Datenschutzrichtlinie
Verarbeitung von personenbezogenen Daten
Im Rahmen ihrer Tätigkeiten verarbeitet die Hospilux S.A. bestimmte personenbezogene Daten ihrer Kunden, Mitarbeiter und Partner; sie gewährleistet den Schutz dieser Daten nach bestem Wissen und Gewissen durch eine sichere Datenverarbeitung unter Einhaltung der geltenden Gesetze und Vorschriften, darunter die Allgemeine Datenschutzgrundverordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden "EU-Verordnung").
Gemäß Artikel 5 der EU-Verordnung hält sich Hospilux S.A. an die folgenden Grundprinzipien:
Rechtmäßigkeit
Wenn die Hospilux S.A. eine Verarbeitung personenbezogener Daten vornimmt, stützt sie diese auf eine der folgenden vier Rechtsgrundlagen:
- -Die Einwilligung der betroffenen Person ;
- -Die Erfüllung eines Vertrags ;
- -Die Erfüllung einer gesetzlich festgelegten Verpflichtung ;
- -Die Verfolgung ihrer legitimen Interessen.
Wenn die Einwilligung die Rechtsgrundlage für eine Verarbeitung bildet, garantiert Hospilux S.A. deren Charakter :
- -Spezifisch: Die Verarbeitung erfolgt zu einem einzigen Zweck, und dieser Zweck ist genau definiert;
- -Eindeutig: Die Einwilligung ist eine freiwillige und klare Handlung ;
- -Frei: Die betroffene Person muss die Wahl haben und darf keine negativen Konsequenzen erleiden, wenn sie sich weigert ;
- -Informiert: Bei der Einholung der Einwilligung wird die betroffene Person insbesondere über die Kontaktdaten des für die Verarbeitung Verantwortlichen, den Zweck der Verarbeitung, die personenbezogenen Daten, die erhoben und auf andere Weise verarbeitet werden, sowie darüber informiert, dass sie das Recht hat, ihre Einwilligung jederzeit zu widerrufen.
Loyalität
Hospilux S.A. führt die Verarbeitung personenbezogener Daten unter Bedingungen durch, die eine größtmögliche Transparenz gegenüber den betroffenen Personen gewährleisten; Hospilux S.A. verarbeitet keine personenbezogenen Daten ohne das Wissen seiner Mitarbeiter, Besucher, Kunden, Lieferanten oder jeder anderen Person, die ihm ihre personenbezogenen Daten mitgeteilt haben könnte. Hospilux S.A. garantiert somit eine faire Verarbeitung der von ihr verarbeiteten Informationen in Übereinstimmung mit dem geltenden Recht und den angemessenen Erwartungen der betroffenen Personen.
Transparenz
Hospilux S.A. gibt einen bestimmten Informationsgehalt an die betroffenen Personen weiter. Diese Informationen werden in einer klaren, einfachen und leicht zugänglichen Sprache bereitgestellt, unabhängig vom Kommunikationsmedium.
Unabhängig davon, ob die Hospilux S.A. personenbezogene Daten direkt von den betroffenen Personen oder von Dritten erhebt, stellt sie den betroffenen Personen die gesetzlich vorgeschriebenen Informationen zur Verfügung.
Beschränkung der Zweckbestimmung
Die personenbezogenen Daten, die Hospilux S.A. verarbeitet, werden für bestimmte, ausdrückliche und rechtmäßige Zwecke unter Berücksichtigung der von ihr durchgeführten Verarbeitungstätigkeiten verwendet.
Minimierung der Daten
Die von Hospilux S.A. mitgeteilten und verarbeiteten personenbezogenen Daten sind diejenigen, die für die Durchführung ihrer Tätigkeiten unbedingt erforderlich sind: Es werden nur Informationen verarbeitet, die für die Zwecke, die mit der jeweiligen Verarbeitung verfolgt werden, relevant, angemessen und nicht übermäßig sind. Hospilux S.A. bewertet diesen Grundsatz von Fall zu Fall, um eine angemessene Verhältnismäßigkeit für jede Verarbeitung personenbezogener Daten zu gewährleisten.
Im Rahmen ihrer Tätigkeiten gewährleistet Hospilux S.A. die minimierte Erhebung personenbezogener Daten von betroffenen Personen, um ihren Verpflichtungen strikt nachzukommen.
Richtigkeit der Daten
Hospilux S.A. achtet auf die Richtigkeit der Daten, die im Rahmen seiner Verarbeitungstätigkeiten gesammelt und gespeichert werden. Gegebenenfalls werden sie auf den neuesten Stand gebracht. In diesem Zusammenhang kann jede betroffene Person beim DSB einen Antrag auf Berichtigung ihrer personenbezogenen Daten stellen; dem Antrag muss ein Identitätsnachweis beigefügt werden.
Begrenzung der Aufbewahrung von Daten
Die Aufbewahrungsfristen für die von Hospilux S.A. gesammelten und verarbeiteten personenbezogenen Daten werden von Fall zu Fall festgelegt und richten sich nach der Art der personenbezogenen Daten, dem Zweck der Verarbeitung, aber auch nach den gesetzlichen Bestimmungen.
Nach Erreichen der Aufbewahrungsfrist werden die personenbezogenen Daten auf sichere Weise gelöscht, um eine Wiederherstellung zu verhindern. Wenn sie auf analogen Medien (oder anderen Tools oder Anwendungen) gespeichert sind, werden sie ebenfalls so vernichtet, dass ihre Vertraulichkeit gewahrt bleibt.
Diese Datenschutzrichtlinie soll die betroffenen Personen über die wichtigsten Verarbeitungen informieren, die auf ihre personenbezogenen Daten angewendet werden.
Einige Definitionen der in der Datenschutzrichtlinie verwendeten Begriffe
"Personenbezogene Daten" sind alle Informationen, die direkt oder indirekt eine natürliche Person identifizieren oder identifizierbar machen;
"DPO" bezeichnet den Datenschutzbeauftragten von Hospilux.
"Betroffene Person" bezeichnet die natürliche Person, deren personenbezogene Daten von Hospilux S.A. oder einem Auftragsverarbeiter gesammelt und anderweitig verarbeitet werden;
Der Begriff "Verarbeitung" bezeichnet jeden Vorgang oder jede Gruppe von Vorgängen im Zusammenhang mit personenbezogenen Daten, die mithilfe automatisierter Verfahren auf einem elektronischen Datenträger oder manuell auf Papier durchgeführt werden, wie das Sammeln, Speichern, Organisieren, Strukturieren, Aufbewahren, Anpassen oder Ändern, Auslesen, Abfragen, Verwenden, Weitergeben durch Übertragung und Verbreiten dieser Daten;
"Verantwortlicher" bezeichnet die natürliche oder juristische Person, Behörde, Dienststelle oder andere Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet;
"Auftragsverarbeiter" bezeichnet die natürliche oder juristische Person, Behörde, Dienststelle oder andere Einrichtung, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet ;
"Websites" bezeichnet die Websites von Hospilux SA mit den URL-Adressen: www.hospilux.lu und shop.hospilux.lu.
Hospilux S.A. ist der Verantwortliche für die in dieser Richtlinie aufgeführten Datenverarbeitungen; für weitere Informationen über das Unternehmen verweisen wir Sie auf die am Ende der Website veröffentlichten rechtlichen Informationen.
1. Welche Verarbeitungen werden von Hospilux S.A. durchgeführt? auf welcher Grundlage der Rechtmäßigkeit? welche personenbezogenen Daten werden verarbeitet?
Sie sind ein Privatkunde von Hospilux S.A.
Einige Verarbeitungen werden durch die Nutzung der Website von Hospilux S.A. durchgeführt, andere werden direkt von Hospilux S.A. durchgeführt.
| Behandlung | Zweck | Grundlage der Legitimität | Betroffene Daten | Dauer der Aufbewahrung |
|---|---|---|---|---|
| E-commerce | Verkauf der Produkte über die Website shop.hospilux.lu | Erfüllung eines Vertrags | Identifikationsdaten Bankdaten |
10 Jahre |
| Verwaltung der Vermietung von Medizinprodukten in Geschäften, die nicht von der CNS übernommen werden | Vermietung von Medizinprodukten, die nicht von der Nationalen Gesundheitskasse übernommen werden | Erfüllung eines Vertrags | Identifikationsdaten Bankdaten Gesundheitsdaten |
2 Jahre nach Vertragsende |
| Verwaltung der Vermietung von Medizinprodukten in Geschäften, die von der CNS übernommen werden | Dispensation von Medizinprodukten Zusammenarbeit mit Angehörigen der Gesundheitsberufe und Gesundheitsinstitution (CNS) |
Rechtmäßiges Interesse Erfüllung eines Vertrags |
Identifikationsdaten |
2 Jahre |
| Umgang mit Beschwerden | Kontinuierliche Qualitätsverbesserung gemäß ISO 9001 | Rechtmäßiges Interesse | Identifikationsdaten | 2 Jahre |
Sie sind ein Geschäftskunde, Partner oder Lieferant von Hospilux S.A.
Einige Verarbeitungen werden über die Website von Hospilux S.A. durchgeführt, andere werden direkt von Hospilux S.A. durchgeführt.
| Behandlung | Zweck | Grundlage der Legitimität | Betroffene Daten | Dauer der Aufbewahrung |
|---|---|---|---|---|
| Verwaltung von Geschäftsaktivitäten | Verwaltung von Verträgen Führen der Buchhaltung in Bezug auf die Klienten Nachverfolgung der Kundenbeziehung |
Erfüllung eines Vertrags Gesetzliche Verpflichtung |
Identifikationsdaten Berufsleben Transaktionsdaten Bankdaten |
10 Jahre |
| Verwaltung von Bestellungen | Bestellscheine bearbeiten/empfangen Angebote, Lieferscheine und Rechnungen entgegennehmen |
Erfüllung eines Vertrags | Identifikationsdaten Wirtschaftliche und finanzielle Informationen |
10 Jahre |
| Verwaltung von Lieferanten | Führen einer Kontaktliste von Lieferanten und Auftragnehmern Verwaltung von Lieferantenverträgen Führen der Buchhaltung in Bezug auf Lieferanten |
Erfüllung eines Vertrags Gesetzliche Verpflichtung |
Identifikationsdaten Berufsleben |
10 Jahre |
Sie bewerben sich um eine Stelle bei Hospilux S.A.
| Behandlung | Zweck | Grundlage der Legitimität | Betroffene Daten | Dauer der Aufbewahrung |
|---|---|---|---|---|
| Rekrutierung | Bewerbungen bearbeiten (Lebenslauf, Motivationsschreiben, Empfehlungsschreiben) Interviews organisieren Die Akte des Bewerbers zusammenstellen |
Vorvertragliche Maßnahmen Rechtmäßiges Interesse |
Identifikationsdaten Berufsleben |
3 Monate |
Sie sind ein Whistleblower
| Behandlung | Zweck | Grundlage der Legitimität | Betroffene Daten | Dauer der Aufbewahrung |
|---|---|---|---|---|
| Verwaltung von Hinweisen auf Verstöße gegen unmittelbar geltendes nationales und europäisches Recht | Entgegennahme von Hinweisen auf Verstöße gegen das Recht Verwaltung der Folgemaßnahmen zu den eingegangenen Meldungen |
Rechtliche Verpflichtung |
Gemeldete Sachverhalte, bei der Überprüfung der gemeldeten Sachverhalte gesammelte Elemente, Protokolle der Überprüfungsvorgänge, Folgemaßnahmen zu der Warnmeldung. |
Die Dauer der Speicherung hängt von den Folgemaßnahmen ab, die auf die Warnung hin ergriffen werden: - Vernichtung der Daten ohne Verzögerung, wenn auf die Warnung keine Folgemaßnahmen ergriffen werden. - 5 Jahre nach Abschluss der Ausschreibung, wenn Folgemaßnahmen ergriffen werden |
Verarbeitungen, die unabhängig von der Eigenschaft der betroffenen Person durchgeführt werden
| Behandlung | Zweck | Grundlage der Legitimität | Betroffene Daten | Dauer der Aufbewahrung |
|---|---|---|---|---|
| Videoüberwachung | Die Sicherheit von Personen und Gütern gewährleisten | Rechtmäßiges Interesse | Videobilder | 30 Tage bis zur automatischen Löschung |
| Öffentliches WLAN | Kunden, Partnern und Lieferanten bei ihrem Besuch vor Ort einen Wifi-Zugang gewähren | Erfüllung eines Vertrags | Verbindungsdaten | 24 Stunden bis zur automatischen Löschung |
| Verwaltung der Website | Verwaltung von Bestellungen Umgang mit der Kontaktaufnahme durch Dritte |
Zustimmung | Identifikationsdaten Berufsleben |
10 Jahre (Auftragsverwaltung) 2 Jahre (Verwaltung der Kontaktaufnahme) |
2. Wer hat Zugang zu den gesammelten und anderweitig verarbeiteten Daten?
Nur befugte Personen von Hospilux S.A., die direkt mit der Durchführung der oben genannten Verarbeitungen personenbezogener Daten befasst sind, können auf diese Daten zugreifen ; sie können auch an die Unternehmen der Gruppe, zu der Hospilux S.A. gehört, zu internen Verwaltungszwecken weitergegeben werden.
Um bestimmte Verarbeitungen durchzuführen, greift Hospilux S.A. auf Subunternehmer zurück, mit denen ein spezieller Vertrag gemäß der EU-Verordnung abgeschlossen wird.
3. Welche Rechte haben Personen, die von einer Verarbeitung personenbezogener Daten betroffen sind? Wie können sie diese Rechte ausüben?
Je nachdem, auf welcher Grundlage die Verarbeitung, um die es geht, rechtmäßig ist, hat die betroffene Person die folgenden Rechte:
- über die Existenz und die Zwecke jeglicher Verarbeitung ihrer personenbezogenen Daten informiert werden ;
- auf ihre persönlichen Daten zugreifen und deren Berichtigung oder Löschung oder eine Einschränkung der Verarbeitung verlangen ;
- sich der Verarbeitung widersetzen, ;
- die Übertragbarkeit ihrer persönlichen Daten beantragen ;
- die Hospilux S.A. erteilte Einwilligung jederzeit widerrufen, wenn die Verarbeitung auf ihrer Einwilligung beruht ;
- den Datenschutzbeauftragten umgehend über den Verlust oder die betrügerische Entwendung (unrechtmäßige Verarbeitung) seiner personenbezogenen Daten informieren ;
- eine Beschwerde bei der Nationalen Kommission für Datenschutz einreichen, wenn die betroffene Person nach Kontaktaufnahme mit dem DPO von Hospilux S.A. der Ansicht ist, dass die ihr zustehenden Rechte nicht respektiert wurden.
Der DPO von Hospilux S.A. ist der Ansprechpartner für alle Anfragen zur Ausübung der oben genannten Rechte; er kann per E-Mail unter folgender Adresse kontaktiert werden: dpo@hospilux.lu.
4. Recht auf Zugang zu Bildern aus der Videoüberwachung
Angesichts der Speicherdauer der Bilder muss der Antrag spätestens fünf Kalendertage nach der Aufnahme an den DSB gerichtet werden; er muss den Ort, das Datum und die genaue Uhrzeit der zu sichtenden Bilder (Zeitabschnitt von höchstens einer Viertelstunde), die visuellen Merkmale der Person enthalten, damit die für diese Verarbeitungen verantwortlichen Personen die Person auf Bildfenstern identifizieren können, wie Geschlecht, Größe, Haarfarbe und -länge, Kleidung usw.).
Wenn dem Antrag stattgegeben werden kann, vereinbaren sie mit dem Antragsteller einen Termin für die Vorführung; diese muss innerhalb von Hospilux S.A. in Anwesenheit der für die Verarbeitung durch Videoüberwachung verantwortlichen Person stattfinden.
5. Wie sicher sind die Daten?
Die Hospilux S.A. ergreift die erforderlichen Maßnahmen, um die Vertraulichkeit, Integrität sowie die Verfügbarkeit der verarbeiteten Daten zu gewährleisten, um insbesondere eine Offenlegung gegenüber unbefugten Dritten zu verhindern. Um dieser Sicherheitsverpflichtung nachzukommen, sind alle Mitarbeiter zur Vertraulichkeit verpflichtet.
Im Rahmen der Risikobewertung für die Datensicherheit berücksichtigt Hospilux S.A. die Risiken der Zerstörung, des Verlusts oder der Veränderung, der unbefugten Offenlegung von übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten oder des unbefugten Zugriffs auf solche Daten auf zufällige oder unrechtmäßige Weise, die zu physischen, materiellen oder moralischen Schäden für die betroffenen Personen führen können. Diese Risikobewertung wird regelmäßig durchgeführt und überprüft.
Hospilux S.A. implementiert auch eine Standardsicherheit, die zur Folge hat, dass der Zugriff auf oder die Speicherung von personenbezogenen Daten eingeschränkt wird.
Hospilux S.A. handelt, um die höchste Sicherheit der personenbezogenen Daten und ihrer Verarbeitung sowohl auf technischer als auch auf menschlicher und organisatorischer Ebene zu gewährleisten.
Hospilux S.A. führt insbesondere folgende Maßnahmen durch:
- -Die Sensibilisierung und Schulung der Mitarbeiter ;
- -Die Authentifizierung und die Verwaltung der Berechtigungen der Mitarbeiter;
- -Die Rückverfolgbarkeit von Zugriffen und die Verwaltung von Vorfällen;
- -Die Sicherung von Arbeitsplätzen ;
- -Der Schutz des internen Computernetzwerks ;
- -Die Sicherung ihrer Server und Webseiten ;
- -Die Sicherung und Verwaltung der Kontinuität ihrer Aktivitäten ;
- -Die Betreuung der Datenpflege und -vernichtung ;
- -Der Schutz der Räumlichkeiten ;
- -Die Betreuung von IT-Entwicklungen, sofern erforderlich;
- -Die Anwendung von kryptographischen Methoden ;
- -Die regelmäßige Bewertung des Sicherheitsniveaus des Unternehmens.
Hospilux S.A. stellt sicher, dass die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, die von den von ihr gewählten Subunternehmern umgesetzt werden, mit ihren Sicherheitsanforderungen übereinstimmen.
