1. Grundsätze des Datenschutzes
Dedalus HealthCare verpflichtet sich, Daten in Übereinstimmung mit seiner Verantwortung gemäß der DSGVO zu verarbeiten.
Artikel 5 der DSGVO verlangt, dass personenbezogene Daten wie folgt verarbeitet werden müssen:
a. rechtmäßig, fair und auf transparente Weise in Bezug auf Einzelpersonen verarbeitet werden;
b. für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist; die Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken wird nicht als unvereinbar mit den ursprünglichen Zwecken betrachtet;
c. angemessen und sachdienlich sein und sich auf das beschränken, was im Hinblick auf die Zwecke, für die sie verarbeitet werden, erforderlich ist;
d. sachlich richtig und, soweit erforderlich, auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
e. nicht länger, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht;
f. personenbezogene Daten können länger gespeichert werden, sofern die personenbezogenen Daten ausschließlich für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeitet werden, vorbehaltlich der Anwendung geeigneter technischer und organisatorischer Maßnahmen, die nach der DSGVO erforderlich sind, um die Rechte und Freiheiten natürlicher Personen zu schützen, und in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung, unter Verwendung geeigneter technischer oder organisatorischer Maßnahmen."
2. Allgemeine Bestimmungen
a. Diese Richtlinie gilt für alle personenbezogenen Daten, die von Dedalus HealthCare verarbeitet werden.
b. Die verantwortliche Person trägt die Verantwortung für die laufende Einhaltung dieser Richtlinie durch das Unternehmen.
c. Diese Richtlinie wird mindestens einmal jährlich überprüft.
d. Das Unternehmen muss sich beim Information Commissioner's Office als Organisation, die personenbezogene Daten verarbeitet, registrieren lassen.
3. Rechtmäßige, faire und transparente Verarbeitung
a. Um sicherzustellen, dass die Verarbeitung von Daten rechtmäßig, fair und transparent ist, führt das Unternehmen ein Systemregister.
b. Das Register der Systeme wird mindestens einmal jährlich überprüft.
c. Einzelpersonen haben das Recht, auf ihre persönlichen Daten zuzugreifen, und alle derartigen Anfragen an das Unternehmen werden zeitnah bearbeitet.
4. Rechtmäßige Zwecke
a. Alle vom Unternehmen verarbeiteten Daten müssen auf einer der folgenden Rechtsgrundlagen beruhen: Zustimmung, Vertrag, gesetzliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder legitime Interessen (weitere Informationen siehe ICO-Leitfaden).
b. Das Unternehmen vermerkt die entsprechende Rechtsgrundlage im Register der Systeme.
c. Wird die Einwilligung als Rechtsgrundlage für die Verarbeitung von Daten herangezogen, muss der Nachweis der Einwilligung zusammen mit den personenbezogenen Daten aufbewahrt werden.
d. Werden Mitteilungen an Einzelpersonen auf der Grundlage ihrer Einwilligung versandt, sollte die Möglichkeit für die Einzelperson, ihre Einwilligung zu widerrufen, klar verfügbar sein, und es sollten Systeme vorhanden sein, die sicherstellen, dass ein solcher Widerruf in den Systemen des Unternehmens korrekt widergespiegelt wird.
5. Datenminimierung
a. Das Unternehmen stellt sicher, dass personenbezogene Daten angemessen und relevant sind und sich auf das beschränken, was in Bezug auf die Zwecke, für die sie verarbeitet werden, notwendig ist.
6. Korrektheit
a. Das Unternehmen ergreift angemessene Maßnahmen, um die Richtigkeit der personenbezogenen Daten zu gewährleisten.
b. Soweit es für die Rechtsgrundlage, auf der die Daten verarbeitet werden, erforderlich ist, werden Maßnahmen ergriffen, um sicherzustellen, dass personenbezogene Daten auf dem neuesten Stand gehalten werden.
7. Archivierung/Löschung
a. Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden, führt das Unternehmen für jeden Bereich, in dem personenbezogene Daten verarbeitet werden, eine Archivierungspolitik ein und überprüft diesen Prozess jährlich.
b. In der Archivierungsrichtlinie wird festgelegt, welche Daten wie lange und warum aufbewahrt werden sollen/müssen.
8. Sicherheit
a. Das Unternehmen stellt sicher, dass personenbezogene Daten sicher gespeichert werden, indem es moderne Software verwendet, die auf dem neuesten Stand gehalten wird.
b. Der Zugang zu personenbezogenen Daten ist auf die Mitarbeiter zu beschränken, die ihn benötigen, und es sollten angemessene Sicherheitsvorkehrungen getroffen werden, um eine unbefugte Weitergabe von Informationen zu verhindern.
c. Wenn personenbezogene Daten gelöscht werden, sollte dies auf sichere Weise geschehen, so dass die Daten nicht wiederherstellbar sind.
d. Es müssen geeignete Lösungen für die Datensicherung und -wiederherstellung vorhanden sein.
9. Sicherheitsverletzung
Im Falle einer Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe von oder zum Zugriff auf personenbezogene Daten führt, bewertet das Unternehmen unverzüglich das Risiko für die Rechte und Freiheiten von Personen und meldet diese Verletzung gegebenenfalls dem ICO (weitere Informationen auf der ICO-Website).