CKB Ltd
DSGVO Datenspeicherungspolitik
Dec 2019

1. Einleitung                   

Diese Richtlinie regelt die Verpflichtungen von CKB Ltd ® und seiner Konzernmarken, einschließlich Bar Amigos ® und Lanyards Tomorrow ® („das Unternehmen“) , einem in England unter 07123102 ( Umsatzsteuer- Identifikationsnummer 991324508) registrierten Unternehmen , dessen eingetragene Adresse das St. Christopher's House ist , Ridge Road, Letchworth Garden City, Hertfordshire, SG6 1PT, England und mit der Haupthandelsadresse Unit 5, Geschäftszentrum Ost, Fifth Avenue, Letchworth Garden City, Hertfordshire, SG6 2TS, in Bezug auf die Speicherung , Speicherung und Verarbeitung personenbezogener Daten von der Gesellschaft gemäß EU-Verordnung 2016/679 Allgemeine Datenschutzverordnung („DSGVO“).   Die Standards der DSGVO sind im britischen Datenschutzgesetz 2018 anerkannt und werden daher in diesem Dokument zitiert. Solange dieses EU-Recht im Vereinigten Königreich rechtswirksam ist, wird darauf Bezug genommen.

Die DSGVO definiert „personenbezogene Daten“ als Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (eine „betroffene Person“). Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Ortsdaten, einen Online-Identifikator oder auf einen oder mehrere Faktoren, die für die physikalische, physiologische Beschaffenheit spezifisch sind die genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität der natürlichen Person, die sich im Besitz des für die Verarbeitung Verantwortlichen (in diesem Zusammenhang des Unternehmens) befindet oder voraussichtlich in den Besitz dieser Person gelangt.

Die DSGVO befasst sich auch mit personenbezogenen Daten der Sonderkategorie (auch als sensible personenbezogene Daten bezeichnet). Solche Daten umfassen, ohne darauf beschränkt zu sein, Daten zu Rasse, ethnischer Zugehörigkeit, Politik, Religion, Gewerkschaftsmitgliedschaft, Genetik, Biometrie (sofern sie zu Identitätszwecken verwendet werden), Gesundheit, Sexualleben oder sexueller Orientierung der betroffenen Person.   Das Unternehmen verarbeitet solche Daten nicht in Bezug auf Kunden, sondern in Bezug auf Mitarbeiter.

Nach der DSGVO werden personenbezogene Daten in einer Form aufbewahrt, die die Identifizierung betroffener Personen nicht länger gestattet, als dies für die Zwecke erforderlich ist, für die die personenbezogenen Daten verarbeitet werden. In bestimmten Fällen können personenbezogene Daten für einen längeren Zeitraum gespeichert werden, sofern diese Daten zu Archivierungszwecken, die im öffentlichen Interesse liegen, für wissenschaftliche oder historische Zwecke oder zu statistischen Zwecken verarbeitet werden sollen (sofern die entsprechenden technischen und organisatorischen Vorkehrungen getroffen werden) von der DSGVO geforderte Maßnahmen zum Schutz dieser Daten).  

Darüber hinaus beinhaltet die DSGVO das Recht auf Löschung oder das Recht auf Vergessen. Die betroffenen Personen haben das Recht, ihre personenbezogenen Daten unter folgenden Umständen löschen zu lassen (und die Verarbeitung dieser personenbezogenen Daten zu verhindern):

a) wenn die personenbezogenen Daten nicht mehr für den Zweck benötigt werden, für den sie ursprünglich erhoben oder verarbeitet wurden (siehe oben);                  

b) wenn die betroffene Person ihre Einwilligung widerruft;                  

c) wenn die betroffene Person der Verarbeitung ihrer personenbezogenen Daten widerspricht und das Unternehmen kein übergeordnetes berechtigtes Interesse hat;                   

d) wenn die personenbezogenen Daten rechtswidrig verarbeitet werden (dh gegen die DSGVO verstoßen);                  

e) Wenn die persönlichen Daten muss gelöscht werden , mit einer gesetzlichen Verpflichtung nachzukommen; oder                  

f) Wenn die personenbezogenen Daten für die Bereitstellung von Diensten der Informationsgesellschaft für ein Kind verarbeitet werden.                    

In dieser Richtlinie sind die Art (en) der personenbezogenen Daten, die sich im Besitz des Unternehmens befinden, und der von ihm verwendeten Organisationen Dritter sowie der Zeitraum (e), in dem diese personenbezogenen Daten aufbewahrt werden sollen, bevor sie gelöscht oder anderweitig entsorgt werden, und die Kriterien für die Festlegung festgelegt und Überprüfung dieser Aufbewahrungsfrist (en), falls zutreffend .

Weitere Informationen zu anderen Aspekten des Datenschutzes und die Einhaltung der BIPR, entnehmen Sie bitte den Datenschutz Polic des Unternehmens y / Mitarbeiter Dat eine Schutzrichtlinie (soweit anwendbar) .

 

2. Ziele und Aufgaben                   

2.1 Das Hauptziel dieser Richtlinie ist es, Grenzen für die Speicherung personenbezogener Daten festzulegen und sicherzustellen, dass diese Grenzen sowie weitere Rechte der betroffenen Personen auf Löschung eingehalten werden. Im weiteren Sinne zielt diese Richtlinie darauf ab, sicherzustellen, dass das Unternehmen seinen Verpflichtungen und Rechten der betroffenen Personen gemäß der DSGVO in vollem Umfang nachkommt. Diese Richtlinie gilt sowohl für betroffene Mitarbeiter als auch für nicht betroffene Mitarbeiter.   Es kann erforderlich sein, dass betroffene Mitarbeiter Drittfirmen (z. B. Lieferanten) ihre Daten zum Zweck der Wahrnehmung ihrer Rolle zur Verfügung stellen müssen. Daher enthält der Anhang zu diesem Dokument möglicherweise nicht alle Interaktionen, die in einem Einwilligungsformular für Mitarbeiterdaten gesondert behandelt werden .                

2.2 Zusätzlich zur Wahrung der Rechte der betroffenen Personen im Rahmen der DSGVO zielt diese Richtlinie darauf ab, die Geschwindigkeit und Effizienz der Datenverwaltung zu verbessern , indem sichergestellt wird, dass übermäßige Datenmengen nicht ohne angemessene Begründung vom Unternehmen gespeichert werden.                

 

3. Geltungsbereich                   

3.1 Diese Richtlinie gilt für alle persönlichen Daten des Unternehmens .  Bitte beachten Sie, dass alle Datenverarbeiter von Drittanbietern, die im Auftrag des Unternehmens personenbezogene Daten verarbeiten, ihre eigenen Datenschutz- und Datenaufbewahrungsrichtlinien haben Das Unternehmen hat sich bemüht , Dritten die Einhaltung der BIPR und zu prüfen , eine Übersicht der dritte Teil Beteiligung wird an dieser Politik in den Anhängen enthalten.   Wir weisen Sie jedoch darauf hin, dass das Unternehmen nicht nur Transparenz fördern, sondern auch seine Verpflichtung zum Schutz seines Geschäftswissens und seiner Sicherheit berücksichtigen muss. Wenn eine betroffene Person weitere Informationen über Dritte, mit denen das Unternehmen zusammenarbeitet, usw. erhalten möchte, wenden Sie sich bitte an den Datenschutzbeauftragten in Unit 5, Geschäftszentrum Ost , Fifth Avenue, Letchworth Garden City, Herts, SG6 2TS.   Bitte beachten Sie auch, dass diese Richtlinie keine von Dritten betriebenen Marktplatz-Websites abdeckt, auf denen das Unternehmen Waren wie Amazon verkaufen kann, die von nicht angestellten betroffenen Personen gekauft werden können .      

3.2 Personenbezogene Daten, wie sie im Besitz des Unternehmens sind, werden / können auf folgende Weise und an folgenden Orten gespeichert:    

a) Computer, die sich permanent in den Geschäftsräumen des Unternehmens in Großbritannien befinden ;                  

b) Computer und mobile Geräte von Mitarbeitern, Vertretern und Subunternehmern, die gemäß der BYOD-Richtlinie (Bring Your Own Device) des Unternehmens verwendet werden;                  

c) physische Unterlagen, die in den Geschäftsräumen des Unternehmens im Vereinigten Königreich aufbewahrt werden und                   

d) Drittunternehmen der Verarbeitung personenbezogener Daten wie Überprüfung Unternehmen sind in der Appendi enthalten zu dieser Politik   Die Gesellschaft nutzt auch einen Drittanbieter - Server im Vereinigten Königreich befindet (sichern Dateien für Disaster Recovery - Zwecke können sicher gespeichert werden , in der Sitzung der Datenschutzanforderungen der EU) und ein Dritten elektronische Dateifreigabe und Speichersystem wird von der EU abgedeckt -US Privacy Shield bei Lagerung außerhalb der EU. Bitte beachten Sie den Anhang.                  

 

4. Rechte der betroffenen Person und Datenintegrität                   

Alle personenbezogenen Daten des Unternehmens werden in Übereinstimmung mit den Anforderungen der DSGVO und den Rechten der betroffenen Personen gemäß den Datenschutzrichtlinien / Datenschutzrichtlinien für Mitarbeiter des Unternehmens gespeichert .

4.1 Die betroffenen Personen werden umfassend über ihre Rechte informiert, über welche personenbezogenen Daten das Unternehmen über sie verfügt, wie diese personenbezogenen Daten verwendet werden und wie lange das Unternehmen diese personenbezogenen Daten aufbewahrt (oder, falls keine feste Aufbewahrungsfrist festgelegt werden kann, die Kriterien, nach denen die Aufbewahrung der Daten bestimmt wird).                

4.2 Die betroffenen Personen haben die Kontrolle über ihre personenbezogenen Daten, die sich im Besitz des Unternehmens befinden, einschließlich des Rechts auf Berichtigung unrichtiger Daten, des Rechts auf Löschung oder sonstige Entsorgung ihrer personenbezogenen Daten (ungeachtet der in dieser Richtlinie zur Vorratsdatenspeicherung festgelegten Aufbewahrungsfristen). , das Recht, die Verwendung personenbezogener Daten durch das Unternehmen einzuschränken, das Recht auf Datenübertragbarkeit, sofern möglich , und weitere Rechte in Bezug auf die automatisierte Entscheidungsfindung und Profilerstellung.                

 

5. Technische und organisatorische Datenschutzmaßnahmen                   

5.1 Die folgenden technischen Maßnahmen sind im Unternehmen zum Schutz der Sicherheit personenbezogener Daten vorhanden. Weitere Informationen finden Sie in der Datenschutzrichtlinie des Unternehmens / der Datenschutzrichtlinie für Mitarbeiterdaten :                

a) Alle E-Mails mit persönlichen Daten müssen verschlüsselt sein.                  

b) Personenbezogene Daten dürfen nur über sichere Netze übertragen werden;                  

c) Personenbezogene Daten können möglicherweise nicht über ein drahtloses Netzwerk übertragen werden, wenn es eine vernünftige drahtgebundene Alternative gibt.                   

d) Die in einer E-Mail enthaltenen persönlichen Daten, ob gesendet oder empfangen, sollten sicher gespeichert werden.                  

e) Wenn personenbezogene Daten per Fax übermittelt werden sollen, sollte der Empfänger im Voraus informiert werden und auf deren Empfang warten.                  

f) Wenn personenbezogene Daten in Papierform übermittelt werden sollen, sollten sie direkt an den Empfänger weitergegeben oder auf sichere Weise übermittelt werden .                    

g) Alle personenbezogenen Daten, die physisch übertragen werden, sollten in einem geeigneten Behälter mit der Aufschrift „vertraulich“ übertragen werden.                  

h) Es dürfen keine personenbezogenen Daten informell weitergegeben werden. Wenn ein Zugriff auf personenbezogene Daten erforderlich ist, sollte dieser Zugriff vom Geschäftsführer des Unternehmens förmlich beantragt werden .                  

i) Alle Ausdrucke persönlicher Daten sowie alle auf physischen Datenträgern gespeicherten elektronischen Kopien sollten sicher aufbewahrt werden.                    

j) Es dürfen keine personenbezogenen Daten ohne Genehmigung an Mitarbeiter oder andere Parteien weitergegeben werden, unabhängig davon, ob diese im Auftrag des Unternehmens arbeiten oder nicht.                    

k) Persönliche Daten müssen jederzeit mit Sorgfalt behandelt werden und dürfen nicht unbeaufsichtigt oder sichtbar gelassen werden.                  

l) Computer, auf denen personenbezogene Daten angezeigt werden, müssen immer gesperrt sein, bevor sie unbeaufsichtigt bleiben.                    

m) Es dürfen keine persönlichen Daten auf einem mobilen Gerät gespeichert werden, unabhängig davon, ob dieses Gerät dem Unternehmen gehört oder nicht, und zwar ohne die formelle schriftliche Genehmigung des Unternehmensleiters und unter strikter Einhaltung aller zum Zeitpunkt der Genehmigung beschriebenen Anweisungen und Einschränkungen. und nicht länger als unbedingt nötig Bitte beziehen Sie sich auf die BYOD-Richtlinie des Unternehmens .                

n) Alle auf elektronischem Wege gespeicherten personenbezogenen Daten sollten regelmäßig mit externen Sicherungskopien gesichert werden. Alle Backups sollten verschlüsselt sein.                  

o) Alle elektronischen Kopien personenbezogener Daten sollten unter Verwendung von Passwörtern und Verschlüsselung sicher gespeichert werden.                  

p) Alle Passwörter, die zum Schutz personenbezogener Daten verwendet werden, sollten regelmäßig geändert werden und sicher sein.                  

q) Unter keinen Umständen sollten Passwörter von Mitarbeitern oder anderen Parteien, die im Auftrag des Unternehmens arbeiten, unabhängig von Dienstalter oder Abteilung notiert oder weitergegeben werden .                  

r) Alle Software sollte auf dem neuesten Stand gehalten werden Sicherheitsrelevante Updates sollten installiert werden , ein s bald wie praktisch möglich und nach verfügbar werden; und                   

s) Keine Software darf ohne Genehmigung auf einem firmeneigenen Computer oder Gerät installiert werden .                   

 

5.2 Die folgenden organisatorischen Maßnahmen sind im Unternehmen getroffen, um die Sicherheit personenbezogener Daten zu gewährleisten. Bitte beachten Sie die Daten des Unternehmens Schutzerklärung / Arbeitnehmerdatenschutzrichtlinie für weitere Details:                

a) Alle Mitarbeiter oder relevanten anderen Parteien, die im Namen des Unternehmens arbeiten, können sowohl ihre individuellen Verantwortlichkeiten als auch die Verantwortlichkeiten des Unternehmens gemäß der DSGVO in der Datenschutzrichtlinie des Unternehmens einsehen .                  

b) Nur Mitarbeiter oder andere Parteien, die im Auftrag des Unternehmens arbeiten und für ihre Arbeit Zugriff auf personenbezogene Daten und deren Verwendung benötigen, haben Zugriff auf die von dem Unternehmen gespeicherten personenbezogenen Daten.                  

c) Alle Mitarbeiter, die mit personenbezogenen Daten umgehen, werden entsprechend geschult.                   

d) Alle Mitarbeiter, die mit personenbezogenen Daten umgehen, werden angemessen überwacht.                  

e) Von allen Mitarbeitern und anderen Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten umgehen, wird erwartet, dass sie bei der Erörterung von Arbeiten im Zusammenhang mit personenbezogenen Daten jederzeit Sorgfalt und Vorsicht walten lassen .                  

f) Die Methoden zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten werden regelmäßig überprüft.                    

g) Die Performance von denen im Namen der Gesellschaft arbeiten Umgang mit personenbezogenen Daten werden sein unterliegen Überprüfung;                  

h) Von allen Mitarbeitern oder relevanten anderen Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, wird erwartet, dass sie dies in Übereinstimmung mit den Grundsätzen der DSGVO und der Datenschutzrichtlinie des Unternehmens tun .                  

i) Alle Parteien im Namen der Gesellschaft arbeiten , müssen Umgang mit personenbezogenen Daten sicher , dass jeder und alle von ihren Mitarbeitern zu den gleichen Bedingungen gehalten werden , die ich aus dem BIPR und wie in enthalten ist die Gesellschaft Datenschutzerklärung;                    

j) Wenn eine Partei, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeitet, gegen ihre Verpflichtungen aus der DSGVO und / oder der Datenschutzrichtlinie des Unternehmens verstößt, stellt diese Partei das Unternehmen von jeglichen Kosten, Haftung, Schäden, Verlusten und Ansprüchen frei oder Verfahren, die sich aus diesem Versäumnis ergeben können.                    

 

6. Datenentsorgung                   

Nach Ablauf der in Teil 7 dieser Richtlinie festgelegten Aufbewahrungsfristen für Daten oder wenn eine betroffene Person von ihrem Recht auf Löschung ihrer personenbezogenen Daten Gebrauch macht, werden personenbezogene Daten wie folgt gelöscht, vernichtet oder anderweitig entsorgt:

6.1 Elektronisch gespeicherte personenbezogene Daten (einschließlich aller Sicherungen davon) werden sicher gelöscht.                

6.2 Personenbezogene Daten der besonderen Kategorie, die elektronisch gespeichert sind (einschließlich aller Sicherungen davon), werden sicher gelöscht .                

6.3 Personal in Papierform gespeicherten Daten werden werden geschreddert sicher und                

6.4 Personenbezogene Daten der Sonderkategorie, die in Papierform gespeichert sind, werden sicher vernichtet.                

 

7. Vorratsdatenspeicherung                   

7.1 Wie oben angegeben und gesetzlich vorgeschrieben, werden die personenbezogenen Daten von der Gesellschaft nicht länger aufbewahrt, als dies im Hinblick auf die Zwecke, für die diese Daten erhoben, gespeichert und verarbeitet werden, erforderlich ist.                

7.2 Unterschiedliche Arten von personenbezogenen Daten, die für unterschiedliche Zwecke verwendet werden, werden notwendigerweise für unterschiedliche Zeiträume aufbewahrt , wie nachstehend angegeben.                

7.3 Bei der Festlegung und / oder Überprüfung von Aufbewahrungsfristen ist Folgendes zu berücksichtigen :                

a) die Ziele und Anforderungen des Unternehmens;                  

b) die Art der fraglichen personenbezogenen Daten;                  

c) den oder die Zwecke, zu denen die betreffenden Daten erhoben, gespeichert und verarbeitet werden;                   

d) die Rechtsgrundlage der Gesellschaft für die Erhebung, Speicherung und Verarbeitung dieser Daten; und                  

e) Die Kategorie oder Kategorien von betroffenen Personen, auf die sich die Daten beziehen                  

7.4 Wenn für eine bestimmte Art von Daten keine genaue Aufbewahrungsfrist festgelegt werden kann, werden Kriterien festgelegt, anhand derer die Aufbewahrung der Daten bestimmt wird, wodurch sichergestellt wird, dass die betreffenden Daten und die Aufbewahrung dieser Daten regelmäßig überprüft werden können gegen diese Kriterien.                

7.5 Ungeachtet der definierten Aufbewahrungszeiträume in der Anlage innerhalb der Gesellschaft können bestimmte persönliche Daten gelöscht oder auf andere Weise vor Ablauf seiner definierten Aufbewahrungszeitraums angeordnet werden , in dem eine Entscheidung dazu gemacht wird (entweder in Reaktion auf eine Anforderung durch eine Daten Betreff oder auf andere Weise).                

 

8. Rollen und Verantwortlichkeiten                   

8.1 Der Datenschutzbeauftragte des Unternehmens ist der Positionsinhaber des Unternehmenssekretärs bei Unit 5, Business Center Ost, Fifth Avenue, Letchworth Garden City, Herts, SG6 2TS .                

8.2 Der Datenschutzbeauftragte ist verantwortlich für die Überwachung der Umsetzung dieser Richtlinie und für die Überwachung der Einhaltung dieser Richtlinie sowie der anderen datenschutzbezogenen Richtlinien des Unternehmens (einschließlich, aber nicht beschränkt auf die Datenschutzrichtlinie und die Datenschutzrichtlinie für Mitarbeiter ). und mit der DSGVO und anderen geltenden Datenschutzgesetzen.                

8.3 Der Datenschutzbeauftragte und die zuständigen Kollegen, einschließlich des Business Development Managers des Unternehmens für technische Bereiche, sind dafür verantwortlich, dass die oben genannten Aufbewahrungsfristen eingehalten werden.                

8.4 Bei Fragen zu dieser Richtlinie, zur Aufbewahrung personenbezogener Daten oder zu anderen Aspekten der Einhaltung der DSGVO wenden Sie sich bitte an den Datenschutzbeauftragten.                

 

9. Umsetzung der Politik                   

Diese Richtlinie gilt mit Wirkung vom angesehen wird st Dezember 2019 Kein Teil dieser Richtlinie hat rückwirkende Wirkung und gilt daher nur für Angelegenheiten, die an oder nach diesem Datum eintreten.

 

CKB Ltd BIPR Datenaufbewahrungspolitik - Datum des Inkrafttretens st Dezember 2019

 

APPENDIX

Description Data Ref Personal/ Non Personal Data Data Subject Category Type of Data Purpose of Data Category Purpose of Data Detail Retention Period or Criteria

Third party customer order management system

CKB-DR-01

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Customer Order Management

Required to process and despatch order

Indefinitely - to allow follow up of any product faults in future

Third party shopping cart provider

CKB-DR-02

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Customer Order Management

Required to process order and store account

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party server (customer order management)

CKB-DR-03

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Customer Order Management

Required to store orders

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Google Analytics

CKB-DR-04

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend, etc

26 months

Online Advertising

CKB-DR-05

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend (conversion tracking), etc

Indefinitely - anonymised data

Online Advertising

CKB-DR-06

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend (conversion tracking), etc

Indefinitely - anonymised data

Third party customer service management tool

CKB-DR-07

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

CRM Customer Service

Required to communicate with customers concerning orders and answer questions concerning orders and products

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Facebook

CKB-DR-08

Personal Information

Non employee data subject

Personal data including name if user interacts with posts

Social Media

Business promotion

Indefinitely - allowing for follow up of any product faults in future in the case of a comment made or competition win, for example

Twitter

CKB-DR-09

Personal Information

Non employee data subject

Personal data including name if user interacts with posts

Social Media

Business promotion

Indefinitely - allowing for follow up of any product faults in future in the case of a comment made

Instagram

CKB-DR-10

Personal Information

Non employee data subject

Personal data including name if user interacts with posts

Social Media

Business promotion

Indefinitely - allowing for follow up of any product faults in future in the case of a comment made

Pinterest

CKB-DR-11

Personal Information

Non employee data subject

Personal data including name if user interacts with posts

Social Media

Business promotion

Indefinitely - allowing for follow up of any product faults in future in the case of a comment made

Linkedin

CKB-DR-12

Personal Information

Non employee data subject

Personal data including name if user interacts with posts

Social Media

Business promotion

Indefinitely - allowing for follow up of any product faults in future in the case of a comment made

Facebook Ads

CKB-DR-13

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend (conversion tracking), etc

Indefinitely - anonymised data

Twitter Ads

CKB-DR-14

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend (conversion tracking), etc

Indefinitely - anonymised data

Pinterest Ads

CKB-DR-15

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend (conversion tracking), etc

30 Days

Third party payment facilitator

CKB-DR-16

Personal Information

Non employee data subject

Personal data including name and total order detail

Payment Gateway

To facilitate payment being made

6 Months

Third party payment facilitator

CKB-DR-17

Personal Information

Non employee data subject

Personal data including name and total order detail

Payment Gateway

To facilitate payment being made

36 Months

Third party payment facilitator

CKB-DR-18

Personal Information

Non employee data subject

Personal data including name and total order detail

Payment Gateway

To facilitate payment being made

12 Months

Website extension tool

CKB-DR-19

Non Personal Information

Non employee data subject

Anonymised data

Website search bar history

Tool to provide insight into search history on Our Site to inform business purchasing and advertising decisions

24 Months

Third party software for location tracking for currency conversion

CKB-DR-20

Personal Information

Non employee data subject

Personal data including IP address

Currency conversion

Enhanced website functionality for better user experience

On during a users time on the website only

Third party address located based on postcode

CKB-DR-21

Personal Information

Non employee data subject

Personal data including address and IP address

Checkout Address Verification

Enhanced website functionality for better user experience

On during a users time at checkout only

Third party review company

CKB-DR-22

Personal Information

Non employee data subject

Personal data including name, transaction ID, contact details, order details and IP address

Customer Feedback & Product Reviews

Business promotion and product review/ customer service tool

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party review company

CKB-DR-23

Personal Information

Non employee data subject

Personal data including name, transaction ID, contact details, order details and IP address

Customer Feedback & Product Reviews

Business promotion and product review/ customer service tool

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party accountancy firm

CKB-DR-24

Personal Information

Non employee data subject and employee data subject

Personal data including name, address, contact details, order details and IP address as well as employee salary information, etc

Financial accountancy and staff payroll

Financial accountancy and staff payroll

In line with financial accounting requirements, currently 6 years

Third party electronic file share and storage system

CKB-DR-25

Personal Information

Non employee data subject and employee data subject

Personal data including name, address, contact details, order details and IP address as well as employee contract info

Business Operation

Business Operation

Reviewed in line with relevant data categories

Third party anti-virus software

CKB-DR-26

Personal Information

Employee data subject

Personal data including IP address

Business Protection

Business protection and security

Review at annual renewal time

Third party bank

CKB-DR-27

Personal Information

Non employee data subject and employee data subject

Personal data including name and IP address as well as transactional data where relevant

Business Operation

Business banking

In line with financial accounting requirements

Third party bank

CKB-DR-28

Personal Information

Non employee data subject and employee data subject

Personal data including name and IP address as well as transactional data where relevant

Business Operation

Business banking

In line with financial accounting requirements

Third party security company

CKB-DR-29

Personal Information

Employee data subject

Personal data including name and contact details for out of hours contact

Business Protection

Business protection and security

Review if a change in employee personnel/ an employee asks to be removed from contact list

Third party security company

CKB-DR-30

Personal Information

Employee data subject

Personal data including name and contact details

Business Protection

Business protection and security

Retain data for as long as there is a contractual need and also thereafter if required or permitted by law

Third party security company

CKB-DR-31

Personal Information

Employee data subject

Personal data including name and contact details for out of hours contact

Business Protection

Business protection and security

Review if a change in employee personnel/ an employee asks to be removed from contact list

Third party mailing company

CKB-DR-32

Personal Information

Non employee data subject

Personal data including name and address

Business Operation

Order delivery

Retained for as long as it needs it to carry out a particular purpose or meet a particular obligation.

 

Third party delivery company

CKB-DR-33

Personal Information

Non employee data subject

Personal data including name and address

Business Operation

Order delivery

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Whats App

CKB-DR-34

Personal Information

Employee data subject

Personal data including name and contact details for out of hours contact

Business Operation

Emergency business communication

Review if a change in employee personnel/ an employee asks to be removed from contact list

Third party IT firm

CKB-DR-35

Personal Information

Non employee data subject and employee data subject

Personal data including name, address, contact details, order details and IP address

Business Operation

IT support

Review if a change in IT support company

Third party e-mail provider

CKB-DR-36

Personal Information

Non employee data subject & employee data subject

Personal data inc name,address, contact/order details/IP address & employee info

Business Operation

Communications

Reviewed in line with relevant data categories

Third party delivery company

CKB-DR-37

Personal Information

Non employee data subject

Personal data including name and address

Business Operation

Order delivery

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party communication software

CKB-DR-38

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Business Operation

Facilitates delivery of order confirmation e-mail

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party accountancy firm (EU territories)

CKB-DR-39

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Financial accountancy

Financial accountancy

In line with financial accounting requirements

Third party accountancy firm (non EU territory)

CKB-DR-40

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Financial accountancy

Financial accountancy

In line with financial accounting requirements

Third party accountancy firm (non EU territory)

CKB-DR-41

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Financial accountancy

Financial accountancy

In line with financial accounting requirements

Marketplace portal authorised access

CKB-DR-42

Personal Information

Employee data subject

Personal data including name, address, contact details, proof if ID

Business Operation

Marketplace portal authorised access

Review if a change in employee personnel/ job role no longer requiring portal access

Third party website developers

CKB-DR-43

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Customer Order Management

Required to test site

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party delivery company

CKB-DR-44

Personal Information

Non employee data subject

Personal data including name and address

Business Operation

Order delivery

Retained in line with statutory and legislative requirements

 

Third party mobile phone device and software provider

CKB-DR-45

Personal Information

Non employee data subject and employee data subject

Personal data including name, address, contact details, order details and IP address as well as employee information

Business Operation

Communications

Reviewed in line with relevant data categories

Third party cookie consent facilitator

CKB-DR-46

Personal Information

Non employee data subject

Personal data including IP address

Legal compliance

GDPR requirement

Indefinitely to provide confirmation of consent at any given time (re-consent is required every 2 months)

Third party business benefit provider

CKB-DR-47

Personal Information

Employee data subject

Personal data including name, address, contact details, and IP address

Business benefits

Financial accountancy

Retained for as long as necessary to satisfy legal, accounting and reporting requirements

Third party business benefit provider

CKB-DR-48

Personal Information

Employee data subject

Personal data including name, address, contact details and IP address

Business benefits

Financial accountancy

Max 150 years post an individual staff member's data of birth

Staff HR files

CKB-DR-49

Personal Information

Employee data subject

Personal data including name, address, contact details, emergency contact details, sickness/ health record, application and employment documentation including contracts, pay rates, training and performance reviews

Business Operation

Legal compliance

6 years after employment terminates

Job applications

CKB-DR-50

Personal Information

Non employee data subject

job application, CV, interview notes, eligibility to work documentation

Business Operation

Legal compliance

6 months after notifying unsuccessful candidates of the outcome of their application

Accident records

CKB-DR-51

Personal Information

Non employee data subject and employee data subject

Personal data including name. Sensitive data concerning accident

Business Operation

Legal compliance

6 years from the date the accident record was made

Third party online training provider

CKB-DR-52

Personal Information

Employee data subject

Personal data including name, contact details and IP address

Business Operation

Staff Training/ legal compliance

Indefinitely with active account

Third party training provider

CKB-DR-53

Personal Information

Employee data subject

Personal data including name and contact details

Business Operation

Staff Training/ legal compliance

Retained for as long as necessary to satisfy legal, accounting and reporting requirements

Third party communication provider

CKB-DR-54

Personal Information

Non employee data subject and employee data subject

Personal data including name, contact details (communication records)

Business Operation

Communications

Retained for as long as necessary to satisfy legal, accounting and reporting requirements

Third party communication provider

CKB-DR-55

Non Personal Information

Nicht angestellter Datensubjekt

Telefonnummern

Geschäftsprozess

Kommunikation

Im Einklang mit den Anforderungen der Finanzbuchhaltung