Datenschutzbestimmungen des UHC JW Sursee ’86
Aktualisiert am 13. Oktober 2023
1. Datenschutz
1.1 Anwendungsbereich und Definitionen
Die nachfolgenden Bestimmungen sollen die Einhaltung des Datenschutzgesetzes beim Umgang mit Personendaten beim UHC JW Sursee ‘86 gewährleisten. Die im Vorstand für Datenschutz verantwortliche Person (siehe unten) überwacht die Einhaltung der Datenschutzvorschriften innerhalb des Vereins.
Das Datenschutzgesetz definiert Anforderungen und Schranken für die Bearbeitung von Personendaten. Personendaten sind sämtliche Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Sofern Du im Rahmen Deiner Vereinstätigkeit in Kontakt mit Personendaten kommst, sind die vorliegenden Bestimmungen anwendbar.
1.2 Grundsätze
Für sämtliche Personendaten, die im Zusammenhang mit der Vereinstätigkeit bearbeitet werden, hat jede im Verein tätige Person zu gewährleisten, dass die Datenbearbeitung den folgenden Datenschutzgrundsätzen entspricht.
a) Rechtmässigkeit
Jede Datenbearbeitung muss die gesetzlichen Bestimmungen einhalten.
b) Treu und Glauben
Personendaten dürfen nicht ohne Wissen und gegen den Willen der betroffenen Person beschafft werden.
c) Transparenz
Die Beschaffung und der Zweck einer Datenbearbeitung müssen für die betroffene Person erkennbar sein.
d) Zweckgebundenheit
Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei ihrer Beschaffung angegeben wurde, gesetzlich vorgeschrieben ist oder sich aus den Umständen ergibt.
e) Verhältnismässigkeit
Es dürfen nur Personendaten bearbeitet werden, die geeignet und nötig sind, um den Zweck zu erreichen. Der Zweck und die Datenbearbeitung müssen dabei in einem angemessenen Verhältnis zueinanderstehen.
f) Speicherbegrenzung
Personendaten, welche für die Erfüllung des Bearbeitungszwecks nicht mehr erforderlich sind, sind zu löschen oder zu vernichten oder deren Bearbeitung entsprechend einzuschränken (Ausnahmen bei zwingenden Aufbewahrungsfristen).
g) Richtigkeit
Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern.
h) Datensicherheit
Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.
1.3 Verzeichnis/Inventar der Bearbeitungstätigkeiten
Die für den Datenschutz verantwortliche Person führt ein Inventar über die Bearbeitungstätigkeiten.
Personen im Verein, welche Personendaten bearbeiten, melden der für den Datenschutz verantwortlichen Person neue Bearbeitungstätigkeiten oder Änderungen bestehender Datenbearbeitungen.
1.4 Durchführung von Datenschutz-Folgenabschätzungen
Für gewisse Datenbearbeitungen ist allenfalls die Durchführung einer Datenschutz-Folgenabschätzung erforderlich, wie beispielsweise beim Profiling mit hohem Risiko, bei umfangreicher Bearbeitung besonders schützenswerter Personendaten oder bei systematischer Überwachung von öffentlichen Bereichen.
Die Beurteilung der Notwendigkeit zur Durchführung einer Datenschutz-Folgenabschätzung erfolgt durch die für den Datenschutz verantwortliche Person.
1.5 Anfragen betroffener Personen
Unsere Mitglieder und weitere Personen haben als betroffene Personen gewisse Rechte, welche wir gewährleisten müssen. Insbesondere stehen ihnen folgende Rechte zu:
a) Auskunftsrecht: Die betroffene Person kann Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
b) Recht auf Datenherausgabe oder -übertragung: Die betroffene Person kann die Herausgabe ihrer Personendaten verlangen.
c) Berichtigungsrecht: Die betroffene Person kann verlangen, dass unrichtige Personendaten berichtigt werden.
Im Verein tätige Personen leiten erhaltene Anfragen von betroffenen Personen innert 24 Stunden an die für den Datenschutz verantwortliche Person weiter. Mit der Anfrage ist auch die Bestätigung mitzuteilen, dass die Identität der anfragenden Person festgestellt wurde.
1.6 Datenübermittlung an Dritte
Bei Vorhaben, welche die Übermittlung von Personendaten an externe Dritte vorsehen, wie z.B. an Kooperationspartner oder an Service Provider, ist die für Datenschutz verantwortliche Person frühzeitig zu informieren.
1.7 Verletzungen des Datenschutzes und der Datensicherheit
Eine Verletzung der Datensicherheit ist gegeben, wenn Personendaten unbeabsichtigt oder widerrechtlich vernichtet, verändert, gelöscht, Unbefugten offengelegt/zugänglich gemacht werden oder verloren gehen.
Im Falle einer Datensicherheitsverletzung ist umgehend die für Datenschutz verantwortliche Person zu informieren.
1.8 Verantwortlichkeiten und Kompetenzen
1.8.1 Alle im Verein tätigen Personen
Alle im Verein tätigen Personen sind verantwortlich, Personendaten in Übereinstimmung mit den vorliegenden Bestimmungen zu bearbeiten. Insbesondere haben alle im Verein tätigen Personen die folgenden Verantwortlichkeiten und Kompetenzen:
- Umgehende Weiterleitung von datenschutzrechtlichen Anfragen insbesondere von betroffenen Personen an die für Datenschutz verantwortliche Person.
- Umgehende Meldung an die für Datenschutz verantwortliche Person bei Verdacht auf Verletzungen des Datenschutzes und der Datensicherheit.
- Umgehende Meldung an die für Datenschutz verantwortliche Person bei Verdacht, dass Personendaten entgegen den vorliegenden Bestimmungen bearbeitet wurden.
- Teilnahme an Schulungen, sofern von der für Datenschutz verantwortlichen Person aufgefordert.
1.8.2 Die für Datenschutz verantwortliche Person
Die für Datenschutz verantwortliche Person (siehe unten) wird durch den Vereinsvorstand bestimmt.
Sie hat folgende Aufgaben und Kompetenzen:
- Überwachung der Einhaltung der Datenschutzvorgaben innerhalb des Vereins.
- Information und jährliche Berichterstattung an den Vereinsvorstand.
- Führung und Pflege des Inventars der Bearbeitungstätigkeiten (inkl. formelle alljährliche Validierung).
- Risikobeurteilungen bezüglich der Durchführung einer Datenschutz-Folgenabschätzung.
- Risikobeurteilungen von Verletzungen des Datenschutzes und der Datensicherheit.
- Beantwortung von Anfragen von betroffenen Personen innert 30 Tagen seit Antragstellung der betroffenen Person.
- Durchführung von Schulungen im Bereich Datenschutz.
- Kommunikation mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Datenschutz-Verantwortlicher
„Uns ist nicht nur die psychische und physische Gesundheit unserer Mitglieder, Funktionäre und Angestellten wichtig, sondern auch der Schutz ihrer persönlichen Daten. Darum haben wir alle nötigen und sogar zusätzliche Massnahmen getroffen, um die seit September 2023 geltenden Datenschutzbestimmungen einzuhalten.“
David Huber, Datenschutz-Verantwortlicher beim UHC JW Sursee ’86
076 322 50 53, david.huber@uhc-sursee.ch