Zweck und Anwendungsbereich
FART SA, im Folgenden als „Organisation“ bezeichnet, verpflichtet sich, die geltenden Gesetze und Vorschriften zum Schutz personenbezogener Daten in den Ländern, in denen sie tätig ist, einzuhalten, in diesem Fall die nLPD Schweiz.
Die vorliegende Politik definiert die grundlegenden Prinzipien, nach denen die Organisation die personenbezogenen Daten ihrer Kunden, Lieferanten, Geschäftspartner, Mitarbeiter und anderer Personen verarbeitet, und zeigt die Verantwortlichkeiten ihrer Abteilungen und Mitarbeiter bei der Verarbeitung personenbezogener Daten auf.
Dieses Verfahren gilt für die Organisation und ihre Tochtergesellschaften (direkt oder indirekt), die in der Schweiz und im Europäischen Wirtschaftsraum tätig sind oder personenbezogene Daten von betroffenen Personen in diesem Raum verarbeiten.
Die Adressaten dieses Verfahrens sind alle Mitarbeiter, ob temporär oder permanent
Die Grundsätze der nLPD
Die Datenschutzgrundsätze legen grundlegende Verantwortlichkeiten (Rechenschaftspflicht) für Organisationen fest, die personenbezogene Daten verarbeiten. „Der für die Datenverarbeitung Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und muss in der Lage sein, nachzuweisen, dass seine Verarbeitungsvorgänge mit diesen Grundsätzen übereinstimmen“.
Rechtmäßigkeit, Fairness und Transparenz
Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in transparenter Weise gegenüber der betroffenen Person verarbeitet werden.
Zweckbindung
Personenbezogene Daten müssen für bestimmte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Datenminimierung
Personenbezogene Daten müssen den Zwecken entsprechen, für die sie verarbeitet werden, dafür erheblich sein und auf das erforderliche Maß beschränkt werden. Wo es möglich ist, um die Risiken für die betroffenen Personen zu verringern, muss die Organisation personenbezogene Daten anonymisieren oder pseudonymisieren.
Korrektheit
Personenbezogene Daten müssen sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden; es sind angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, rechtzeitig gelöscht oder berichtigt werden.
Begrenzung der Aufbewahrungsfrist
Personenbezogene Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Integrität und Vertraulichkeit
Unter Berücksichtigung des Stands der Technik und anderer verfügbarer Sicherheitsmaßnahmen, der Kosten für die Umsetzung sowie der Wahrscheinlichkeit und Schwere von Risiken für personenbezogene Daten muss die Organisation geeignete technische oder organisatorische Maßnahmen ergreifen, um personenbezogene Daten so zu verarbeiten, dass eine angemessene Sicherheit personenbezogener Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Beschädigung.
Verantwortlichkeiten
Der für die Datenverarbeitung Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und muss in der Lage sein, nachzuweisen, dass seine Verarbeitungsvorgänge diesen Grundsätzen entsprechen.
Erhebung
Die Organisation muss versuchen, so wenig personenbezogene Daten wie möglich zu erheben. Werden personenbezogene Daten von einem Dritten erhoben, muss der für die Verarbeitung Verantwortliche sicherstellen, dass die personenbezogenen Daten in Übereinstimmung mit den gesetzlichen Bestimmungen erhoben werden.
Verwendung, Speicherung und Beseitigung
Die Organisation muss die Richtigkeit, Unversehrtheit, Vertraulichkeit und Relevanz der personenbezogenen Daten entsprechend dem Zweck der Verarbeitung wahren. Angemessene Sicherheitsmechanismen müssen eingesetzt werden, um personenbezogene Daten vor Diebstahl oder Missbrauch zu schützen und um Verletzungen des Schutzes personenbezogener Daten zu verhindern.
Weitergabe an Dritte
Wenn die Organisation einen Drittanbieter oder Geschäftspartner mit der Verarbeitung personenbezogener Daten in ihrem Namen beauftragt, muss der für die Verarbeitung Verantwortliche sicherstellen, dass diese Partei angemessene Sicherheitsmaßnahmen ergreift, um die personenbezogenen Daten im Verhältnis zu den damit verbundenen Risiken zu schützen. Zu diesem Zweck muss ein Compliance-Fragebogen verwendet werden.
Der Lieferant oder Geschäftspartner darf personenbezogene Daten nur zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber der Organisation oder auf Anweisung der Organisation und nicht für andere Zwecke verarbeiten. Verarbeitet die Organisation personenbezogene Daten gemeinsam mit einem unabhängigen Dritten, so muss sie die jeweiligen Verantwortlichkeiten in dem jeweiligen Vertrag oder in einem anderen rechtsverbindlichen Dokument, wie z. B. der Datenverarbeitungsvereinbarung des Lieferanten, ausdrücklich festlegen.
Grenzüberschreitende Übermittlung von personenbezogenen Daten
Vor der Übermittlung personenbezogener Daten aus der Schweizerischen Eidgenossenschaft und dem Europäischen Wirtschaftsraum (EWR) müssen angemessene Garantien, einschließlich der Unterzeichnung einer Datenübertragungsvereinbarung, wie von der Europäischen Union vorgeschrieben, angewendet werden, und erforderlichenfalls muss eine Genehmigung der Datenschutzbehörde eingeholt werden. Die Stelle, die die personenbezogenen Daten erhält, muss die Grundsätze der Verarbeitung personenbezogener Daten einhalten, die im Verfahren für die grenzüberschreitende Datenübermittlung festgelegt sind.
Auskunftsrechte der betroffenen Personen
Wenn die Organisation als für die Verarbeitung Verantwortlicher handelt, muss sie den betroffenen Personen ein angemessenes Auskunftsverfahren zur Verfügung stellen, das es ihnen ermöglicht, auf ihre personenbezogenen Daten zuzugreifen und sie zu aktualisieren, zu berichtigen, zu löschen oder ihre personenbezogenen Daten zu übermitteln, sofern dies angemessen oder gesetzlich vorgeschrieben ist. Das Auskunftsverfahren wird in dem Verfahren zur Beantragung des Zugangs zu personenbezogenen Daten näher erläutert.
Datenübertragbarkeit
Die betroffenen Personen haben das Recht, auf Antrag eine Kopie der von ihnen zur Verfügung gestellten Daten in einem strukturierten Format zu erhalten und diese Daten kostenlos an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln. Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, dass solche Anträge innerhalb eines Monats bearbeitet werden, nicht unverhältnismäßig sind und die Rechte anderer Personen an personenbezogenen Daten nicht beeinträchtigen.
Recht auf Vergessenwerden
Auf Antrag hat die betroffene Person das Recht, von der Organisation die Löschung ihrer personenbezogenen Daten zu verlangen. Handelt die Organisation als für die Verarbeitung Verantwortlicher, so muss sie die erforderlichen Maßnahmen (einschließlich technischer Maßnahmen) ergreifen, um Dritte, die diese Daten verwenden oder verarbeiten, davon in Kenntnis zu setzen, dass sie dem Antrag nachkommen müssen.
Organisation und Verantwortung
Die Verantwortung für den ordnungsgemäßen Umgang mit personenbezogenen Daten liegt bei allen, die innerhalb der Organisation oder in ihrem Auftrag arbeiten und Zugang zu den von ihr verarbeiteten personenbezogenen Daten haben.
Der Verwaltungsrat trifft Entscheidungen und genehmigt die allgemeinen Datenschutzstrategien der Organisation.
Der (intern oder extern bestellte) behördliche Datenschutzbeauftragte oder ein anderer Mitarbeiter, der als Ansprechpartner für das PIMS-Datenschutzmanagementsystem benannt ist, ist für die Verwaltung des Datenschutzprogramms und die Entwicklung und Förderung durchgängiger Datenschutzverfahren verantwortlich.
Die für dieses Dokument verantwortliche Person ist der für die Verarbeitung Verantwortliche, der dafür zuständig ist, es zu überprüfen und erforderlichenfalls zu aktualisieren, und zwar mindestens einmal jährlich.
