Datenschutzerklärung
Download umfassende Datenschutzerklärung SEV
Grundsatz
Bei der Bearbeitung von Personendaten wird das anwendbare Recht und das Reglement über den Datenschutz im SEV eingehalten. Dieses Reglement stellt allgemeine Grundsätze für den Umgang mit Personendaten auf und ist verbindlich für alle Mitarbeitenden und Leitungsorgane der Gewerkschaft des Verkehrspersonals SEV.
Personendaten
Personendaten sind Informationen (Daten), die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen («betroffene Person»). Sie setzen damit einen Personenbezug voraus, was manchmal erst aus dem konkreten Zusammenhang heraus klar wird. Keine Rolle spielt, ob Personendaten elektronisch gespeichert oder auf einem physischen Träger festgehalten sind.
Im SEV sind unter anderem folgende Personendaten vorhanden:
- Kontaktangaben wie Namen, Adresse, E-Mail-Adresse, Telefonnummer
- Zugehörigkeit zu einer Teilorganisation
- Identifikationsangaben wie IP-Adressen, Ausweisnummer, AHV-Nummer oder Fingerabdruck
- Bild- oder Tonmaterial mit Rückschlussmöglichkeit auf Personen
- Personaldaten
- Daten aus Dienstleistungen
Bearbeitung von Personendaten
Das Bearbeiten von Personendaten umschreibt als überaus weiter Begriff jeden beliebigen Umgang mit den Personendaten (elektronisch oder physisch):
- Aufbewahren, Speichern und Archivieren
- Erheben/Beschaffen
- Zugriff
- Weitergabe/Übermittlung an Dritte
- Auswertung/Analyse
- Veröffentlichung
- Löschen/Vernichten
- Anonymisieren/Pseudonymisieren
Online werden Personendaten insbesondere über Tracking-Tools, Social Media und Cookies bearbeitet. Applikationen wie OM oder das Sektionsportal enthalten in jedem Fall Personendaten. Zudem werden auch mit der Aufbewahrung von Personaldossiers Personendaten bearbeitet.
Besonders schützenswerte Personendaten
Für Personendaten, die unter die Kategorie der besonders schützenwerten Personen fallen, gelten für die Bearbeitung strengere Vorgaben. Diese Daten werden besonders geschützt
Grundsätze der Bearbeitung
- Die Personendaten werden fair bearbeitet und nur so, wie es die betroffene Person erwarten darf.
- Werden Personendaten von der betroffenen Person selbst oder von anderen Quellen beschafft, wird die betroffene Person aktiv, rechtzeitig, detailliert und verständlich über die Bearbeitung ihrer Personendaten informiert.
- Die Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
- Das Erheben von Personendaten ist auf das notwendige Mass zu beschränken. Zudem sollen Personendaten nach Möglichkeit anonymisiert oder pseudonymisiert werden.
- Die Personendaten dürfen nur so lange gespeichert werden, wie es für die mit der Bearbeitung verfolgten Zwecke erforderlich ist. Ein Löschkonzept stellt sicher, dass Personendaten nach Ablauf einer gewissen Dauer gelöscht werden.
- Die Personendaten werden sachlich richtig und auf dem neuesten Stand gehalten.
- Die Personendaten werden vertraulich behandelt werden und durch angemessene technische und organisatorische Massnahmen vor unbefugter Vernichtung, Veränderung, unbeabsichtigtem Verlust oder vor unbefugter Offenbarung geschützt.
- Die Weitergabe von Personendaten an Dritte und Partner (Helvetia, KPT, Bank Cler) wird nur nach ausdrücklicher Einwilligung in die Weitergabe vorgenommen. Weitergegeben werden nur die Kontaktdaten (Name, Vorname, Adresse und Mail-Adresse). Die Einwilligung in diesen Datentransfair kann jederzeit wieder aufgehoben werden.
Rechtsgrundlage
Datenbearbeitungen setzen dann eine besondere Rechtsgrundlage voraus, wenn oben erwähnte Grundsätze verletzt, Dritten besonders schützenswerte Personendaten bekanntgegeben oder Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden.
Datenschutzhinweise
Betroffene Personen sind in verständlicher und leicht zugänglicher Form über die Bearbeitung ihrer Personendaten zu informieren, ausser die Bearbeitung ist beispielsweise gesetzlich vorgesehen.
Die Information an die betroffene Person muss mindestens die folgenden Angaben enthalten:
- Kontaktdaten der datenverantwortlichen Organisation
- Bearbeitungszweck
- Empfängerin beziehungsweise Empfänger oder Kategorien von Empfängerinnen beziehungsweise Empfängern
- Datenkategorien bei indirekter Datenerhebung (nicht bei betroffener Person)
- Modalitäten von wesentlichen, vollautomatisch getroffenen Entscheidungen
Siehe auch das Reglement über den Datenschutz im SEV.
Bearbeiten von Personendaten im Auftrag
Die Bearbeitung von Personendaten kann einem Dienstleister als Auftragsbearbeiter übertragen werden. Gegenüber der betroffenen Person bleibt aber der SEV für die Bearbeitung der Personendaten verantwortlich. Für den Beizug eines Auftragsbearbeiters müssen folgende Voraussetzungen erfüllt sein:
- Bei der Auswahl des Auftragsbearbeiters wurde darauf geachtet, dass dieser den Datenschutz und insbesondere die Datensicherheit gewährleisten kann.
- Die Übermittlung von Personendaten an den Auftragsbearbeiter verstösst nicht gegen gesetzliche oder vertragliche Geheimhaltungspflichten.
- Vor der Übermittlung von Personendaten an den Auftragsbearbeiter wird eine Auftragsbearbeitungsvereinbarung schriftlich oder in Textform geschlossen.
Auftragsbearbeiter müssen in der Auftragsbearbeitungsvereinbarung u. a. verpflichtet werden, Personendaten nur in Übereinstimmung mit ihrem Auftrag und den Instruktionen des SEV zu bearbeiten, sie zu keinen anderen Zwecken zu verwenden und die Sicherheit der Datenbearbeitung zu gewährleisten. Unterbeauftragte dürfen nur mit der Zustimmung des SEV beigezogen werden.
Meldung von Vorfällen
Befürchtete und effektive Datenschutzverstösse sind schnellstmöglich und ohne jeden Verzug der Datenschutzberaterin oder dem Datenschutzberater () zu melden. Die Datenschutzberaterin oder der Datenschutzberater prüft zusammen mit der IT SEV die Benachrichtigung von Behörden, betroffenen Personen und weitere Massnahmen.
Weiterleitung von Begehren betroffener Personen
Begehren betroffener Personen etwa auf Auskunft, Berichtigung, Widerspruch, Datenübertragbarkeit oder Überprüfung automatisierter Einzelentscheide mit Bezug auf ihre Personendaten sind umgehend der Datenschutzberaterin oder dem Datenschutzberater weiterzuleiten. Sie oder er veranlasst unter anderem bereichsübergreifend die Datenzusammenstellung und übernimmt die Kommunikation mit den betroffenen Personen.