Política de empresa sobre el Reglamento General de Protección de Datos y Privacidad (GDPR) Mayo 2020
Esta política se aplica a Technology Within Limited ("la Empresa") según lo aprobado por el Consejo de Administración (el "Consejo") el1 de mayo de 2018.
El Responsable de Privacidad (RP) designado garantizará la aplicación de esta política, además de sus otras responsabilidades.
Esta política se distribuirá a todo el personal en el momento de su adopción y cada vez que se actualice. Se distribuirá a los nuevos miembros del personal en el momento de su incorporación.
Objetivo de esta política
Esta Política implementa estructuras organizativas y de información para ofrecer garantías razonables de que la Empresa cumple con toda la legislación aplicable del Reino Unido y de la Unión Europea ("UE") en materia de privacidad, incluido el Reglamento General de Protección de Datos de la UE ("RGPD"), y con la legislación aplicable en materia de privacidad en cualquier otra jurisdicción en la que la Empresa lleve a cabo actividades.
Alcance
Esta Política se aplica a todas las unidades organizativas y a todos los empleados permanentes, temporales y subcontratados.
En esta Política, "artículo" significa el artículo pertinente del GDPR y "RRHH" significa Recursos Humanos. La "Autoridad de Supervisión" en el Reino Unido es la ICO ("Information Commissioner's Office").
Contenido
Sección 1 - Visión general .. 3
Sección 2 - Funciones y responsabilidades. 4
Empleados con responsabilidades de dirección o supervisión de personal 4
El Responsable de Protección de Datos (RP) 4
3.1 Mantenimiento del inventario GDPR de procesos, sistemas y datos. 5
3.2 Publicación de información al interesado sobre el uso que se hará de sus datos. 6
3.3 Tramitación de las solicitudes de los interesados. 6
3.4 Notificación de infracciones. 7
Disposiciones para apoyar la notificación de infracciones en 72 horas. 7
Procedimientos en caso de infracción real o presunta. 8
3.5 Gestión de cambios, incluida la evaluación del impacto de la protección de datos 9
3.6 Incorporación de los requisitos del GDPR en los contratos. 9
3.8 Establecimiento de la licitud y finalidad de la conservación de datos personales. 10
3.9 Establecer un plazo de conservación de los datos personales y programar su supresión. 10
3.10 Interacción con CP Holdings Limited. 10
Número y estado de las solicitudes y reclamaciones de los interesados. 11
Informe anual al Consejo de Administración. 11
Sección 1 - Panorama general
El RGPD distingue entre un "responsable del tratamiento", que "determina los fines y los medios del tratamiento de los datos personales", y un "encargado del tratamiento", que trata los datos personales únicamente bajo las instrucciones directas de un responsable del tratamiento. La empresa es predominantemente un procesador en sus actividades comerciales. En la presente política de empresa se parte del supuesto de que toda la actividad comercial de la empresa se desarrolla en calidad de encargado del tratamiento. Esta suposición debe ser revisada por el PO, y debe formar parte de su informe anual al Consejo.
La empresa actúa como responsable del tratamiento de los datos del personal y de otras actividades menores, como el mantenimiento de los datos de los contactos comerciales.
El artículo 5 exige que el "responsable del tratamiento" trate los datos personales de acuerdo con los principios que se resumen a continuación. El artículo 28 exige que un "encargado del tratamiento" ponga a disposición del responsable del tratamiento toda la información que demuestre que garantiza "la protección de los derechos del interesado" con arreglo al RGPD, lo que incluirá estos principios.
- Los datos personales deben tratarse de forma lícita, leal y transparente.
- Los datos deben recogerse con fines determinados y legítimos, y tratarse sólo para esos fines.
- Los datos recogidos deben ser pertinentes y limitarse a lo necesario en relación con estos fines ("minimización de datos").
- Los datos no deben conservarse más tiempo del necesario para estos fines (a menos que se elimine todo vínculo con personas identificables).
- Los datos deben ser exactos y, en caso necesario, estar actualizados.
- El entorno de control físico, organizativo y técnico debe garantizar la seguridad adecuada de los datos personales contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales.
El artículo 5 establece que el responsable del tratamiento debe poder demostrar que el tratamiento se realiza de conformidad con estos principios. El artículo 24 amplía esta obligación de "rendición de cuentas" para cubrir todos los requisitos del RGPD. El artículo 28 exige efectivamente lo mismo de un encargado del tratamiento.
La presente Política de Empresa establece estructuras organizativas y de información para garantizar razonablemente el cumplimiento de la misma y, además, para cumplir las responsabilidades de la OP detalladas en la Política del Consejo.
Sección 2 - Funciones y responsabilidades
Personal
Todo el personal cumplirá todos los aspectos del RGPD y la legislación sobre privacidad aplicando la formación que reciba de la Empresa y siguiendo los procedimientos establecidos por la Empresa en materia de tratamiento de datos y respeto de la privacidad. Informarán a su superior o a la OP cuando sepan o sospechen que se ha producido una infracción del RGPD y asistirán a la OP cuando sea necesario para apoyar el cumplimiento del RGPD y la legislación sobre privacidad por parte de la Empresa.
Empleados con responsabilidades de gestión o supervisión del personal
Todos estos empleados ("responsables") supervisarán que su personal aplique los requisitos del GDPR y la legislación sobre privacidad según lo indicado anteriormente. También deberán comprender los principios generales del RGPD a través de la formación que reciban de la empresa, y estarán alerta ante situaciones en las que la empresa pueda no estar cumpliendo con la legislación, y las comunicarán a la OP para su revisión.
El director responsable de un área informará a la OP con antelación de cualquier cambio material en las actividades, procesos o sistemas empresariales que pueda afectar a la privacidad o al cumplimiento del GDPR, y no aplicará dichos cambios hasta que la OP o el GM den su consentimiento positivo, tal como se define en la sección 3.5.
Todos los responsables informarán de las violaciones de la protección de datos a la OP tan pronto como se detecten o tan pronto como exista una expectativa razonable de que pueda haberse producido una violación.
El Responsable de Protección de Datos (RP)
El PO deberá:
- Creará y mantendrá esta Política de empresa y, según proceda, los procedimientos asociados, y supervisará su aplicación, con el fin de ofrecer garantías razonables de cumplimiento del GDPR y otra legislación sobre privacidad
- A través de la formación periódica o por otros medios, mantener un nivel de conocimiento de todos los aspectos del GDPR y otra legislación pertinente sobre privacidad que permita el ejercicio efectivo de sus responsabilidades en virtud de esta Política
- Actualizar esta política siempre que se produzca un cambio en la legislación pertinente o haya pruebas de que es necesario mejorarla por otro motivo.
- Revisar anualmente esta Política y actualizarla si es necesario, e incluir esta revisión en su informe anual al Consejo, tal como se describe en la sección 4 a continuación.
- Poner en marcha estructuras organizativas y de información para que se gestione el cumplimiento del GDPR y la privacidad, con problemas identificados para permitir una intervención eficaz de la dirección.
- Coordinar el mantenimiento de registros adecuados para demostrar el cumplimiento de esta política.
- En particular, cuando la base jurídica del tratamiento sea el "consentimiento", asegúrese de que se mantienen registros que ofrezcan garantías razonables de que cada interesado ha dado su consentimiento.
- Establecer un proceso mediante el cual puedan revisarse las exenciones solicitadas a esta Política, para garantizar que se comprenden y justifican los riesgos para los derechos de los interesados por razones de proporcionalidad, y documentar y aprobar dichas exenciones o, en caso de no aprobarse, hacer un seguimiento hasta su resolución.
- Gestionar toda la comunicación con el Ejecutivo GDPR del Grupo sobre cuestiones relativas al GDPR y la privacidad.
- Gestionar toda la comunicación con la Autoridad de Supervisión, incluida cualquier notificación de infracciones.
- Coordinarse con el Director General y otros altos directivos para garantizar que todos los procesos descritos en la sección 3 funcionen eficazmente.
- Suprimir los registros de los candidatos no seleccionados para un puesto de trabajo/cargo después de 3 meses, a menos que la persona haya renunciado a sus derechos en aras de "mantenerse en el archivo" para futuros puestos.
Director General (DG)
El MD deberá:
- Asignar los recursos adecuados para que la OP y las demás personas y unidades organizativas mencionadas en esta Política puedan llevar a cabo sus responsabilidades tal y como se definen en la Política.
- Recibir informes periódicos de la OP que contengan indicadores clave de rendimiento e indicadores clave de riesgo en relación con el cumplimiento del GDPR y la legislación sobre privacidad, e intervenir según proceda.
- Apoyar a la OP cuando sea necesario en todos los procesos descritos en la sección 3. En particular:
- Según la sección 3.1, asegúrese de que la empresa mantiene "Una descripción general de las "medidas de seguridad técnicas y organizativas" aplicadas para cumplir los requisitos del artículo 32". Esto debe incluir la documentación de las medidas para garantizar la seguridad informática.
- Conforme a la sección 6, garantizar que la OP sea informada con la debida antelación de cualquier contrato que esté negociando la empresa (incluidas las renovaciones) que pueda afectar al cumplimiento del GDPR, y facilitar que la OP participe en las negociaciones para garantizar que el contrato mantenga el cumplimiento.
- Garantizar que los procesos de RR.HH. de la empresa, según sea necesario con la participación de la OP, logren lo siguiente:
- Incorporar los requisitos del GDPR y la privacidad en las descripciones de funciones y en los procesos de RRHH, incluidos los procesos disciplinarios.
- Mantener títulos de funciones estándar en toda la empresa
- Mantener un sistema de asignación de derechos de acceso del personal a los sistemas informáticos que se ajuste a las necesidades de las funciones del personal y a los requisitos del GDPR.
- Establecer una formación inicial y anual sobre GDPR y privacidad para cada miembro del personal adecuada a su función.
Sección 3 - Procesos
3.1 Mantenimiento del inventario GDPR de procesos, sistemas y datos
El registro central de la empresa en relación con el RGPD es una hoja de cálculo ("Inventario RGPD") en la que se enumeran todos los procesos gestionados y los sistemas utilizados, junto con información detallada sobre los campos de datos que contiene cada sistema. Esta hoja de cálculo contiene la siguiente información exigida por el artículo 30:
- Finalidad del tratamiento
- Categorías de interesados y categorías de datos personales
- Categorías de destinatarios a los que se comunican los datos personales
- Cualquier transferencia de datos personales a un tercer país
- Plazos previstos para la supresión de las distintas categorías de datos.
De la información requerida por el artículo 30, el Inventario GDPR no contiene:
- Nombre y datos de contacto de la empresa. Está implícito en los registros básicos de la empresa.
- Salvaguardias establecidas para las transferencias de datos a terceros países. En la sección 2 se enumera la responsabilidad de la OP de garantizar la existencia de salvaguardias contractuales.
- Una descripción general de las "medidas de seguridad técnicas y organizativas" establecidas para cumplir los requisitos del artículo 32. La sección 2 enumera la responsabilidad del Jefe de TI de mantener dichas medidas.
La OP es responsable de coordinar la creación y el mantenimiento del Inventario GDPR, trabajando con los altos directivos pertinentes para cada área. El OP debe revisar el inventario con los directivos para determinar en qué casos la naturaleza del tratamiento requiere procedimientos internos que garanticen el cumplimiento del RGPD y trabajará con los directivos pertinentes para aplicar dichos procedimientos; el GM prestará el apoyo necesario para ello.
El inventario debe revisarse y actualizarse al menos una vez al año, y el PO debe trabajar con todos los altos directivos para garantizar que todas las unidades organizativas revisen los procesos o sistemas en su área y aconsejen las correcciones necesarias. La revisión debe garantizar que no haya ningún cambio que haya creado una infracción o posible infracción del cumplimiento del GDPR.
3.2 Publicación de información al interesado sobre el uso que se hará de sus datos
La OP velará por que la empresa facilite a los interesados toda la información exigida en el artículo 13. Esto sólo es necesario cuando la empresa sea responsable del tratamiento. Esto sólo es necesario cuando la empresa es responsable del tratamiento. Cuando la empresa sea encargada del tratamiento, no estará obligada a facilitar dicha información directamente a los interesados.
La OP colaborará con el responsable de RRHH para garantizar que se entregue la documentación a los miembros del personal en el momento de su contratación y, posteriormente, de forma periódica, para que dispongan de toda la información exigida por el RGPD. Como exige el artículo 12, en la medida de lo razonablemente posible, la información se facilitará de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo.
3.3 Tramitación de las solicitudes de los interesados
En virtud del RGPD, el interesado tiene los siguientes derechos:
- Derecho de acceso (artículo 15)
- Derecho de rectificación (artículo 16)
- Derecho de supresión (artículo 17) también llamado "derecho al olvido"
- Derecho a la limitación del tratamiento (artículo 18)
- Derecho de oposición (artículo 21)
El interesado tiene que ponerse en contacto con el responsable del tratamiento; technologywithin, como encargado del tratamiento, tiene que apoyar al responsable del tratamiento en el ejercicio de los derechos si así lo solicita.
El PO y el responsable de RRHH serán los puntos de contacto para estas solicitudes. En caso de solicitud, deberán:
- Confirme y documente que la persona que realiza la solicitud se identifica como el interesado.
- Documente la solicitud por escrito, incluyendo todas las medidas adoptadas y todas las comunicaciones.
- Realice las comprobaciones y acciones específicas para cada tipo de solicitud según se detalla en el GDPR
- Mantener un registro de las solicitudes realizadas y ejecutadas
- Si es posible, complete todas las solicitudes en un plazo de 30 días, informando al solicitante de las medidas adoptadas. En caso contrario, complete las solicitudes lo antes posible, informando al interesado de los progresos al menos cada 30 días.
3.4 Notificación de infracciones
El artículo 33 del RGPD exige que el responsable del tratamiento notifique cualquier "violación de datos personales" a la Autoridad de Control sin dilación indebida y, cuando sea posible, a más tardar 72 horas después de haber tenido conocimiento de ella. Una violación de datos personales es "una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, conservados o tratados de otra forma".
El artículo también exige que un encargado del tratamiento "notificará al responsable del tratamiento sin demora indebida tras tener conocimiento de una violación de datos personales". Como ya se ha señalado, en la mayoría de las actividades empresariales, la empresa es un encargado del tratamiento de datos. El encargado del tratamiento también debe ayudar al responsable del tratamiento a resolver las violaciones.
Umbral de materialidad
En la definición de "violación" no se hace referencia a la importancia relativa. El cumplimiento del RGPD implica decisiones sobre la proporcionalidad entre beneficio y coste. La Empresa prevé que el coste de notificar infracciones inmateriales a la Autoridad de Supervisión no estaría justificado por el beneficio para los interesados, en particular porque es poco probable que la propia Autoridad de Supervisión pueda hacer frente a un gran número de infracciones inmateriales notificadas por todos los responsables y encargados del tratamiento del país. En consecuencia, esta Política establece un umbral de materialidad para la notificación de infracciones del RGPD a la Autoridad de Supervisión de la siguiente manera:
Una violación material es aquella en la que un número importante de registros que contienen datos personales se revelan a un tercero no autorizado o se destruyen cuando los registros siguen siendo necesarios para el tratamiento.
La decisión sobre la materialidad debe ser equilibrada:
- la necesidad de pecar por exceso en lugar de por defecto.
- la necesidad de criterios de decisión sencillos para establecer la materialidad
- el deseo de suprimir la notificación de incidentes triviales que pueden sobrecargar a las autoridades supervisoras y mermar la capacidad de las empresas del Grupo para centrarse en los asuntos importantes
- la necesidad de mantener la proporcionalidad del esfuerzo operativo
- los derechos de los interesados y, por tanto, la necesidad de un umbral de materialidad sustancialmente más bajo cuando el impacto de la revelación o pérdida sobre los interesados sea elevado.
En caso de duda sobre si una infracción es material, debe discutirse inmediatamente con el Ejecutivo de GDPR del Grupo.
Todo el personal debe ser consciente de la necesidad de identificar las infracciones y posibles infracciones del GDPR y escalarlas inmediatamente a la OP, ya sea directamente o escalando a través de su línea de gestión.
Todos los directivos y el personal prestarán el apoyo necesario para que el PO y el MD puedan ejercer sus responsabilidades tal y como se describe a continuación.
Disposiciones de apoyo a la notificación de infracciones en 72 horas
Debido al requisito de que el responsable del tratamiento notifique las infracciones a la Autoridad de Supervisión en un plazo de 72 horas, incluso si este plazo incluye fines de semana o días festivos, la empresa necesita tener la capacidad de notificar las infracciones en este plazo, tanto si actúa como responsable del tratamiento como si lo hace como encargado del tratamiento. Por consiguiente:
- Todo el personal informará de las infracciones o posibles infracciones inmediatamente después de descubrirlas, tanto al OP como al MD.
- El PO y el MD se asegurarán de que, en caso de no estar localizables por correo electrónico o teléfono durante más de 24 horas (incluidos los fines de semana y días festivos), designarán a un suplente para recibir las notificaciones de infracciones o posibles infracciones, y lo comunicarán a todos los directivos. Si el PO o el MD se ausentan inesperadamente, el otro designará a un suplente para recibir las notificaciones de infracciones.
El PO y el MD intensificarán la investigación y la notificación de una infracción rápidamente, incluso cuando esto implique que el personal tenga que trabajar los fines de semana o los días festivos. Para ello, se asegurarán de que se compartan los datos de contacto del personal pertinente a fin de poder ponerse en contacto con las personas fuera de las horas normales de trabajo para este fin, según sea necesario.
Procedimientos en caso de infracción real o presunta
En caso de incumplimiento o sospecha de incumplimiento, el OC y el MD o sus suplentes deberán:
- Trabajar con las unidades organizativas pertinentes para investigar los hechos y evaluar si la infracción es material. Aunque no esté claro si el incumplimiento es material, se tratará como tal.
- Trate las infracciones por debajo del umbral de materialidad como menos urgentes, aunque siga trabajando para informar a las personas implicadas lo antes posible.
- Cuando sólo se sospeche que se ha producido una infracción, hay que determinar si realmente se ha producido o no.
- Obtenga una descripción completa de la infracción, que incluya:
- si se trata de una divulgación no autorizada o de dar acceso a datos personales
- Las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados
- Consecuencias probables de la infracción
- Trabajar con los miembros del personal apropiados para determinar las medidas inmediatas adoptadas o que deben adoptarse para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar los posibles efectos adversos de la violación.
- En el caso de infracciones que superen el umbral de materialidad, informe inmediatamente al Ejecutivo de GDPR del Grupo y (i) cuando la empresa sea un procesador de datos, informe inmediatamente al controlador, o (ii) cuando la empresa sea un controlador de datos, informe a la Autoridad de Supervisión "sin demoras indebidas" y, ciertamente, dentro de las 72 horas posteriores a la identificación original de la infracción dentro de la empresa, proporcionando la información requerida por el artículo 33.
- Tras informar al responsable del tratamiento o a la Autoridad de Supervisión de una infracción, colabore con él para facilitar toda la información requerida.
- Si la empresa es responsable del tratamiento de los datos, trabajará con el personal pertinente para informar a los interesados de las circunstancias de la violación lo antes posible, facilitándoles la información exigida en el artículo 34, salvo si se aplica alguna de las excepciones previstas en dicho artículo, en cuyo caso la OP podrá decidir no informar a los interesados.
- Trabajar con el personal pertinente para determinar la causa de la violación de los datos y aplicar controles mejorados para evitar que se repita.
- Mantenga una documentación completa de cada etapa de este proceso.
3.5 Gestión de cambios, incluida la evaluación del impacto de la protección de datos
Todas las unidades organizativas se asegurarán de que, antes de emprender una nueva actividad, proceso o sistema, o un cambio en las actividades existentes, comprueben si puede tener repercusiones en la protección de datos o la privacidad. Cuando exista un posible impacto material, informarán a la OP y no aplicarán el cambio propuesto hasta que (i) la OP garantice positivamente que la aplicación prevista mantiene el cumplimiento por parte de la empresa del RGPD y de la legislación en materia de privacidad (ii) el Director General, en coordinación con la OP, confirme que, aunque la aplicación prevista no cumple plenamente los requisitos del RGPD, la empresa debe seguir adelante con ella, ya que los beneficios del cambio superan los riesgos para la libertad de los interesados y no hay forma de reducir estos riesgos sin un coste desproporcionado.
Cuando la OP sea informada de un cambio propuesto, trabajará con la unidad organizativa directamente afectada y, en su caso, con otros altos directivos, para evaluar si el cambio se ha planificado correctamente para mantener el cumplimiento del RGPD o si existen riesgos de incumplimiento. La evaluación tendrá en cuenta todos los controles y mitigaciones propuestos. Si existen riesgos de incumplimiento, la OP se coordinará con el MD para decidir si se aprueba el cambio como se ha indicado anteriormente, si se investigan posibles mitigaciones o si se detiene el cambio propuesto.
La OP mantendrá un registro escrito de la evaluación, incluida la prueba de la aprobación por parte de las unidades organizativas consultadas. Este registro escrito contendrá una descripción sistemática del cambio propuesto, una evaluación de la necesidad y proporcionalidad del tratamiento en relación con su finalidad, una explicación de la evaluación de los riesgos antes mencionada y las medidas previstas para hacer frente a los riesgos. También se dejará constancia de los casos en que el MD apruebe un cambio que no se ajuste plenamente al GDPR.
Cuando el PO lo considere necesario, la unidad organizativa llevará a cabo una revisión tras la aplicación del cambio para garantizar que el tratamiento se realiza según lo previsto, y adoptará las medidas correctoras necesarias. La unidad organizativa documentará esta revisión y el PO la mantendrá con sus registros.
El proceso anterior cumple los requisitos de la evaluación de impacto sobre la protección de datos descrita en el artículo 35.
3.6 Incorporación de los requisitos del RGPD en los contratos
El MD se asegurará de que la OP sea informada lo antes posible de todos los contratos que se estén negociando, incluidos los contratos existentes que se estén renovando, que cumplan alguna de las siguientes características:
- Son para la prestación de servicios informáticos
- Subcontratan servicios que implican el suministro de trabajadores en los locales de la empresa
- Implican el manejo de documentos en papel
- Parece probable que afecten al cumplimiento del GDPR o de la legislación sobre privacidad.
La OP trabajará con el apoyo jurídico adecuado y con todas las unidades operativas necesarias para determinar las cuestiones relativas al RGPD y a la privacidad que sean pertinentes para cada contrato.
La OP trabajará con el jefe de la unidad organizativa que negocie el contrato para incluir en el contrato cláusulas que garanticen que el contrato mantendrá el cumplimiento por parte de la Empresa del RGPD y de la legislación en materia de privacidad. En particular, cuando el contrato establezca una relación en la que la empresa sea responsable del tratamiento y la otra parte sea encargada del tratamiento, el contrato deberá cumplir lo dispuesto en el artículo 28.
La OP podrá solicitar asesoramiento al Ejecutivo de GDPR del Grupo sobre la negociación del contrato.
Si no es posible resolver todas las cuestiones relativas al RGPD y la privacidad en las negociaciones, la OP documentará la situación y elevará la decisión sobre el contrato al MD.
La OP mantendrá un registro escrito de cada paso del proceso anterior.
3.7 Formación del personal
La OP, en coordinación con el responsable de RRHH, trabajará con el MD y los altos directivos para determinar la formación necesaria para cada categoría de personal, de modo que puedan cumplir con el GDPR y la legislación sobre privacidad.
Se espera que esto implique (i) formación como parte de la inducción para los nuevos empleados y (ii) una actualización anual. También es necesario definir la formación que se impartirá a todo el personal antes de la aplicación del RGPD en mayo de 2018, aunque la expectativa es que sea la misma que la formación requerida para el nuevo personal.
3.8 Establecimiento de la licitud y finalidad de la conservación de datos personales
La OP trabajará a partir del Inventario GDPR (en su creación inicial y en cada revisión anual) para garantizar que exista una base de licitud y una finalidad identificada y registrada para cada proceso en el que la Empresa reciba o almacene datos personales. Esto requerirá la cooperación de los altos directivos pertinentes.
3.9 Establecer un plazo de conservación de los datos personales y programar su supresión
La OP, en cooperación con los jefes de las unidades organizativas, garantizará que haya un período de conservación identificado en el Inventario del GDPR para cada posesión de datos. Por lo general, este será el más largo de:
- Los requisitos legales para la conservación de determinados datos, y
- Periodo de tiempo durante el cual se prolonga la finalidad original de la conservación de los datos.
La OP colaborará con los responsables de las unidades organizativas para diseñar y hacer efectiva la supresión periódica de los datos personales que se hayan conservado durante su ciclo de vida, tal y como se ha determinado anteriormente.
Se reconoce que, desde el punto de vista práctico de la organización, en muchos casos la "supresión" se logrará sobrescribiendo los campos de datos con caracteres sin sentido en lugar de mediante la supresión física de los registros.
3.10 Interacción con CP Holdings Limited
La Política de la Junta reconoce que el holding final de la Compañía, CP Holdings Limited, ha nombrado un Ejecutivo de GDPR del Grupo (GGE) y creará un Centro de Excelencia de GDPR ("COE"), e instruye a la PO a trabajar con el GGE y el COE en ciertas áreas. De conformidad con la Política del Consejo:
- Cuando el GGE instruya el uso de plantillas o procesos específicos para lograr el cumplimiento del GDPR, el PO lo incorporará en esta Política de Empresa o en el procedimiento asociado, a menos que considere que es inapropiado para la Empresa, en cuyo caso explicará el motivo de la no incorporación al GGE y en el informe anual al Consejo.
- La OP remitirá las cuestiones técnicas sobre el RGPD al COE.
- Cuando se produzca una infracción del GDPR que deba notificarse a la autoridad supervisora, la OP informará inmediatamente de todas las circunstancias al GGE.
Sección 4 - Informes
Número y estado de las solicitudes y reclamaciones de los interesados
La OP mantendrá un registro de todas las solicitudes y reclamaciones y de su resolución.
Informe anual al Consejo de Administración
Esto debe dar a la Junta una comprensión de las estructuras existentes para dar una garantía razonable de cumplimiento con el GDPR y la legislación de privacidad, junto con la evidencia de cumplimiento, y una visión general de las áreas en las que la Compañía no ha cumplido o donde existen riesgos o problemas. Debe incluir:
- Una copia de la última versión de esta Política junto con una explicación de los cambios clave desde la versión anterior aprobada por el Consejo.
- Un informe sobre los principales cambios introducidos en el inventario del RGPD en el último año.
- Un informe resumido sobre el número y la situación de las solicitudes y reclamaciones de los interesados, con sus resultados.
- Una revisión de los incumplimientos del GDPR a lo largo del año, tanto materiales como inmateriales, y un comentario sobre cómo está funcionando el límite de materialidad.
- Una revisión de cómo ha funcionado el cumplimiento del GDPR a lo largo del año, destacando cualquier riesgo o problema particular y ofreciendo una evaluación general.