数据保留制度

发布时间:2024-07-05

数据保留制度(第二版)


数据保留制度(以下简称“本制度”)适用于德国海外商会联盟·大中华区,即德国工商大会在北京、 上海和广州的三个代表处(以下简称 “代表处”)、中国德国商会(以下简称 “GCC”)、德中工商技术咨询服务(太仓)有限公司(以下简称 “GIC”)及其分公司的个人信息处理。为确保德国海外商会联盟·大中华区遵守欧盟法律、中国法律和德国海外商会联盟·大中华区的隐私制度,指引德国海外商会联盟·大中华区及其员工进行个人信息的保留与销毁,特制定本制度。 


本制度自2024年5月15日起生效。德国海外商会联盟·大中华区保留随时修订、修改或者调整本制度的权利。


第一条 原则


(1) 在开展业务的过程中,德国海外商会联盟·大中华区收集了很多个人信息。德国海外商会联盟·大中华区致力于确保只在所要求的特定时间内保留相关的、必需的个人信息记录。在可能的情况下,需要提供相关证据证明记录或者个人信息保留的必要性,说明数据在特定时间内应保留的原因。


(2) 在特定情形下,出于取证或者满足运营的需要,为遵守法律规定,记录应当保留。过早销毁个人信息记录可能会违反相应的法律法规,导致诉讼索赔抗辩的失败或者造成运营上的困难或者不利。 


同样,在特定情形下,为遵守法律规定如保护个人信息的规定,含个人信息的记录应当被销毁。此外,永久保留所有含个人信息的记录是不现实的。适当地销毁记录有助于德国海外商会联盟·大中华区保有足够的电子办公存储空间,使工作环境更加有效和可持续。 


因此,德国海外商会联盟·大中华区在评估是否保留个人信息记录时,遵循“需要知道”而非“最好知道”的原则。 


(3) 界定数据保留期间时,德国海外商会联盟·大中华区应确保个人信息记录在保留期间应是最新的、准确的。


第二条 适用


(1) 本制度适用于德国海外商会联盟·大中华区的所有员工、实习生和劳务派遣人员。因此,德国海外商会联盟·大中华区的所有员工、实习生和劳务派遣人员都必须遵守本制度,包括本制度所附的数据保留时间表和本制度中任何诉讼保留的通信。


(2) T本制度适用于与德国海外商会联盟·大中华区的业务有关的,由德国海外商会联盟·大中华区和代表德国海外商会联盟·大中华区处理个人信息的第三方所持有的所有个人信息记录。


第三条 保留和销毁原则


(1) 只有出于合法商业目的和合法依据,个人信息记录才应当被保留。当个人信息记录无需再用于收集目的时,个人信息记录应得到处理。处理个人信息记录有以下方式:(i)安全删除或者销毁;(ii)匿名化或者(iii) 当存储和对这些个人信息采取必要的安全保护措施不可行,需要停止处理个人信息的,转移到档案馆(法律或者适用的记录保留时间表禁止的除外)。


(2) 为避免疑问,根据本制度,电子邮件也是个人信息记录的一种形式。因此,本制度适用于(从公司电子邮件账户发送或者接收的)电子邮件的存储和销毁。(从公司聊天账户发送或者接收的)聊天会话在大多数情况下无需根据本制度进行维护,但是本制度也适用于该类聊天会话。


(3) 个人信息的纸本记录应使用德国海外商会联盟·大中华区办公室的碎纸机进行处理,或者由德国海外商会联盟·大中华区委托的记录粉碎供应商进行处理。电子文件的销毁必须与IT部门协调,同时确保所有备份全部删除。对于不是由IT部门维护的系统,电子文件的销毁必须由相关业务部门处理。


(4) 个人信息的重大销毁,如大规模销毁,应与数据保护官进行沟通。销毁记录应当保留,且应详细说明所销毁的数据、数据销毁前的存储位置、销毁日期、销毁数据的授权人、销毁数据的执行人和销毁方式。


第四条 诉讼保留


(1) 在某些特定情况下,本制度的适用存在一项例外情形,即存在现实或者潜在的诉讼或者调查时。这种例外被称为诉讼保留或者法律保留。该例外优先于可适用的个人信息记录销毁时间表。宣布诉讼/法律保留,须经内部法务的决定。这种情况下,在收到不再需要此类个人信息记录的通知之前,必须保存数据,不能删除、处理、销毁或者改变这些数据。 


(2) 此外,在特殊情况下,可能会要求暂停与其他特定类型事件如信息技术系统更换有关的个人信息记录的销毁程序。


第五条 责任 

任何违反本制度的行为,都可能根据适用的法律和公司规章制度而被采取适当的措施,包括终止劳动关系。 


第六条 联系 

任何有关本制度的问题或者建议,请联系数据保护官。



附录一:定义 

附录二:记录的处理 

附录三:数据保留时间表


附录一:定义 


个人信息是指与已识别或者可识别的自然人(“个人信息主体”)有关的任何信息;可识别的自然人是指可以被直接或者间接识别的人,特别是通过单个标识如姓名、识别号码、位置数据、在线标识等被识别的人或者通过与该自然人的身体、生理、遗传、精神、经济、文化或者社会身份有关的单个或者多个特定因素被识别的人。 


记录是指:“任何备忘录、书籍、计划表、地图、图画、图片、图形成果或者其他文件、照片、电影或者录制品(无论是声音或者图像或者两者兼具)等任何存储数据的形式,人为、技术或者电子持有或者存储信息的设备或者任何其他形式(包括机器可读形式),以及作为上述任何形式的部分或者副本或者上述两种或者多种形式的组合的任何形式”。 


个人信息记录,本制度中的“个人信息记录”包括所有纸本和电子形式的个人信息。 


第三方是指发布本制度的法律实体之外的任何个人、私人组织或者政府机构。


附录二:记录的处理


记录处理过程必须要保障和维护个人信息的机密性。这可以在内部实现或者通过记录粉碎供应商来实现。德国海外商会联盟·大中华区处理过程的负责人有责任提供足够的防护以防止记录的意外丢失或者泄露。 


德国海外商会联盟·大中华区将对销毁的个人信息记录进行登记,证明这些记录已不存在。 


登记应当包括: 

• 文件名称 

• 文件销毁前的存储位置 

• 销毁日期 

• 销毁记录的授权人 

• 销毁记录的执行人 

• 销毁方式


附录三:数据保留时间表


e149bd814e46876ac02a27cab3ff5bc.png

image.png

image.png

image.png

image.png