Datenschutzerklärung

Aktualisiert 27. Mai 2019

ALLGEMEINE DATENSCHUTZRICHTLINIEN VON CARE

Als für die Datenverarbeitung Verantwortlicher verarbeitet CARE personenbezogene Daten einschließlich sensibler und gesundheitsbezogener Daten. Aus diesem Grunde legt CARE größten Wert auf die Einhaltung der Datenschutzgesetze und -anforderungen.

1. Vorstellung, Kontext und Zweck

CARE verpflichtet sich, den Schutz personenbezogener Daten, die im Rahmen seiner Geschäftsaktivitäten erhalten oder verwendet werden, zu wahren und die geltenden Gesetze und Vorschriften bezüglich der Verarbeitung personenbezogener und sensibler persönlicher Daten einzuhalten.

Diese Richtlinie soll sicherstellen, dass personenbezogene Daten in Übereinstimmung mit Folgendem verwaltet werden:

  • Datenschutz-Grundverordnung („DS-GVO“)
  • Belgische Satzung zu Verarbeitungstätigkeiten (einschließlich der Satzung vom 31. Juli 2018);
  • Allgemeine Anweisungen und Empfehlungen der belgischen Datenschutzbehörde.

Diese Richtlinie wurde vom DSB von CARE definiert und von der CARE-Leitung validiert und angenommen. Der DSB von CARE muss sicher stellen, dass diese Richtlinie aktuell gehalten und mit den relevanten Akteuren bei CARE und Dritten geteilt wird.

1.1 Kontext

Zu den Aktivitäten von CARE gehören Verarbeitungsaktivitäten. Im Rahmen dieser Aktivitäten muss CARE personenbezogene Daten verarbeiten und ist verpflichtet, sie in Übereinstimmung mit den geltenden Datenschutzgesetzen und -bestimmungen zu verarbeiten. Zu diesem Zweck hat CARE unterschiedliche Richtlinien und Verfahren implementiert, um die personenbezogenen Daten zu verwalten und abzusichern sowie um die Rechte der betroffenen Personen zu schützen.

Diese Richtlinie fasst alle Dokumente und Grundsätze zusammen, die zur Einhaltung der Datenschutzgesetze und -bestimmungen innerhalb von CARE erstellt wurden.

Daher beschreibt dieses Dokument:

  • die Datenschutzgrundsätze, zu deren Einhaltung CARE sich verpflichtet;
  • die innerhalb von CARE eingerichtete Datenschutz-Governance;
  • die Dokumente, die definiert wurden, um die Einhaltung der Datenschutzgesetze und -vorschriften zu gewährleisten;
  • die Benachrichtigungspflicht im Falle der Verletzung personenbezogener Daten.

1.2. Anwendungsbereich

Diese Richtlinie gilt für alle Aktivitäten von CARE, wenn CARE persönliche oder sensible Daten sammelt, speichert oder verwendet.

„Personenbezogene Daten“ bezeichnet alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“), die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf ein Merkmal wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Identifikation oder auf einen oder mehrere spezifische Faktoren, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Somit können die personenbezogenen Daten:

  •  Kunden, Benutzer der Anwendungen und Lösungen von CARE, Ärzte, Dritte oder (interne oder externe) Mitarbeiter, Vertragspartner betreffen;
  • strukturiert oder nicht strukturiert sein;
  •  physisch oder nummerisch vorliegen.

Personenbezogene Daten werden insbesondere verarbeitet, wenn CARE die Anwendung Benutzern und Ärzten zur Verfügung stellt, wenn CARE personenbezogene Daten sammelt, um wissenschaftliche Forschung zu betreiben oder statistische Analysen durchzuführen.

2. Grundsätze für personenbezogene Daten

In Übereinstimmung mit der DS-GVO ist CARE verpflichtet, während des gesamten Lebenszyklus der personenbezogenen Daten, einschließlich der Erhebung, Verarbeitung, Speicherung, Übertragung und Löschung, Datenschutzprinzipien anzuwenden.

Personenbezogene Daten müssen:

  • rechtmäßignach Treu und Glauben, und auf transparente Weise in Bezug auf die betroffene Person verarbeitet werden;
  • für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden;
  • angemessen, relevant und auf das beschränkt sein, was in Bezug auf den Zweck, für den sie verarbeitet werden, erforderlich ist;
  • genau und, wenn nötig,  auf dem neuesten Stand gehalten werden;
  • In einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht, und zwar nicht länger, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist;
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.

3. Data-Governance-Modell

CARE hat ein Data-Governance-Betriebsmodell eingerichtet, um die personenbezogenen Daten korrekt zu verarbeiten und zu verwalten. Diese Governance umfasst die Identifizierung der Hauptakteure und der Verantwortlichkeiten in Bezug auf den Datenschutz.     

3.1. Hauptakteure:

  • Der Datenschutzbeauftragte (DSB) von CARE                                            
  • der Sicherheitsbeauftragter
  • das Management

3.2 Rollen und Verantwortlichkeiten der Hauptakteure

i. Der DSB von CARE

Der DSB von CARE ist für Datenschutzangelegenheiten zuständig. Seine Aufgaben und Verantwortlichkeiten wurden im Missionsbrief vom 15. März 2019 festgelegt.  

I.a. Der Datenschutzbeauftragte (DSB) von CARE:

  • Er ist der Hauptansprechpartner für die Belange der betroffenen Person, einschließlich der Ausübung der Rechte der betroffenen Person auf zentraler Ebene;
  • er überwacht die Einhaltung der DS-GVO;
  • er bietet Anleitung und Unterstützung in besonderen Fällen der Aktivitäten von CARE;
  • er entwickelt globale Verfahren, Richtlinien und Vorlagen für die Aktivitäten von CARE;
  • er sensibilisiert und schult auf zentraler Ebene die am stärksten exponierten Mitarbeiter, die an Datenverarbeitungsvorgängen beteiligt sind;
  • er unterstützt und kontrolliert ein allgemeines Datenschutzregister (das von jedem für die Datenverarbeitung Verantwortlichen erstellt werden muss und alle verwendeten Datenverarbeitungsanwendungen sowie aktuelle Informationen über den Zweck enthält);
  • Tritt als Kontaktstelle für den Belgischen Datenschutz auf.

ii. Art der Interventionen des DSB von CARE:

Der Datenschutzbeauftragte ist in verschiedene Datenschutzangelegenheiten involviert. Die Art seiner Intervention kann je nach Thema variieren:

  • Einbeziehung in lokal eingesetzte Projekte, bei denen es um die Verarbeitung personenbezogener Daten geht;
  • Abzeichnung  von Projekten, einschließlich des Datenschutzes, um sicherzustellen, dass jedes Projekt oder Verfahren mit der Richtlinie und den geltenden lokalen Anforderungen übereinstimmt;
  • Durchführung von und Beratung zu Datenschutzfolgenabschätzungen (Data Protection Impact Assessments, DPIA);
  • mit Unterstützung des Datenschutzbeauftragten der CARE-Gruppe die Durchführung eines Plans zur Kontrolle des Datenschutzes sicherstellen, um regelmäßig zu gewährleisten, dass die Anwendungen und Prozesse der Datenverarbeitung den lokalen Datenschutzgesetzen entsprechen;
  • Führung eines Registers der lokalen Datenverarbeitung;
  • Gewährleistung einer angemessenen Sammlung von Bescheinigungen über die Vernichtung personenbezogener Daten.
  •  

iii. Der Sicherheitsbeauftragte von CARE

Der Sicherheitsbeauftragte von CARE wird von der CARE-Leitung ernannt. Er ist verantwortlich für die Umsetzung der DS-GVO und für die Überprüfung der Existenz von Datenschutzkontrollen durch die Dateneigentümer. Der Sicherheitsbeauftragte von CARE fungiert als erste Schutzlinie. Er koordiniert, entwirft, implementiert und überprüft Kontrollen. Der Sicherheitsbeauftragte von CARE ist der Leiter der Datentransformation und die zentrale Anlaufstelle für alle Dateninitiativen.

Insbesondere ist der Sicherheitsbeauftragte von CARE verantwortlich für:

  • Förderung und Umsetzung von Sicherheitsmaßnahmen (organisatorische oder technische Maßnahmen);
  • Förderung und Umsetzung allgemeiner Grundsätze der Datenverwaltung (einschließlich Bewertungen) und Dokumentation der entsprechenden Verfahren.

Die Arbeiten unter der Leitung des Sicherheitsbeauftragten von CARE und des DSB ergänzen sich, um Fragen der Datenverwaltung umfassend zu behandeln. Es müssen Synergien zwischen den beiden Rollen geschaffen werden, um eine effiziente Herangehensweise an die Daten durchzuführen.

iv. Dateneigentümer

Der Dateneigentümer ist der Geschäftsexperte von CARE, der für einen oder mehrere Datenbereiche innerhalb der CARE-Organisation verantwortlich ist. Er verfügt über ein ausgezeichnetes Verständnis der Anforderungen an die Datenverwaltung. Der Dateneigentümer muss über DS-GVO-Arbeiten informiert werden, um mögliche Auswirkungen auf seine Datensätze berücksichtigen zu können. Dazu gehört, dass der Dateneigentümer:

  • zu Datenschutzmaßnahmen beiträgt, wenn seine personenbezogenen Daten betroffen sind.
  • sicher stellt, dass die Datenverarbeitungsaktivitäten, die in seine Verantwortung fallen, ordnungsgemäß referenziert und dokumentiert werden;
  • sicher stellt, dass die Datenschutzrichtlinien und -verfahren innerhalb der CARE-Organisation ordnungsgemäß umgesetzt werden;

Genauer gesagt umfassen die Verpflichtungen des Dateneigentümers die folgenden Themen:

  • Aufbewahrungsfristen für personenbezogene Daten und Datenlöschung:
    • Auf Ersuchen des DSB dazu beitragen, die Aufbewahrungsfrist für Geschäftsdaten zu ermitteln und die anzuwendenden Aufbewahrungsregeln zu identifizieren
  • Sicherheit personenbezogener Daten
    • Unverzügliche Information des DSB über festgestellte oder vermutete Vorfälle oder Datenverletzungen
    • Beitrag zu den Sanierungs- und Sicherungsplänen im Falle einer Datenverletzung bei personenbezogenen Daten
  • Schulung& des Bewusstseins
    • sich über neue Verpflichtungen, Entscheidungen oder Projekte zum Schutz personenbezogener Daten informieren
    • Verbreitung der Kultur zum „Schutz personenbezogener Daten“ innerhalb der Organisation von CARE;
    • Sensibilisierung aller neuen (internen und externen) Mitarbeiter für ihre Grenzen im Rahmen der DS-GVO
  • Eingebauter Datenschutz / Datenschutzfreundliche Voreinstellungen
    • Beitrag zur Feststellung, ob neue Projekte den DS-GVO-Grundsätzen in Bezug auf Datenaufbewahrungsmanagement, Datensicherung, Datenerfassung usw. entsprechen.

3.3 Dokumentation

1. Liste der Datenschutzrichtlinien und -verfahren

CARE hat eine vollständige Dokumentation erstellt, um die Einhaltung der DS-GVO innerhalb der Einheiten von Care zu gewährleisten. Die verschiedenen Dokumente müssen lokal angepasst werden, um die Einhaltung der lokalen Datenschutzgesetze und -vorschriften sicher zu stellen.

Name des Dokuments Zweck des Dokuments
Verfahren zur Wahrung der Rechte der betroffenen Person Verfahren zur Bearbeitung aller Anträge der betroffenen Person (Ausübung von Rechten, einschließlich des Rechts auf Entschädigung)
Strategie zur Datenübermittlung Diese Strategie beschreibt, wie der Schutz personenbezogener Daten bei der Übermittlung außerhalb der EU/EWR gewährleistet wird.
Richtlinie zur Datenspeicherung Diese Richtlinie beschreibt die Grundsätze der Datenspeicherung und die Vorgehensweise bei der Löschung personenbezogener Daten
Verfahren bei Datenverstößen Dieses Verfahren beschreibt, wie mit einer Verletzung personenbezogener Daten umgegangen wird, wie die Verletzung angegangen wird und wie die betroffenen Personen und die Datenschutzbehörde erforderlichenfalls über die Verletzung informiert werden
Zustimmungspolitik Diese Politik beschreibt, wann eine Einwilligung erforderlich ist, wie sie erfasst und aufzuzeichnen ist.
Verfahren &der Minimierungspolitik Mit diesem Dokument soll sichergestellt werden, dass das Minimierungsprinzip in alle Verfahren von CARE zur Verarbeitung personenbezogener Daten integriert wurde.

2. Liste der Vorlagen

Name des Dokuments Zweck des Dokuments
Aufzeichnung der Verarbeitungsaktivitäten Dieses Dokument führt alle Verarbeitungen auf, die von CARE durchgeführt wurden, sowohl als für die Datenverarbeitung Verantwortlicher als auch als & Datenverarbeiter

3. Aktualisierungen

Diese Dokumente werden regelmäßig vom DSB in Zusammenarbeit mit den zuständigen Abteilungen, einschließlich Risikomanagement, Compliance und Sicherheit überprüft, um sicherzustellen, dass die Dokumente korrekt umgesetzt und vollständig auf das regulatorische Umfeld und die Anforderungen der Gruppe abgestimmt werden.

4. Bewertung & der Kontrollen

4.1. Reifegradbewertung

CARE beauftragt regelmäßig den DSB von CARE mit der Durchführung der Reifegradbewertung.

4.2 Datenschutzfolgenabschätzung (Data Protection Impact Assessment, DPIA)

Die DPIA muss durchgeführt werden, wenn die geltenden Gesetze und Vorschriften dies verlangen. Jede neue Tätigkeit oder Verarbeitung unterliegt einer Vorabkontrolle durch den Datenschutzbeauftragten und wird gegebenenfalls einer Datenschutzfolgenabschätzung unterzogen.

5. Verwaltung einer Verletzung der personenbezogenen Daten und Meldung der Verletzung

Eine Verletzung der personenbezogenen Datenverletzung ist eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unberechtigten Offenlegung oder zum unberechtigten Zugriff auf die übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt.

Jede Verletzung von personenbezogenen Daten wird nach dem CARE-Verfahren für Verletzungen personenbezogener Daten behandelt.

In einigen Situationen muss die Verletzung intern und extern gemeldet werden:

  • Intern:
    • Jede Verletzung personenbezogener Daten wird dem DSB von CARE unverzüglich mitgeteilt.
  • Extern:
    • Besteht wahrscheinlich ein hohes Risiko  für die Rechte und Freiheiten der betroffenen Personen, muss die Datenschutzbehörde spätestens 72 Stunden, nachdem man davon Kenntnis erlangt hat, informiert werden;
    • Wenn wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, müssen die betroffenen Personen unverzüglich über die Verletzung informiert werden.

Kontakt: DSB  marc.loveniers@d-lawfirm.be