Persönliche Daten, d.h. die Informationen, die uns von anderen Menschen unterscheiden und es uns ermöglichen, uns zu identifizieren, müssen sowohl von uns selbst als auch von Dritten, die Zugang zu ihnen haben könnten, geschützt werden.
Es ist nicht immer einfach zu wissen, wie ein Unternehmen oder eine Einrichtung die in ihren Systemen gespeicherten personenbezogenen Daten angemessen schützen kann. Denn dies hängt von vielen Faktoren ab, wie z.B. von der Art des Unternehmens oder der Einrichtung, ob es sich um eine öffentliche oder private Einrichtung handelt, welche Dienstleistung oder welches Produkt es anbietet, welche Informationen es sammelt, welche Technologien es verwendet, in welchem Land es tätig ist usw. Diese Komplexität bedeutet, dass es für Unternehmen und Einrichtungen unerlässlich ist, einen Rechtsbeistand zu haben, der Experte für Datenschutz ist.
Wir möchten Ihnen, unseren Lesern, jedoch einige allgemeine Richtlinien an die Hand geben, damit Sie wissen, wie Sie mit persönlichen Daten umgehen sollen, insbesondere wenn es sich nicht um Ihre eigenen Daten, sondern um Informationen Dritter handelt.
- Rechtliche oder legitime Grundlage: Die Rechtsgrundlage ist das, was uns bzw. unser Unternehmen oder unsere Einrichtung dazu berechtigt, Daten Dritter zu verwalten und in ihren Systemen zu speichern. Derzeit muss die Zustimmung der Person, auf die sich die Daten beziehen, immer Vorrang haben, was durch eine ausdrückliche Genehmigung oder einen Vertrag geschehen kann. Nur in Fällen, in denen ein Gesetz die Erhebung von Daten Dritter vorschreibt oder wir einen öffentlichen Dienst von vitalem Interesse für die betreffende Person oder die Allgemeinheit erbringen, kann von der Einholung der Zustimmung abgesehen werden. Dabei handelt es sich jedoch um sehr extreme Fälle, z.B. wenn die Person in einer Notfallsituation medizinisch versorgt wird und ihre Daten verarbeitet werden müssen, um sie identifizieren zu können.
- Transparenz: Von dem Moment an, in dem wir personenbezogene Daten Dritter verarbeiten, unabhängig davon, ob wir um Zustimmung bitten müssen oder ob wir gesetzlich befugt sind, sie ohne Zustimmung zu verarbeiten, müssen wir diese Person immer über die Verarbeitung ihrer Daten informieren. Dazu gehört, dass wir sie über Folgendes informieren:
-
- Welche Daten wir verarbeiten werden.
- Wie wir mit ihnen umgehen werden.
- Wann werden wir mit der Behandlung beginnen und wie lange sie dauern wird?
- Warum wir diese Daten verwenden werden.
- Wo wir sie behandeln und aufbewahren werden (auf welcher Art von physischem oder digitalem System und in welchem Land).
-
- Sicherheit: Überlegen Sie, wie Sie Ihre Daten schützen können, indem Sie technische Sicherheitsmaßnahmen (z.B. ein Passwort), aber auch physische (eine verschlossene Schublade) und organisatorische (Beschränkung der Nutzung auf die Personen, die tatsächlich mit diesen Daten arbeiten müssen) anwenden. Um zu wissen, welche Sicherheitsmaßnahmen zu ergreifen sind, sollten Sie sich über die Richtlinien, Verfahren, Handbücher und Leitfäden auf dem Laufenden halten, die von unserem Unternehmen oder unserer Einrichtung zur Verfügung gestellt werden und die uns helfen, sowohl persönliche Daten als auch vertrauliche Informationen sicher zu schützen, auch wenn sie nicht Personen gehören.
- Recht der betroffenen Person: Das Datensubjekt ist die Person, zu der die Daten gehören, mit denen wir arbeiten. Die Informationen, wenn es sich um personenbezogene Daten handelt, gehören nicht dem Unternehmen oder der Einrichtung und auch nicht dem Mitarbeiter, der sie verwaltet, sondern dem Dritten, auf den sich die Informationen beziehen. Wenn dieser Dritte uns also um die Ausübung eines der folgenden Rechte bittet, müssen wir uns immer einfach und kostenlos darum kümmern, denn es ist sein Recht zu wählen, ob seine Daten verwendet werden sollen oder nicht:
-
- Zugang (Informationen zu allen unter Transparenz aufgeführten Punkten erhalten und Kopien davon anfordern)
- Korrigieren Sie (ändern Sie die Informationen, denn sie können Sie betreffen, wenn sie veraltet sind).
- Löschen (Daten löschen und nicht mehr verwenden)
- Portierung (Daten wegnehmen und nicht mehr verwenden)
- Einschränken (die Verwendung der Daten auf das notwendige Minimum beschränken)
- Widerspruch einlegen (die weitere Verarbeitung von Daten für bestimmte Zwecke, denen Sie nicht zustimmen, verhindern)
-