CKB Ltd
GDPR-gegevensbewaarbeleid
 Dec 2019

1. Introductie                   

Dit beleid beschrijft de verplichtingen van CKB Ltd ® en haar groepsmerken, waaronder Bar Amigos ® en Lanyards Tomorrow ® ("het bedrijf") , een bedrijf geregistreerd in Engeland onder 07123102 ( btw-nummer 991324508) , waarvan het geregistreerde adres St. Christopher's House is , Ridge Road, Letchworth Garden City, Hertfordshire, SG6 1PT, Engeland en waarvan het hoofdhandelsadres Unit 5, Business Centre East, Fifth Avenue, Letchworth Garden City, Hertfordshire, SG6 2TS is, met betrekking tot het bewaren van persoonsgegevens die zijn verzameld, bewaard en verwerkt door het bedrijf in overeenstemming met EU-verordening 2016/679 Algemene verordening gegevensbescherming (“GDPR”).   De normen van de AVG worden erkend in de UK Data Protection Act 2018, en worden dus in dit document genoemd en zullen hierop worden gericht zolang deze EU-wetgeving rechtsgevolgen heeft in het VK.

De AVG definieert "persoonlijke gegevens" als alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (een "betrokkene"); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische , genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon die in het bezit is of waarschijnlijk in het bezit komt van de gegevensbeheerder (het Bedrijf in deze context).

De AVG heeft ook betrekking op persoonlijke gegevens van de "speciale categorie" (ook bekend als "gevoelige" persoonlijke gegevens). Dergelijke gegevens omvatten, maar zijn niet noodzakelijkerwijs beperkt tot, gegevens over het ras, etniciteit, politiek, religie, lidmaatschap van een vakbond, genetica, biometrie (indien gebruikt voor ID-doeleinden), gezondheid, seksleven of seksuele geaardheid van de betrokkene.   Het bedrijf verwerkt dergelijke gegevens niet met betrekking tot klanten, maar wel voor werknemers.

Volgens de AVG worden persoonsgegevens bewaard in een vorm die de identificatie van betrokkenen toestaat voor niet langer dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. In bepaalde gevallen kunnen persoonsgegevens worden opgeslagen voor langere periodes wanneer die gegevens moeten worden verwerkt voor archiveringsdoeleinden die in het algemeen belang zijn, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden (afhankelijk van de implementatie van de juiste technische en organisatorische maatregelen vereist door de AVG om die gegevens te beschermen).  

Bovendien omvat de AVG het recht om te wissen of "het recht om te worden vergeten". Betrokkenen hebben het recht om hun persoonlijke gegevens te laten wissen (en om de verwerking van die persoonlijke gegevens te voorkomen) in de volgende omstandigheden:

a) Wanneer de persoonlijke gegevens niet langer nodig zijn voor het doel waarvoor ze oorspronkelijk werden verzameld of verwerkt (zie hierboven);                  

b) Wanneer de betrokkene zijn toestemming intrekt;                  

c) Wanneer de betrokkene bezwaar maakt tegen de verwerking van zijn persoonsgegevens en het bedrijf geen hoger rechtmatig belang heeft;                   

d) Wanneer de persoonlijke gegevens onrechtmatig worden verwerkt (dwz in strijd met de AVG);                  

e) Wanneer de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting; of                  

f) Waar de persoonsgegevens worden verwerkt voor het verlenen van diensten van de informatiemaatschappij aan een kind.                    

Dit beleid beschrijft het type (s) van persoonlijke gegevens in het bezit van het bedrijf en externe organisaties die het gebruikt de periode (n) gedurende welke die persoonlijke gegevens moeten worden bewaard voordat ze worden verwijderd of anderszins verwijderd en de criteria voor het vaststellen van en het herzien van dergelijke bewaarperiode (n) indien van toepassing .

Voor meer informatie over andere aspecten van gegevensbescherming en de naleving van de AVG verwijzen wij u naar het gegevensbeschermingsbeleid van de onderneming / medewerker Dat een beschermingsbeleid (indien van toepassing) .

 

2. Doelstellingen en doelstellingen                   

2.1 Het primaire doel van dit beleid is om limieten vast te stellen voor het bewaren van persoonlijke gegevens en om ervoor te zorgen dat die limieten, evenals verdere rechten van de betrokkene op verwijdering, worden nageleefd. In het verlengde hiervan heeft dit beleid tot doel ervoor te zorgen dat het bedrijf volledig voldoet aan zijn verplichtingen en de rechten van betrokkenen onder de AVG. Dit beleid is van toepassing op zowel betrokkenen van werknemers als niet-werknemers.   Van betrokkenen van werknemers kan worden verlangd dat zij hun gegevens aan externe bedrijven (bijv. Leveranciers) verstrekken om hun rol te vervullen en daarom kan de Bijlage bij dit document niet elke interactie vermelden die afzonderlijk wordt behandeld in een formulier voor toestemming voor gegevens van werknemers. .                

2.2 Dit beleid is niet alleen bedoeld om de rechten van betrokkenen onder de AVG te waarborgen, door ervoor te zorgen dat buitensporige hoeveelheden gegevens niet door het bedrijf worden bewaard zonder voldoende rechtvaardiging , maar heeft ook als doel de snelheid en efficiëntie van het gegevensbeheer te verbeteren.                

 

3. Scope                   

3.1 Dit beleid is van toepassing op alle persoonlijke gegevens die door het bedrijf worden bewaard .  Houd er rekening mee dat externe gegevensverwerkers die namens het bedrijf persoonsgegevens verwerken, hun eigen gegevensprivacy- en gegevensbewaarbeleid hebben Het bedrijf heeft getracht derde naleving partij contact op met de BBPR en een overzicht van het derde deel betrokkenheid is opgenomen in de bijlagen bij dit beleid.   Houd er echter rekening mee dat het bedrijf niet alleen transparantie moet ondersteunen, maar ook rekening moet houden met zijn vereiste om zijn bedrijfskennis en veiligheid te beschermen. Als een betrokkene meer informatie wenst over de details van derden waarmee het bedrijf samenwerkt, enz., Neem dan contact op met de functionaris voor gegevensbescherming van Unit 5, Business Center East , Fifth Avenue, Letchworth Garden City, Herts, SG6 2TS.   Houd er ook rekening mee dat dit beleid niet van toepassing is op door derden geëxploiteerde marktplaatsites waarop het bedrijf goederen zoals Amazon kan verkopen die betrokkenen van niet-werknemers kunnen kopen .      

3.2 Persoonlijke gegevens, zoals in het bezit van het Bedrijf, worden / kunnen op de volgende manieren en op de volgende locaties worden opgeslagen:    

a) Computers die zich permanent in het Verenigd Koninkrijk bevinden ;                  

b) Computers en mobiele apparaten die eigendom zijn van werknemers, agenten en onderaannemers en die worden gebruikt in overeenstemming met het BYOD-beleid (Bring Your Own Device) van het bedrijf;                  

c) Fysieke gegevens opgeslagen in het Verenigd Koninkrijk en                   

d) Third party bedrijven de verwerking van persoonsgegevens, zoals beoordeling bedrijven zijn opgenomen in de Appendix om dit beleid   Het bedrijf maakt ook gebruik van een externe server in het Verenigd Koninkrijk (back-upbestanden voor noodhersteldoeleinden kunnen veilig worden opgeslagen in de EU en voldoen aan de vereisten voor gegevensbescherming) en een elektronisch bestandsdelings- en opslagsysteem van derden valt onder de EU -US privacyschild indien opgeslagen buiten de EU. Raadpleeg de bijlage.                  

 

4. Rechten van betrokkenen en gegevensintegriteit                   

Alle persoonlijke gegevens die door het bedrijf worden bewaard, worden bewaard in overeenstemming met de vereisten van de AVG en de rechten van betrokkenen daaronder, zoals uiteengezet in het gegevensbeschermingsbeleid / gegevensbeschermingsbeleid voor werknemers .

4.1 De betrokkenen zijn volledig op de hoogte zijn van hun rechten, van welke persoonlijke gegevens van de Vennootschap over hen, hoe dat persoonlijke gegevens worden gebruikt en hoe lang het bedrijf zal houden dat persoonlijke gegevens (of, als er geen vaste bewaartermijn kan worden bepaald, de criteria aan de hand waarvan de bewaring van de gegevens wordt bepaald).                

4.2 Betrokkenen krijgen controle over hun persoonlijke gegevens in het bezit van het bedrijf, inclusief het recht om onjuiste gegevens te laten rectificeren, het recht om te vragen dat hun persoonlijke gegevens worden verwijderd of anderszins worden verwijderd (niettegenstaande de bewaartermijnen die anders worden bepaald door dit beleid voor gegevensbewaring) , het recht om het gebruik van hun persoonlijke gegevens door het bedrijf te beperken, het recht op dataportabiliteit indien mogelijk , en verdere rechten met betrekking tot geautomatiseerde besluitvorming en profilering.                

 

5. Technische en organisatorische gegevensbeveiligingsmaatregelen                   

5.1 De volgende technische maatregelen zijn binnen het bedrijf van kracht om de veiligheid van persoonlijke gegevens te beschermen. Raadpleeg het gegevensbeschermingsbeleid van de onderneming / het gegevensbeschermingsbeleid voor werknemers voor meer informatie:                

a) Alle e-mails met persoonlijke gegevens moeten worden gecodeerd;                  

b) Persoonlijke gegevens mogen alleen worden overgedragen via beveiligde netwerken;                  

c) Persoonlijke gegevens mogen niet via een draadloos netwerk worden verzonden als er een redelijk bedraad alternatief is;                   

d) Persoonlijke gegevens in de hoofdtekst van een e-mail, of deze nu worden verzonden of ontvangen, moeten veilig worden opgeslagen;                  

e) Wanneer persoonsgegevens per fax moeten worden verzonden, moet de ontvanger van tevoren op de hoogte worden gebracht en wachten op ontvangst;                  

f) Wanneer persoonsgegevens in papieren vorm moeten worden overgedragen, moeten deze rechtstreeks aan de ontvanger worden doorgegeven of worden verzonden met behulp van een veilige leveringsmethode ;                    

g) Alle fysiek overgedragen persoonlijke gegevens moeten worden overgebracht in een geschikte container die als "vertrouwelijk" is gemarkeerd;                  

h) Persoonlijke gegevens mogen niet informeel worden gedeeld en als toegang tot persoonlijke gegevens vereist is, moet dergelijke toegang formeel worden aangevraagd bij de bedrijfsleider;                  

i) Alle kopieën van persoonlijke gegevens, samen met elektronische kopieën die op fysieke media zijn opgeslagen, moeten veilig worden opgeslagen;                    

j) Er mogen geen persoonlijke gegevens worden overgedragen aan werknemers of andere partijen, ongeacht of deze partijen namens het bedrijf werken of niet, zonder toestemming;                    

k) Persoonlijke gegevens moeten te allen tijde met zorg worden behandeld en mogen niet onbeheerd worden achtergelaten of worden getoond;                  

l) Computers die worden gebruikt om persoonlijke gegevens te bekijken, moeten altijd worden vergrendeld voordat ze onbeheerd worden achtergelaten;                    

m) Op geen enkel mobiel apparaat mogen persoonlijke gegevens worden opgeslagen, ongeacht of dit apparaat eigendom is van het bedrijf of anderszins zonder de formele schriftelijke goedkeuring van de bedrijfsdirecteur en vervolgens strikt in overeenstemming met alle instructies en beperkingen die zijn beschreven op het moment dat de goedkeuring wordt gegeven, en niet langer dan absoluut noodzakelijk is Raadpleeg het BYOD-beleid van het bedrijf ;                

n) Van alle persoonlijke gegevens die elektronisch worden opgeslagen, moet regelmatig een back-up worden gemaakt met back-ups die offsite worden opgeslagen. Alle back-ups moeten worden gecodeerd;                  

o) Alle elektronische kopieën van persoonlijke gegevens moeten veilig worden opgeslagen met behulp van wachtwoorden en codering;                  

p) Alle wachtwoorden die worden gebruikt om persoonlijke gegevens te beschermen, moeten regelmatig worden gewijzigd en moeten veilig zijn;                  

q) Onder geen beding mogen wachtwoorden worden opgeschreven of gedeeld tussen werknemers of andere partijen die namens het bedrijf werken, ongeacht de anciënniteit of afdeling ;                  

r) Alle software moet up-to-date worden gehouden Security-gerelateerde updates moet worden geïnstalleerd een s snel als redelijkerwijs en praktisch mogelijk na het beschikbaar komen; en                   

s) Zonder toestemming mag geen software op een computer of apparaat van het bedrijf worden geïnstalleerd .                   

 

5.2 De volgende organisatorische maatregelen zijn binnen het bedrijf van kracht om de veiligheid van persoonlijke gegevens te beschermen. Raadpleeg de gegevens van het bedrijf Protection Policy / Employee Data Protection Policy voor meer informatie:                

a) Alle werknemers of relevante partijen die namens het bedrijf werken, kunnen zowel hun individuele verantwoordelijkheden als de verantwoordelijkheden van het bedrijf onder de AVG in het gegevensbeschermingsbeleid van het bedrijf bekijken;                  

b) Alleen werknemers of andere partijen die namens het bedrijf werken en die toegang tot en gebruik van persoonlijke gegevens nodig hebben om hun werk uit te voeren, hebben toegang tot persoonlijke gegevens in het bezit van het bedrijf;                  

c) Alle werknemers die met persoonlijke gegevens omgaan, moeten daartoe adequaat zijn opgeleid;                   

d) Alle werknemers die persoonlijke gegevens verwerken, zullen naar behoren worden gecontroleerd;                  

e) Van alle werknemers en andere partijen die namens het bedrijf werken en die persoonlijke gegevens verwerken , wordt verwacht en aangemoedigd om te allen tijde zorg en voorzichtigheid in acht te nemen bij het bespreken van werkzaamheden met betrekking tot persoonlijke gegevens ;                  

f) Methoden voor het verzamelen, bewaren en verwerken van persoonlijke gegevens worden regelmatig geëvalueerd;                    

g) De prestaties van degenen die werkzaam zijn in opdracht van de vennootschap hanteren persoonsgegevens zijn onderworpen aan beoordeling;                  

h) Van alle werknemers of relevante andere partijen die namens het Bedrijf werken, wordt verwacht dat zij dit doen in overeenstemming met de principes van de AVG en het Gegevensbeschermingsbeleid van het Bedrijf;                  

i) Alle partijen die namens de Onderneming de behandeling van persoonsgegevens moeten ervoor zorgen dat elke en alle van hun werknemers worden aangehouden om dezelfde voorwaarden die voortvloeien uit het BBPR en zoals opgenomen in Data Protection Policy van de Vennootschap;                    

j) Als een partij die namens het bedrijf werkt en persoonlijke gegevens verwerkt, tekortschiet in zijn verplichtingen onder de AVG en / of het gegevensbeschermingsbeleid van het bedrijf, zal die partij het bedrijf schadeloos stellen en schadeloos stellen voor alle kosten, aansprakelijkheid, schade, verlies, claims of procedures die kunnen voortvloeien uit dat falen.                    

 

6. Verwijdering van gegevens                   

Na het verstrijken van de bewaartermijnen die hieronder in deel 7 van dit beleid worden vermeld, of wanneer een betrokkene gebruik maakt van zijn recht om zijn persoonlijke gegevens te laten wissen, worden persoonlijke gegevens als volgt verwijderd, vernietigd of anderszins verwijderd:

6.1 Elektronisch opgeslagen elektronische gegevens (inclusief alle back-ups daarvan) worden veilig verwijderd;                

6.2 Persoonlijke categorie persoonlijke gegevens die elektronisch worden opgeslagen (inclusief alle back-ups daarvan) worden veilig verwijderd ;                

6.3 Persoonlijke gegevens die zijn opgeslagen in gedrukte vorm wordt versnipperd veilig en                

6.4 Persoonsgegevens van speciale categorieën die op papier zijn opgeslagen, worden veilig versnipperd .                

 

7. Gegevensbewaring                   

7.1 Zoals hierboven vermeld, en zoals vereist door de wet, zal het Bedrijf geen persoonlijke gegevens langer bewaren dan noodzakelijk is in het licht van het doel (de doeleinden) waarvoor die gegevens worden verzameld, bewaard en verwerkt.                

7.2 Verschillende soorten persoonlijke gegevens, gebruikt voor verschillende doeleinden, zullen noodzakelijkerwijs worden bewaard voor verschillende periodes , zoals hieronder uiteengezet.                

7.3 Bij het vaststellen en / of herzien van bewaartermijnen, moet rekening worden gehouden met :                

a) De doelstellingen en vereisten van de onderneming;                  

b) Het type persoonlijke gegevens in kwestie;                  

c) De doelstelling (en) waarvoor de betreffende gegevens worden verzameld, bewaard en verwerkt;                   

d) De wettelijke basis van het bedrijf voor het verzamelen, bewaren en verwerken van die gegevens; en                  

e) De categorie of categorieën gegevenssubject waarop de gegevens betrekking hebben                  

7.4 Als voor een bepaald type gegevens geen precieze bewaartermijn kan worden vastgesteld, worden criteria vastgesteld aan de hand waarvan de bewaring van de gegevens wordt bepaald, waardoor wordt gewaarborgd dat de betreffende gegevens en de bewaring van die gegevens regelmatig kunnen worden beoordeeld. tegen die criteria.                

7.5 Niettegenstaande de gedefinieerde bewaartermijnen in de Bijlage , kunnen bepaalde persoonlijke gegevens worden verwijderd of anderszins worden verwijderd voorafgaand aan het verstrijken van de gedefinieerde bewaartermijn wanneer binnen het Bedrijf een beslissing wordt genomen om dit te doen (hetzij in antwoord op een verzoek van een gegeven onderwerp of anderszins).                

 

8. Rollen en verantwoordelijkheden                   

8.1 De functionaris voor gegevensbescherming van de onderneming is de functiehouder van de secretaris van de onderneming bij Unit 5, Business Center East, Fifth Avenue, Letchworth Garden City, Herts, SG6 2TS .                

8.2 De functionaris voor gegevensbescherming is verantwoordelijk voor het toezicht op de implementatie van dit beleid en voor het toezicht op de naleving van dit beleid, het andere beleid van de onderneming met betrekking tot gegevensbescherming (inclusief, maar niet beperkt tot, haar gegevensbeschermingsbeleid en beleid voor de bescherming van de werknemersdatum ) en met de AVG en andere toepasselijke wetgeving inzake gegevensbescherming.                

8.3 De Data Protection Officer en betrokken collega's, met inbegrip van het bedrijf Business Development Manager voor technische ruimten, is verantwoordelijk voor de naleving van de bovenstaande bewaartermijnen.                

8.4 Vragen over dit beleid, het bewaren van persoonlijke gegevens of enig ander aspect van naleving van de AVG moeten worden doorverwezen naar de functionaris voor gegevensbescherming.                

 

9. Implementatie van beleid                   

Dit beleid wordt van kracht vanaf geacht st december 2019 Geen enkel deel van dit beleid heeft terugwerkende kracht en is dus alleen van toepassing op zaken die op of na deze datum plaatsvinden.

 

CKB Ltd GDPR gegevens Retention Policy - ingangsdatum st december 2019

 

APPENDIX

Description Data Ref Personal/ Non Personal Data Data Subject Category Type of Data Purpose of Data Category Purpose of Data Detail Retention Period or Criteria

Third party customer order management system

CKB-DR-01

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Customer Order Management

Required to process and despatch order

Indefinitely - to allow follow up of any product faults in future

Third party shopping cart provider

CKB-DR-02

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Customer Order Management

Required to process order and store account

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party server (customer order management)

CKB-DR-03

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Customer Order Management

Required to store orders

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Google Analytics

CKB-DR-04

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend, etc

26 months

Online Advertising

CKB-DR-05

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend (conversion tracking), etc

Indefinitely - anonymised data

Online Advertising

CKB-DR-06

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend (conversion tracking), etc

Indefinitely - anonymised data

Third party customer service management tool

CKB-DR-07

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

CRM Customer Service

Required to communicate with customers concerning orders and answer questions concerning orders and products

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Facebook

CKB-DR-08

Personal Information

Non employee data subject

Personal data including name if user interacts with posts

Social Media

Business promotion

Indefinitely - allowing for follow up of any product faults in future in the case of a comment made or competition win, for example

Twitter

CKB-DR-09

Personal Information

Non employee data subject

Personal data including name if user interacts with posts

Social Media

Business promotion

Indefinitely - allowing for follow up of any product faults in future in the case of a comment made

Instagram

CKB-DR-10

Personal Information

Non employee data subject

Personal data including name if user interacts with posts

Social Media

Business promotion

Indefinitely - allowing for follow up of any product faults in future in the case of a comment made

Pinterest

CKB-DR-11

Personal Information

Non employee data subject

Personal data including name if user interacts with posts

Social Media

Business promotion

Indefinitely - allowing for follow up of any product faults in future in the case of a comment made

Linkedin

CKB-DR-12

Personal Information

Non employee data subject

Personal data including name if user interacts with posts

Social Media

Business promotion

Indefinitely - allowing for follow up of any product faults in future in the case of a comment made

Facebook Ads

CKB-DR-13

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend (conversion tracking), etc

Indefinitely - anonymised data

Twitter Ads

CKB-DR-14

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend (conversion tracking), etc

Indefinitely - anonymised data

Pinterest Ads

CKB-DR-15

Non Personal Information

Non employee data subject

Anonymised data

Digital Marketing & Analytics

Required to inform product research, marketing and advertising spend (conversion tracking), etc

30 Days

Third party payment facilitator

CKB-DR-16

Personal Information

Non employee data subject

Personal data including name and total order detail

Payment Gateway

To facilitate payment being made

6 Months

Third party payment facilitator

CKB-DR-17

Personal Information

Non employee data subject

Personal data including name and total order detail

Payment Gateway

To facilitate payment being made

36 Months

Third party payment facilitator

CKB-DR-18

Personal Information

Non employee data subject

Personal data including name and total order detail

Payment Gateway

To facilitate payment being made

12 Months

Website extension tool

CKB-DR-19

Non Personal Information

Non employee data subject

Anonymised data

Website search bar history

Tool to provide insight into search history on Our Site to inform business purchasing and advertising decisions

24 Months

Third party software for location tracking for currency conversion

CKB-DR-20

Personal Information

Non employee data subject

Personal data including IP address

Currency conversion

Enhanced website functionality for better user experience

On during a users time on the website only

Third party address located based on postcode

CKB-DR-21

Personal Information

Non employee data subject

Personal data including address and IP address

Checkout Address Verification

Enhanced website functionality for better user experience

On during a users time at checkout only

Third party review company

CKB-DR-22

Personal Information

Non employee data subject

Personal data including name, transaction ID, contact details, order details and IP address

Customer Feedback & Product Reviews

Business promotion and product review/ customer service tool

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party review company

CKB-DR-23

Personal Information

Non employee data subject

Personal data including name, transaction ID, contact details, order details and IP address

Customer Feedback & Product Reviews

Business promotion and product review/ customer service tool

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party accountancy firm

CKB-DR-24

Personal Information

Non employee data subject and employee data subject

Personal data including name, address, contact details, order details and IP address as well as employee salary information, etc

Financial accountancy and staff payroll

Financial accountancy and staff payroll

In line with financial accounting requirements, currently 6 years

Third party electronic file share and storage system

CKB-DR-25

Personal Information

Non employee data subject and employee data subject

Personal data including name, address, contact details, order details and IP address as well as employee contract info

Business Operation

Business Operation

Reviewed in line with relevant data categories

Third party anti-virus software

CKB-DR-26

Personal Information

Employee data subject

Personal data including IP address

Business Protection

Business protection and security

Review at annual renewal time

Third party bank

CKB-DR-27

Personal Information

Non employee data subject and employee data subject

Personal data including name and IP address as well as transactional data where relevant

Business Operation

Business banking

In line with financial accounting requirements

Third party bank

CKB-DR-28

Personal Information

Non employee data subject and employee data subject

Personal data including name and IP address as well as transactional data where relevant

Business Operation

Business banking

In line with financial accounting requirements

Third party security company

CKB-DR-29

Personal Information

Employee data subject

Personal data including name and contact details for out of hours contact

Business Protection

Business protection and security

Review if a change in employee personnel/ an employee asks to be removed from contact list

Third party security company

CKB-DR-30

Personal Information

Employee data subject

Personal data including name and contact details

Business Protection

Business protection and security

Retain data for as long as there is a contractual need and also thereafter if required or permitted by law

Third party security company

CKB-DR-31

Personal Information

Employee data subject

Personal data including name and contact details for out of hours contact

Business Protection

Business protection and security

Review if a change in employee personnel/ an employee asks to be removed from contact list

Third party mailing company

CKB-DR-32

Personal Information

Non employee data subject

Personal data including name and address

Business Operation

Order delivery

Retained for as long as it needs it to carry out a particular purpose or meet a particular obligation.

 

Third party delivery company

CKB-DR-33

Personal Information

Non employee data subject

Personal data including name and address

Business Operation

Order delivery

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Whats App

CKB-DR-34

Personal Information

Employee data subject

Personal data including name and contact details for out of hours contact

Business Operation

Emergency business communication

Review if a change in employee personnel/ an employee asks to be removed from contact list

Third party IT firm

CKB-DR-35

Personal Information

Non employee data subject and employee data subject

Personal data including name, address, contact details, order details and IP address

Business Operation

IT support

Review if a change in IT support company

Third party e-mail provider

CKB-DR-36

Personal Information

Non employee data subject & employee data subject

Personal data inc name,address, contact/order details/IP address & employee info

Business Operation

Communications

Reviewed in line with relevant data categories

Third party delivery company

CKB-DR-37

Personal Information

Non employee data subject

Personal data including name and address

Business Operation

Order delivery

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party communication software

CKB-DR-38

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Business Operation

Facilitates delivery of order confirmation e-mail

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party accountancy firm (EU territories)

CKB-DR-39

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Financial accountancy

Financial accountancy

In line with financial accounting requirements

Third party accountancy firm (non EU territory)

CKB-DR-40

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Financial accountancy

Financial accountancy

In line with financial accounting requirements

Third party accountancy firm (non EU territory)

CKB-DR-41

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Financial accountancy

Financial accountancy

In line with financial accounting requirements

Marketplace portal authorised access

CKB-DR-42

Personal Information

Employee data subject

Personal data including name, address, contact details, proof if ID

Business Operation

Marketplace portal authorised access

Review if a change in employee personnel/ job role no longer requiring portal access

Third party website developers

CKB-DR-43

Personal Information

Non employee data subject

Personal data including name, address, contact details, order details and IP address

Customer Order Management

Required to test site

Indefinitely - to mirror third party customer order management system and allow follow up of any product faults in future

Third party delivery company

CKB-DR-44

Personal Information

Non employee data subject

Personal data including name and address

Business Operation

Order delivery

Retained in line with statutory and legislative requirements

 

Third party mobile phone device and software provider

CKB-DR-45

Personal Information

Non employee data subject and employee data subject

Personal data including name, address, contact details, order details and IP address as well as employee information

Business Operation

Communications

Reviewed in line with relevant data categories

Third party cookie consent facilitator

CKB-DR-46

Personal Information

Non employee data subject

Personal data including IP address

Legal compliance

GDPR requirement

Indefinitely to provide confirmation of consent at any given time (re-consent is required every 2 months)

Third party business benefit provider

CKB-DR-47

Personal Information

Employee data subject

Personal data including name, address, contact details, and IP address

Business benefits

Financial accountancy

Retained for as long as necessary to satisfy legal, accounting and reporting requirements

Third party business benefit provider

CKB-DR-48

Personal Information

Employee data subject

Personal data including name, address, contact details and IP address

Business benefits

Financial accountancy

Max 150 years post an individual staff member's data of birth

Staff HR files

CKB-DR-49

Personal Information

Employee data subject

Personal data including name, address, contact details, emergency contact details, sickness/ health record, application and employment documentation including contracts, pay rates, training and performance reviews

Business Operation

Legal compliance

6 years after employment terminates

Job applications

CKB-DR-50

Personal Information

Non employee data subject

job application, CV, interview notes, eligibility to work documentation

Business Operation

Legal compliance

6 months after notifying unsuccessful candidates of the outcome of their application

Accident records

CKB-DR-51

Personal Information

Non employee data subject and employee data subject

Personal data including name. Sensitive data concerning accident

Business Operation

Legal compliance

6 years from the date the accident record was made

Third party online training provider

CKB-DR-52

Personal Information

Employee data subject

Personal data including name, contact details and IP address

Business Operation

Staff Training/ legal compliance

Indefinitely with active account

Third party training provider

CKB-DR-53

Personal Information

Employee data subject

Personal data including name and contact details

Business Operation

Staff Training/ legal compliance

Retained for as long as necessary to satisfy legal, accounting and reporting requirements

Third party communication provider

CKB-DR-54

Personal Information

Non employee data subject and employee data subject

Personal data including name, contact details (communication records)

Business Operation

Communications

Retained for as long as necessary to satisfy legal, accounting and reporting requirements

Third party communication provider

CKB-DR-55

Non Personal Information

Gegevensonderwerp voor niet-werknemers

Telefoonnummers

Bedrijfsoperatie

communicatie

In overeenstemming met de vereisten voor financiële verslaggeving