Interne Datenschutzrichtlinie der Vitalis Apotheke AG und ihrer Tochterfirmen

1. Zweck der Datenschutzrichtlinie

Für die Zwecke der Erbringung von Dienstleistungen für die Kunden erhebt und bearbeitet die Vitalis Apotheke AG und ihre Tochterfirmen (Vitalis Apotheke Drogerie Affoltern am Albis, Dienstleistungszentrum Affoltern am Albis, Vitalis Kosmetikstudio Affoltern am Albis, Vitalis Drogerie Mettmenstetten, Vitalis Drogerie Merenschwand) personenbezogene Daten über Mitarbeiterinnen und Mitarbeiter und über Kunden, Teilnehmerinnen und Teilnehmer, Lieferanten am Apotheken-/Drogerie-/Kosmetikstudio- und Dienstleistungszentrumbetriebs und sowohl automatisiert über IT-Infrastruktur als auch nicht automatisiert in einem Dateisystem, (z.B. in Form von ausgedruckten Listen etc.).

Der Schutz personenbezogener Daten ist essentiell und Grundlage für eine vertrauensvolle Tätigkeit und die Reputation der Vitalis Apotheke AG, sowie den oben genannten Tochterfirmen. Diese achten darauf, das geltende Datenschutzrecht und die Vertraulichkeit der von der Vitalis Apotheke AG sowie von derer Tochterfirmen bearbeiteten Personendaten zu wahren und die Vorgaben des Bundesgesetzes über den Datenschutz (DSG) zu erfüllen. Der Schutz personenbezogener Daten erfordert geeignete technische und organisatorische Massnahmen, um beim Schutz der Daten ein hohes Niveau zu erreichen. Zu diesem Zweck hat die Vitalis Apotheke AG Grundprinzipien für den Datenschutz erstellt, zu deren Einhaltung alle Mitarbeiter der gesamten Vitalis Gruppe verpflichtet sind. Dieses Bekenntnis und die nachfolgenden Prinzipien gelten allgemein im Zusammenhang mit allen Geschäftspartnern und Personen, mit welchen die Vitalis Apotheke AG und ihre Tochterfirmen zusammenarbeiten.

Die vorliegende interne Datenschutzrichtlinie (nachfolgend „Datenschutzrichtlinie„) soll die Rahmenbedingungen für den Umgang mit personenbezogenen Daten innerhalb der Vitalis Apotheke AG und ihrer Tochterfirmen festlegen, damit die in der Datenschutzerklärung nach aussen kommunizierten Versprechen eingehalten werden können. Die aktuellste Version der Datenschutzerklärung ist unter www.vitalis-apotheke.ch abrufbar.

Diese Datenschutzrichtlinie gilt für alle Mitarbeiter der Vitalis Apotheke AG sowie derer Tochterfirmen. Jeder Mitarbeiter ist selbständig für die Einhaltung dieser Datenschutzrichtlinie und der gesetzlichen Vorgaben verantwortlich.

2. Grundprinzipien für die Datenbearbeitung

Der Vitalis Apotheke AG und ihren Tochterfirmen ist es wichtig, dass über die Art und den Umfang der Datenerhebung sowie deren Zweck transparent informiert wird und die Bearbeitung der personenbezogenen Daten unter Beachtung der datenschutzrechtlichen Vorgaben erfolgt. Alle Personen, die Zugriff auf die personenbezogenen Daten haben, sind zur Vertraulichkeit und zur Einhaltung des DSG zu verpflichten. Für die Einstellung neuer Mitarbeiter, kann hierfür die „Vorlage interne Datenschutzerklärung für Mitarbeiter in Anhang A dieser Datenschutzrichtlinie verwendet werden. Die Verpflichtung erfolgt durch die Unterzeichnung dieses Formulars.

Es gelten die nachfolgenden Grundprinzipien für jede Bearbeitung personenbezogener Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (nachfolgend „betroffene Person„) beziehen, insbesondere Daten wie Name, Geburtsdatum, Adresse, Geschlecht, E-Mail-Adresse, Telefonnummer, Mitarbeiternummer, erkennbare Fotos, etc. (hierzuvor und nachfolgend „personenbezogene Daten„).

Die Beschaffung, Verarbeitung, Erhebung, Speicherung, Änderung und Übermittlung personenbezogener Daten (hierzuvor und nachfolgend „Bearbeitung“ oder „Datenbearbeitung„) muss jederzeit gesetzeskonform, rechtmässig, transparent, angemessen, korrekt, vollständig, sachdienlich und zweckgebunden erfolgen. Sie dürfen nur in einer Art bearbeitet werden, die einen angemessenen Schutz der personenbezogenen Daten einschliesslich des Schutzes gegen unberechtigte oder unrechtmässige Bearbeitung sowie gegen zufälligen Verlust, Zerstörung oder Schäden gewährleistet, indem hierfür geeignete technische und organisatorische Massnahmen ergriffen werden. Die Vitalis Apotheke AG und ihre Tochterfirmen bearbeiten die personenbezogenen Daten zu folgendem Zweck:

• Erbringung der Dienstleistungen im Rahmen einer Apotheke, Drogerie, Dienstleistungszentrum auf gesetzlicher Grundlage des KVG
• Sicherheitsüberwachung der Ladenfläche via Kameras (Kunde wird mit Schildern darauf hingewiesen)
• Mailing, Newsletter, Social Media und Kundenkarte

Rechtsgrundlagen und Rechtfertigungsgründe für eine Datenbearbeitung sind

• die Einwilligung der betroffenen Personen,
• ein überwiegendes privates oder öffentliches Interesse (Interessenabwägung),
• eine gesetzliche Grundlage, oder
• ein Vertrag.

Bei der oben genannten Interessenabwägung berücksichtigt die Vitalis Apotheke AG und ihre Tochterfirmen besonders die „vernünftigen Erwartungen“ der betroffenen Personen. Können die betroffenen Personen zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts deren Umständen vernünftigerweise davon ausgehen, dass eine Bearbeitung zu bestimmten Zwecken erfolgen wird (z.B. zur korrekten Ausführung von Rezepten etc), kann grundsätzlich von berechtigten Interessen von der Vitalis Apotheke AG und ihren Tochterfirmen ausgegangen werden.

Die Vitalis Apotheke AG und ihre Tochterfirmen verlangen und bearbeiten von ihren Kunden resp. Mitarbeitern nur jene personenbezogenen Daten, welche in direktem Zusammenhang mit dem Zweck von der Vitalis Apotheke AG (als Dienstleister,sowie Arbeitgeber) stehen und zur Begründung, Durchführung und Beendigung des Kunden- resp. Mitarbeiterverhältnisses notwendig sind oder zur Ausübung und Erfüllung der sich aus dem Kunden- resp. Mitarbeiterverhältnis ergebenden Rechten und Pflichten benötigt werden. Möchte die Vitalis Apotheke AG und deren Tochterfilialen darüber hinaus zusätzliche Daten (z.B. für Mailings aller Art, Newsletter, Social Media, Kundenkarte) von seinen Kunden resp. Mitarbeitern erheben und bearbeiten, so müssen die Kunden resp. Mitarbeiter (durch den Qualitätsmanager resp. seinen Beauftragten der Vitalis Apotheke AG) vorgängig darüber informiert werden, zu welchem Zweck sie die zusätzlichen Daten verwenden will. Die Kunden resp. Mitarbeiter haben das Recht, die Herausgabe dieser zusätzlichen Daten zu verweigern.

Das DSG stellt besonders hohe Anforderungen an die Bearbeitung von sogenannten „besonders schützenswerten Personendaten“. Besonders schützenswerte Personendaten sind Daten über:

• die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten einer Person,
• die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
• Massnahmen der Sozialhilfe sowie
• administrative oder strafrechtliche Verfolgungen und Sanktionen.

Die Erhebung von besonders schützenswerten Personendaten ist nur mit der ausdrücklichen Einwilligung der betroffenen Personen und für den Fall zulässig, dass diese Personendaten für die Begründung, Aufrechterhaltung oder Administration des Kunden- resp. Mitarbeiterverhältnisses zwingend notwendig sind (bspw. Angaben zu gesundheitlichen Problemen oder Besonderheiten wie Allergien oder Krankheiten zwecks Ergreifung korrekter Massnahmen im Notfall, resp. Wechselwirkungen, Interaktionen, Chargenrückrufe etc).

Werden via Webseite oder in Apps personenbezogene Daten erhoben, bearbeitet und genutzt, sind die betroffenen Personen hierüber in der Datenschutzerklärung zu informieren. Diese müssen für die betroffenen Personen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Werden zur Auswertung des Nutzungsverhaltens der Webseite und Apps Nutzungsprofile erstellt, so müssen die betroffenen Personen darüber in jedem Fall in der Datenschutzerklärung informiert werden.

3. Sicherstellung von Vertraulichkeit und Datensicherheit

Personenbezogene Daten müssen grundsätzlich geheim gehalten werden. Eine unbefugte Erhebung, Bearbeitung oder Nutzung ist den Mitarbeitern untersagt. Unbefugt ist jede Bearbeitung, die ein Mitarbeiter vornimmt, ohne damit im Rahmen der Erfüllung seiner Aufgaben betraut und entsprechend berechtigt zu sein. Innerhalb von der Vitalis Apotheke AG und deren Tochterfilialen erhalten nur diejenigen Stellen Zugriff auf die personenbezogenen Daten, die diese zur Erfüllung der oben genannten Aufgaben benötigen.

Die Persönlichkeitsrechte sowie personenbezogenen Daten der betroffenen Personen müssen gewahrt und absolut vertraulich behandelt werden. Dies ist entsprechend im Umgang mit Unterlagen und Dokumenten sowie im Rahmen des Zugangs zu elektronisch gespeicherten Daten zu berücksichtigen und es ist jederzeit durch geeignete technische und organisatorische Massnahmen sicherzustellen, dass Unbefugte keinen Zugriff oder Zugang zu diesen personenbezogenen Daten erhalten können und dass eine unrechtmässige Bearbeitung oder Weitergabe, sowie versehentliche Verluste, Veränderungen und Zerstörungen vermieden werden können. Dies gilt unabhängig davon, ob die Datenbearbeitung elektronisch oder in Papierform erfolgt. Vor Einführung neuer Verfahren der Datenbearbeitung, insbesondere neuer IT-Systeme, sind technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten festzulegen und umzusetzen.

Sind personenbezogene Daten nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen Aufbewahrungsfristen nicht mehr erforderlich oder besteht kein rechtmässiger Zweck mehr an einer weiteren Bearbeitung, sind sie zu löschen. Gleiches gilt für personenbezogene Daten, bei denen sich gezeigt hat, dass sie unzulässigerweise bearbeitet wurden.

4. Rechte der betroffenen Personen

Jede betroffene Person kann:

• Auskunft darüber verlangen, ob, zu welchem Zweck und welche personenbezogenen Daten über sie gespeichert sind.
• Auskunft über allfällige Drittempfänger oder Kategorien von Drittempfängern verlangen (d.h. Abrechnungsstelle, fachspezifischer IT Anbieter etc.).
• Berichtigung, Ergänzung, Einschränkung der Bearbeitung der gespeicherten personenbezogenen Daten verlangen, falls diese unrichtig oder unvollständig sind.
• Übertragung der sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen.
• Löschung und Vernichtung ihrer personenbezogenen Daten verlangen, wenn die Rechtsgrundlage oder der Zweck für die Bearbeitung der personenbezogenen Daten fehlt oder weggefallen ist. Gleiches gilt für den Fall, dass der Zweck der Datenbearbeitung durch Zeitablauf oder aus anderen Gründen entfallen ist. Allfällige Aufbewahrungspflichten und schutzwürdige Interessen von der Vitalis Apotheke AG und ihrer Tochterfirmen (z.B. Aufbewahrungspflicht Rezepte 10 Jahre etc.), welche einer Löschung entgegenstehen, müssen beachtet werden.
• Jederzeit vom Widerrufsrecht Gebrauch machen, soweit sie eine Einwilligung in die Bearbeitung personenbezogener Daten erteilt hat. Dieser Widerruf wirkt erst für die Zukunft. Nach einem erfolgten Widerruf stellt die Vitalis Apotheke AG und ihre Tochterfirmen die Erhebung und Bearbeitung der personenbezogenen Daten ein, ausser es besteht eine rechtliche Verpflichtung oder Berechtigung für die Vitalis Apotheke AG und ihre Tochterfirmen, die Erhebung bzw. Bearbeitung fortzusetzen.

Die Geltendmachung dieser Rechte ist umgehend durch den verantwortlichen Bereich zu bearbeiten und darf für die betroffene Person zu keinerlei Nachteilen führen. 

5. Auskunft

Der Qualitätsbeauftragte der Vitalis Apotheke AG muss für die Sammlungen von personenbezogenen Daten Vorkehrungen treffen, damit er auf Anfrage Auskunft über die Rechtsgrundlage und den Zweck einer Sammlung, über die Art der bearbeiteten Daten sowie über den Kreis der möglichen Empfänger geben kann.

Die Auskunft ist einzuschränken oder zu verweigern, wenn überwiegende öffentliche Interessen entgegenstehen, insbesondere solche der Strafverfolgung oder des Staatsschutzes oder solche, die durch besondere gesetzliche Geheimhaltungspflichten geschützt sind, oder wenn überwiegende schutzwürdige Interessen Dritter entgegenstehen.

6. Weitergabe der personenbezogenen Daten an Dritte

Personenbezogene Daten dürfen nicht an Dritte weitergegeben werden. Davon ausgenommen sind Dienstleister von der Vitalis Apotheke AG und ihren Tochterfirmen, welche verpflichtet werden, diese nur zu den festgelegten Zwecken zu verwenden. Personenbezogene Daten dürfen an Dritte weitergegeben werden, wenn vorgängig:

• eine Einwilligung der betroffenen Person eingeholt wurde z.B. für Treuekarten, Mailings etc.
• aus den Statuten klar hervorgeht, welche Daten zu welchem Zweck an Dritte bekannt gegeben werden dürfen und der Dritte im Einzelfall genau bezeichnet wird, oder
• ein Gesetz die Datenbearbeitung erlaubt oder vorschreibt (z.B. Bekanntgabe in einem Strafverfahren).

Bei der Weitergabe von personenbezogenen Daten an Dritte muss der Zweck der Bearbeitung schriftlich festgehalten und vom Dritten eine Zusicherung einholen, dass dieser die personenbezogenen Daten nicht für andere Zwecke verwenden wird. Des Weiteren muss der Dritte ein zu dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau gewährleisten. Dies gilt nicht, wenn die Weitergabe aufgrund einer gesetzlichen Verpflichtung erfolgt.

7. Öffentlichkeitsarbeit und Bildverwendung

Im Rahmen der Öffentlichkeitsarbeit über die Geschäftsaktivitäten werden personenbezogene Daten z.B. bei Wettbewerbsgewinnen (physisch oder auch via Social Media) veröffentlicht und gegebenenfalls auch an die Presse weitergeleitet.

Die betroffenen Personen sind über die zu publizierenden personenbezogenen Daten und die damit verbundenen Risiken zu informieren und anschliessend ist eine Einwilligung der betroffenen Personen einholen. Besonders schützenswerte Personendaten werden nicht veröffentlicht.

Bei der Veröffentlichung von personenbezogenen Daten ist auch das Recht am eigenen Bild der betroffenen Personen zu beachten. Das Recht am eigenen Bild ist Teil des Persönlichkeitsrechts jeder Person und ebenfalls durch das Datenschutzrecht geschützt. Bevor eine Person fotografiert wird und die Fotos verwendet werden dürfen, muss daher die betroffene Person grundsätzlich die Einwilligung dazu geben, wobei die Einwilligung auch konkludent/stillschweigend erfolgen kann. Aus Beweisgründen ist im Idealfall eine explizite Einwilligung einzuholen.

Wenn an Geschäftsveranstaltungen, internen Weiterbildungen, Kundenevents und anderen Anlässen Bilder von Kunden und/oder Mitarbeitern gemacht werden, weist die Vitalis Apotheke AG und deren Tochterfirmen, die betroffenen Personen vor der Veröffentlichung in geeigneter Weise darauf hin, zu welchem Zweck und in welchen Medien (Webseite, Social Media, etc.) die Fotos veröffentlicht werden.

8. Datenschutzverletzungen

Im Falle einer bereits erfolgten oder drohenden Datenschutzverletzung oder Verletzung dieser Datenschutzrichtlinie ist der Qualitätsmanager der Vitalis Apotheke AG Herr Maurus Weber zu informieren. Als Datenschutzverletzung gilt grundsätzlich jedes Ereignis, bei welchem die oben genannten Datenschutzgrundsätze nicht eingehalten wurden, namentlich bei einem Zugriff durch Unbefugte, bei Verlust von Daten oder bei zweckfremder Verwendung der Daten.

Der Qualitätsmanager Maurus Weber wird alle nötigen Massnahmen ergreifen, um die Schadensminderung bei Datenschutzverletzungen gering zu halten. In diesem Zusammenhang werden folgende Massnahmen getroffen:

• Sofortiger Bezug der IT Abteilung
• Abmahnung
• Einschränkung/Sperrung der Nutzung
• Schadenersatzforderungen
• Entlassung in extremen Fällen (bspw. bei wiederholtem Missbrauch trotz Abmahnung oder bei erwiesenen Straftaten).

Die Einhaltung dieser Datenschutzrichtlinie und der geltenden Datenschutzgesetze wird regelmäßig durch den Beauftragten für den Datenschutz Maurus Weber überprüft. Die Ergebnisse der Datenschutzkontrollen sind dem Verwaltungsrat mitzuteilen.

9. Verantwortlichkeit und Sanktion

Der Beauftragte für den Datenschutz Maurus Weber von der Vitalis Apotheke AG und deren Tochterfirmen ist verantwortlich für die Datenbearbeitung. Damit ist er verpflichtet sicherzustellen, dass die gesetzlichen und die in der Datenschutzrichtlinie enthaltenen Anforderungen des Datenschutzes eingehalten werden. Es ist seine Aufgabe, durch organisatorische, personelle und technische Maßnahmen eine ordnungsgemäße Datenbearbeitung unter Beachtung des Datenschutzes sicherzustellen. Die Umsetzung dieser Vorgaben liegt in der Verantwortung der zuständigen Mitarbeiter. Bei Datenschutzkontrollen durch Behörden ist der Beauftragte für den Datenschutz Maurus Weber umgehend zu informieren.

Der Beauftragte für den Datenschutz Maurus Weber resp. seine eingesetzte Vertretung muss sicherstellen, dass die Mitarbeiter im erforderlichen Umfang zum Datenschutz geschult werden. Eine missbräuchliche Bearbeitung personenbezogener Daten oder andere Verstöße gegen das Datenschutzrecht können strafrechtliche Folgen und Schadensersatzansprüche nach sich ziehen. Zuwiderhandlungen, für die einzelne Mitarbeiter verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.

10. Verschiedenes

Die vorliegende Datenschutzrichtlinie wird in regelmässigen Abständen auf ihre Gültigkeit hin überprüft und aktualisiert. Die Vitalis Apotheke AG und ihre Tochterfirmen behalten sich das Recht vor, diese Datenschutzrichtlinie jederzeit und nach freiem Ermessen abzuändern. Die jeweils aktuellste Version ersetzt alle vorhergehenden Versionen.

Fragen bezüglich des Inhalts dieser Datenschutzrichtlinie sind direkt unter rez.vitalis-apotheke@ovan.ch an den Beauftragten für den Datenschutz Maurus Weber der Vitalis Apotheke AG und deren Tochterfirmen zu richten.

© Vitalis Apotheke AG und Tochterfirmen, Version 1.0, 07.2023