Datenschutz

Zweck und Anwendungsbereich
Ferrovia Vigezzina-Centovalli, von nun an als "Organisation" bezeichnet, verpflichtet sich, die geltenden Gesetze und Vorschriften zum Schutz personenbezogener Daten in den Ländern einzuhalten, in denen sie tätig ist, in diesem Fall das NDSG Schweiz

Diese Richtlinie legt die Grundprinzipien fest, nach denen die Organisation personenbezogene Daten von Kunden, Lieferanten, Geschäftspartnern, Mitarbeitern und anderen Personen verarbeitet, und legt die Verantwortlichkeiten ihrer Dienststellen und Mitarbeiter für die Verarbeitung personenbezogener Daten fest.

Diese Richtlinie gilt für die Organisation und ihre (direkt oder indirekt) Tochtergesellschaften, die ihre Tätigkeit in der Schweiz, im Europäischen Wirtschaftsraum ausüben oder personenbezogene Daten von Betroffenen in diesem Raum verarbeiten.

Adressaten dieses Verfahrens sind alle Bediensteten auf Zeit oder auf Dauer.

Grundsätze des nDSG
In den Datenschutzgrundsätzen wird die Rechenschaftspflicht der Organisationen festgelegt, die personenbezogene Daten verarbeiten. "Der Verantwortliche ist für die Einhaltung dieser Grundsätze zuständig und muss nachweisen können, dass seine Verarbeitung diesen Grundsätzen entspricht."

Rechtmässigkeit, Korrektheit und Transparenz
Personenbezogene Daten müssen in rechtmässiger, fairer und transparenter Weise in Bezug auf die betroffene Person verarbeitet werden.

Beschränkung des Zweckes
Personenbezogene Daten müssen für spezifische, ausdrückliche und rechtmässige Zwecke erhoben werden und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.

Datenminimierung
Die personenbezogenen Daten müssen den Zwecken, für die sie verarbeitet werden, entsprechen und auf das erforderliche Mass beschränkt sein. Um die Risiken für die betroffenen Personen zu minimieren, muss die Organisation personenbezogene Daten nach Möglichkeit anonymisieren oder Pseudonymisieren.

Genauigkeit
Personenbezogene Daten müssen sachlich richtig sein und, soweit erforderlich, auf dem neuesten Stand sein; es sind angemessene Massnahmen zu treffen, um sicherzustellen, dass personenbezogene Daten, die im Zusammenhang mit den Zwecken, für die sie verarbeitet werden, unrichtig sind, rechtzeitig gelöscht oder berichtigt werden.

Beschränkung der Aufbewahrungsdauer
Personenbezogene Daten dürfen nicht länger aufbewahrt werden, als dies für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Integrität und Vertraulichkeit
Unter Berücksichtigung des Stands der Technik und anderer verfügbarer Sicherheitsvorkehrungen, der Implementierungskosten sowie der Wahrscheinlichkeit und Schwere der mit personenbezogenen Daten verbundenen Risiken muss die Organisation geeignete technische oder organisatorische Massnahmen treffen, um personenbezogene Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit personenbezogener Daten gewährleistet, wozu auch der Schutz durch geeignete technische und organisatorische Massnahmen vor unbefugter oder unrechtmässiger Verarbeitung sowie vor zufälliger Verlust, Zerstörung oder Beschädigung gehört.

Haftung
Der Verantwortliche ist für die Einhaltung dieser Grundsätze zuständig und muss nachweisen können, dass seine Verarbeitung diesen Grundsätzen entspricht.

Sammlung
Die Organisation muss versuchen, so wenig wie möglich personenbezogene Daten wie möglich zu sammeln. Wenn personenbezogene Daten von Dritten erhoben werden, muss der Verantwortliche sicherstellen, dass die personenbezogenen Daten im Rahmen der gesetzlichen Bestimmungen erhoben werden.

Anwendung, Lagerung und Entsorgung
Die Organisation muss die Richtigkeit, Integrität, Vertraulichkeit und Relevanz der personenbezogenen Daten im Rahmen des Verarbeitungszwecks wahren. Es ist notwendig, angemessene Sicherheitsmechanismen zum Schutz personenbezogener Daten zu verwenden, um zu verhindern, dass diese gestohlen oder missbräuchlich verwendet werden, und um Verletzungen personenbezogener Daten zu verhindern. Der Verantwortliche ist für die Einhaltung der in diesem Abschnitt aufgeführten Anforderungen verantwortlich.

Bekanntgabe an Dritte
Setzt die Organisation einen Drittanbieter oder Geschäftspartner ein, um personenbezogene Daten in ihrem Namen zu verarbeiten, muss der Verantwortliche dafür sorgen, dass der Verantwortliche angemessene Sicherheitsvorkehrungen trifft, um personenbezogene Daten in Bezug auf die damit verbundenen Risiken zu schützen. Zu diesem Zweck muss ein entsprechender Konformitätsfragebogen verwendet werden.

Der Anbieter oder der Geschäftspartner darf die personenbezogenen Daten nur zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber der Organisation oder auf deren Anweisung und nicht für andere Zwecke verarbeiten. Wenn die Organisation personenbezogene Daten gemeinsam mit einem unabhängigen Dritten verarbeitet, muss die Organisation ihre jeweiligen Verantwortlichkeiten in ihrem Vertrag oder in einem anderen rechtsverbindlichen Dokument, wie z. B. dem Datenverarbeitungsvertrag des Anbieters, ausdrücklich festlegen.

Grenzüberschreitende Übermittlung personenbezogener Daten
Vor der Übermittlung personenbezogener Daten aus der Schweizerischen Eidgenossenschaft und dem Europäischen Wirtschaftsraum (EWR) sind geeignete Schutzmassnahmen zu treffen, einschliesslich der Unterzeichnung eines Abkommens über die Datenübermittlung, wie von der Europäischen Union gefordert, und erforderlichenfalls ist die Zustimmung der Datenschutzbehörde einzuholen. Die Stelle, die personenbezogene Daten erhält, muss die im Rahmen des Verfahrens für die grenzüberschreitende Datenübermittlung festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhalten.

Auskunftsrechte der betroffenen Personen
Wenn die Organisation als Verantwortlicher für die Datenverarbeitung handelt, ist sie verpflichtet, den betroffenen Personen einen angemessenen Zugang zu ihren personenbezogenen Daten zu gewähren und ihnen die Aktualisierung, Berichtigung, Löschung oder Übermittlung ihrer personenbezogenen Daten zu ermöglichen, sofern dies erforderlich oder gesetzlich vorgeschrieben ist. Das Zugangsverfahren wird im Rahmen des Verfahrens für die Beantragung des Zugangs zu den Daten der betroffenen Person näher ausgeführt.

Datenübertragbarkeit
Betroffene Personen haben das Recht, auf Anfrage eine Kopie der von ihnen bereitgestellten Daten in einem strukturierten Format zu erhalten und diese Daten einem anderen Datenverantwortlichen unentgeltlich zu übermitteln. Der Datenverantwortliche ist dafür verantwortlich, dass solche Anfragen innerhalb eines Monats bearbeitet werden, nicht übermässig sind und die Rechte anderer Personen an personenbezogenen Daten nicht beeinträchtigen.

Recht auf Vergessenwerden
Auf Anfrage hat die betroffene Person das Recht, von der Organisation die Löschung ihrer personenbezogenen Daten zu verlangen. Wenn die Organisation als Verantwortlicher für die Verarbeitung auftritt, muss der Verantwortliche die notwendigen Massnahmen (einschliesslich technischer Massnahmen) ergreifen, um Dritte, die diese Daten verwenden oder verarbeiten, davon in Kenntnis zu setzen, dass sie der Anfrage entsprechen.

Organisation und Zuständigkeiten
Die Verantwortung für die ordnungsgemässe Verarbeitung personenbezogener Daten liegt bei allen Personen, die im Rahmen der Organisation oder in deren Auftrag tätig sind und Zugang zu den von der Organisation verarbeiteten personenbezogenen Daten haben.

Der Verwaltungsrat trifft Entscheidungen und genehmigt die allgemeinen Strategien der Organisation zum Schutz personenbezogener Daten.

Der Datenschutzberater DPO (intern oder extern genannt) oder ein anderer Mitarbeiter, der als Ansprechpartner für das PIMS Privacy Management System identifiziert wurde, ist für die Verwaltung des Datenschutzprogramms und die Entwicklung und Förderung von End-to-End-Verfahren für den Schutz personenbezogener Daten verantwortlich.

Der Verantwortliche für dieses Dokument ist der Verantwortliche der Datenverarbeitung, der dafür verantwortlich ist, es mindestens einmal jährlich zu überprüfen und nötigenfalls zu aktualisieren.