Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten

EFC GESUNDHEITSDIENSTLEISTUNGEN HANDELS A.G.

RICHTLINIE ZUR AUFBEWAHRUNG UND VERNICHTUNG PERSONENBEZOGENER DATEN

ARTIKEL 1- ZWECK

Die Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten wurde erstellt, um die Verfahren und Grundsätze hinsichtlich der Prozesse und Maßnahmen zur Aufbewahrung und Vernichtung der von EFC GESUNDHEITSDIENSTLEISTUNGEN HANDELS A.G. verarbeiteten personenbezogenen Daten festzulegen.

ARTIKEL 2- Geltungsbereich

Personenbezogene Daten von Unternehmensmitarbeitern, Bewerbern, Praktikanten, Personen, die Produkte und Dienstleistungen in Anspruch nehmen, potenziellen Kunden, Partnern, Besuchern, Lieferanten und anderen Dritten fallen in den Geltungsbereich dieser Richtlinie.

Diese Richtlinie gilt für alle Aufzeichnungsumgebungen im Besitz des Unternehmens oder vom Unternehmen verwalteten Umgebungen, in denen personenbezogene Daten verarbeitet werden, sowie für Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten.

ARTIKEL 3- DEFINITIONEN

Empfängerkreis : Die Kategorie natürlicher oder juristischer Personen, an die personenbezogene Daten durch den Verantwortlichen übermittelt werden.

Ausdrückliche Einwilligung : Eine auf Information beruhende und mit freiem Willen erklärte Einwilligung zu einem bestimmten Thema.

Anonymisierung : Das Unmöglichmachen der Zuordnung personenbezogener Daten zu einer bestimmten oder bestimmbaren natürlichen Person, selbst durch Abgleich mit anderen Daten.

Mitarbeiter : Unternehmenspersonal.

Elektronische Umgebung : Umgebungen, in denen personenbezogene Daten mittels elektronischer Geräte erstellt, gelesen, geändert und geschrieben werden können.

Nicht-elektronische Umgebung : Alle schriftlichen, gedruckten, visuellen usw. Umgebungen außerhalb elektronischer Umgebungen.

Dienstleister : Eine natürliche oder juristische Person, die dem Unternehmen im Rahmen eines bestimmten Vertrages Dienstleistungen erbringt.

Betroffene Person : Die natürliche Person, deren personenbezogene Daten verarbeitet werden.

Relevanter Nutzer : Personen, die personenbezogene Daten innerhalb der Organisation des Verantwortlichen oder gemäß der vom Verantwortlichen erteilten Befugnis und Anweisungen verarbeiten, mit Ausnahme der Person oder Einheit, die für die technische Speicherung, den Schutz und die Sicherung der Daten verantwortlich ist.

Vernichtung : Löschung, Zerstörung oder Anonymisierung personenbezogener Daten.

Gesetz : Gesetz Nr. 6698 zum Schutz personenbezogener Daten.

Aufzeichnungsumgebung : Jede Umgebung, in der personenbezogene Daten vorhanden sind, die vollständig oder teilweise automatisiert oder nicht automatisiert verarbeitet werden, sofern sie Teil eines Datenaufzeichnungssystems sind.

Personenbezogene Daten : Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Verzeichnis der Verarbeitung personenbezogener Daten : Das Verzeichnis, in dem Verantwortliche die von ihnen in Abhängigkeit von ihren Geschäftsprozessen durchgeführten Verarbeitungstätigkeiten personenbezogener Daten detailliert darstellen, indem sie diese mit den Verarbeitungszwecken und der Rechtsgrundlage, der Datenkategorie, dem Empfängerkreis und der betroffenen Personengruppe verknüpfen und die maximale Aufbewahrungsdauer für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, die zur Übermittlung in ausländische Länder vorgesehenen personenbezogenen Daten sowie die zur Datensicherheit getroffenen Maßnahmen erläutern.

Verarbeitung personenbezogener Daten : Jeder Vorgang, der an Daten vorgenommen wird, wie z. B. das Erheben, Erfassen, Speichern, Aufbewahren, Ändern, Neuordnen, Offenlegen, Übermitteln, Übernehmen, Bereitstellen, Klassifizieren oder Verhindern der Nutzung personenbezogener Daten, der vollständig oder teilweise automatisiert oder nicht automatisiert erfolgt, sofern er Teil eines Datenaufzeichnungssystems ist.

Behörde : Ausschuss zum Schutz personenbezogener Daten.

Besondere Kategorien personenbezogener Daten : Daten über die Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession oder andere Überzeugungen, Erscheinungsbild und Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.

Periodische Vernichtung : Der Lösch-, Zerstörungs- oder Anonymisierungsprozess, der von Amts wegen in den in der Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten festgelegten wiederkehrenden Abständen durchgeführt wird, falls sämtliche in dem Gesetz vorgesehenen Voraussetzungen für die Verarbeitung personenbezogener Daten wegfallen.

Richtlinie : Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten.

Unternehmen : EFC GESUNDHEITSDIENSTLEISTUNGEN HANDELS A.G.

Auftragsverarbeiter : Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen auf Grundlage der vom Verantwortlichen erteilten Befugnis verarbeitet.

Datenaufzeichnungssystem : Das Aufzeichnungssystem, in dem personenbezogene Daten nach bestimmten Kriterien strukturiert verarbeitet werden.

Verantwortlicher : Eine natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenaufzeichnungssystems verantwortlich ist.

Informationssystem des Registers der Verantwortlichen : Das über das Internet zugängliche Informationssystem, das von der Präsidentschaft erstellt und verwaltet wird und das Verantwortliche bei Anträgen an das Register und anderen damit zusammenhängenden Vorgängen verwenden.

VERBIS : Informationssystem des Registers der Verantwortlichen.

Verordnung : Die Verordnung über die Löschung, Zerstörung oder Anonymisierung personenbezogener Daten, veröffentlicht im Amtsblatt vom 28. Oktober 2017.

ARTIKEL 4- VERANTWORTLICHKEITEN UND AUFGABEN

Alle Mitarbeiter und Einheiten des Unternehmens leisten den verantwortlichen Einheiten vollständige und aktive Unterstützung bei der rechtmäßigen Erhebung, Verarbeitung und Aufbewahrung personenbezogener Daten. Bei der Umsetzung der im Rahmen der Richtlinie getroffenen administrativen und technischen Maßnahmen, bei der Schulung der Mitarbeiter der Einheiten, bei der Sicherstellung, Erhöhung und Überwachung des Bewusstseins der Mitarbeiter, bei der Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten sowie bei der rechtmäßigen Aufbewahrung personenbezogener Daten unterstützen alle Mitarbeiter und Einheiten die verantwortlichen Einheiten. Die Verteilung der Titel, Einheiten und Stellenbeschreibungen der an den Aufbewahrungs- und Vernichtungsprozessen personenbezogener Daten beteiligten Personen ist in ANHANGTABELLE: 1 dargestellt.

ARTIKEL 5- AUFZEICHNUNGSUMGEBUNGEN

Personenbezogene Daten werden vom Unternehmen in den in ANHANGTABELLE: 2 aufgeführten Umgebungen rechtmäßig und sicher aufbewahrt.

ARTIKEL 6- RECHTLICHE GRÜNDE, DIE EINE AUFBEWAHRUNG ERFORDERN

Im Unternehmen werden personenbezogene Daten, die im Rahmen der Tätigkeiten verarbeitet werden, für die in den einschlägigen Rechtsvorschriften vorgesehenen Zeiträume und im Rahmen des Gesetzes und der einschlägigen Rechtsvorschriften aufbewahrt. In diesem Zusammenhang sind die Gründe, die eine Aufbewahrung erfordern, folgende:

  1. Aufbewahrung personenbezogener Daten, da sie unmittelbar mit dem Abschluss und der Erfüllung von Verträgen zusammenhängen,
  2. Aufbewahrung personenbezogener Daten zum Zweck der Begründung, Ausübung oder Verteidigung eines Rechts
  3. Erforderlichkeit der Aufbewahrung personenbezogener Daten für die berechtigten Interessen des Unternehmens, sofern dadurch die grundlegenden Rechte und Freiheiten der Personen nicht beeinträchtigt werden
  4. Aufbewahrung personenbezogener Daten zum Zweck der Erfüllung einer rechtlichen Verpflichtung des Unternehmens
  5. Ausdrückliche gesetzliche Vorschrift zur Aufbewahrung personenbezogener Daten
  6. Vorliegen der ausdrücklichen Einwilligung der Betroffenen für Aufbewahrungstätigkeiten, die die Einholung einer ausdrücklichen Einwilligung erfordern

ARTIKEL 7- VERARBEITUNGSZWECKE, DIE EINE AUFBEWAHRUNG ERFORDERN

Das Unternehmen kann personenbezogene Daten der betroffenen Person oder von der betroffenen Person benannter Dritter zu verschiedenen Zwecken verarbeiten, einschließlich, aber nicht beschränkt auf die folgenden:

  1. Durchführung von Personalprozessen
  2. Sicherstellung der Unternehmenskommunikation
  3. Sicherstellung der Unternehmenssicherheit
  4. Durchführung statistischer Studien
  5. Erfüllung von Geschäften und Vorgängen infolge unterzeichneter Verträge und Protokolle
  6. Sicherstellung der Erfüllung rechtlicher Verpflichtungen in der gesetzlich erforderlichen oder zwingenden Weise
  7. Kontaktaufnahme mit natürlichen/juristischen Personen, die in einer Geschäftsbeziehung mit dem Unternehmen stehen
  8. Erstellung gesetzlicher Berichte
  9. Erfüllung der Beweislast als Beweismittel in zukünftigen rechtlichen Streitigkeiten
  10. Durchführung/Nachverfolgung der Rechtsangelegenheiten des Unternehmens

ARTIKEL 8- RECHTLICHE GRÜNDE, DIE EINE VERNICHTUNG ERFORDERN

Personenbezogene Daten werden auf Antrag der betroffenen Person oder von Amts wegen durch das Unternehmen gelöscht oder vernichtet, wenn die folgenden Situationen vorliegen:

  1. Änderung oder Aufhebung der einschlägigen gesetzlichen Bestimmungen, die die Grundlage für die Verarbeitung personenbezogener Daten bilden
  2. Wegfall des Zwecks, der die Verarbeitung oder Aufbewahrung personenbezogener Daten erfordert
  3. In Fällen, in denen die Verarbeitung personenbezogener Daten ausschließlich auf ausdrücklicher Einwilligung beruht, Widerruf der ausdrücklichen Einwilligung durch die betroffene Person
  4. Annahme des Antrags der betroffenen Person bezüglich der Löschung und Vernichtung ihrer personenbezogenen Daten im Rahmen der Rechte der betroffenen Person gemäß Artikel 11 des Gesetzes durch den Verantwortlichen
  5. Ablauf der maximalen Aufbewahrungsfrist und Nichtvorliegen einer Bedingung, die eine längere Aufbewahrung personenbezogener Daten rechtfertigen würde

ARTIKEL 9- TECHNISCHE MASSNAHMEN

Die vom Unternehmen in Bezug auf die von ihm verarbeiteten personenbezogenen Daten getroffenen technischen Maßnahmen sind folgende:

  1. Führt die erforderlichen internen Kontrollen innerhalb der eingerichteten Systeme durch
  2. Führt Prozesse zur Durchführung der IT-Risikobewertung und der Business-Impact-Analyse innerhalb der eingerichteten Systeme durch
  3. Stellt die Bereitstellung der technischen Infrastruktur sicher, die das Abfließen von Daten außerhalb des Unternehmens verhindern oder überwachen soll, sowie die Erstellung der entsprechenden Matrizen
  4. Stellt durch regelmäßige und bei Bedarf durchgeführte Penetrationstests die Kontrolle von Systemschwachstellen sicher
  5. Stellt sicher, dass die Zugriffsberechtigungen der in den IT-Einheiten arbeitenden Mitarbeiter auf personenbezogene Daten kontrolliert werden
  6. Stellt sicher, dass die Vernichtung personenbezogener Daten in einer Weise erfolgt, die nicht wiederherstellbar ist und keine Prüfspur hinterlässt
  7. Gemäß Artikel 12 des Gesetzes wird jede digitale Umgebung, in der personenbezogene Daten gespeichert werden, durch verschlüsselte und/oder kryptografische Methoden geschützt, die die Anforderungen der Informationssicherheit erfüllen

ARTIKEL 10- ADMINISTRATIVE MASSNAHMEN

Die vom Unternehmen in Bezug auf die von ihm verarbeiteten personenbezogenen Daten getroffenen administrativen Maßnahmen sind folgende:

  1. Beschränkt den unternehmensinternen Zugriff auf gespeicherte personenbezogene Daten auf das Personal, das aufgrund seiner Stellenbeschreibung Zugriff benötigt. Bei der Beschränkung des Zugriffs wird auch berücksichtigt, ob es sich um besondere Kategorien personenbezogener Daten handelt und wie wichtig die Daten sind.
  2. Benachrichtigt im Falle, dass verarbeitete personenbezogene Daten auf unrechtmäßige Weise von Dritten erlangt werden, die betroffene Person und die Behörde so schnell wie möglich.
  3. Sichert die Datensicherheit in Bezug auf die Weitergabe personenbezogener Daten, indem es mit den Personen, mit denen personenbezogene Daten geteilt werden, einen Rahmenvertrag zum Schutz personenbezogener Daten und zur Datensicherheit abschließt oder die Datensicherheit durch Klauseln gewährleistet, die bestehenden Verträgen hinzugefügt werden.
  4. Beschäftigt sachkundiges und erfahrenes Personal in Bezug auf die Verarbeitung personenbezogener Daten und bietet seinem Personal die erforderlichen Schulungen im Rahmen der Gesetzgebung zum Schutz personenbezogener Daten und der Datensicherheit an.
  5. Führt die erforderlichen Prüfungen durch und lässt diese durchführen, um die Anwendung der Bestimmungen des Gesetzes innerhalb seiner juristischen Person sicherzustellen. Beseitigt Vertraulichkeits- und Sicherheitslücken, die infolge der Prüfungen auftreten.

ARTIKEL 11- METHODEN ZUR LÖSCHUNG PERSONENBEZOGENER DATEN

Personenbezogene Daten werden nach den in ANHANGTABELLE: 3 angegebenen Methoden gelöscht.

ARTIKEL 12- METHODEN ZUR VERNICHTUNG PERSONENBEZOGENER DATEN

Personenbezogene Daten werden nach den in ANHANGTABELLE: 4 angegebenen Methoden vernichtet.

 

ARTIKEL 13- AUFBEWAHRUNGS- UND VERNICHTUNGSFRISTEN

Bei der Festlegung der Aufbewahrungsfrist personenbezogener Daten durch das Unternehmen wird zunächst eine in der Gesetzgebung für die Aufbewahrung der betreffenden personenbezogenen Daten vorgesehene Frist eingehalten. Darüber hinaus wird die Tabelle der Aufbewahrungs- und Vernichtungsfristen in ANHANGTABELLE: 5 zugrunde gelegt.

ARTIKEL 14- FRIST DER PERIODISCHEN VERNICHTUNG

Das Unternehmen führt den Prozess der periodischen Vernichtung jedes Jahr in den Monaten Juni und Dezember durch.

ARTIKEL 15- VERÖFFENTLICHUNG, AUFBEWAHRUNG UND AKTUALISIERUNG DER RICHTLINIE

Die Richtlinie wird in zwei verschiedenen Formen veröffentlicht, als handschriftlich unterzeichnete (gedruckte Papierform) und in elektronischer Form, und wird der Öffentlichkeit auf der Internetseite bekannt gemacht. Die gedruckte Papierausfertigung wird im Unternehmen aufbewahrt. Die Richtlinie wird bei Bedarf überprüft und erforderliche Teile werden aktualisiert.

ARTIKEL 16- INKRAFTTRETEN

Die Richtlinie gilt als in Kraft getreten, nachdem sie auf der Internetseite des Unternehmens veröffentlicht wurde. Im Falle einer Entscheidung zur Aufhebung werden die handschriftlich unterzeichneten alten Ausfertigungen der Richtlinie annulliert (durch Stempel „annulliert“ oder durch Vermerk „annulliert“), unterzeichnet und vom Unternehmen mindestens 5 Jahre lang aufbewahrt.

ANHANGTABELLE: 1 Aufgabenverteilung für Aufbewahrungs- und Vernichtungsprozesse

TITEL ABTEILUNG AUFGABE
Unternehmensleiter Unternehmen Verantwortlich dafür, dass die Mitarbeiter der Richtlinie entsprechend handeln.
…. Verantwortlich für die Erstellung, Entwicklung, Durchführung, Veröffentlichung in den relevanten Umgebungen und Aktualisierung der Richtlinie.
IT-Leiter IT-Abteilung Verantwortlich für die Bereitstellung der technischen Lösungen, die für die Umsetzung der Richtlinie erforderlich sind.
Alle anderen Abteilungen Verantwortlich für die Durchführung der Richtlinie entsprechend ihren Aufgaben.

 

ANHANGTABELLE: 2 Aufbewahrungsmedien für personenbezogene Daten

Elektronische Medien Nicht-elektronische Medien
Personalcomputer

Mobile Geräte

Optische Datenträger

Drucker, Scanner, Fotokopiergeräte

Entnehmbare und tragbare Speicher

Server

Software

Informationssicherheitsgeräte

 Papiere

Schriftliche und gedruckte Medien

Visuelle Aufzeichnungen

Manuelle Datenaufzeichnungssysteme

 

ANHANGTABELLE: 3 Methoden zur Löschung personenbezogener Daten

Datenaufzeichnungsmedium Löschmethode
Server Für personenbezogene Daten auf Servern, deren Aufbewahrungsfrist abgelaufen ist, wird die Löschung durch den Systemadministrator durchgeführt, indem die Zugriffsberechtigung der relevanten Nutzer entfernt wird.
Elektronische Medien Personenbezogene Daten in elektronischen Medien, deren Aufbewahrungsfrist abgelaufen ist, werden für alle Mitarbeiter (relevante Nutzer) außer dem Datenbankadministrator in keiner Weise zugänglich und erneut nutzbar gemacht.
Physische Medien Für personenbezogene Daten, die in physischen Medien aufbewahrt werden und deren Aufbewahrungsfrist abgelaufen ist, werden sie für alle Mitarbeiter außer dem Abteilungsleiter, der für das Dokumentenarchiv verantwortlich ist, in keiner Weise zugänglich und erneut nutzbar gemacht. Außerdem wird ein Schwärzungsverfahren angewandt, indem sie auf eine Weise unlesbar gemacht werden (durch Durchstreichen/Übermalen/Löschen).
Tragbare Medien Personenbezogene Daten, die in flashbasierten Speichermedien aufbewahrt werden und deren Aufbewahrungsfrist abgelaufen ist, werden vom Systemadministrator verschlüsselt und in sicheren Umgebungen mit Verschlüsselungsschlüsseln aufbewahrt, wobei die Zugriffsberechtigung nur dem Systemadministrator erteilt wird.

 

ANHANGTABELLE: 4 Methoden zur Vernichtung personenbezogener Daten

Datenaufzeichnungsmedium Vernichtungsmethode
Physische Medien Personenbezogene Daten auf Papier, deren Aufbewahrungsfrist abgelaufen ist, werden in Dokumentenvernichtungsmaschinen in einer Weise vernichtet, die nicht wiederherstellbar ist.
Optische oder magnetische Medien Für personenbezogene Daten auf optischen und magnetischen Medien, deren Aufbewahrungsfrist abgelaufen ist, wird eine physische Vernichtung angewandt, wie z. B. Schmelzen, Verbrennen oder Pulverisieren. Darüber hinaus werden magnetische Medien durch ein spezielles Gerät geführt und einem hohen Magnetfeld ausgesetzt, wodurch die darauf befindlichen Daten unlesbar gemacht werden.

 

ANHANGTABELLE: 5 Tabelle der Aufbewahrungs- und Vernichtungsfristen

PROZESS AUFBEWAHRUNGSFRIST VERNICHTUNGSFRIST
Arbeitsschutz- und Arbeitssicherheitspraktiken 10 Jahre nach Beendigung des Beschäftigungsverhältnisses 180 Tage nach Ablauf der Aufbewahrungsfrist
Lohn- und Gehaltsabrechnung 10 Jahre nach Beendigung des Beschäftigungsverhältnisses 180 Tage nach Ablauf der Aufbewahrungsfrist
Beantwortung von Anfragen der Personalgerichte/Staatsanwaltschaften 10 Jahre nach Beendigung des Beschäftigungsverhältnisses 180 Tage nach Ablauf der Aufbewahrungsfrist
Aufzeichnungen zu Besuchern und Patienten 10 Jahre ab dem Datum der Erstellung und Aufzeichnung 180 Tage nach Ablauf der Aufbewahrungsfrist
Ablage von Schulungsunterlagen 10 Jahre nach Durchführung der Schulung 180 Tage nach Ablauf der Aufbewahrungsfrist
Notfallvorsorge 10 Jahre nach der Vorbereitung 180 Tage nach Ablauf der Aufbewahrungsfrist
Log-Tracking-Systeme 10 Jahre ab Erstellung 180 Tage nach Ablauf der Aufbewahrungsfrist
Kameraaufzeichnungen 1 Jahr ab Aufzeichnung 180 Tage nach Ablauf der Aufbewahrungsfrist