Hvaða gerðir af framhliðarkerfum setjið þið upp?

Við setjum upp regnhlífarklæðningar, málmframhliðar, samsettar panelur, skreytingarframhliðarkerfi og brunavarnar klæðningarlausnir.

Bjóðið þið upp á nýjar klæðningar sem eru eldtraustar?

Já, við bjóðum upp á vottaðar brunavarnalausnir fyrir klæðningu atvinnuhúsnæðis, iðnaðarhúsnæðis og íbúðarhúsnæðis samkvæmt breskum reglum.

Persónuverndarstefna

Persónuverndarstefna Façade Creations Ltd

Inngangur

Façade Creations Ltd hefur skuldbundið sig til að vernda friðhelgi og öryggi persónuupplýsinga í samræmi við bresku persónuverndarreglugerðina (GBPD) og persónuverndarlög frá 2018, sem og öll önnur gildandi persónuverndarlög. Við fylgjum einnig viðeigandi ákvæðum fyrirtækjalaga frá 2006, einkum varðandi rétta skráningu og öryggi fyrirtækjaskráa. Þessi stefna lýsir því hvernig Façade Creations safnar, notar, geymir og verndar persónuupplýsingar í samræmi við starfsemi okkar sem fyrirtækis sem sérhæfir sig í hönnun, framleiðslu og uppsetningu á sérsmíðuðum álhliðarum.Hún nær yfir persónuupplýsingar sem varða starfsmenn okkar, viðskiptavini, birgja, notendur vefsíðunnar og aðra hagsmunaaðila, og útskýrir réttindi einstaklinga varðandi gögn sín.

Gagnastjóri

Façade Creations Ltd er „ábyrgðaraðili gagna“ sem ber ábyrgð á að ákvarða hvernig og hvers vegna persónuupplýsingar eru unnar innan fyrirtækisins. Ef þú hefur einhverjar fyrirspurnir, beiðnir eða áhyggjur varðandi persónuupplýsingar eða þessar persónuverndarstefnur, vinsamlegast hafðu samband við persónuverndarfulltrúa okkar:

Netfang: info@facadecreations.co.uk
Póstfang: Façade Creations Ltd, 124 City Road, London, England, EC1V 2NX find-and-update.company-information.service.gov.uk

Hlutverk og ábyrgð

Endanleg ábyrgð á gagnaverndarreglum hjá Façade Creations hvílir á forstjóra okkar, Hashim Choksi, sem hefur umsjón með og framfylgir þessari gagnaverndarstefnu. Við höfum ekki skipað formlegan gagnaverndarfulltrúa (DPO) að svo stöddu, þar sem við erum ekki lagalega skyldug til þess miðað við eðli og umfang vinnslu okkar. Hins vegar eru ábyrgðir varðandi gagnavernd innanhúss af framkvæmdastjórn. Allir starfsmenn fá grunnþjálfun í GDPR og gagnavernd sem hluta af kynningar- og símenntunaráætlunum sínum. Gert er ráð fyrir að starfsmenn skilji og fylgi þessari stefnu og tilkynni stjórnendum öll hugsanleg vandamál varðandi gagnavernd. Regluleg endurskoðun og úttektir (sjá Endurskoðun og uppfærslur hér að neðan) eru gerðar til að tryggja samræmi og til að brúa öll eyður.

Skilgreiningar

Í þessari stefnu er merking eftirfarandi hugtaka sem hér segir:

Persónuupplýsingar: Allar upplýsingar sem varða auðkenndan eða persónugreinanlegan einstakling (þekktur sem „hinn skráði einstaklingur“). Þetta felur í sér augljós auðkenni eins og nafn einstaklings, tengiliðaupplýsingar (netfang, símanúmer, heimilisfang), sem og auðkenni eins og starfsmannsauðkenni, IP-tölu eða allar upplýsingar sem hægt er að tengja við einstakling.
Vinnsla: Sérhver aðgerð sem framkvæmd er á persónuupplýsingum, hvort sem hún er sjálfvirk eða handvirk. Vinnsla felur í sér söfnun, skráningu, skipulagningu, geymslu, breytingu, sókn, notkun, miðlun, sendingu, sameiningu, takmörkun, eyðingu eða eyðingu persónuupplýsinga.
Skráður einstaklingur: Sá einstaklingur sem persónuupplýsingarnar varða. Til dæmis geta starfsmenn okkar, viðskiptavinir og notendur vefsíðunnar allir verið skráðir einstaklingar samkvæmt þessari stefnu.
Ábyrgðaraðili gagna: Sá aðili sem ákvarðar tilgang og aðferðir við vinnslu persónuupplýsinga (í þessu tilviki Façade Creations Ltd).
Gagnavinnsluaðili: Þriðji aðili (annar en okkar eigin starfsmenn) sem vinnur persónuupplýsingar fyrir hönd gagnaábyrgðaraðila, samkvæmt fyrirmælum gagnaábyrgðaraðila. (Til dæmis getur skýjaþjónustuaðili sem hýsir gögnin okkar gegnt hlutverki gagnavinnsluaðila.)

Gagnasöfnun og vinnsla

Við söfnum og vinnum aðeins úr persónuupplýsingum í tilteknum, skýrum og lögmætum tilgangi sem nauðsynlegur er fyrir starfsemi okkar. Hér að neðan er yfirlit yfir þær tegundir persónuupplýsinga sem við meðhöndlum og tilgang og lagalegan grundvöll fyrir vinnslu hverrar tegundar:

Starfsmannaupplýsingar (Mannauðsmál) – Tilgangur: Að ráða, ráða og stjórna starfsfólki okkar og uppfylla lagaskyldur sem vinnuveitandi. Þetta felur í sér vinnslu gagna fyrir mannauðsstjórnun, launavinnslu, fríðindi, frammistöðumat og fylgni við reglur um heilbrigði og öryggi á vinnustað.
Gagnaflokkar: Persónuupplýsingar starfsmanna (nafn, tengiliðaupplýsingar, fæðingardagur, kennitala), umsóknargögn og ráðningarskrár (ferilskrá, meðmæli, ráðningarsamningar, hlutverk og ráðningardagar), launa- og bankaupplýsingar vegna launagreiðslna og allar nauðsynlegar vottanir eða skjöl um rétt til vinnu. Við gætum einnig haldið skrár um þjálfun, frammistöðumat og agaviðurlög eftir þörfum. Lagalegur
grundvöllur: Samningsbundin nauðsyn (til að uppfylla ráðningarsamninginn, t.d. greiða laun); Lagaleg skylda (til að fara að vinnulögum, skattakröfum og lögbundinni skráningu, svo sem launaskrám HMRC og kröfum fyrirtækjalaga frá 2006); og lögmætir hagsmunir (til að stjórna starfsfólki okkar á skilvirkan hátt og tryggja rekstrarstöðugleika, með því að vega og meta þessa hagsmuni á móti réttindum starfsmanna).
Gögn um viðskiptavini og verkefni – Tilgangur: Að stjórna samskiptum við viðskiptavini okkar og veita þjónustu okkar við hönnun og uppsetningu á framhliðum. Þetta felur í sér að svara fyrirspurnum, veita tilboð, gera samninga, framkvæma verkefni og uppfylla lagalegar og samningsbundnar skyldur (t.d. heilbrigðis- og öryggisreglur, byggingarreglugerðir).
Gagnaflokkar: Tengiliðaupplýsingar viðskiptavina (nöfn einstaklinga, starfstitlar, heimilisföng, símanúmer, netföng); upplýsingar um verkefnið sem viðskiptavinir veita (kröfur verkefnisins, forskriftir, heimilisföng á staðnum); skrár um samskipti við viðskiptavini; og samningsbundnar og fjárhagslegar upplýsingar (tilboð, samningar, reikningar, greiðsluskrár).
Lagalegur grundvöllur: Samningsbundin nauðsyn (til að grípa til aðgerða að beiðni viðskiptavinarins áður en samningur er gerður og til að framkvæma samninga okkar um hönnun, afhendingu og uppsetningu á framhliðum); Lagaleg skylda (fylgni við lög eins og byggingarreglugerðir, byggingarreglugerðir, skattalög sem tengjast viðskiptum viðskiptavina); og lögmætir hagsmunir (að tryggja skilvirka verkefnastjórnun, viðhalda viðskiptasamböndum og eiga samskipti við viðskiptavini í samhengi við starfsemi okkar – t.d. að veita uppfærslur á verkefnum – á þann hátt sem viðskiptavinir myndu eðlilega búast við). Í takmörkuðum tilfellum gætum við einnig reitt okkur á samþykki – til dæmis ef væntanlegur viðskiptavinur skráir sig til að fá markaðsfréttabréf (sjá markaðssamskipti hér að neðan).
Gögn um birgja og verktaka – Tilgangur: Að stjórna innkaupum á vörum og þjónustu, samhæfa við undirverktaka okkar og birgja og uppfylla skyldur okkar til að greiða fyrir og skrá þessar færslur. Þetta nær yfir gögn sem tengjast söluaðilum okkar, undirverktaka, ráðgjöfum og öðrum þriðja aðila sem við vinnum með að verkefnum.
Gagnaflokkar: Tengiliðaupplýsingar um birgja eða verktaka (nafn tengiliðar, fyrirtækisheiti, heimilisfang, netfang, símanúmer); samningar og samkomulag; banka- og greiðsluupplýsingar (reikningsnúmer, bankakóðar eða IBAN, VSK eða fyrirtækjanúmer) sem þarf til greiðslu; og viðeigandi hæfni eða tryggingarupplýsingar (t.d. sönnun fyrir starfsábyrgðartryggingu eða vottorðum ef þess er krafist í skoðunarferli okkar fyrir verktaka).
Lagalegur grundvöllur: Samningsbundin nauðsyn (til að gera og framkvæma samninga við birgja okkar og undirverktaka, t.d. gefa út innkaupapantanir, greiða reikninga); Lagaleg skylda (til dæmis að geyma skrár yfir færslur í skatta- og endurskoðunarskyni, fylgja lögum gegn svikum eða mútugreiðslum þar sem við á); og lögmætir hagsmunir (svo sem að skoða gæði og áreiðanleika birgja, tryggja skilvirkni framboðskeðju verkefna og viðhalda rekstrarstöðugleika). Þessir hagsmunir eru vegnir á móti hugsanlegum áhrifum á friðhelgi einkalífsins og yfirleitt eru gögnin sem við söfnum í þessu samhengi viðskiptatengd og ekki of persónuleg.
Gögn um markaðssamskipti – Tilgangur: Að senda uppfærslur, fréttir eða markaðssamskipti um þjónustu okkar til einstaklinga sem hafa kosið að fá slíkar upplýsingar. Þetta hjálpar okkur að kynna viðskipti okkar og halda áhugasömum aðilum upplýstum um þjónustu okkar (t.d. nýjar lausnir fyrir framhlið, dæmisögur um verkefni eða viðburði).
Gagnaflokkar: Nöfn og tengiliðaupplýsingar (eins og netfang og fyrirtækisheiti) viðskiptavina eða væntanlegra viðskiptavina sem hafa lýst yfir áhuga á þjónustu okkar eða gerst áskrifendur að póstlista okkar. Við gætum einnig skráð samskiptakjör (t.d. samþykkisskrár, ákjósanlegar samskiptaleiðir) og samskiptasögu (t.d. opnunartíðni tölvupósta eða mætingu á viðburði, á samanlögðu stigi).
Lagalegur grundvöllur: Samþykki – Við reiðum okkur á skýrt samþykki fyrir öll markaðssamskipti með tölvupósti. Einstaklingar eru aðeins bættir við markaðspóstlistann okkar ef þeir hafa veitt okkur skýrt samþykki (til dæmis með því að haka við áskriftarreit á eyðublaði eða gerast áskrifandi í gegnum vefsíðu okkar). Við sendum ekki fjöldamarkaðstölvupósta án samþykkis. Skráðir aðilar hafa rétt til að afturkalla samþykki hvenær sem er. Hver markaðstölvupóstur sem við sendum inniheldur til að afskrá sig og einstaklingar geta einnig haft samband við okkur hvenær sem er til að vera fjarlægðir af markaðslistum. Við munum tafarlaust verða við beiðnum um afskráningu.
Gögn notenda vefsíðu og vafrakökur – Tilgangur: Að reka og bæta vefsíðu fyrirtækisins okkar og skilja hvernig notendur hafa samskipti við hana. Þegar þú heimsækir vefsíðu okkar (www.facadecreations.co.uk) söfnum við ákveðnum gögnum með vafrakökum og svipaðri tækni til að auka virkni og greiningar.
Gagnaflokkar: Við notum vafrakökur fyrir nauðsynlega virkni vefsíðunnar (eins og lotustjórnun, sem man óskir þínar eða heldur þér innskráðum ef við á) og fyrir grunngreiningar. Greiningargögnin (t.d. í gegnum Google Analytics) eru venjulega samanlögð og nafnlaus, sem hjálpar okkur að fylgjast með umferð og notkunarmynstri vefsíðunnar án þess að bera kennsl á einstaka gesti beint. Við söfnum ekki persónugreinanlegum upplýsingum með greiningarkökum og við notum ekki vafrakökur í auglýsingaskyni. Ef vefsíða okkar hefur tengiliða- eða fyrirspurnareyðublöð verða persónuupplýsingarnar sem þú gefur upp (t.d. nafn, netfang, símanúmer og fyrirspurnarupplýsingar) aðeins notaðar til að svara beiðni þinni (sem hluti af viðskiptavinagögnum hér að ofan) og meðhöndlaðar í samræmi við þessa stefnu.
Lagalegur grundvöllur: Lögmætir hagsmunir – Það er í okkar þágu að tryggja að vefsíðan okkar virki vel og að skilja notkun til úrbóta, á þann hátt að virðing sé fyrir friðhelgi einkalífs notenda (greiningargögn eru nafnlaus). Við reiðum okkur einnig á samþykki þar sem það er krafist samkvæmt lögum (við fyrstu heimsókn þína birtum við tilkynningu um notkun vafraköku þar sem óskað er eftir samþykki fyrir ónauðsynlegum vafrakökum). Þú getur hvenær sem er slökkt á ónauðsynlegum vafrakökum í gegnum stillingar vafrans þíns; þó skaltu hafa í huga að þetta getur haft áhrif á virkni ákveðinna vefsíðna.

Gagnamiðlun og flutningur

Við meðhöndlum persónuupplýsingar sem trúnaðarmál og deilum þeim ekki með þriðja aðila nema það sé nauðsynlegt til að ná þeim tilgangi sem gagnasöfnunin var gerð fyrir, eða við erum löglega skylt að gera það. Þegar miðlun er nauðsynleg beitum við meginreglunni um gagnalágmörkun og deilum aðeins þeim upplýsingum sem nauðsynlegar eru. Helstu tilvik þar sem við gætum deilt persónuupplýsingum eru meðal annars:

Undirverktakar og birgjar: Við deilum viðeigandi gögnum með undirverktökum okkar, undirráðgjöfum og birgjum eftir þörfum vegna framkvæmdar verkefnisins. Til dæmis gætum við veitt undirverktaka upplýsingar um aðgang að verkstað eða nöfn starfsmanna vegna heilbrigðis- og öryggismála, eða deilt tengiliðaupplýsingum viðskiptavinar með afhendingaraðila til að samhæfa sendingu. Í öllum tilvikum fá þriðju aðilum aðeins afhent gögn sem nauðsynleg eru fyrir þeirra tiltekna verkefni og er gert ráð fyrir að þeir meðhöndli þau á öruggan hátt.
Faglegir ráðgjafar: Við gætum deilt gögnum með tryggingafélögum, endurskoðendum, lögfræðingum eða öðrum fagráðgjöfum. Til dæmis gæti tryggingafélag fengið upplýsingar um kröfu sem innihalda persónuupplýsingar, eða endurskoðendur okkar gætu séð upplýsingar um greiðslur starfsmanna og verktaka þegar þeir aðstoða við launavinnslu eða fjárhagsendurskoðun. Þessir aðilar eru annað hvort bundnir af trúnaði eða samningsbundnum samningum varðandi gagnavernd.
Ráðgjafar og viðskiptafélagar: Ef við ráðum utanaðkomandi ráðgjafa eða samstarfsaðila í verkefni gætum við þurft að deila ákveðnum gögnum (t.d. upplýsingum um tengiliði verkefnateymis, viðeigandi reynslusögum) til að auðvelda samstarf. Slík miðlun verður háð trúnaðarsamningum og gagnavinnslusamningum eftir því sem við á.
Löglegar og reglugerðarskyldur: Við munum afhenda persónuupplýsingar til ríkisstofnana, eftirlitsaðila, löggæslu eða dómstóla ef lög kveða á um það. Til dæmis gætum við þurft að veita upplýsingar til skattyfirvalda (HMRC) í skattaskyni, til upplýsingafulltrúa (ICO) ef þeir eru að rannsaka kvörtun eða til að fara að dómsúrskurði eða stefnu. Í öllum tilvikum munum við staðfesta lögmæti beiðninnar og aðeins deila þeim gögnum sem nauðsynleg eru samkvæmt lögum.

Façade Creations ekki persónuupplýsingar til þriðja aðila í markaðssetningar- eða öðrum tilgangi.

Alþjóðlegir millifærslur: Sem fyrirtæki með aðsetur í Bretlandi geymum við og vinnum aðallega úr gögnum innan Bretlands. Hins vegar notum við nokkrar virtar skýjaþjónustur (til dæmis Microsoft 365 fyrir tölvupóst og skjalageymslu, Google greiningartól, Xero fyrir bókhald) sem geta falið í sér að geyma gögn á netþjónum utan Bretlands. Þegar persónuupplýsingar eru fluttar út fyrir Bretland (eða Evrópska efnahagssvæðið) – til dæmis til gagnavera í Bandaríkjunum eða annars staðar – tryggjum við að lagaleg öryggisráðstafanir séu til staðar. Þessar öryggisráðstafanir geta falið í sér staðlaðar samningsákvæði (SCCs) eða að bresk stjórnvöld reiða sig á fullnægjandi ákvörðun og við tryggjum að þjónustuaðilar okkar séu vottaðir eða samningsbundnir af sambærilegum gagnaverndarstöðlum sem eru jafngildir GDPR. Við metum vandlega þriðju aðila til að tryggja að þeir uppfylli kröfur um gagnavernd og notum aðeins alþjóðlega viðurkennd fyrirtæki með sterkar öryggisvenjur. Markmið okkar er að persónuupplýsingar fái sama verndarstig óháð því hvar þær eru unnar.

Gagnaöryggi

Façade Creations grípur til viðeigandi tæknilegra og skipulagslegra öryggisráðstafana til að vernda persónuupplýsingar gegn óheimilum aðgangi, tapi, eyðileggingu eða breytingum. Við endurskoðum og bætum stöðugt öryggisvenjur okkar í samræmi við staðla í greininni. Helstu ráðstafanir sem við höfum gripið til eru meðal annars:

Örugg geymsla: Persónuupplýsingar á rafrænu formi eru geymdar í öruggum, aðgangsstýrðum kerfum. Við notum dulkóðun fyrir viðkvæmar upplýsingar, bæði í kyrrstöðu og á leiðinni (til dæmis nota gagnagrunnar okkar og fartölvur diskadulkóðun). Þjónar eru lykilorðsvarðir og eldveggjavarðir og skýgeymsla (t.d. SharePoint/OneDrive innan Microsoft 365) er dulkóðuð og undir eftirliti. Pappírsgögn sem innihalda persónuupplýsingar eru geymd í læstum skápum eða á öruggum skrifstofusvæðum með takmörkuðum aðgangi.
Aðgangsstýring: Við takmörkum aðgang að persónuupplýsingum eingöngu við heimilað starfsfólk sem þarf á þeim að halda í starfi sínu. Mismunandi aðgangsstig eru veitt eftir hlutverki (meginreglan um minnstu forréttindi). Til dæmis eru mannauðsgögn aðeins aðgengileg heimiluðum starfsmönnum mannauðsdeildar og stjórnenda; verkefnagögn eru aðgengileg verkefnateyminu og viðeigandi stjórnendum. Allir starfsmenn eru skyldir til að nota sterk, einstök lykilorð fyrir kerfi fyrirtækisins og fjölþátta auðkenning er virkjuð þar sem það er mögulegt fyrir fjaraðgang.
Örugg samskipti: Þegar við sendum persónuupplýsingar til þriðja aðila (eins og með því að senda launaupplýsingar til bókhaldara okkar eða deila verkefnagögnum með undirverktaka) notum við öruggar rásir. Tölvupóstsendingar eru sjálfkrafa sendar með dulkóðuðum TLS-tengingum og við notum lykilorðsvörn eða dulkóðun fyrir skrár sem innihalda sérstaklega viðkvæmar upplýsingar. Við ráðleggjum gegn notkun óöruggra rása fyrir alla flutning persónuupplýsinga.
Öryggi: Skrifstofur okkar eru öruggar til að koma í veg fyrir óheimilan aðgang – aðgangur að skrifstofum og skjalageymslum er takmarkaður við starfsfólk (með lyklum eða aðgangskortum) og gestir eru í fylgd með. Skjöl eða tæki sem innihalda persónuupplýsingar eru ekki skilin eftir eftirlitslaus á almenningssvæðum. Við notum einnig eyðingu pappírsgagna til að farga öllum pappírsskjölum sem innihalda persónuupplýsingar og höfum stefnu um að halda skrifborðinu hreinu til að lágmarka útsetningu viðkvæmra pappíra.
Öryggi tækja og upplýsingatækni: Allar fartölvur og tæki fyrirtækisins eru stillt með uppfærðum vírusvarnar-/spillivarnarhugbúnaði og eru reglulega uppfærð með nýjustu öryggisuppfærslum. Við höldum við eignastjórnunarferli upplýsingatækni til að rekja tæki fyrirtækisins og tryggja örugga förgun þegar tæki eru tekin úr notkun. Flytjanlegir diskar eða USB-geymsla með persónuupplýsingum eru dulkóðuð eða forðast þar sem það er mögulegt.
Þjónusta þriðja aðila: Við notum trausta skýja- og upplýsingatækniþjónustuaðila (eins og Microsoft og Xero) til að styðja við rekstur okkar. Áður en við ráðum þjónustuaðila sem meðhöndla persónuupplýsingar metum við öryggisvottanir þeirra og persónuverndarstefnu til að tryggja að þeir uppfylli GDPR-staðla. Við undirritum gagnavinnslusamninga við slíka þjónustuaðila til að tryggja að þeir skuldbindi sig til að vernda gögnin fyrir okkar hönd.
Eftirlit og prófanir: Við framkvæmum reglulegar öryggisúttektir og áhættumat á kerfum okkar. Aðgangsréttindi starfsmanna eru endurskoðuð reglulega til að tryggja að aðeins nauðsynlegur aðgangur sé varðveittur. Við veitum einnig starfsfólki stöðuga þjálfun í bestu starfsvenjum í netöryggi (eins og að þekkja tilraunir til netveiða og vernda upplýsingar).

Með því að innleiða ofangreindar ráðstafanir leggjum við okkur fram um að viðhalda háu öryggisstigi og draga úr hættu á gagnalekum eða óheimilli upplýsingagjöf.

Geymsla gagna

Við geymum persónuupplýsingar aðeins eins lengi og þörf krefur til að uppfylla tilganginn með söfnun þeirra og til að uppfylla lagalegar, bókhaldslegar eða skýrslugerðarlegar kröfur. Varðveislutími er ákvarðaður út frá tegund gagna og viðeigandi lagalegum/reglugerðarlegum skyldum. Almennar varðveislureglur okkar eru sem hér segir:

Starfsmannaskrár (mannauðsskrár): Við geymum persónuupplýsingar starfsmanna í allt að 6 ár eftir að ráðningu lýkur, í samræmi við lögbundna fyrningarfresti í Bretlandi vegna atvinnukröfu og kröfur HMRC. Þetta felur í sér að geyma grunn persónuupplýsingar, ráðningarsamninga og launaskrár í sex ár eftir starfslok. Sumar skrár geta verið geymdar lengur ef þörf krefur (til dæmis gætu upplýsingar um lífeyrissjóði eða slysaskrár verið geymdar í lengri tíma samkvæmt sérstökum reglugerðum), en við munum ekki geyma allar skrár um mannauðsskrár að eilífu.
Fjárhagsgögn: Fjárhagsgögn sem kunna að innihalda persónuupplýsingar (t.d. reikningar, greiðsluskrár, kostnaðarskýrslur) eru geymd í 6 ár eftir lok fjárhagsársins til að uppfylla skattareglur HMRC og fyrirtækjalögum frá 2006. Þetta tryggir að við höfum skjöl tiltæk ef til endurskoðunar eða fjárhagslegra fyrirspurna kemur. Eftir 6 ár er slíkum gögnum fargað á öruggan hátt nema lengri varðveisla sé lögbundin fyrir tiltekna þætti.
Verkefnis- og viðskiptavinaskrár: Verkefnatengd skjöl (þ.m.t. bréfaskriftir við viðskiptavini, samninga, verkefnaáætlanir o.s.frv.) eru geymd meðan á verkefninu stendur og yfirleitt í 6 til 10 ár eftir að verkefni lýkur. Nákvæmur tími fer eftir samningsskyldum og ábyrgðarsjónarmiðum – til dæmis kveða samningar oft á um að ákveðnar skrár skuli geymdar í nokkur ár. Í byggingariðnaðinum er algengt að geymt sé tímabil á bilinu 6-12 ár (12 ár ef undir loki). Við höfum tekið upp 10 ár sem almenna leiðbeiningu fyrir stór verkefnisskrár til að ná yfir hugsanleg ábyrgðartímabil vegna leyndra galla. Þessum skrám er geymt á öruggan hátt og aðeins er hægt að nálgast þær ef þörf krefur vegna tilvísunar eða af lagalegum ástæðum.
Fyrirspurnir og gögn um væntanlega viðskiptavini: Ef einstaklingur sendir fyrirspurn en gerir ekki samning við okkur munum við geyma fyrirspurnina og samskiptaupplýsingar hans í allt að tvö ár frá síðustu samskiptum. Þetta er til að gera okkur kleift að fylgja eftir hugsanlegum viðskiptum eða skilja fyrri samskipti. Eftir tveggja ára óvirkni (eða strax að beiðni) eyðum við eða gerum fyrirspurnargögn nafnlaus. Fyrir einstaklinga sem samþykktu að fá markaðsefni munum við geyma upplýsingar þeirra þar til þeir afskrá sig eða draga samþykki sitt til baka, en þá fjarlægjum við þá tafarlaust af virkum póstlistum okkar (en við höldum útilokunarlista til að tryggja að við verðum við beiðnum um að hafa ekki samband).
Aðrir flokkar: Myndefni úr eftirlitsmyndavélum (ef við notum einhvern tíma eftirlitsmyndavélar á starfsstöðvum okkar) er venjulega geymt í stuttan tíma (t.d. 30 daga) nema þörf sé á því í rannsóknarskyni. Ráðningargögn (umsækjendur) umsækjenda sem við ráðum ekki eru venjulega geymd í allt að 6 mánuði, nema umsækjandi samþykki lengri varðveislu vegna framtíðartækifæra.

Í öllum tilvikum, þegar varðveislutími er liðinn, munum við annað hvort eyða persónuupplýsingunum á öruggan hátt eða nafnlausar (svo að ekki sé lengur hægt að tengja þær við einstakling). Örugg eyðing getur falið í sér varanlega eyðingu rafrænna skráa með viðeigandi hugbúnaðartólum og eyðingu á efnislegum skjölum. Við höldum gagnageymsluáætlun og endurskoðum reglulega gögnin sem við geymum til að tryggja að við geymum ekki persónuupplýsingar lengur en nauðsyn krefur.

Einstaklingsréttindi

Skráðir aðilar (einstaklingar sem við geymum gögn um) eiga fjölmörg réttindi samkvæmt bresku persónuverndarreglugerðinni (GDPR). Façade Creations virðir og heldur utan um þessi réttindi. Í stuttu máli eiga einstaklingar rétt á að:

Réttur til aðgangs: Þú getur óskað eftir staðfestingu á því hvort við vinnum úr persónuupplýsingum þínum og, ef svo er, óskað eftir afriti af þeim persónuupplýsingum sem við geymum um þig, sem og upplýsingum um hvernig við notum þær. Þetta er almennt þekkt sem „beiðni um aðgang að upplýsingum“. Við munum veita upplýsingarnar á hnitmiðaðan og gagnsæjan hátt, venjulega innan eins mánaðar frá því að gild beiðni berst.
Réttur til leiðréttingar: Ef einhverjar persónuupplýsingar sem við geymum um þig eru ónákvæmar eða ófullkomnar, hefur þú rétt til að biðja okkur um að leiðrétta þær eða uppfæra. Þegar við höfum staðfest þær munum við leiðrétta ónákvæmnina tafarlaust.
Réttur til eyðingar: Þú hefur rétt til að óska eftir eyðingu persónuupplýsinga þinna við ákveðnar aðstæður – til dæmis ef gagnanna er ekki lengur þörf í þeim tilgangi sem þeim var safnað, eða ef þú afturkallar samþykki og við höfum engan annan lagalegan grundvöll fyrir vinnslu. Þetta er stundum kallað „rétturinn til að vera gleymdur“. Vinsamlegast athugið að þessi réttur er ekki algildur; við gætum þurft að geyma ákveðnar upplýsingar ef við höfum lagalega skyldu eða lögmæta hagsmuni sem vega þyngra til að gera það (við munum láta þig vita ef svo er).
Réttur til að takmarka vinnslu: Þú getur beðið okkur um að takmarka vinnslu gagna þinna við ákveðnar aðstæður. Til dæmis, ef þú véfengir nákvæmni gagnanna eða hefur mótmælt vinnslu okkar (sjá hér að neðan), getur þú óskað eftir takmörkun á meðan málið er leyst. Þegar vinnsla er takmörkuð munum við halda áfram að geyma gögnin þín en munum ekki nota þau eða deila þeim nema í takmörkuðum tilvikum (svo sem með samþykki þínu eða vegna lagalegra krafna).
Réttur til andmæla: Þegar við vinnum með persónuupplýsingar þínar á grundvelli lögmætra hagsmunahefur þú rétt til að andmæla þeirri vinnslu. Ef þú leggur fram andmæli munum við hætta vinnslu viðkomandi upplýsinga nema við getum sýnt fram á sannfærandi lögmætar ástæður fyrir vinnslunni sem ganga framar réttindum þínum, eða vinnslan sé til að stofna, hafa uppi eða verja lagalegar kröfur. Þú hefur einnig skilyrðislausan rétt til að andmæla því að persónuupplýsingar þínar séu notaðar í markaðssetningartilgangi – ef þú andmælir munum við hætta slíkri notkun tafarlaust.
Réttur til gagnaflutnings: Þegar þú hefur látið okkur í té gögn og vinnslan fer fram með sjálfvirkum hætti á grundvelli samþykkis þíns eða til að efna samning, hefur þú rétt til að óska eftir afriti af þessum gögnum á almennu tölvulesanlegu sniði og/eða láta flytja þau til annars ábyrgðaraðila gagna (þar sem það er tæknilega mögulegt). Þessi réttur á fyrst og fremst við um gögn sem þú hefur virkan látið okkur í té. Við munum aðstoða við slíkar beiðnir eftir því sem við getum.

Til að nýta einhver þessara réttinda skaltu hafa samband við okkur á info@facadecreations.co.uk með upplýsingum um beiðni þína. Við gætum þurft að staðfesta hver þú ert til að tryggja að við gefum ekki gögn til rangrar manneskju og í sumum tilfellum gætum við beðið um skýringar á umfangi beiðni þinnar (til dæmis ef þú hefur átt í mörgum samskiptum við okkur). Við munum svara öllum gildum beiðnum eins fljótt og auðið er og eigi síðar en einum mánuði frá móttöku. Ef við þurfum meiri tíma (allt að tvo mánuði til viðbótar fyrir flóknar beiðnir) munum við upplýsa þig um framlenginguna og ástæður hennar. Almennt innheimtum við ekkert gjald fyrir að meðhöndla beiðnir, nema beiðni sé augljóslega tilefnislaus eða óhófleg, en í því tilviki getum við innheimt sanngjarnt gjald eða hafnað beiðninni (með rökstuðningi).

Málsmeðferð vegna gagnaleka

Þrátt fyrir öflug öryggisráðstafanir okkar getur gagnaleki (atvik sem leiðir til óviljandi eða ólögmætrar eyðileggingar, taps, breytinga, óheimillar birtingar eða aðgangs að persónuupplýsingum) samt sem áður átt sér stað. Façade Creations hefur komið á fót skýrri viðbragðsáætlun vegna gagnaleka til að tryggja að slík atvik séu meðhöndluð skjótt og skilvirkt. Verklag okkar er sem hér segir:

Greina og takmarka: Starfsmenn eru þjálfaðir í að tilkynna öll grun um gagnaleka (t.d. týnd tæki, grunsamlega kerfisvirkni eða rangan tölvupóst til rangs viðtakanda) tafarlaust til stjórnenda. Þegar hugsanlegt brot er tilkynnt eða uppgötvað munum við vinna hratt að því að takmarka það - til dæmis með því að einangra kerfi sem hefur verið í hættu, afturkalla ranglega sendi tölvupósta eða breyta aðgangsupplýsingum til að koma í veg fyrir frekari óheimilan aðgang. Við byrjum einnig að skrá atvikið, tímasetningu og aðgerðir sem gripið var til.
Mat: Ábyrgt teymi (undir forystu framkvæmdastjórnar og upplýsingatæknideildar, þar á meðal okkar leiðtoga gagnaverndar) mun rannsaka og meta umfang og alvarleika brotsins. Við ákvörðum hvaða persónuupplýsingar um ræðir, hversu margir einstaklingar eru fyrir áhrifum, hugsanlegar afleiðingar fyrir þessa einstaklinga og hvort gögnin hafi verið endurheimt eða séu enn óvarin. Þetta áhættumat er gert tafarlaust, þar sem það upplýsir okkur um næstu skref varðandi tilkynningar.
Tilkynning: Ef líklegt er að brotið muni leiða til áhættu fyrir réttindi og frelsi einstaklinga (til dæmis hættu á auðkennisþjófnaði, fjárhagslegu tjóni, persónulegu öryggi eða öðru verulegu tjóni), munum við tilkynna bresku upplýsingafulltrúanum(ICO) það innan 72 klukkustunda frá því að við verðum var við brotið, eins og lög kveða á um. Tilkynning okkar til ICO mun innihalda upplýsingar um eðli brotsins, flokka og áætlaðan fjölda einstaklinga og gagna sem um ræðir, líklegar afleiðingar og ráðstafanir sem gripið hefur verið til eða lagt hefur verið til að bregðast við því. Ef 72 klukkustunda fresturinn rennur út og við höfum ekki safnað öllum þessum upplýsingum, munum við senda fyrstu tilkynningu og fylgja eftir með frekari upplýsingum þegar þær liggja fyrir. Að auki, ef líklegt er að brotið muni leiða til mikillar áhættu fyrir viðkomandi einstaklinga (t.d. leka viðkvæmra upplýsinga sem gætu leitt til svika eða tjóns), munum við einnig upplýsa þessa einstaklinga án ótilhlýðilegrar tafar með skýrum hætti um hvað gerðist og hvaða skref þeir ættu að grípa til til að vernda sig. Við munum veita viðkomandi aðilum leiðbeiningar um að draga úr skaðlegum áhrifum (svo sem að endurstilla lykilorð, fylgjast með grunsamlegri virkni o.s.frv.). Ef brotið hefur ekki í för með sér verulega áhættu (til dæmis ef gögn voru dulkóðuð eða endurheimt tafarlaust) gætum við ekki þurft að tilkynna einstaklingum það, en við skráum samt atvikið innbyrðis.
Endurskoðun og forvarnir: Eftir að hafa brugðist við atvikinu munum við framkvæma endurskoðun eftir brotið til að skilja til fulls orsökina og greina svið sem þarf að bæta. Við munum grípa til nauðsynlegra úrbóta til að koma í veg fyrir svipuð atvik í framtíðinni, svo sem að endurskoða verklagsreglur, bæta öryggisráðstafanir eða veita starfsfólki frekari þjálfun. Öll brot og næstum slys eru skráð í innri brotaskrá okkar, ásamt upplýsingum um viðbrögð okkar og niðurstöður, í samræmi við ábyrgðarskyldur okkar.

Við lítum á öll gagnaleka sem alvarlegt mál. Með því að fylgja þessari aðferð stefnum við að því að lágmarka skaða á einstaklingum og læra af atvikum til að efla persónuverndarráðstafanir okkar stöðugt.

Yfirferð og uppfærslur

Við endurskoðum þessa persónuverndarstefnu reglulega til að tryggja að hún sé uppfærð í samræmi við breytt lög og starfsemi okkar. Að lágmarki er stefnan endurskoðuð árlega. Endurskoðun verður einnig framkvæmd ef verulegar breytingar verða – til dæmis ef ný gagnavinnslustarfsemi er tekin upp, ef reglugerðarbreytingar verða eða ef við fáum mikilvægar niðurstöður úr úttekt á persónuvernd eða rannsókn á broti.

Uppfærslur á stefnunni verða samþykktar af stjórnendum fyrirtækisins. Forstjórinn (Hashim Choksi) ber ábyrgð á að samþykkja formlega allar breytingar og fylgjast með því að stefnunni sé fylgt eftir innan fyrirtækisins. Þegar breytingar eru gerðar verða endurskoðuðu stefnurnar birtar á vefsíðu okkar og dagsetning „síðast uppfærðs“ verður leiðrétt í samræmi við það. Ef um verulegar breytingar er að ræða gætum við einnig tilkynnt starfsmönnum eða öðrum einstaklingum sem verða fyrir áhrifum beint (til dæmis með tölvupósti eða innri minnisblaði), sérstaklega ef breytingarnar hafa áhrif á hvernig við meðhöndlum gögn þeirra eða réttindi þeirra.

Við framkvæmum einnig reglulegar úttektir á gagnavernd og eftirlit með reglum (innvortis eða með aðstoð utanaðkomandi ráðgjafa) til að tryggja að raunveruleg starfshættir okkar séu í samræmi við þessa stefnu. Niðurstöður slíkra úttekta verða notaðar til að bæta ferla okkar og geta leitt til uppfærslna á stefnu eða viðbótarþjálfunar.

Með því að endurskoða og uppfæra stefnu okkar og starfshætti reglulega staðfestir Façade Creations skuldbindingu okkar við ströngustu kröfur um gagnavernd og aðlagast fyrirbyggjandi nýjum þróun.

ICO og kvartanir

Við viljum að einstaklingar geti treyst því hvernig við meðhöndlum persónuupplýsingar. Ef þú hefur einhverjar áhyggjur eða kvartanir varðandi gagnaverndarvenjur okkar, hvetjum við þig til að hafa samband við okkur beint svo við getum leyst málið. Að auki hefur þú rétt til að leggja fram kvörtun til eftirlitsstofnunar Bretlands með gagnavernd, sem er Information Commissioner'sOffice (ICO). Hægt er að hafa samband við ICO í gegnum vefsíðu þeirra (ico.org.uk) eða í síma.

Við birtum upplýsingar um rétt einstaklinga til að hafa samband við Alþjóðaviðskiptastofnunina (ICO) í persónuverndaryfirlýsingum okkar (t.d. á vefsíðu okkar og í samningsbundnum ákvæðum um gagnavernd). Við munum vinna að fullu með ICO ef rannsókn fer fram. Að sjálfsögðu vonumst við til að leysa öll áhyggjuefni með því að vinna beint með þér - traust þitt er okkur afar mikilvægt.

Hafðu samband við okkur

Ef þú hefur spurningar um þessa persónuverndarstefnu eða vilt nýta einhver réttindi þín varðandi persónuvernd, þá skaltu ekki hika við að hafa samband við okkur:

Netfang: info@facadecreations.co.uk
Póstur: Fyrirspurnir um gagnavernd – Façade Creations Ltd, 124 City Road, London, EC1V 2NX, Bretland

Við aðstoðum þig með ánægju og munum leitast við að svara öllum lögmætum beiðnum sem fyrst.

Façade Creations Ltd – Skráð í Englandi og Wales (fyrirtækisnúmer 16267073)

Síðast uppfært: október 2025