Datenschutz
Diese Datenschutzerklärung klärt Nutzer über die Art, den Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten,
Kontaktadresse
Falls Sie weitere Informationen zum Datenschutz möchten, kontaktieren Sie unseren Datenschutzverantwortlichen via Mail.Alzheimer Obwalden / Nidwalden
Alters- und Pflegeheim Nidwalden
Nägeligasse 29
6370 Stans
+41 (0) 41 660 33 59
geschaeftsstelle.ow-nw(at)alz.ch
Bei der Kontaktaufnahme mit dem Anbieter (zum Beispiel per Kontaktformular oder E-Mail) werden die Angaben des Nutzers zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert.
1. Ziel
Alzheimer Obwalden / Nidwalden engagiert sich für die Erhaltung der Würde und der Verbesserung der Lebensqualität von Menschen mit Demenz und ihren Angehörigen. Sie hat insbesondere den Auftrag, Menschen mit Demenz und ihre Angehörigen sowie andere interessierte Kreise zu informieren und zu beraten. Finanziert wird die Arbeit namentlich durch Spenden, Erbschaften/Legate, Stiftungen, Mitgliederbeiträge und Beiträge aus der öffentlichen Hand sowie durch Eigenleistungen.
Für Alzheimer Obwalden / Nidwalden ist es wichtig, mit den in diesem Zusammenhang erlangten Daten verantwortungsbewusst umzugehen und durch einen datenschutzkonformen Umgang mit Daten deren missbräuchliche Bearbeitung und Verletzungen von Persönlichkeitsrechten zu verhindern.
2. Zweck und Umfang
Das vorliegende Reglement gilt für alle Mitarbeitende der Alzheimer Obwalden / Nidwalden.
Das vorliegende Datenschutzreglement der Geschäftsstelle von Alzheimer Obwalden / Nidwalden (nachfolgend: die Geschäftsstelle) trägt der Bedeutung und dem Stellenwert des Datenschutzes im Sinne der Achtung der Privatsphäre und der Persönlichkeitsrechte Rechnung. Es bildet die verbindliche Grundlage für die Datenschutzrichtlinien sowie alle datenschutzrelevanten Massnahmen und Aktivitäten der Geschäftsstelle, namentlich für das Bearbeiten von:
• Personendaten der informations- und ratssuchenden Personen;
• Personendaten der Angebotsnutzenden;
• Personendaten der Mitglieder;
• Personendaten in Zusammenhang mit Spenden;
• Personendaten der Mitarbeitenden, inklusive Stellenbewerbenden und ehemaligen Mitarbeitenden;
• Informationen über weitere Dritte (z.B. Auftragnehmende), soweit Personendaten betroffen sind.
3. Gesetzliche Grundlagen
Grundlage für das vorliegende Datenschutzreglement sind namentlich das Bundesgesetz über den Datenschutz vom 25. September 2020 (DSG; SR 235.1) und die Verordnung zum Bundesgesetz über den Datenschutz vom 31. August 2022 (DSV; SR 235.11), sowie die Kantonalen Datenschutzgesetze von Nidwalden (NG 232.1) und Obwalden (GDB 137.1)
Die wichtigsten Begriffe sind in Anhang 1 definiert.
4. Geltungsbereich
Das vorliegende Datenschutzreglement gilt für alle Organe und Mitarbeitenden der Geschäftsstelle, die im Rahmen der Erfüllung ihrer Funktionen und Aufgaben Personendaten bearbeiten.
Es gilt ebenfalls für externe Personen und Firmen, sofern sie sich durch eine entsprechende schriftliche Vereinbarung zu dessen Einhaltung verpflichten.
5. Grundsätze des Datenschutzes
5.1 Rechtmässigkeit
Personendaten müssen auf rechtmässige Weise erhoben und bearbeitet werden. Unrechtmässig erhobene Daten sind beispielsweise Daten, die durch Drohung, Täuschung oder Arglist gegenüber der oder dem Be-troffenen beschafft worden sind.
5.2 Treu und Glauben
Widersprüchliches und rechtmissbräuchliches Verhalten ist unzulässig.
5.3 Verhältnismässigkeit
Vor einer Bearbeitung von Personendaten muss geprüft werden, ob und in welchem Umfang diese Daten notwendig sind, um den mit der Bearbeitung angestrebten Zweck zu erreichen. Wenn es zur Erreichung des Zwecks möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Zweck steht, sind anonymisierte oder statistische Daten zu verwenden.
5.4 Transparenz
Die Betroffenen müssen über den Umgang mit ihren Daten informiert sein. Zu diesem Zweck ist auch das vorliegende Datenschutzreglement auf der Webseite der Geschäftsstelle öffentlich einsehbar. Grundsätz-lich sind Personendaten bei den Betroffenen, sowie ihren rechtlichen Stellvertretern selbst zu erheben.
5.5 Zweckbindung
Die Daten dürfen nur zum Zweck bearbeitet werden, der bei der Erhebung der Daten genannt wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.
5.6 Vernichtung oder Anonymisierung
Daten, die zum Zweck der Bearbeitung nicht mehr erforderlich sind, werden vernichtet (physisch zerstört oder elektronisch gelöscht) oder anonymisiert.
Personendaten, die für Archivierungszwecke aufbewahrt werden müssen, werden gemäss den bereichs- oder tätigkeitsspezifischen Fristenvorgaben aufbereitet und während der darin vorgegebenen Dauer auf-bewahrt.
5.7 Datenqualität
Die bearbeiteten Personendaten müssen richtig, vollständig und aktuell sein. Mit angemessenen Massnah-men ist sicherzustellen, dass unrichtige, unvollständige oder veraltete Daten korrigiert, ergänzt oder ver-nichtet werden.
6. Zulässigkeit der Datenbearbeitung durch die Geschäftsstelle
Die Bearbeitung von Personendaten ist grundsätzlich zulässig, wenn sie nicht explizit verboten ist (Erlaubnis mit Verbotsvorbehalt). Eine persönlichkeitsverletzende Bearbeitung ist dann widerrechtlich, wenn sie nicht mit einem der gesetzlich vorgesehenen Erlaubnistatbeständen gerechtfertigt werden kann.
7. Vertraulichkeit und berufliche Schweigepflicht
Alle personenbezogenen Informationen, welche die Mitarbeitenden im Rahmen ihrer Tätigkeit für Alzhei-mer Obwalden / Nidwalden von oder über Menschen mit Demenz, ihre Angehörigen, aber auch Mitglieder, Spendende und weitere Dritte erfahren, sind vertraulich. Die Mitarbeitenden sind deshalb zur Verschwie-genheit verpflichtet (Berufsgeheimnis gemäss Art. 62 DSG).
Die unbefugte Bearbeitung von Personendaten ist den Mitarbeitenden untersagt. Unbefugt ist jede Bear-beitung, die nicht im Rahmen der Erfüllung der zugewiesenen Aufgaben und ohne Berechtigung erfolgt. Mitarbeitende dürfen Personendaten nicht für eigene private oder wirtschaftliche Zwecke nutzen, an Un-befugte übermitteln oder diesen auf andere Weise zugänglich machen.
8. Datensicherheit
Angemessene organisatorische und technische Massnahmen stellen sicher, dass der Datenschutz gewähr-leistet ist und Verletzungen der Datensicherheit vermieden werden. Insbesondere dürfen Personendaten nur den jeweils Berechtigten zugänglich sein, nicht unberechtigt oder unbeabsichtigt verändert oder wei-tergegeben werden können, nachvollziehbar bearbeitet werden sowie bei Bedarf zur Verfügung stehen. Dies gilt unabhängig von der Art der Datenbearbeitung (elektronisch oder in Papierform).
Vor Einführung neuer Verfahren der Datenbearbeitung, insbesondere neuer IT-Systeme, sind technische und organisatorische Massnahmen zum Schutz von Personendaten festzulegen und umzusetzen. Diese Massnahmen haben sich am Stand der Technik, den von der Bearbeitung ausgehenden Risiken und dem Schutzbedarf der Daten zu orientieren.
Es ist zudem sicherzustellen, dass die Voreinstellungen die Datenbearbeitung auf das für den Bearbeitungs-zweck notwendige Mindestmass beschränken und diese nur durch Entscheid der betroffenen Person aus-gedehnt werden kann.
Die technisch-organisatorischen Massnahmen zum Schutz von Personendaten sind Teil des organisations-weiten Datenschutzmanagements und werden bedarfsbezogen an die technischen Entwicklungen ange-passt.
8.1 Organisatorische Massnahmen
Zugriff, Zugang und Bearbeitung von Personendaten werden bei der Geschäftsstelle nach dem Grundsatz «so viel wie nötig, so wenig wie möglich» geregelt. Mitarbeitende dürfen ausschliesslich Daten einsehen oder bearbeiten, die sie für die ihnen übertragenen Aufgaben tatsächlich benötigen.
In einem von der Geschäftsleitung erlassenen Berechtigungskonzept wird für jede Kategorie von Personen-daten festgehalten, wer unter welchen Bedingungen Zugang und Zugriff zu den Personendaten hat, mit welchen Bearbeitungsrechten und wie dies überwacht wird. Das Berechtigungskonzept regelt auch den Umgang mit den archivierten Daten.
8.2 Technische Massnahmen
Der Schutz der Personendaten wird namentlich mit Massnahmen der Datenträger-, Speicher- und Trans-portkontrolle sowie mit Massnahmen zur Gewährleistung der Wiederherstellung sichergestellt. Die Mass-nahmen tragen dem Risiko für die betroffenen Personengruppen und dem aktuellen Stand der Technik Rechnung.
9. Verzeichnis der Datenbearbeitungstätigkeiten
Die Geschäftsstelle beschäftigt weniger als 250 Mitarbeitende, bearbeitet keine besonders schützenswer-ten Personendaten in grossem Umfang und führt auch kein Profiling mit hohem Risiko durch. Gestützt auf Artikel 12 Abs. 5 DSG und Art. 24 DSV wird deshalb auf die Führung eines Verzeichnisses der Bearbeitungs-tätigkeiten verzichtet.
10. Bekanntgabe von Personendaten ins Ausland
Personendaten werden ins Ausland bekanntgegeben unter der Voraussetzung, dass der betreffende Staat gemäss der bundesrätlichen Liste einen angemessenen Datenschutz gewährleistet oder dieser Schutz durch andere gesetzlich vorgesehene Voraussetzungen gewährleistet ist (Art. 16 DSG, unter Vorbehalt der gesetz-lich vorgesehenen Ausnahmen gemäss Art. 17 DSG). Die betroffenen Personen sind darüber mittels Daten-schutzerklärung informiert.
11. Datenweitergabe an Dritte
Daten dürfen an Dritte weitergegeben werden, unter Einhaltung der Zulässigkeitsvoraussetzungen für die Bearbeitung von Personendaten. Die Datenempfangende müssen darauf verpflichtet werden, die Perso-nendaten nur zu den festgelegten Zwecken zu verwenden.
12. Datenbearbeitung durch Dritte (Auftragsbearbeitung)
Eine Auftragsbearbeitung liegt vor, wenn ein Dritter im Auftrag der Geschäftsstelle Personendaten bearbei-tet. In diesen Fällen ist die Datenbearbeitung mit den Auftragnehmenden vertraglich oder in einer Verein-barung zu regeln, wobei die Auftragsbearbeitung von Personendaten im Rahmen der schweizerischen Da-tenschutzgesetzgebung und des Reglements der Geschäftsstelle erfolgen muss.
13. Informationspflichten der Geschäftsstelle
Die unterschiedlichen Kategorien von betroffenen Personen werden über die Bearbeitung der sie betref-fenden Personendaten angemessen informiert. Die Einzelheiten werden in den Datenschutzrichtlinien und weiteren Weisungen der Geschäftsstelle festgelegt.
Wenn auf der Webseite von Alzheimer Obwalden / Nidwalden oder in weiteren digitalen Anwendungen Personendaten bearbeitet werden, sind die Betroffenen darüber in Datenschutzerklärungen zu informieren. Diese sind so zu integrieren, dass sie für die Betroffenen leicht erkennbar, unmittelbar erreichbar und stän-dig verfügbar sind.
14. Rechte der betroffenen Personen
14.1 Auskunfts-/Einsichtsrecht
Die von der Bearbeitung ihrer Daten betroffene Person kann jederzeit und kostenlos Auskunft verlangen über:
- die Identität und die Kontaktdaten des Verantwortlichen;
- den Bearbeitungszweck;
- gegebenenfalls die Empfangenden oder Kategorien von Empfangenden, denen Personendaten be-kanntgegeben werden;
- die Kategorien der bearbeiteten Personendaten, wenn diese nicht direkt bei der betroffenen Person beschafft werden;
- der ausländische Staat, in dem die Personendaten gegebenenfalls bekannt gegeben werden.
Die Geschäftsstelle ist auch bezüglich der Personendaten auskunftspflichtig, die von einem Auftragsbear-beiter bearbeitet werden.
Die Auskunft verlangende Person muss sich über ihre Identität ausweisen.
Die Auskunft ist innert 30 Tagen schriftlich und kostenlos zu erteilen. Kann die Frist nicht eingehalten wer-den, muss die betroffene Person informiert werden mit der Angabe, wann sie die Auskunft erhalten wird. Die Geschäftsleitung legt den Prozess für die Auskunftserteilung fest.
Die Erteilung von Auskünften darf beschränkt oder verweigert werden, wenn ein Gesetz oder überwiegen-de Interessen von Dritten dieser entgegenstehen, das Gesuch einen datenschutzwidrigen Zweck verfolgt oder offensichtlich querulatorisch ist. Unter der Voraussetzung, dass die betreffenden Personendaten Drit-ten nicht bekanntgegeben werden, kann Alzheimer Obwalden / Nidwalden auch eigene überwiegende Inte-ressen geltend machen.
14.2 Recht auf Berichtigung
Widerrechtlich oder unrichtig bearbeitete sowie unrichtige Daten werden vernichtet oder berichtigt.
14.3 Sperrung/Verweigerung der Datenbekanntgabe
Jede betroffene Person kann die Bekanntgabe ihrer Daten sperren lassen. Dies gilt dann nicht, wenn die Datenbekanntgabe eine gesetzliche Verpflichtung darstellt, aufgrund überwiegender Interessen Dritter erforderlich ist oder zur Aufklärung von mutmasslich rechtsmissbräuchlichen Handlungen der betroffenen Person erforderlich ist.
14.4 Datenherausgabe oder -übertragung
Sind die Personendaten automatisiert bearbeitet und erfolgt dies mit der Einwilligung der betroffenen Per-son oder in unmittelbarem Zusammenhang mit einem Vertragsabschluss oder einer Vertragsabwicklung, kann die betroffene Person die Herausgabe der Daten in einem gängigen elektronischen Format oder deren Übertragung an einen anderen Verantwortlichen verlangen. Wie die Auskunft kann auch die Datenheraus-gabe oder deren Übertragung aufgeschoben, eingeschränkt oder verweigert werden, wenn dies mit einem der unter 15.1. aufgeführten Gründe begründet wird.
15. Datenschutzverletzungen
Alle Mitarbeitende melden unverzüglich Fälle von Verstössen gegen dieses Datenschutzreglement oder andere Vorschriften zum Schutz von Personendaten (Datenschutzvorfälle). Das Vorgehen wird in den Da-tenschutzrichtlinien der Geschäftsstelle festgelegt.
Die Erfüllung der gesetzlich vorgesehenen Meldepflicht von Datenschutzvorfällen wird von der/dem Zu-ständigen für Datenschutz bzw. deren/dessen Stellvertretung koordiniert.
Mitarbeitende, welche die Datenschutzgesetzgebung verletzen, haben mit Sanktionen zu rechnen. Je nach Grad der Schwere der Verletzung reichen die Sanktionen von einer schriftlichen Verwarnung bis zu einer Entlassung.
Die Geschäftsstelle kann aus Billigkeitsgründen und in Härtefällen auf Antrag und im eigenen Ermessen die Bezahlung einer Busse, die Mitarbeitenden wegen einer Verletzung von datenschutzrechtlichen Strafbe-stimmungen persönlich auferlegt wurde, und die mit entsprechenden Strafverfahren verbundenen Rechts-kosten ganz oder teilweise übernehmen.
16. Interne Information und Umsetzung
Um zu gewährleisten, dass im Alltag regelmässig eintretende Situationen datenschutzrechtlich korrekt ge-handhabt werden, erlässt die Geschäftsleitung weiterführende Datenschutzrichtlinien und im Bedarfsfall handlungsbezogene Merkblätter.
17. Verantwortlichkeiten
17.1 Vorstand
Der Vorstand ist auf strategischer Ebene für die Gewährleistung des Datenschutzes bei der Geschäftsstelle verantwortlich.
Er erlässt das vorliegende Datenschutzreglement und überprüft dieses periodisch.
17.2 Geschäftsleitung/ Zuständige für Datenschutzfragen
Die Geschäftsleitung ist auf operativer Ebene für die Gewährleistung des Datenschutzes bei der Geschäfts-stelle verantwortlich und ist gleichzeitig auch die zuständige Mitarbeitende für die Umsetzung der daten-schutzrechtlichen Vorgaben. In ihrer Verantwortung liegen auch die Aufgaben und Kompetenzregelungen der Mitarbeitenden.
Sie sorgt in geeigneter Weise dafür, dass alle Mitarbeitenden regelmässig für die Belange des Datenschut-zes sensibilisiert und über die Vorgaben dieses Reglements und deren Anwendung im beruflichen Alltag informiert werden.
Die/der Zuständige für Datenschutzfragen bzw. ihre/seine Stellvertretung ist nach innen und aussen die Ansprechperson für alle Fragen bezüglich des Datenschutzes und koordiniert die Erfüllung der sich aus der Datenschutzgesetzgebung ergebenden Aufgaben.
Liegt eine Datenschutzverletzung vor, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, erstattet sie/er in Absprache mit dem Vorstand Meldungen an die Datenschutzbeauftragten des Bundes, und informiert die davon betroffene Personen, falls dies er-forderlich ist.
Sie/Er berichtet dem Vorstand bedarfsbezogen über die Datenbearbeitung bei der Geschäftsstelle, weist auf erkannte Risiken hin und gibt Empfehlungen für mögliche Verbesserungen ab. Über besondere Vor-kommnisse von grösserer Tragweite orientiert sie/er unverzüglich.
17.3 Führungspersonen
Die Vorgesetzten in der Beratung und bei der Angehörigengruppe nehmen eine Vorbildfunktion wahr und fördern die Motivation der Mitarbeitenden, dem Datenschutz bei ihrem Handeln am Arbeitsplatz Rechnung zu tragen.
Sie sind in ihren Verantwortungsbereichen für die Durchsetzung und Einhaltung des Datenschutzes verant-wortlich, im Rahmen der in diesem Reglement und den Datenschutzrichtlinien der Geschäftsleitung vorge-sehenen Zuständigkeiten und Prozesse.
Sie sorgen in Absprache mit der/dem Zuständigen für Datenschutzfragen für die Sensibilisierung und hand-lungsorientierte Anleitung der Mitarbeitenden im Bereich des Datenschutzes.
17.4 Mitarbeitende
Alle Mitarbeitenden der Geschäftsstelle, welche Personendaten bearbeiten, tragen dem Datenschutz ei-genverantwortlich Rechnung und handeln dabei gemäss dem vorliegenden Reglement sowie den Daten-schutzrichtlinien und Anweisungen der Geschäftsleitung.
Sie wenden sich bei Fragen und Unsicherheiten an ihre Vorgesetzten oder an die/den Zuständigen für Da-tenschutzfragen.
Dieses Reglement gilt ab dem 1. September 2023.