSGVO verstoßen wurde);
  5. Wenn die personenbezogenen Daten gelöscht werden müssen, um einer rechtlichen Verpflichtung nachzukommen; oder
  6. Wenn die personenbezogenen Daten im Zusammenhang mit der Bereitstellung von Diensten der Informationsgesellschaft an ein Kind verarbeitet werden.

Diese Richtlinie legt die Art(en) der von uns gespeicherten personenbezogenen Daten fest, die Aufbewahrungsfristen für diese personenbezogenen Daten, die Kriterien zur Festlegung und Überprüfung dieser Fristen sowie die Art und Weise, wie sie gelöscht oder anderweitig entsorgt werden sollen.

Ziele und Zwecke

Das Hauptziel dieser Richtlinie besteht darin, Grenzen für die Aufbewahrung personenbezogener Daten festzulegen und sicherzustellen, dass diese Grenzen sowie weitere Rechte der betroffenen Personen auf Löschung eingehalten werden. Darüber hinaus soll diese Richtlinie sicherstellen, dass wir unseren Verpflichtungen und den Rechten der betroffenen Personen gemäß der DSGVO vollständig nachkommen.

Zusätzlich zur Wahrung der Rechte der betroffenen Personen gemäß der DSGVO soll diese Richtlinie durch die Sicherstellung, dass keine übermäßigen Datenmengen von uns gespeichert werden, auch die Effizienz und Geschwindigkeit der Datenverwaltung verbessern.

Anwendungsbereich

Diese Richtlinie gilt für alle von uns gespeicherten personenbezogenen Daten.

Die von uns gespeicherten personenbezogenen Daten werden auf die folgenden Arten und an den folgenden Orten gespeichert:

  1. Auf unseren Servern in Colchester;
  2. Auf Drittanbieter-Servern, die von Microsoft betrieben werden und sich in der EU befinden;
  3. Auf mobilen Geräten, die unseren Mitarbeitern zur Verfügung gestellt werden;
  4. In physischen Akten, die an einem gesicherten Standort in unserem Hauptsitz in Colchester aufbewahrt werden.