ICU Medical

Globale Datenschutzrichtlinie

1. Übersicht und Ziele

Der Schutz personenbezogener Daten und die Einhaltung der Datenschutzgesetze und -vorschriften ist für unsere Organisation und ihre verbundenen Unternehmen („wir“, „uns“, das „Unternehmen“) wichtig. Wir nehmen diese Verpflichtung ernst und bemühen uns, die Datenschutzrechte unserer Mitarbeiter, Geschäftskontakte und Kunden zu gewährleisten, wenn wir ihre Daten verarbeiten.

Diese globale Datenschutzrichtlinie (diese „Richtlinie“) etabliert ein umfassendes Regelwerk für die Verwaltung von Datenschutzrisiken. Insbesondere behandeln die Anlagen A und B dieser Richtlinie bestimmte Anforderungen nach kolumbianischem bzw. mexikanischem Recht, wie in den entsprechenden Anlagen beschrieben.

Diese Richtlinie beschreibt, zusammen mit allen ihren Anlagen und Begleitdokumenten, Prozesse und Tools, die einen einheitlichen Ansatz für das Datenschutz-Risikomanagement in der gesamten Organisation bereitstellen. Der Schutz der personenbezogenen Daten von Mitarbeitern, Geschäftskontakten und Kunden ist grundlegend für das Vertrauen von Mitarbeitern, Geschäftspartnern und Kunden.

Insbesondere verfolgt diese Richtlinie folgende Ziele:

  1. Beschreibung der Datenschutzprinzipien, die unser globales Datenschutz-Rahmenwerk unterstützen;
  2. Nennung und Erklärung der Rollen und Verantwortlichkeiten im Hinblick auf Datenschutz;
  3. Einführung des Datenschutzprogramms;
  4. Nennung der internen Richtlinien, Verfahren und Standards, die diese Richtlinie unterstützen und gemeinsam mit dieser Richtlinie das Datenschutz-Rahmenwerk unserer Organisation bilden; und
  5. Beschreibung einer (nicht vollständigen) Liste der Anforderungen, die Mitarbeiter, Auftragnehmer, Berater und alle anderen, die uns unterstützen oder Dienstleistungen für uns erbringen, erfüllen müssen, um die Vertraulichkeit und Sicherheit der personenbezogenen Daten, mit denen sie umgehen, zu wahren.

Diese Richtlinie enthält keine vollständige Liste der erlaubten oder verbotenen Verhaltensweisen und beschreibt nicht alle geltenden Regeln. Diese Richtlinie ersetzt nicht die Verantwortung, gutes geschäftliches Urteilsvermögen und angemessene Sorgfalt anzuwenden. Einzelne Personen sollten sich bei spezifischen Bedenken und Problemen, die nicht ausdrücklich in dieser Richtlinie behandelt werden, weiterhin über geeignete Kanäle angemessen beraten lassen.

2. Geltungsbereich und Durchsetzung

Diese Richtlinie gilt für alle Verwaltungsratsmitglieder, Manager, Mitarbeiter, Auftragnehmer, Berater und alle anderen Personen, die innerhalb unserer Organisation unterstützend tätig sind oder Dienstleistungen für uns erbringen, und sie gilt für alle unsere weltweiten Geschäftstätigkeiten, die die Verarbeitung personenbezogener Daten beinhalten.

Alle Verwaltungsratsmitglieder, Manager, Mitarbeiter, Auftragnehmer, Berater und anderen Personen, die innerhalb unserer Organisation unterstützend tätig sind oder Dienstleistungen für uns erbringen, sind dafür verantwortlich, diese Richtlinie einzuhalten. Die Anerkennung und das Verständnis dieser Richtlinie durch Verträge und obligatorische Schulungen ist verpflichtend. Die Nichteinhaltung dieser Richtlinie kann einen Verstoß gegen die Beschäftigungsbedingungen darstellen und zu Disziplinarmaßnahmen bis hin zur Kündigung von Arbeits- oder Dienstleistungsverträgen führen.

Die Geschäftsleitung ist letztendlich dafür verantwortlich, die Einhaltung dieser Richtlinie sicherzustellen. Die Rechtsabteilung ist in Abstimmung mit der internen Revision für die Überwachung der Einhaltung dieser Richtlinie verantwortlich. 

Definitionen

Begriff

Definition

Betroffene Person(en) oder einzelne Person(en)

bezeichnet alle lebenden natürlichen Personen, auf die sich die personenbezogenen Daten oder sensiblen Daten beziehen. Beispiele für betroffene Personen sind Verbraucher, Geschäftskontakte und Mitarbeiter, Auftragnehmer, Berater und alle anderen, die innerhalb unserer Organisation unterstützend tätig sind oder Dienstleistungen für uns erbringen.

Datenschutzgesetze

bezeichnet alle geltenden Gesetze, Vorschriften, behördlichen Anforderungen und Verhaltenskodizes in Bezug auf den Schutz einzelner Personen bei der Verarbeitung personenbezogener Daten, einschließlich der Informationssicherheit.

Datenschutzverletzung oder Vorkommnis

bezeichnet alle tatsächlichen oder mutmaßlichen Ereignisse, bei denen die Sicherheit, Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten beeinträchtigt wurde oder werden könnte und zur unbeabsichtigten, unrechtmäßigen oder unbefugten Vernichtung, zum Verlust, zur Veränderung, Offenlegung oder zum Zugriff auf personenbezogene Daten oder einer anderen unrechtmäßigen Verwendung personenbezogener Daten (z. B. eine E-Mail mit personenbezogenen Daten, die versehentlich an die falschen Empfänger gesendet wird; ein Papierdatensatz mit personenbezogenen Daten, der verloren geht oder gestohlen wird; ein Cyberangriff durch Hacker; ein Arbeitslaptop, der verloren geht oder gestohlen wird) führt.

Datenverarbeitung oder Verarbeitung

bezeichnet jede Verwendung personenbezogener Daten durch unsere Organisation (oder einen Dritten im Auftrag unserer Organisation), einschließlich der Erfassung, Weitergabe und Speicherung von Daten. Bereits die bloße Speicherung von Daten stellt eine Verarbeitung dar.

Personenbezogene Daten

bezeichnet alle Informationen mit Bezug auf eine einzelne Person, die diese identifizieren oder vernünftigerweise verwendet werden könnten, um sie zu identifizieren, unabhängig vom Datenmedium (z. B. Papier, elektronisch, Video, Audio). Beispiele für personenbezogene Daten sind Kontaktangaben, Finanzdaten, Passwörter, IP-Adressen, Bilder, Online-Suchverlauf oder Informationen zum geografischen Standort. Sofern nicht anders angegeben, umfassen personenbezogene Daten auch sensible Daten (wie unten definiert) umfassen.

Sensible personenbezogene Daten

bezeichnet personenbezogene Daten über ethnische Herkunft, politische Meinungen, religiöse oder ähnliche Überzeugungen, Gewerkschaftszugehörigkeit, körperliche oder geistige Gesundheit oder Verfassung, Sexualleben, genetische Daten (z. B. die Gensequenz einer einzelnen Person), biometrische Daten (z. B. Fingerabdrücke, Gesichtserkennung, Netzhautscans) und begangene oder mutmaßlich begangene Straftaten.

3. Datenschutzprinzipien

In der Geschäftstätigkeit unserer Organisation müssen jederzeit die unten dargelegten Datenschutzprinzipien eingehalten werden. Diese Prinzipien sind für alle unsere Geschäftsbereiche verbindlich.

  1. Rechtmäßige, faire und transparente Verarbeitung
    Unsere Organisation verwendet personenbezogene Daten nur auf eine Weise, die rechtmäßig, fair und transparent ist.

    Wir halten uns an die Datenschutzgesetze in allen Rechtsgebieten, in denen wir tätig sind. Soweit gesetzlich vorgeschrieben, verpflichten wir uns auch, einzelnen Personen dabei zu helfen, zu verstehen, welche Informationen wir erfassen, wie wir sie verwenden und welche Wahlmöglichkeiten sie haben. Wir erklären dies Mitarbeitern, Auftragnehmern, Beratern und anderen Arbeitnehmern, Verbrauchern und Geschäftskontakten auf einfache und klare Weise in unseren Datenschutzerklärungen. Wir überprüfen unsere Datenschutzerklärungen regelmäßig, um sie auf dem neuesten Stand zu halten und sicherzustellen, dass sie unseren internen Praktiken entsprechen.

  2. Zweckbindung
    Wir erfassen personenbezogene Daten nur für bestimmte, klare und legitime Zwecke und wir erfassen nur so viele personenbezogene Daten, wie wir benötigen, um diese Zwecke zu erreichen. Auch, wenn personenbezogene Daten uns helfen, die von uns angebotenen Dienstleistungen zu verbessern, verwenden wir sie nur auf eine Weise, die im Hinblick auf klare Ziele verhältnismäßig ist.

  3. Datengenauigkeit
    Wir ergreifen Maßnahmen, um sicherzustellen, dass die von uns gespeicherten personenbezogenen Daten korrekt, aktuell und für die Zwecke, für die sie erfasst werden, relevant sind.

  4. Aufbewahrung von Daten
    Wir bewahren personenbezogene Daten nur so lange auf, wie es für die Zwecke, für die wir sie verwenden, erforderlich ist.

  5. Rechte einzelner Personen
    Wir verpflichten uns vollumfänglich, in Übereinstimmung mit den geltenden Gesetzen einzelnen Personen die Ausübung ihrer Datenschutzrechte in Zusammenhang mit unserer Verarbeitung ihrer personenbezogenen Daten zu ermöglichen.

  6. Informationssicherheit
    Wir ergreifen angemessene physische, technische und organisatorische Maßnahmen, um personenbezogene Daten zu schützen und ihre Integrität, Vertraulichkeit und Verfügbarkeit auf allen Systemen und jederzeit zu gewährleisten.

    Wir verpflichten uns auch, sicherzustellen, dass unsere Anbieter und Zulieferer, die personenbezogene Daten in unserem Auftrag verarbeiten, die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten wahren.

  7. Internationale Übermittlung personenbezogener Daten
    Unsere Organisation ist ein globales Unternehmen und daher müssen wir Daten international übermitteln. Wir verpflichten uns vollumfänglich, angemessene Sicherheitsvorkehrungen in Einklang mit den geltenden Gesetzen zu treffen, um die personenbezogenen Daten zu schützen, die wir in Länder ohne angemessene Datenschutzgesetze übermitteln.

  8. Rechenschaftspflicht
    Wir sind alle dafür verantwortlich, die Datenschutzprinzipien einzuhalten und die Datenschutzrechte einzelner Personen zu respektieren. Wir sind als Kollektiv und einzeln dazu verpflichtet, die personenbezogenen Daten unserer Mitarbeiter, Auftragnehmer, Berater und anderer Arbeitnehmer, Verbraucher und Geschäftspartner zu schützen. Um ein vertrauensvolles Umfeld zu schaffen und die geltenden Datenschutzgesetze einzuhalten, müssen alle Personen, die innerhalb oder im Auftrag unserer Organisation tätig sind, unsere Datenschutzrichtlinien einhalten und die Organisation dabei unterstützen, ihre Verpflichtungen zum Schutz personenbezogener Daten einzuhalten.

4. Rollen und Zuständigkeiten

Verschiedene Stakeholder auf verschiedenen Unternehmensebenen innerhalb unserer Organisation spielen eine Rolle bei der Gewährleistung von Datenschutz-Risikomanagement und der Einhaltung von Datenschutzvorschriften. Die folgenden Abteilungen und Mitarbeiter haben bestimmte Rollen und Verantwortlichkeiten:

  • Die Rechtsabteilung ist verantwortlich für die Förderung und Sicherstellung der Einhaltung von Datenschutzbestimmungen, die Überwachung des gesamten Datenschutzmanagements und des Compliance-Programms, die Beantwortung der Anfragen und Anträge betroffener Personen, die Beantwortung behördlicher Anfragen zum Datenschutz und die Zusammenarbeit mit der IT-Abteilung, wenn dies erforderlich ist, um die Informationssicherheit zu gewährleisten, die ein wesentlicher Bestandteil des Schutzes personenbezogener Daten ist.
  • Die IT-Abteilung ist verantwortlich für den Schutz und die Überwachung unserer internen Netzwerke und Systeme und insbesondere dafür, dass personenbezogene Daten, die in diesen Netzwerken und Systemen gespeichert, übertragen, abgerufen und verwendet werden, angemessen vor Datenschutzverletzungen geschützt sind. Die IT-Abteilung ist auch für die Teilnahme an einigen wichtigen Datenschutzaktivitäten wie einer Datenschutz-Folgenabschätzung („DSFA“) verantwortlich.
  • Die Personalabteilung ist dafür verantwortlich, die personenbezogenen Daten von Mitarbeitern, Auftragnehmern, Beratern und allen anderen Personen, die Dienstleistungen erbringen und uns unterstützen, ordnungsgemäß und in Einklang mit geltendem Recht zu behandeln. Die Personalabteilung ist auch dafür verantwortlich, Anfragen von Mitarbeitern, Auftragnehmern, Beratern und anderen Arbeitnehmern zur Ausübung ihrer Datenschutzrechte zu bearbeiten und weitere Anfragen oder Beschwerden an die Rechtsabteilung zu eskalieren. Die Personalabteilung sollte auch die Rechtsabteilung über neue Verarbeitungsaktivitäten informieren, die sich auf die personenbezogenen Daten von Mitarbeitern, Auftragnehmern, Beratern und anderen Arbeitnehmern auswirken. Die Personalabteilung sollte in die Durchführung von DSFA für neue personalbezogene Verarbeitungsaktivitäten, in die Aktualisierung von Datenschutzhinweisen für Mitarbeiter, Auftragnehmer, Berater und andere Arbeitnehmer sowie in deren Sensibilisierung für ihre Pflichten und Verantwortlichkeiten in Zusammenhang mit dem Schutz personenbezogener Daten (einschließlich dieser Richtlinie) eingebunden werden.

Darüber hinaus ist jede Geschäftsfunktion, die personenbezogene Daten verarbeitet, verantwortlich für die:

  • Verwaltung des Datenschutzrisikos im Zusammenhang mit der von dieser Funktion durchgeführten Verarbeitung;
  • Konsultation der Rechtsabteilung, wenn dies gemäß den internen Richtlinien und Verfahren erforderlich ist;
  • Gewährleistung der Sicherheit der von ihr verarbeiteten personenbezogenen Daten; und
  • Bearbeitung und Eskalation von Datenschutzvorkommnissen nach Bedarf.

Alle Verwaltungsratsmitglieder, Manager, Mitarbeiter, Auftragnehmer, Berater und Arbeitnehmer sind dafür verantwortlich, die Vertraulichkeit der von ihnen verwendeten personenbezogenen Daten zu wahren und diese Daten sicher und in Übereinstimmung mit dieser Richtlinie und allen anderen unterstützenden Richtlinien, Verfahren und Standards (wie unten unter „Richtlinienrahmen“ angegeben) zu behandeln.

5.  Datenschutzprogramm

Unsere Rechtsabteilung wird unser Datenschutzprogramm überwachen, das einen umfassenden und koordinierten Ansatz zur Verwaltung von Datenschutzrisiken bereitstellt und gleichzeitig die Geschäftsbedürfnisse und -strategien erfüllt. Unser Datenschutzprogramm umfasst mindestens die folgenden Komponenten:

  • Richtlinienrahmen
  • Einhaltung gesetzlicher Vorschriften
  • Zentrale Anlaufstelle
  • Dokumentation der Datenschutz-Compliance (Entscheidungen, Implementierung und Audit)
  • Aufzeichnungen über Verarbeitungstätigkeiten
  • Datenschutz-Folgenabschätzung
  • Datenschutz-Risikomanagement für Anbieter
  • Datenschutzschulungen
  • Verwaltung von Datenschutzverletzungen
  • Rechte betroffener Personen
    1. Richtlinienrahmen
      Unsere Organisation muss jederzeit in Übereinstimmung mit dieser Richtlinie, dem Verhaltens- und Ethikkodex sowie allen datenschutzbezogenen internen Richtlinien, Verfahren und Standards handeln, einschließlich der Richtlinie zur akzeptablen Nutzung von Informationstechnologie, der Richtlinie zur Klassifizierung und Handhabung von Daten, der Richtlinie zur Reaktion auf Vorkommnisse und der Datenschutzhinweise für Mitarbeiter, Online-Anwender und andere einzelne Personen. Bitte beachten Sie, dass diese von Zeit zu Zeit aktualisiert oder ersetzt werden können und der Umfang der nachfolgenden Liste auf zusätzliche Richtlinien erweitert werden kann.

    2. Einhaltung gesetzlicher Vorschriften
      Die Rechtsabteilung wird jederzeit Prozesse aufrechterhalten, die es unserer Organisation ermöglichen, gesetzliche Anforderungen im Datenschutzbereich zu verstehen und einzuhalten, wie z. B. die Bereitstellung von Datenschutzhinweisen für betroffene Personen und bei Bedarf die Einholung ihrer Einwilligung zur Datenverarbeitung. Die Rechtsabteilung wird sicherstellen, dass Datenschutzgesetze in der Region, in der diese Gesetze gelten, einheitlich angewandt werden.

    3. Zentrale Anlaufstelle
      Die Rechtsabteilung wird gemeinsam mit der Geschäftsleitung auf Grundlage unserer Datenverarbeitungsaktivitäten festlegen, wo sich unsere Hauptniederlassung befindet, um die leitende Aufsichtsbehörde innerhalb der Europäischen Union für grenzüberschreitende Verarbeitungstätigkeiten zu identifizieren. Die Entscheidung ist zu dokumentieren. Die Rechtsabteilung wird die leitende Aufsichtsbehörde sorgfältig auf Leitlinien und andere ausgegebene Dokumente überwachen und ihre Durchsetzungsprioritäten verstehen.

    4. Dokumentation der Datenschutz-Compliance (Entscheidungen, Implementierung und Audit)
      Die Rechtsabteilung wird mit Unterstützung der betroffenen Geschäftsfunktionen Aufzeichnungen über die Entscheidungen und Maßnahmen erstellen und pflegen, die in Bezug auf Datenschutz-Risikomanagement und die Einhaltung der Datenschutzgesetze getroffen wurden. Dies ermöglicht auch eine effektive Zusammenarbeit mit den Aufsichtsbehörden bei Bedarf und unterstützt unsere Organisation dabei, ihre Einhaltung der Datenschutzbestimmungen zu dokumentieren und jederzeit nachzuweisen.

      Wenn datenschutzbezogene Entscheidungen und Maßnahmen auf regionaler oder geschäftlicher Ebene getroffen werden, legen die relevanten Richtlinien und Verfahren die Verantwortung für die Führung angemessener Aufzeichnungen fest.

      Die Rechtsabteilung ist auch dafür verantwortlich, die Entwicklung zusätzlicher Unterlagen sicherzustellen und zu überwachen, die erforderlich sein könnten, um die Einhaltung der geltenden Datenschutzgesetze nachzuweisen (z. B. Einwilligungserklärungen, Mitteilungen an betroffene Personen, Register über Verletzungen des Schutzes personenbezogener Daten).

    5. Aufzeichnungen über Verarbeitungstätigkeiten
      Die Rechtsabteilung wird in einem lebenden Dokument die Liste aller Verarbeitungstätigkeiten innerhalb unserer Organisation zu einem bestimmten Zeitpunkt zusammentragen. Dieses Dokument wird von Zeit zu Zeit aktualisiert, um Änderungen im Geschäftsbetrieb widerzuspiegeln. Die IT-Abteilung, die Personalabteilung und alle anderen Geschäftsfunktionen, die an der Verarbeitung personenbezogener Daten beteiligt sind, sollten zur Aufzeichnung der Verarbeitungstätigkeiten beitragen (indem sie relevante Informationen wie die Zwecke der Datennutzung und für Datenübermittlungen bereitstellen).

    6. Datenschutz-Folgenabschätzungen
      Die Rechtsabteilung wird Richtlinien und Verfahren zur Durchführung von DSFA in Bezug auf neue Produkte, Technologien und Geschäftsabläufe etablieren, wenn dies nach geltendem Recht erforderlich ist oder wenn es angemessen erscheint, um das Datenschutzrisiko zu verwalten. Die DSFA erfordern Beiträge von relevanten Geschäftsfunktionen und deren Beteiligung.

    7. Datenschutz-Risikomanagement für Anbieter
      Das Risikomanagement für die Beauftragung von Drittanbietern, die personenbezogene Daten in unserem Auftrag verarbeiten („Auftragsverarbeiter“), ist entscheidend, um unsere Einhaltung der Datenschutzbestimmungen sicherzustellen. Die Rechtsabteilung wird Richtlinien und alle Datenschutzinhalte zur Verfügung stellen, die für die Risikobewertung von Drittanbietern erforderlich sind, und diese bei Bedarf auf dem neuesten Stand halten, um aufkommende Datenschutzrisiken zu adressieren. Risiken im Zusammenhang mit einem Drittanbieter müssen an die Rechtsabteilung eskaliert werden.



      Insbesondere wird die Rechtsabteilung sicherstellen, dass:
      • für jeden Auftragsverarbeiter eine angemessene Sorgfaltsprüfung seiner Informationssicherheitsmaßnahmen durchgeführt wird, bevor er als Geschäftspartner ausgewählt wird;
      • mit jedem Auftragsverarbeiter eine angemessene Verarbeitungsvereinbarung abgeschlossen wird, die dem Auftragsverarbeiter Datenschutzverpflichtungen auferlegt; und
      • die Einhaltung der Verarbeitungsvereinbarung und des geltenden Rechts durch den Auftragsverarbeiter von Zeit zu Zeit überwacht wird.

    8. Datenschutzschulungen
      Datenschutzschulungen sind Teil des jährlichen Compliance-Schulungsplans und müssen von den relevanten Mitarbeitern bei ihrem Eintritt in das Unternehmen und danach regelmäßig absolviert werden. Die Rechtsabteilung wird sicherstellen, dass die Schulungsinhalte aktuell bleiben, der Geschäftstätigkeit unserer Organisation angemessen sind und regelmäßig aktualisiert werden. Die Schulungsabschlussquoten werden überwacht und dokumentiert (z. B. Schulungsprotokoll).

    9. Verwaltung von Datenschutzverletzungen
      Alle Geschäftsfunktionen sind verantwortlich für die Überwachung des Geschäftsbetriebs auf Vorkommnisse im Zusammenhang mit der Sicherheit personenbezogener Daten, deren zeitnahe und konsistente Aufzeichnung und die Umsetzung angemessener Strategien zur Risikominderung.

      Alle Mitarbeiter und Geschäftsfunktionen sind für die unverzügliche Eskalation aller tatsächlichen oder vermuteten Datenschutzverletzungen in Einklang mit unserer Richtlinie zur Reaktion auf Vorkommnisse verantwortlich. Alle relevanten Abteilungen und/oder Geschäftsfunktionen müssen sich gemäß dieser Richtlinie am Management von Datenschutzverstößen beteiligen.

      Die Rechtsabteilung wird gemeinsam mit der IT-Abteilung sicherstellen, dass bekannte Vorkommnisse und Risikoereignisse identifiziert, bewertet und angemessen behoben werden, und sie wird Trends bewerten, damit Grundursachen behoben werden können. Die Rechtsabteilung wird auch die Meldung von Datenschutzverstößen an die zuständige Aufsichtsbehörde oder an betroffene Personen übernehmen, wenn dies nach geltendem Recht erforderlich ist.

    10. Rechte betroffener Personen
      Die Rechtsabteilung wird der Personalabteilung und allen anderen Abteilungen Leitlinien und Unterstützung zur Verfügung stellen, um Anfragen zu Rechten betroffener Personen zu bearbeiten (z. B. die Anfrage einer Person, in Einklang mit geltendem Recht auf bei uns gespeicherte personenbezogene Daten zuzugreifen) und betroffene Personen über ihre Rechte nach geltendem Recht zu informieren, einschließlich des Rechts, bei der/den zuständigen staatlichen Datenschutzbehörde(n) eine Beschwerde einzureichen, falls das Unternehmen bei der Verarbeitung der personenbezogenen Daten und sensiblen personenbezogenen Daten einer betroffenen Person gegen geltende Datenschutzgesetze verstößt.

6.  Was Mitarbeiter, Auftragnehmer, Berater und Arbeitnehmer tun müssen

Wenden Sie die Datenschutzprinzipien für die Erfassung und Verwendung personenbezogener Daten an, und befolgen Sie die Richtlinien, Verfahren und Standards im Zusammenhang mit Datenschutz.

Insbesondere müssen Sie die folgenden Richtlinien einhalten:

  • Richtlinie zur zulässigen Nutzung und Informationstechnologie
  • Richtlinie zu vertraulichen Daten
  • Richtlinie zur Klassifizierung und Handhabung von Daten
  • E-Mail-Richtlinie
  • Verschlüsselungsrichtlinie
  • Passwortrichtlinie
  • Fernzugriffsrichtlinie
  • Richtlinie für Drittanbieter-Software
  • Richtlinie zur Aufbewahrung von Daten

Es wird auch von Ihnen erwartet, alle erforderlichen Datenschutzschulungen zu absolvieren.

Die Nichteinhaltung der Bedingungen dieser Richtlinie kann Disziplinarmaßnahmen bis hin zur Kündigung des Beschäftigungsverhältnisses oder der Geschäftsbeziehung sowie rechtliche Schritte nach sich ziehen.

7.  Meldungen und Fragen

Mitarbeiter von ICU Medical können alle Bedenken unter +1-844-330-0007 über eine anonyme und vertrauliche Hotline melden. Anonyme und vertrauliche Meldungen können auch per E-Mail an reports@lighthouse-services.com (die Meldung muss den Namen des Unternehmens enthalten), durch eine vertrauliche Online-Einreichung unter http://www.lighthouse-services.com/icumed oder über den Abschnitt „Governance-Berichte“ auf unserer Corporate-Governance-Website unter https://ir.icumed.com/governance.cfm erfolgen. Vertreter des Unternehmens können vertrauliche Meldungen auch bei ihren Vorgesetzten, der Personalabteilung, dem Compliance-Beauftragten oder dem Leiter der Rechtsabteilung einreichen.

8.  Änderungen an dieser Richtlinie

Die Rechtsabteilung wird diese Richtlinie mindestens einmal jährlich überprüfen und entsprechende Änderungen empfehlen.

Wir werden Sie gegebenenfalls auf Änderungen aufmerksam machen.

9.  Ausnahmen und Eskalation

Ausnahmen von dieser Richtlinie müssen von der Rechtsabteilung geprüft und genehmigt werden. Alle Ausnahmen von dieser Richtlinie müssen vor ihrer Anwendung schriftlich genehmigt werden.

Die Rechtsabteilung ist verantwortlich für die Lösung von Fragen zur angemessenen Auslegung dieser Richtlinie im Hinblick auf rechtliche und behördliche Anforderungen. Die Rechtsabteilung ist dafür verantwortlich, Fragen zur Auslegung dieser Richtlinie zu beantworten.

Anlage A

Globale Datenschutzrichtlinie – Anlage für Kolumbien

ICU MEDICAL COLOMBIA LIMITADA („ICU COLOMBIA“) mit Sitz in Kolumbien ist eine Tochtergesellschaft von ICU MEDICAL, INC (das „Unternehmen“) mit Sitz in den USA.

Diese Anlage soll die globale Datenschutzrichtlinie („GDR“) des Unternehmens um bestimmte Elemente ergänzen, die nur im Geltungsbereich der kolumbianischen Datenschutzgesetze anwendbar sind. Die kolumbianischen Datenschutzgesetze gelten nur für die Verarbeitung personenbezogener Daten in Kolumbien und – unter bestimmten Umständen – für die Verarbeitung personenbezogener Daten von betroffenen Personen mit Wohnsitz in Kolumbien, während diese sich im Ausland befinden.

Begriffe, die hierin verwendet werden, aber nicht definiert sind, besitzen die Bedeutung, die ihnen in der GDR zugewiesen ist.

Begriff

Definition

Definitionen

Soweit kolumbianische Datenschutzgesetze Anwendung finden, gelten zusätzlich zu den Definitionen im Abschnitt „Definitionen“ der GDR die folgenden Definitionen. Falls zwischen den beiden Definitionsabschnitten Konflikte bestehen, gelten die folgenden Definitionen:

  1. Datenschutzgesetze: Das anwendbare Recht, in diesem Fall die kolumbianischen Gesetze und Vorschriften.
  2. Datenverarbeitung: Jeder Vorgang oder jede Reihe von Vorgängen mit personenbezogenen Daten, z. B. deren Erfassung, Speicherung, Verwendung, Verbreitung oder Löschung.
  3. Einwilligung: Die vorherige und ausdrückliche Einwilligung nach Aufklärung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten.
  4. Auftragsverarbeiter: Eine natürliche oder juristische Person, ob öffentlich oder privat, die entweder allein oder in Verbindung mit anderen personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
  5. Datenverantwortlicher: Eine natürliche oder juristische Person, ob öffentlich oder privat, die entweder allein oder in Verbindung mit anderen über die Datenbank und/oder Verarbeitung der Daten entscheidet.
  6. Betroffene Person: Jede lebende natürliche Person, auf die sich die personenbezogenen Daten oder sensiblen Daten beziehen.
  7. Übermittlung: Die Übermittlung von Daten erfolgt, wenn der Datenverantwortliche und/oder der Auftragsverarbeiter mit Sitz in Kolumbien die Informationen oder personenbezogenen Daten an einen Empfänger sendet, der ebenfalls ein Datenverantwortlicher ist und sich innerhalb oder außerhalb des Landes befindet.
  8. Übertragung: Verarbeitung personenbezogener Daten mittels der Kommunikation personenbezogener Daten innerhalb oder außerhalb Kolumbiens, wenn sie den Zweck einer Datenverarbeitung durch einen Auftragsverarbeiter im Auftrag eines Datenverantwortlichen verfolgt.

Die Datenschutzprinzipien

Soweit kolumbianische Datenschutzgesetze Anwendung finden, gelten zusätzlich zu den im Abschnitt „Datenschutzprinzipien“ der GDR vorgesehenen Grundsätzen folgende Grundsätze:

  1. Prinzip der Rechtsgültigkeit der Datenverarbeitung: Die im Rahmen des kolumbianischen Datenschutzrechts (Gesetze und Vorschriften) durchgeführte Verarbeitung ist eine regulierte Aktivität, die den Bestimmungen dieses Rechts unterliegt.
  2. Zweckprinzip: Die Datenverarbeitung sollte einen legitimen Zweck in Übereinstimmung mit Verfassung und geltendem Recht verfolgen, der der betroffenen Person mitgeteilt werden muss.
  3. Freiheitsprinzip: Die Verarbeitung darf nur mit ausdrücklicher und vorheriger Einwilligung nach Aufklärung der betroffenen Person erfolgen, und die Daten dürfen ohne deren Einwilligung oder ohne rechtliches oder gerichtliches Mandat, das die Anforderung für eine Einwilligung aufhebt, nicht eingeholt oder weitergegeben werden.
  4. Vertraulichkeitsprinzip: Alle Personen, die an der Verarbeitung nichtöffentlicher personenbezogener Daten beteiligt sind, sind verpflichtet, die Vertraulichkeit der Daten zu gewährleisten.

Zweck der Verarbeitung personenbezogener Daten und sensibler personenbezogener Daten

Die personenbezogenen Daten, die ICU COLOMBIA erfasst, werden für die folgenden Zwecke verarbeitet:

  1. Versand/Verarbeitung von Informationen und Dokumenten im Zusammenhang mit der Geschäftsbeziehung der betroffenen Personen mit ICU COLOMBIA.
  2. Bereitstellung von Kontaktinformationen für die Vertriebsmitarbeiter und/oder das Händlernetzwerk von ICU COLOMBIA.
  3. Internationale Datenübertragung durch Hosting auf externen Servern.
  4. Internationale Datenübermittlung durch Versand an ein anderes verbundenes Unternehmen oder eine andere verbundene Einheit von ICU COLOMBIA.
  5. Übermittlung von Informationen, Anforderungen und Benachrichtigungen von ICU COLOMBIA an alle seine Mitarbeiter, Zulieferer, Auftragnehmer und andere betroffene Personen.
  6. Versand von Newslettern, E-Mails und anderen Datennachrichten, Benachrichtigung über Werbeaktionen und Veranstaltungen oder Aktivitäten, die ICU COLOMBIA durchführt.
  7. Versand von Meinungsumfragen zur Zufriedenheit von Kunden, Anwendern und potenziellen Kunden.
  8. Weiterleitung von Informationen zur Einhaltung gesetzlicher Anforderungen und der Anforderungen von Justizbehörden.
  9. Die anderen in den Einwilligungserklärungen beschriebenen Zwecke.

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Soweit kolumbianische Datenschutzgesetze Anwendung finden, unterliegen personenbezogene Daten und sensible personenbezogene Daten den folgenden Anforderungen:

Personenbezogene Daten
Die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten entsprechen denen in Artikel 9 und 10 des Gesetzes 1581 von 2012.

Sensible personenbezogene Daten
Die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten entsprechen denen in Artikel 6 des Gesetzes 1581 von 2012.

Einwilligung

Die in der GDR genannten Einwilligungskriterien gelten im Rahmen dieser Anlage zusammen mit den folgenden zusätzlichen Kriterien:

  1. Die Verarbeitung personenbezogener Daten und sensibler personenbezogener Daten erfordert die vorherige und ausdrückliche Einwilligung nach Aufklärung der betroffenen Person.
  2. Die Datenverantwortlichen müssen Mechanismen einrichten, um die Einwilligung der betroffenen Personen oder einer anderen hierzu ermächtigten Person in Einklang mit den Bestimmungen von Artikel 20 des Dekrets 1377 zu erhalten. Diese Mechanismen können technische Mittel beinhalten, die es dem Auftragsverarbeiter ermöglichen, eine automatisierte Einwilligung einzuholen. Die Einwilligung erfüllt diese Anforderungen, wenn sie (i) schriftlich, (ii) mündlich oder (iii) durch das eindeutige Verhalten der betroffenen Person, das zu dem begründeten Schluss führt, dass die Einwilligung erteilt wurde, erfolgt. In keinem Fall darf Schweigen als eindeutiges Verhalten ausgelegt werden.
  3. Die Einwilligungserklärung sollte ein spezifisches ankreuzbares Kästchen enthalten, um die Erfassung, Verarbeitung und Übermittlung sensibler personenbezogener Daten zu genehmigen. Dieses Kästchen muss sich von dem Kästchen unterscheiden, das verwendet wird, um der Erfassung nicht sensibler personenbezogener Daten zuzustimmen.

Faire Informationen zur Verarbeitung

Die Informationen, die gemäß GDR der betroffenen Person zur Verfügung gestellt werden müssen, werden für die Zwecke dieser Anlage um die folgenden zusätzlichen Informationen ergänzt:

  1. Name oder Firmenname, Geschäftssitz, Anschrift, E-Mail-Adresse und Telefonnummer des Datenverantwortlichen.
  2. Die Rechte, auf die die betroffene Person Anspruch hat.
  3. Die Person oder der Bereich, die/der für die Bearbeitung von Anfragen und Beschwerden verantwortlich ist, mittels derer die betroffene Person ihre Rechte auf Kenntnisnahme, Aktualisierung, Berichtigung und Löschung der Daten und auf Widerruf ihrer Einwilligung ausüben kann.
  4. Das Verfahren, mit dem betroffene Personen ihre Rechte auf Kenntnisnahme, Aktualisierung, Berichtigung und Löschung der Daten und auf Widerruf ihrer Einwilligung ausüben können.

Datenübermittlung/Datenübertragung an Dritte

Soweit kolumbianische Datenschutzgesetze Anwendung finden, ist Folgendes zu berücksichtigen:

Wenn ICU COLOMBIA einen Dritten anweist, personenbezogene Daten im Auftrag von ICU COLOMBIA (Datenübertragung) oder für eigene Zwecke (Datenübermittlung) zu verarbeiten, muss der Dritte eine schriftliche Vereinbarung mit ICU COLOMBIA abschließen. Die Vereinbarungen müssen eine Reihe von Bestimmungen enthalten, die in den Artikeln 24 und 25 des Dekrets 1377 von 2013 in Bezug auf die internationale Übermittlung und Übertragung personenbezogener Daten und durch die Vereinbarung über die Übertragung personenbezogener Daten vorgeschrieben sind.

Zusätzlich zu Vorstehendem muss der Datenverantwortliche im Falle von Übertragungen der betroffenen Person nur offenlegen, dass die Möglichkeit besteht, dass Daten an dritte Auftragsverarbeiter weitergegeben werden, und angeben, ob diese Auftragsverarbeiter zum Zeitpunkt der Einholung der Einwilligung im Ausland ansässig sind. In diesem Fall besteht die Verpflichtung, die Möglichkeit einer Übertragung offenzulegen, aber es besteht keine Notwendigkeit, die vorherige und ausdrückliche Einwilligung in die Weitergabe der personenbezogenen Daten an den externen Auftragsverarbeiter einzuholen, der eine Übertragungsvereinbarung in Übereinstimmung mit den geltenden kolumbianischen Gesetzen abgeschlossen hat.

Im Gegensatz dazu gibt im Falle der Übermittlung der Datenverantwortliche die Daten an einen neuen Datenverantwortlichen weiter. Daher muss er die Einwilligung der betroffenen Person einholen, um diese Daten an den neuen Datenverantwortlichen weiterzugeben, und er muss zudem offenlegen, welche Datenschutzrichtlinie maßgeblich sein wird (d. h. die des neuen Datenverantwortlichen). Die jeweiligen Vereinbarungen sollten neben anderen Anforderungen auch diese Bedingungen erfüllen.

Internationale Übermittlung personenbezogener Daten

Soweit kolumbianische Datenschutzgesetze Anwendung finden, ist Folgendes zu berücksichtigen:

Gemäß Gesetz 1581 von 2012, Dekret 1377 von 2013 und den zugehörigen Regeln und Vorschriften dürfen personenbezogene Daten, unabhängig von ihrer Art, nur in Länder übermittelt werden, die ein ausreichendes Datenschutzniveau gewährleisten. Es wird davon ausgegangen, dass ein Land ein ausreichendes Datenschutzniveau gewährleistet, sofern es die geltenden Standards erfüllt, die von der Superintendence of Industry and Commerce („SIC“) festgelegt wurden. Die vorstehenden Standards dürfen unter keinen Umständen Verpflichtungen vorsehen, die geringer sind als die nach kolumbianischem Datenschutzrecht vorgesehenen.

Dieses Verbot gilt nicht für:

  1. Daten, für deren Übermittlung die betroffene Person ausdrücklich und eindeutig ihre Einwilligung erteilt hat.
  2. Austausch von medizinischen Daten, wenn die Verarbeitung der Daten der betroffenen Person aus Gründen der öffentlichen Gesundheit erforderlich ist.
  3. Bank- oder Marktübermittlungen in Einklang mit geltenden
  4. Im Rahmen internationaler Abkommen vereinbarte Übermittlungen, wenn die Republik Kolumbien Partei solcher Abkommen ist, auf Grundlage des Prinzips
  5. Übermittlungen, die für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Datenverantwortlichen oder anderweitig für die Erfüllung zukünftiger Vertragsmaßnahmen erforderlich sind, vorausgesetzt, die betroffene Person hat ihre Einwilligung erteilt.

Rechte betroffener Personen

Soweit kolumbianische Datenschutzgesetze Anwendung finden, besitzen betroffene Personen in Kolumbien eine Reihe von gesetzlichen Rechten im Hinblick auf ihre personenbezogenen Daten. Diese Rechte umfassen:

  1. Zugriff, Aktualisierung und Korrektur ihrer personenbezogenen Daten durch den Datenverantwortlichen oder Auftragsverarbeiter aufgrund von nur teilweise vorliegenden, ungenauen, unvollständigen, geteilten oder irreführenden Daten oder unbefugter/verbotener Verarbeitung.
  2. Anforderung eines Nachweises für die erteilte Einwilligung.
  3. Anfrage, wie die eigenen personenbezogenen Daten verwendet oder verarbeitet wurden
  4. Einreichung von Beschwerden vor der Superintendence of Industry und
  5. Widerruf der Einwilligung oder Anforderung der Löschung von Daten, wenn gegen Prinzipien verstoßen wurde und die Superintendence of Industry and Commerce feststellt, dass die Verarbeitung durch den Datenverantwortlichen oder Auftragsverarbeiter gegen geltendes Recht und die kolumbianische Verfassung verstoßen hat.

Konsultationsverfahren

Die betroffene Person und/oder ihre Rechtsnachfolger können jederzeit und kostenlos ihre personenbezogenen Daten im Besitz von ICU COLOMBIA einsehen. Die Konsultation muss an die E-Mail-Adresse des Datenschutzbeauftragten gesendet werden, die den betroffenen Personen öffentlich zugänglich sein muss. ICU COLOMBIA muss auf alle Konsultationsanfragen innerhalb von zehn (10) Werktagen nach Erhalt der Anfrage reagieren. Wenn ICU COLOMBIA nicht innerhalb dieser Frist reagieren kann, muss die betroffene Person über diesen Umstand, die Gründe für die Verzögerung und das voraussichtliche Datum der Antwort informiert werden,

welches innerhalb von fünf (5) Werktagen nach Ablauf der ursprünglichen Frist liegen muss.

Anspruchsverfahren

Wenn die betroffene Person und/oder ihre Rechtsnachfolger der Ansicht sind, dass ihre personenbezogenen Daten, die sich im Besitz von ICU COLOMBIA befinden, geändert, aktualisiert oder gelöscht werden sollten, oder wenn sie einen Anspruch im Hinblick auf ihre personenbezogenen Daten im Besitz von ICU COLOMBIA oder die Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen haben, können sie unter den folgenden Bedingungen einen Anspruch einreichen:

  1. Der Anspruch muss in dem von ICU COLOMBIA für diese Zwecke erstellten Format eingereicht werden.
  2. Der Anspruch muss mindestens die folgenden Informationen enthalten: (i) die ordnungsgemäße Identifizierung der betroffenen Person; (ii) die Beschreibung der Ereignisse, die den Anspruch ausgelöst haben; (iii) die Kontaktangaben der betroffenen Person; und (iv) alle Dokumente, die die betroffene Person für den Anspruch als relevant erachtet. Wenn der Anspruch eine dieser Informationen nicht enthält, muss ICU COLOMBIA innerhalb von fünf (5) Werktagen nach Eingang des Anspruchs die betroffene Person auffordern, den Anspruch mit den fehlenden Informationen zu aktualisieren.
    Innerhalb von zwei (2) Werktagen nach Eingang eines vollständigen Anspruchs muss eine Kennzeichnung in die Datenbank eingefügt werden, in der sich die personenbezogenen Daten befinden, die Gegenstand des Anspruchs sind. Diese Kennzeichnung muss anzeigen, dass ein Anspruch mit Bezug auf die in dieser Datenbank enthaltenen Informationen bearbeitet wird. Eine kurze Erklärung des Anspruchs muss ebenfalls in die entsprechende Datenbank eingefügt werden, bis der Anspruch gelöst ist.
  3. ICU COLOMBIA hat fünfzehn (15) Werktage ab dem Tag, an dem der vollständige Anspruch eingegangen ist, um der betroffenen Person eine Antwort zukommen zu lassen. Wenn ICU COLOMBIA nicht in der Lage ist, innerhalb dieser Frist zu antworten, muss ICU COLOMBIA die betroffene Person über diesen Umstand, die Gründe für die Verzögerung und das voraussichtliche Datum der Antwort informieren, welches innerhalb von acht (8) Werktagen nach Ablauf der anfänglichen Frist liegen muss.
    Wenn ICU COLOMBIA einen Anspruch erhält, der an ein anderes Unternehmen hätte adressiert werden sollen, muss ICU COLOMBIA den Anspruch an das entsprechende Unternehmen weiterleiten und die betroffene Person über diese Situation informieren.

Datenschutzbeauftragter

Wie in der GDR erwähnt, muss ICU COLOMBIA einen Datenschutzbeauftragten benennen und jederzeit über einen Datenschutzbeauftragten verfügen, der die folgenden Aufgaben hat:

  1. Beantwortung von Konsultationen und Ansprüchen von betroffenen Personen: Der Datenschutzbeauftragte ist verantwortlich für die Beantwortung aller Konsultationen und Ansprüche von betroffenen Personen oder ihren Rechtsnachfolgern mit Bezug auf ihre personenbezogenen Daten im Besitz von ICU COLOMBIA und die Verarbeitung ihrer personenbezogenen Daten.
  2. Bereitstellung von Unterstützung für andere Bereiche des Unternehmens: Alle Fragen innerhalb von ICU COLOMBIA im Zusammenhang mit der Verarbeitung personenbezogener Daten müssen vom Datenschutzbeauftragten bearbeitet und beantwortet werden.
  3. Risikomanagement: Jede Situation, die zu einer Verletzung des Schutzes personenbezogener Daten führt oder führen könnte, muss dem Datenschutzbeauftragten mitgeteilt werden, der für die Erstellung und Umsetzung eines Plans zur Verwaltung und Lösung der Verletzung oder potenziellen Verletzung verantwortlich ist.
  4. Pflege und Aktualisierung von datenschutzbezogenen Registrierungen und Einreichungen bei Behörden: Der Datenschutzbeauftragte muss sicherstellen, dass (i) die Informationen von ICU COLOMBIA und seinen betroffenen Personen, die in das nationale, von der SIC verwaltete Datenbankregister aufgenommen werden, ordnungsgemäß gepflegt und aktualisiert werden; (ii) alle neuen Datenbanken, die von ICU COLOMBIA erstellt werden und personenbezogene Daten enthalten, ordnungsgemäß bei der SIC registriert werden; (iii) die von den betroffenen Personen eingereichten Ansprüche ordnungsgemäß an die SIC weitergeleitet werden; und (iv) alle Sicherheitsvorkommnisse im Zusammenhang mit personenbezogenen Daten an die SIC gemeldet werden.
Verantwortlich für die Datenverarbeitung

Der Datenverantwortliche für die personenbezogenen Daten in Kolumbien ist ICU MEDICAL COLOMBIA LIMITADA, NIT. 830143035-2, mit Sitz in Avenida Carrera 72 # 80-94, Bogotá, Kolumbien.

Alle Anfragen bezüglich der Verarbeitung personenbezogener Daten sind per E-Mail an habeasdatacolombia@icumed.com zu stellen.

Meldungen und Kontaktangaben des Datenschutzbeauftragten

Bedenken können über eine anonyme und vertrauliche Hotline unter +1-844-330-0007 gemeldet werden. Anonyme und vertrauliche Meldungen können auch per E-Mail an reports@lighthouse-services.com (die Meldung muss den Namen des Unternehmens enthalten), durch eine vertrauliche Online-Einreichung unter http://www.lighthouse-services.com/icumed oder über den Abschnitt „Governance-Berichte“ auf unserer Corporate-Governance-Website unter https://ir.icumed.com/corporate-governance erfolgen. Der Datenschutzbeauftragte kann per E-Mail kontaktiert werden: ethicsandcompliance@icumed.com.

Datum des Inkrafttretens

Die in diesem Dokument genannte Anlage tritt am 1. Juli 2020 in Kraft, kann jedoch jederzeit geändert werden, in welchem Fall die betroffenen Personen hierüber informiert werden.

Anlage B

Globale Datenschutzrichtlinie – Anlage für Mexiko

Soweit mexikanische Datenschutzgesetze oder -vorschriften Anwendung finden, gelten die folgenden zusätzlichen Mexiko-spezifischen Grundelemente und Bestimmungen, und diese erhalten Vorrang vor widersprüchlichen Bestimmungen in der allgemeinen globalen Datenschutzrichtlinie.

Begriff

Definition

Definitionen

  1. „Datenschutzgesetz“ bezeichnet das Bundesgesetz über den Schutz bei privaten Parteien gespeicherter personenbezogener Daten (Ley Federal de Protección de Datos Personales en Posesión de los Particulares oder „FDPL“) und seine umsetzenden Verordnungen.
  2. „Sensible personenbezogene Daten“ bezeichnet alle genetischen, biometrischen und gesundheitsbezogenen Daten sowie personenbezogene Daten, die die ethnische Herkunft, politischen Ansichten, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit oder Daten über das Sexualleben oder die sexuelle Orientierung einer Person offenlegen. Diese sind sehr wichtig, da sie einem höheren Schutzniveau unterliegen und höhere Sicherheitsmaßnahmen erfordern.

Datenschutzprinzipien

Zusätzlich zu den Prinzipien in Abschnitt Fehler! Referenzquelle nicht gefunden. Die Bestimmungen der mexikanischen Datenschutzgesetze legen die wichtigsten Prinzipien für die Verarbeitung personenbezogener Daten fest:

  1. Einwilligung: Die Verarbeitung und Übermittlung personenbezogener Daten basieren auf der Einwilligung der betroffenen Person. Für die Verarbeitung und Übermittlung von sensiblen personenbezogenen Daten, Finanz- oder Immobiliendaten ist eine ausdrückliche Einwilligung erforderlich. Vor der Erteilung der Einwilligung muss die betroffene Person entsprechend informiert werden. Als Ausnahme von den allgemeinen Regeln ist für die Übermittlung von Daten zwischen unserer Organisation und einem Auftragsverarbeiter keine Einwilligung erforderlich, solange eine Datenverarbeitungsvereinbarung abgeschlossen wurde.
  2. Zweckbindung: Personenbezogene Daten werden für bestimmte, ausdrückliche und legitime Zwecke erfasst, wie im entsprechenden Datenschutzhinweis beschrieben. Für eine weitere Verarbeitung für andere Zwecke, die nicht mit den ursprünglichen Zwecken vereinbar sind, muss eine ausdrückliche Einwilligung für den neuen Zweck eingeholt werden.
  3. Minimierungsprinzip: Die Verarbeitung muss angemessen, relevant und auf das beschränkt sein, was im Hinblick auf die Verarbeitungszwecke erforderlich ist.
  4. Treueprinzip: Personenbezogene Daten werden auf eine Weise verarbeitet, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet und dem Schutz der Interessen der betroffenen Person Priorität einräumt.
Datenschutzhinweis

Unsere Organisation ist verpflichtet, unsere Zwecke für die Erfassung und Verarbeitung aufzuzeichnen und in einem Dokument für betroffene Personen anzugeben. Nach mexikanischem Recht muss ein angemessener Datenschutzhinweis mindestens die folgenden Informationen enthalten:

  1. Unsere Identität, Adresse (einschließlich Straße, Nummer, Stadt, Postleitzahl) und Kontaktangaben
  2. Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind
  3. Kategorien betroffener personenbezogener Daten
  4. Spezifische Informationen über unsere Verarbeitung sensibler personenbezogener Daten
  5. Die Existenz des Rechts, die Einwilligung zur weiteren Verarbeitung der personenbezogenen Daten für einen anderen Zweck als den, für den die personenbezogenen Daten erfasst wurden (z. B. Marketingzwecke), zu widerrufen
  6. Gegebenenfalls die Tatsache, dass wir beabsichtigen, personenbezogene Daten an einen Dritten in Mexiko oder einem Drittland zu übermitteln
  7. Modalitäten für die Ausübung der Rechte betroffener Personen
  8. Wie eine betroffene Person ihre Einwilligung in die Datenverarbeitung widerrufen kann
  9. Mittel zur Ausübung des Rechts, vom Unternehmen eine Einschränkung der Verarbeitung oder Offenlegung bezüglich der betroffenen Person zu verlangen
  10. Eine Cookie-Richtlinie mit Informationen über die Arten von Cookies, die auf unserer Website aktiv sind, welche Daten sie aufzeichnen, zu welchem Zweck, an wen weltweit die Daten gesendet werden und detaillierte Anweisungen dazu, wie Anwender ihre Cookie-Präferenzen festlegen können
  11. Kontaktangaben unseres Datenschutzbeauftragten oder unserer Datenschutzabteilung
  12. Verfahren und Mittel zur Mitteilung von Änderungen an unserem Datenschutzhinweis

Diese Informationen müssen schriftlich oder auf andere Weise zur Verfügung gestellt werden, einschließlich, sofern angemessen, auf elektronischem Wege.

Bedingungen für Einwilligungen

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, falls und soweit die betroffene Person ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere spezifische Zwecke erteilt hat.

Das Unternehmen ist verpflichtet, eine ausdrückliche Einwilligungserklärung der betroffenen Person einzuholen, beispielsweise in einer schriftlichen Erklärung, wenn dies gesetzlich vorgeschrieben ist von der betroffenen Person, der Verarbeitung sensibler personenbezogener Daten, finanzieller oder personenbezogener Nachlassdaten.

Eine betroffene Person hat jedoch das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung vor ihrem Widerruf.

Das FDPL gestattet die Einholung einer ausdrücklichen schriftlichen Einwilligung durch technologische Mittel (einschließlich „Ich akzeptiere“-Schaltflächen oder -Kästchen), solange diese nicht automatisch vorausgewählt sind. Die wichtigsten Regeln für Einwilligungen können folgendermaßen zusammengefasst werden:

  1. Für die Erfassung sensibler personenbezogener Daten ist eine aktive Entscheidung (Opt-in) erforderlich.
  2. Für die Erfassung von Daten im Zusammenhang mit Finanzen oder Privatimmobilien ist eine aktive Entscheidung (Opt-in) erforderlich.
  3. Kontrollkästchen, mit denen eine Einwilligung eingeholt wird, sollten nicht automatisch vorausgewählt sein.
  4. Die Einwilligung ist in bestimmten Ausnahmefällen, die im FDPL festgelegt sind, nicht erforderlich, einschließlich der Datenerfassung für die Erfüllung eines Vertrags.
  5. Unwesentliche Datenverarbeitung: Der Datenschutzhinweis muss zwischen den für die Existenz der Beziehung unerlässlichen Zwecken der Datenverarbeitung, die für das Bestehen, die Aufrechterhaltung und die Einhaltung der Bedingungen der rechtlichen Beziehung zwischen unserer Organisation und der betroffenen Person erforderlich sind, und den nicht unerlässlichen Zwecken (z. B. Verarbeitung personenbezogener Daten zum Zwecke des Direktmarketings) unterscheiden.
  6. Vorherige Ablehnung (Opt-out): Für den Fall unnötiger oder sekundärer Verarbeitungszwecke muss der Datenschutzhinweis den Mechanismus enthalten, über den eine betroffene Person das Recht ausüben kann, ihre Einwilligung zur Datenverarbeitung für diesen Zweck zu widerrufen.
Ausnahmen von der Einwilligungspflicht

Unsere Organisation ist nicht verpflichtet, eine Einwilligung zur Verarbeitung personenbezogener Daten einzuholen, wenn:

  1. personenbezogene Daten aufgrund gesetzlicher Bestimmungen oder Anordnungen von staatlichen oder anderen Behörden oder einem zuständigen Gericht oder einer anderen zuständigen Behörde verarbeitet werden;
  2. die Verarbeitung im Zusammenhang mit öffentlich zugänglichen personenbezogenen Daten erfolgt;
  3. personenbezogene Daten einem Disaggregationsprozess unterliegen;
  4. die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist, dessen Parteien das Unternehmen und die betroffene Person umfassen;
  5. die Verarbeitung erforderlich ist, um die lebenswichtigen Interessen einer Person zu schützen;
  6. die Verarbeitung für Zwecke der Präventiv- oder Arbeitsmedizin, der medizinischen Diagnose, der Bereitstellung von Gesundheitsversorgung oder Behandlung oder der Verwaltung von Gesundheitssystemen und -dienstleistungen erforderlich ist, sofern die betroffene Person körperlich oder rechtlich nicht in der Lage ist, ihre Einwilligung zu erteilen.
Rechte betroffener Personen

Wir werden die Ausübung der Rechte betroffener Personen ermöglichen und uns nicht weigern, Anfragen betroffener Personen zur Ausübung der folgenden Rechte zu erfüllen: (i) das Recht auf Zugriff auf von uns gespeicherte personenbezogene Daten und Erhalt von Informationen über unsere Verarbeitungspraktiken; (ii) das Recht auf Berichtigung fehlerhafter personenbezogener Daten über die betroffene Person; (iii) das Recht, die Löschung personenbezogener Daten anzufordern, wenn die Daten nicht kraft Gesetzes verarbeitet werden oder nicht mehr erforderlich sind; und (iv) das Recht, jederzeit der Verarbeitung der eigenen personenbezogenen Daten zu widersprechen, wenn diese Verarbeitung auf berechtigten Gründen oder zu einem bestimmten Zweck erfolgt. Diese Rechte werden als „ARCO-Rechte“ bezeichnet.

Betroffene Personen haben das Recht, ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten jederzeit zu widerrufen.

Darüber hinaus werden wir betroffenen Personen weitere Informationen über ihr Recht zur Einreichung einer Beschwerde bei der Aufsichtsbehörde zur Verfügung stellen.

Kommunikation bei einer Verletzung des Schutzes personenbezogener Daten

Wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte einzelner Personen führt, muss unsere Organisation unverzüglich die betroffene Person über die Verletzung des Schutzes personenbezogener Daten benachrichtigen. Die Mitteilung an die betroffene Person muss zumindest die Art der Verletzung des Schutzes personenbezogener Daten, die beteiligten personenbezogenen Daten, die betroffenen Personen zum Schutz ihrer Interessen empfohlenen Maßnahmen, die vom Unternehmen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten sowie den Namen und die Kontaktangaben unseres Datenschutzbeauftragten oder anderen Ansprechpartners innerhalb unserer Organisation, bei dem weitere Informationen erhältlich sind, enthalten.

Datenschutzbeauftragter/Datenschutzabteilung

Unsere Organisation ist verpflichtet, einen Mitarbeiter oder eine Abteilung als Datenschutzbeauftragten bzw. Datenschutzabteilung zu benennen. Dieser Datenschutzbeauftragte oder diese Datenschutzabteilung ist dafür verantwortlich, die Anfragen betroffener Personen zu beantworten.