DATENSCHUTZREGLEMENT. Branchen Versicherung Assurance des

Transkript

1 T , F Sihlquai 2, Postfach, 8031 Zürich Branchen Versicherung Assurance des 2 Assicurazicine dei mestieri DATENSCHUTZREGLEMENT Ausgabe Mai 201 Branchen Versicherung Schweiz ist eine Varke der Me}zger-Versicherungen Genossenschaff. Sei}e 'I von 8

2 Branchen Versicherung Schweiz is( eine Marke der Metzger-Versicherungen Genossenschaft. da}enschutz fü Seite 2 von 8

3 T , F Sihlquai 2, Postfach, 8031 Zürich Branchen Versicherung Assurance des mätiers 2 Assicurazione dei mestieri INHALTSVERZEICHN?S Datenschutz Art. 1 Art. 2 Art. 3 Art Art. Art. Art. Art. 8 Art. 9 Art.l0 Art.l1 Art.12 Art.13 Art. 14 Art.l Art.l Zweck Geltungsbereich Rechtsgrundlagen im Datenschutzbereich Begriffe Personendaten Betroffene Personen Besonders schützenswerte Personendaten Persönlichkeitsprofil Bearbeiten Bekanntgeben Datensammlung Bundesorgane Bearbeitungsgrundsätze Zugriffsberechtigungen Interne Weitergabe von Personendaten Externe Weitergabe von Personendaten Akteneinsichtsrecht und Auskunfisrecht der betroffenen Person Bearbeitung von Personendaten durch Dritte Informatiksysteme Vertrauensarzt Aufbewahrung und Entsorg-ung von Personendaten Information und Schulung der Mitarbeiter Verantwortung für Umsetzung und Einhaltung Inkrafttreten Branchen Versicherung Schweiz is} eiüe Marke der Metzger-Versichemngen Genossenschali. da(enschu}z 01 Seite 3 von 8

4 Branchen Versicherung Schweiz ist eine Vatke der Me}zger-Versicherungen Genossenschafl. da}enschutz fü Sei}e 4 von 8

5 T , F Sihlquai 2, Postfach, 8031 Zürich Branchen Versicherung Assurance des mätiers Assicurazicine dei mestieri x Datenschutz Die Branchen Versicherung Schweiz (BVS) bearbeitet Informationen über versicherten Personen in komplexen organisatorischen Prozessen und mit anspruchsvollen technischen Einrichtungen. Art. 1 Zweck Das Datenschutzreglement bezweckt den Schutz der Persönlichkeit sowie der Grundrechte von Personen und deren Eigentum in Bezug auf die Bearbeitung ihrer Personendaten durch die Mitarbeitenden der Branchen Versicherung Schweiz (BVS). Das Datenschutzreglement verfolgt das Ziel, die grösstmögliche Sicherheit von besonders schützenswerten Personendaten zu gewährleisten. Art. 2 Geltungsbereich Die Bestimmungen des Datenschutzreglements gelten unabhängig davon, ob Personendaten in Schriftstücken enthalten oder elektronisch gespeichert, oder ob sie manuell oder unter Einsatz elektronischer Geräte bearbeitet werden. Das Bearbeiten von Personendaten aus jedermann zugänglichen externen Veröffentlichungen ist in der publizierten Weise zulässig. Zivilrechtlich ist der Schutz der Persönlichkeit gegen widerrechtliche Verletzung generell durch das schweizerische Zivilgesetzbuch (ZGB) bzw. Obligationenrecht (OR) gewährleistet. Dieses Reglement sowie das Reglement Dokumentenklassifizierung BVS gelten für jede automatisierte und manuelle Bearbeitung der Daten von natürlichen und juristischen Personen durch Mitarbeitende aller Bereiche der BVS sowie für deren Hilfspersonen, die Zugang zu Büros und Archiven usw. oder Einblick in Personendaten haben. Art. 3 Rechtsgrundlagen im Datenschutzbereich Im Bereich der obligatorischen Unfallversicherung gehen die Bestimmungen des Bundesgesetzes über den Allgemeinen Teils des Sozialversicherungsrechts (ATSG) und des Bundesgesetz über die Unfallversicherung (UVG) den Bestimmungen des Bundesgesetzes über den Datenschutz (DSG) vor. Die Bestimmungen des DSG gelten subsidiär. Ansonsten gelten insbesondere die folgenden Rechtsgrundlagen: - Schweizerisches Zivilgesetzbuch (ZBG) Art. 2 ff. - Schweizerisches Obligationenrecht (OR) Art. 328 (Arbeitsvertrag) - Bundesgesetz über den Datenschutz (DSG) - Verordnung zum Bundesgesetz über den Datenschutz (VDSG) - Bundesgesetz iiber den Allgemeinen Teil des Sozialversicherungsrechts (ATSG) - Verordnung über den Allgemeinen Teil des Sozialversicherungsrechts (ATSV) - Bundesgesetz über die Unfallversicherung (UVG) - Verordnung über die Unfallversicherung (UW) - Schweizerisches Strafgesetzbuch (StGB) Art Begriffe Personendaten Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. 4.2 Betroffene Personen Betroffene Personen sind natürliche oder juristische Personen, über die Daten bearbeitet werden. 4.3 Besonders schützenswerte Personendaten Besonders schützenswerte Personendaten sind Daten ijber die religiösen, weltanschaulichen, politischen oder gewerkschafllichen Ansichten oder Tätigkeiten, Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen oder Sanktionen. Insbesondere folgende Daten können Informationen über die Gesundheit einer Person enthalten: Branchen Versicherung Schweiz is} eine Marke der Metzger-Versicherungen Genossenschaf(. datenschu}z fü Seiie von 8

6 - Aufzeichnungen über den Verlauf einer Behandlung - Symptombeschreibungen - Diagnosen - ärztliche Verordnungen - ärztliche Berichte / Spitalberichte - Therapien - Medikamente - Überweisungen - Laborresultate - Tarifpositionen - Aufzeichnungen von bildgebenden Verfahren etc. 4.4 Persönlichkeitsprofil Ein Persönlichkeitsprofil ist eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. 4. Bearbeiten Bearbeiten ist jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten. 4. Bekanntgeben Bekannt geben ist das Zugänglichmachen Weitergeben oder Veröffentlichen. VOn Personendaten wie das Einsichtsgewähren, 4. Datensammlung Datensammlung ist der Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind. 4.8 Bundesorgane Die Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind. Die BVS gilt im Rahmen der Obligatorischen Unfallversicherung (UVG) als Bundesorgan. Art. Bearbeitungsgrundsätze Die Personendaten dürfen nur bearbeitet werden, wenn dies eine gesetzliche Bestimmung vorsieht oder die betroffene Person eingewilligt hat. In der Obligatorischen Unfallversicherung dürfen Gesundheitsdaten gestützt auf Art. 9 des Bundesgesetzes der obligatorischen Unfallversicherung (UVG) bearbeitet werden. Eine Datenbekanntgabe an Dritte darf nur an die Berechtigten gemäss Art. 9 UVG erfolgen. Die Unterlagen mit Gesundheitsdaten von versicherten Personen werden ausschliesslich in den Geschäftsräumlichkeiten bearbeitet. Ausnahmen werden in begründeten Einzelfällen (z.b. Home- Office) vom Vorgesetzten bewilligt. In den Personen- sowie Sachversicherungen, welche gemäss Bundesgesetz über den Versicherungsvertrag (VVG) abgeschlossen wurden, dürfen Personendaten bearbeitet werden, wenn dies für die Abwicklung des Vertrages und Bearbeitung der Schadenfälle notwendig ist. Eine Weitergabe an Dritte ist ohne Vollmacht des Versicherten unzulässig. Die Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Bei der Bearbeitung von Personendaten ist das Verhältnismässigkeitsprinzip einzuhalten. Das Verhältnismässigkeitsprinzip verlangt insbesondere, dass nur diejenigen Personendaten beschaffl werden, die für die Aufgabenefüllung nötig und geeignet sind (Zweckgebundenheitsprinzip). Die versicherte Person ist über die Datenbearbeitung zu informieren. Insbesondere beim Einholen von Akten muss die versicherte Person benachrichtigt werden (Transparenzprinzip), es sei denn, dies Branchen Versichetung Schweiz is} eine Marke der MeJer-Versicherungen Genossenschaff. datenschu}z?ol Seite von 8

7 T , F Sihlquai 2, Postfach, 8031 Zürich Branchen Versicherung Assurance des mätiers 2 Assicurazione dei mestieri würde den Zweck der Akteneinholung vereiteln (z.b. bei Anzeigepflichtverletzung), oder wenn entweder eine gesetzliche Grundlage dafür besteht oder die Zustimmung der versicherten Person vorliegt. Art. Zugriffsberechtigungen Die Mitarbeitenden der BVS haben nur Zugriff auf diejenigen Personendaten, die sie für ihre Aufgabenerfüllung benötigen. Die Zugriffsberechtigungen sind gemäss dem Grundsatz so wenig wie nötig definiert. Art. Interne Weitergabe von Personendaten Jede Mitarbeiterin und jeder Mitarbeiter darf Personendaten intern weiterleiten, soweit dies für die Aufgabenerfüllung notwendig ist und dem Zweck der Datenbeschaffung entspricht. Das Verhältnismässigkeitsprinzip ist einzuhalten, d.h. nur die für den konkreten Bearbeitungszweck erforderlichen Daten dürfen weitergegeben werden. Art. 8 Externe Weitergabe von Personendaten Eine externe Weitergabe von Personendaten erfolgt nur an Berechtigte gemäss Art. 9 UVG und im Bereich des WG nur, wenn hierfür eine Vollmacht vorliegt. s mit schützenswerten Personendaten werden, wenn möglich, verschlüsselt übermittelt. Art. 9 Akteneinsichtsrecht und Auskunftsrecht der betroffenen Person Den versicherten Personen wird im Rahmen des Gesetzes Akteneinsicht in die sie betreffenden Daten gewährt. Art. 10 Bearbeitung von Personendaten durch Dritte Falls die Bearbeitung von Personendaten auf Dritte übertragen wird, bleibt die BVS für den Datenschutz verantwortlich. Sie sorgt im Rahmen ihrer Möglichkeiten dafür, dass die Personendaten auftragsgemäss bearbeitet und vor dem Zugriff Unberechtigter geschützt werden (Art. 22 VDSG). Art.11 Informatiksysteme Die BVS konzipiert und schützt ihre Informatiksysteme so, dass sie ihre Dienstleistung an die versicherten Personen unter angemessener Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit erbringen kann (Informationssicherheit). Das Reglement,,Berechtigungskonzept" regelt mit Blick auf den Datenschutz insbesondere: - die Zugriffskontrolle (Zugriffsrechte, -überwachung, -verwaltung) der Mitarbeitenden auf die Informatiksysteme bzw. auf Versichertendaten. Der IT-Leiter nimmt im Rahmen seiner Stellung und Funktion als IT-Leiter die Aufgaben eines Informatik-Sicherheitsbeauftragten wahr. Art.12 Vertrauensarzt Die BVS organisiert ihren vertrauensärztlichen Dienst nach den Vorschriffen des DSG. Art. 13 Aufbewahrung und Entsorgung von Personendaten Alle Räumlichkeiten, in denen Personendaten aufbewahrt werden, sind gegen unbfüugten Zutritt gesichert. Die Personendaten werden gemäss den gesetzlichen Aufbewahrungsvorschriften aufbewahrt und gegen den Zugriff von Unbefugten gesctfützt. Die Entsorgung besonders schützenswerter Personendaten in Papierform erfolgt durch einen eigens hierfür eingerichteten Dienst. Die Informationen auf elektronischen Datenträgern werden vor deren Entsorgung gelöscht. Branchen Versicherung Schweiz is{ eine Marke der Metzger-Versicherungen Genossenschal}. da(enschutz OI Sei}e von 8

8 Art. 14 Information und Schulung der Mitarbeiter Die Mitarbeitenden werden regelmässig zum Thema Datenschutz und Informationssicherheit geschult und instruiert. Art. 1 Verantwortung für Umsetzung und Einhaltung Alle Mitarbeitenden sind in ihrem Zuständigkeitsbereich für die Einhaltung des Datenschutzes und der Datensicherheit im Rahmen der Direktiven der BVS verantwortlich. Die Gesamtverantwortung liegt je Zuständigkeit beim Verwaltungsrat und der Geschäffsleitung. Art. 1 Inkrafttreten Die Datenschutzpolitik wurde von der Geschäftsleitung am genehmigt und in Kraft gesetzt. HeirJ Grieder Direktor il'zeller Leiter Versicherungen Branchen Versicherung Schweiz ist eine Varke der Metzger-Versicherungen Genossenschaf}. datenschutz 01 Sei}e 8 von 8