Departement Abteilung Gesundheit |
|
14. Oktober 2024
Datenschutzerklärung
Inhalt
1. Worum geht es in dieser Datenschutzerklärung?
2. Wer ist für die Bearbeitung Ihrer Daten verantwortlich?
3. Welche Daten bearbeiten wir?
4. Zu welchen Zwecken bearbeiten wir Ihre Daten?
5. Auf welcher Grundlage bearbeiten wir Ihre Daten?
6. Wem geben wir Ihre Daten bekannt?
7. Gelangen Ihre Personendaten auch ins Ausland?
8. Wie lange bearbeiten wir Ihre Daten?
9. Wie schützen wir Ihre Daten?
1.
Worum geht
es in dieser Datenschutzerklärung?
Das
Departement Gesundheit und Soziales des Kantons Aargau (nachstehend
auch «wir», «uns») beschafft und bearbeitet personenbezogene Daten. Wir
verwenden den Begriff «Daten» hier gleichbedeutend mit «Personendaten» oder
«personenbezogene Daten».
Das
Departement Gesundheit und Soziales des Kantons Aargau hält sich bei der
Bearbeitung Ihrer personenbezogenen Daten an das geltende Datenschutzrecht
betreffend die Bearbeitung von Personendaten. Mit dieser Datenschutzerklärung
informieren wir Sie über den Umfang, den Zweck und die Art und Weise, wie das Departement
Gesundheit und Soziales des Kantons Aargau Ihre personenbezogenen
Daten bearbeitet, wenn Sie unsere Dienstleistungen oder Produkte (im
Besonderen die Webapplikation und Mobile-App «Momentum (PRO)» beziehungsweise
«First Responder Aargau») beziehen, anderweitig mit uns im Rahmen eines
Vertrags in Verbindung stehen, mit uns kommunizieren oder sonst mit uns zu tun
haben.
Gegebenenfalls
werden wir Sie durch eine rechtzeitige schriftliche Mitteilung über
zusätzliche, nicht in dieser Datenschutzerklärung erwähnte
Bearbeitungsaktivitäten informieren. Zusätzlich können wir Sie über die
Bearbeitung Ihrer Daten separat informieren, z.B. in Einwilligungserklärungen,
Vertragsbedingungen, zusätzlichen Datenschutzerklärungen, Formularen und
Hinweisen.
Wenn
Sie uns Daten über andere Personen übermitteln bzw. bekanntgeben, gehen wir
davon aus, dass Sie dazu befugt sind und dass diese Daten richtig sind. Mit
der Übermittlung von Daten über Dritte bestätigen Sie dies.
Diese
Datenschutzerklärung ist auf die Anforderungen der
EU-Datenschutz-Grundverordnung («DSGVO»), des Schweizer Datenschutzgesetzes
(«DSG») und des Gesetzes über die Information der Öffentlichkeit, den
Datenschutz und das Archivwesen des Kantons Aargau («IDAG») ausgelegt. Ob und
inwieweit diese Gesetze anwendbar sind, hängt jedoch vom Einzelfall ab.
2.
Wer ist für
die Bearbeitung Ihrer Daten verantwortlich?
Für
die in dieser Datenschutzerklärung beschriebenen Datenbearbeitungen des Departement
Gesundheit und Soziales des Kantons Aargau ist datenschutzrechtlich das Departement
Gesundheit und Soziales des Kantons Aargau, Bachstrasse 15, 5001 Aarau (das
«Departement Gesundheit und Soziales»), verantwortlich, soweit im
Einzelfall nichts anderes kommuniziert wird.
Sie können uns für
Ihre Datenschutzanliegen und die Ausübung Ihrer Rechte gemäss Ziff. 11 wie
folgt erreichen:
Kanton Aargau
Departement Gesundheit
und Soziales
Bachstrasse 15
5001 Aarau
Schweiz
dgs@ag.ch
3.
Welche Daten
bearbeiten wir?
Wir
bearbeiten verschiedene Kategorien von Daten über Sie. In weiterer Folge
bezeichnen personenbezogene Daten Informationen, die sich auf eine
identifizierte oder identifizierbare natürliche Person beziehen, z. B. Titel,
Vorname, Name, Geburtsdatum, Adresse, E-Mail-Adresse etc.
Die
wichtigsten Kategorien von Daten sind folgende:
- Die personenbezogenen Daten der Einsatzkräfte, die im Rahmen
ihrer Registrierung und der Ereignisse resp. Einsätze, an denen diese
teilgenommen haben, verarbeitet werden:
o
Name, Vorname, Adresse und Geburtsdatum
o Angaben zu einer eventuellen medizinischen Fachausbildung und Erfahrung
im Rettungswesen
o BLS/AED-Zertifikat und Vertraulichkeitsvereinbarung
o Nummer des Mobiltelefons
o Modell des Mobiltelefons
o Datum und Uhrzeit der Quittierung und des Abschlusses eines Einsatzes
o Entfernung vom Ort des Ereignisses resp. Einsatzes zum
Zeitpunkt der Quittierung
o Position zum Zeitpunkt des Abschlusses des Ereignisses resp. Einsatzes
- Personenbezogene Daten von Patienten,
die im Zusammenhang mit einem Ereignis resp. einem Einsatz verarbeitet werden:
o Vorname und Nachname (falls bekannt)
o Art des Ereignisses resp. Einsatzes (z. B.
"Herz-Kreislauf-Stillstand")
o Ort des Ereignisses resp. Einsatzes
o Allfällige
weitere Informationen zum Gesundheitszustand
- Ereignis- und Einsatzdaten, die den Typ,
Ort, Einsatzhergang und die alarmierte Gruppe näher qualifizieren
- Standort und Metadaten zu AED-Geräten,
die erfasst und Einsatzkräften angezeigt werden können
- Technische Daten, die bei
der Verwendung unserer Dienstleistungen und Produkte generiert werden,
wie beispielsweise (nicht abschliessend):
o Logindaten
o Diverse Zeitstempel zur Alarmierung und zur Tätigkeit von
Einsatzkräften im Einsatz
o Status und Standort von Einsatzkräften
- Kommunikationsdaten: Wenn Sie mit uns per
E-Mail, Telefon oder Chat, brieflich oder über sonstige Kommunikationsmittel in Kontakt stehen,
erfassen wir die zwischen Ihnen und uns ausgetauschten Daten, einschliesslich
Ihrer Kontaktdaten und der Randdaten der Kommunikation. Wenn wir Ihre
Identität feststellen wollen oder müssen, z.B. bei einem von Ihnen gestellten
Auskunftsbegehren, einem Antrag für Medienzugang etc., erheben wir Daten, um
Sie zu identifizieren. Wir bewahren diese Daten so lange auf, wie dies aus
Beweisgründen oder zur Einhaltung gesetzlicher oder vertraglicher Vorgaben
erforderlich oder technisch bedingt ist.
4.
Zu welchen
Zwecken bearbeiten wir Ihre Daten?
Wir
bearbeiten Ihre Daten zu den Zwecken, die wir im Folgenden erläutern.
- Wir bearbeiten Ihre Daten, um Personen zu einem Rettungseinsatz
aufzubieten, diesen abzuwickeln und diesen abzuschliessen. Wenn Sie an einem
Ereignis resp. Einsatz teilnehmen, werden Ihre Daten für die Organisation und
Durchführung des Einsatzes bearbeitet, insbesondere, um Ihnen und den am
Einsatz beteiligten Einsatzkräften ein Lagebild zur Verfügung zu stellen. Zu
diesem Zweck haben die Sanitätsnotrufzentrale 144 und das Departement
Gesundheit und Soziales Zugriff auf Ihre Daten.
- Wir bearbeiten Ihre Daten zu Zwecken im Zusammenhang mit der
Kommunikation mit Ihnen, insbesondere zur Beantwortung von Anfragen und der
Geltendmachung Ihrer Rechte und um Sie bei Rückfragen zu kontaktieren. Dies
umfasst auch Dienstleistungen, die in Zusammenhang mit dem Support von
Momentum (PRO) beziehungsweise «First Responder Aargau» bestehen. Wir bewahren
diese Daten auf, um unsere Kommunikation mit Ihnen zu dokumentieren, für
Schulungszwecke, zur Qualitätssicherung und für Nachfragen.
- Wir bearbeiten Ihre Daten für die Aufnahme, Verwaltung und Abwicklung
von Vertragsbeziehungen
- Wir bearbeiten Daten für Marketingzwecke und zur Beziehungspflege, z.B.
um personalisierte Werbung zu Produkten und Dienstleistungen zu senden.
- Ihre Daten bearbeiten wir weiter zur Marktforschung, zur Verbesserung
unserer Dienstleistungen und unseres Betriebs und zur Produktentwicklung
- Wir können Ihre Daten auch zu Sicherheitszwecken und für die
Zugangskontrolle bearbeiten.
- Wir bearbeiten Personendaten zur Einhaltung von Gesetzen, Weisungen und
Empfehlungen von Behörden und interner Regularien («Compliance»).
- Wir bearbeiten Daten auch für Zwecke unseres Risikomanagements und im
Rahmen einer umsichtigen Unternehmensführung, einschliesslich
Betriebsorganisation und Unternehmensentwicklung.
- Wir können Ihre Daten zu weiteren Zwecken bearbeiten, z.B. im Rahmen
unserer internen Abläufe und Administration.
5.
Auf welcher
Grundlage bearbeiten wir Ihre Daten?
Soweit
wir Sie für bestimmte Bearbeitungen um Ihre Einwilligung bitten, informieren
wir Sie gesondert über die entsprechenden Zwecke der Bearbeitung.
Einwilligungen können Sie jederzeit durch schriftliche Mitteilung (postalisch)
mit Wirkung für die Zukunft widerrufen; unsere Kontaktangaben finden Sie in
Ziff. 2. Sobald wir die Mitteilung über den Widerruf Ihrer Einwilligung
erhalten haben, werden wir Ihre Daten nicht mehr für die Zwecke bearbeiten,
denen Sie ursprünglich zugestimmt haben, es sei denn, wir haben eine andere
Rechtsgrundlage dafür. Durch den Widerruf Ihrer Einwilligung wird die Rechtmässigkeit der aufgrund der Einwilligung bis zum
Widerruf erfolgten Bearbeitung nicht berührt.
Wo
wir Sie nicht um Ihre Einwilligung für eine Bearbeitung bitten, stützen wir
die Bearbeitung Ihrer Personendaten darauf, dass die Bearbeitung für die
Anbahnung oder Abwicklung eines Vertrags mit Ihnen (oder der von Ihnen
vertretenen Stelle) erforderlich ist oder dass wir oder Dritte ein
berechtigtes Interesse daran haben, so insbesondere um die vorstehend unter
Ziff. 4 beschriebenen Zwecke und damit verbundenen Ziele zu verfolgen und
entsprechende
Massnahmen durchführen zu können. Zu unseren berechtigten Interessen gehört
auch die Einhaltung von gesetzlichen Vorschriften, soweit diese nicht ohnehin
bereits vom jeweils anwendbaren Datenschutzrecht als Rechtsgrundlage anerkannt
ist.
Wenn
wir sensible Daten erhalten (z.B. Gesundheitsdaten, Angaben zu politischen,
religiösen oder weltanschaulichen Ansichten oder biometrische Daten zur
Identifikation), können wir Ihre Daten auch gestützt auf andere
Rechtsgrundlagen bearbeiten, z.B. im Falle von Auseinandersetzungen aufgrund
der Notwendigkeit der Bearbeitung für einen etwaigen Prozess oder die
Durchsetzung oder Abwehr von Rechtsansprüchen. In Einzelfällen können andere
Rechtsgründe zum Tragen kommen, was wir Ihnen soweit erforderlich separat
kommunizieren.
6.
Wem geben
wir Ihre Daten bekannt?
Im
Zusammenhang mit unseren Verträgen, unseren Dienstleistungen und Produkten,
unseren rechtlichen Pflichten oder sonst zur Wahrung unserer berechtigten
Interessen und den weiteren in Ziff. 4 aufgeführten Zwecken übermitteln wir
Ihre Personendaten auch an Dritte, insbesondere an die folgenden Kategorien
von Empfängern:
- Dienstleister: Wir arbeiten mit
Dienstleistern im In- und Ausland zusammen, die in unserem Auftrag oder in
gemeinsamer Verantwortlichkeit mit uns Daten über Sie bearbeiten oder in
eigener Verantwortlichkeit Daten über Sie von uns erhalten.
- Behörden: Wir können
Personendaten an Ämter, Gerichte und andere Behörden im In- und Ausland
weitergeben, wenn wir dazu rechtlich verpflichtet oder berechtigt sind oder
dies zur Wahrung unserer Interessen als erforderlich erscheint. Die Behörden
bearbeiten in eigener Verantwortlichkeit Daten über Sie, die sie von uns
erhalten.
- Weitere Organisation oder Personen:
Gemeint sind andere Fälle, wo sich der Einbezug von Dritten aus den Zwecken
gemäss Ziff. 4 ergibt
Alle
diese Kategorien von Empfängern können ihrerseits Dritte beiziehen, so dass
Ihre Daten auch diesen zugänglich werden können. Die Bearbeitung durch
bestimmte Dritte können wir beschränken (z.B. IT-Provider), jene anderer
Dritter aber nicht (z.B. Behörden etc.).
7. Gelangen Ihre Personendaten auch ins Ausland?
Personenbezogene
Daten, die in Zusammenhang mit Rettungseinsätzen gemäss Ziff
4. stehen, werden in der Cloud-Plattform «Microsoft Azure» der Microsoft
Corporation, One Microsoft Way, Redmond, Washington,
98052-6399 USA gespeichert und verarbeitet, wobei das Microsoft Privacy
Statement[1],
die Online Services Terms[2]
und das Data Protection Addendum[3]
einen angemessenen gesetzlichen Datenschutz garantieren. In Bezug auf die
verwendeten Cloud Services wird sichergestellt, dass, wann immer verfügbar,
Cloud Services in den Azure Regions Switzerland North und Switzerland
West verwendet werden.
Wie
in Ziff. 6 erläutert, geben wir Daten auch im Bedarfsfall anderen Stellen
bekannt. Befindet sich ein Empfänger in einem Land ohne angemessenen
gesetzlichen Datenschutz, verpflichten wir den Empfänger vertraglich zur
Einhaltung des anwendbaren Datenschutzes (dazu verwenden wir die revidierten
Standardvertragsklauseln der Europäischen Kommission, die hier:
https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj? abrufbar sind), soweit er
nicht bereits einem gesetzlich anerkannten Regelwerk zur Sicherstellung des
Datenschutzes unterliegt und wir uns nicht auf eine Ausnahmebestimmung stützen
können.
Eine
Ausnahme kann namentlich bei Rechtsverfahren im Ausland gelten, aber auch in
Fällen überwiegender öffentlicher Interessen oder wenn eine Vertragsabwicklung
eine solche Bekanntgabe erfordert, wenn Sie eingewilligt haben oder wenn es
sich um von Ihnen allgemein zugänglich gemachte Daten handelt, deren
Bearbeitung Sie nicht widersprochen haben.
8.
Wie lange
bearbeiten wir Ihre Daten?
Wir
bearbeiten Ihre Daten so lange, wie es unsere Bearbeitungszwecke, die
gesetzlichen Aufbewahrungsfristen und unsere berechtigten Interessen der
Bearbeitung zu Dokumentations- und Beweiszwecken es verlangen oder eine
Speicherung technisch bedingt ist. Stehen keine rechtlichen oder vertraglichen
Pflichten entgegen, löschen oder anonymisieren wir Ihre Daten nach Ablauf der
Speicher- oder Bearbeitungsdauer im Rahmen unserer üblichen Abläufe.
9.
Wie schützen
wir Ihre Daten?
Wir
treffen angemessene technische und organisatorische Sicherheitsmassnahmen, um
die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer personenbezogenen
Daten zu wahren, um sie gegen unberechtigte oder unrechtmässige Bearbeitungen
zu schützen und den Gefahren des Verlusts, einer unbeabsichtigten Veränderung,
einer ungewollten Offenlegung oder eines unberechtigten Zugriffs
entgegenzuwirken.
Um
Ihnen die Kontrolle über die Bearbeitung Ihrer Personendaten zu erleichtern,
haben Sie im Zusammenhang mit unserer Datenbearbeitung je nach anwendbarem
Datenschutzrecht auch folgende Rechte:
- Das Recht, von uns Auskunft zu verlangen, ob und welche Daten wir von
Ihnen bearbeiten;
- das Recht, dass wir Daten korrigieren, wenn sie unrichtig sind;
- das Recht, die Löschung von Daten zu verlangen;
- das Recht, von uns die Herausgabe bestimmter Personendaten in einem
gängigen elektronischen Format oder ihre Übertragung an einen anderen
Verantwortlichen zu verlangen;
- das Recht, eine Einwilligung zu widerrufen, soweit unsere Bearbeitung
auf Ihrer Einwilligung beruht;
- das Recht auf Nachfrage weitere Informationen zu erhalten, die für die
Ausübung dieser Rechte erforderlich sind;
Wenn
Sie uns gegenüber die oben genannten Rechte ausüben
wollen, wenden Sie sich bitte schriftlich, bei uns vor Ort oder, wo nicht
anders angegeben oder vereinbart, per E-Mail an uns; unsere Kontaktangaben
finden Sie in Ziff. 2. Bitte beachten Sie, dass für diese Rechte nach dem
anwendbaren Datenschutzrecht Voraussetzungen, Ausnahmen oder Einschränkungen
gelten (z.B. zum Schutz von Dritten oder von Geschäftsgeheimnissen). Wir
werden Sie ggf. entsprechend informieren.
Wenn Sie mit unserem
Umgang mit Ihren Rechten oder dem Datenschutz nicht einverstanden sind, teilen
Sie das uns (Ziff. 2) bitte mit. Sie haben zudem das Recht, sich bei der
Datenschutz-Aufsichtsbehörde Ihres Landes zu beschweren.
Eine Liste der Behörden im EWR finden Sie hier:
https://edpb.europa.eu/about-edpb/board/members_de.
Die Aufsichtsbehörde des Vereinigten Königreichs erreichen Sie hier:
https://ico.org.uk/global/contact-us/.
Die Schweizer Aufsichtsbehörde erreichen Sie hier: https://www.edoeb.admin.ch/edoeb/de/home/adresse.html.
Das
Departement Gesundheit und Soziales des Kantons Aargau kann diese
Datenschutzbestimmungen jederzeit anpassen. Das Departement Gesundheit und
Soziales des Kantons Aargau wird Sie bei Änderungen in einer geeigneten
Form informieren.
[Anhang]
Department of Health department |
|
October 14, 2024
Privacy policy
Contents
1.
What is this privacy policy about?
2. Who is responsible for processing your data?
4. For what purposes do we process your data?
5. On what basis do we process your data?
6. To whom do we disclose your data?
7. Is your personal data also sent abroad?
8. How long do we process your data?
9. How do we protect your data?
12. What is this
privacy policy about?
The
Department of Health and Social Affairs of the Canton of Aargau (hereinafter
also "we", "us") obtains and processes personal data. We
use the term "data" here synonymously with "personal
data".
When
processing your personal data, the Department of Health and Social Affairs of
the Canton of Aargau complies with the applicable data protection law
regarding the processing of personal data. With this data protection
declaration, we inform you about the scope, purpose and manner in which the Department
of Health and Social Affairs of the Canton of Aargau processes your
personal data if you obtain our services or products (in particular the web
application and mobile app "Momentum (PRO)" or "First Responder
Aargau"), are otherwise in contact with us as part of a contract,
communicate with us or otherwise have dealings with us.
If
necessary, we will inform you in writing in good time about additional
processing activities not mentioned in this privacy policy. In addition, we
may inform you separately about the processing of your data, e.g. in
declarations of consent, contractual conditions, additional data protection
declarations, forms and notices.
If
you transmit or disclose data about other persons to us, we assume that you
are authorized to do so and that this data is correct. By transmitting data
about third parties, you confirm this.
This
Privacy Policy is designed to meet the requirements of the EU General Data
Protection Regulation ("GDPR"), the Federal Act on Data
("FADP") and the Canton of Aargau's Act on Public Information, Data
Protection and Archiving ("IDAG"). However, whether and to what
extent these laws are applicable depends on the individual case.
13. Who is responsible for
processing your data?
The
Department of Health and Social Affairs of the Canton of Aargau, Bachstrasse 15, 5001 Aarau (the
"Department of Health and Social Affairs"), is responsible
under data protection law for the data processing described in this data
protection declaration, unless otherwise communicated in individual cases.
You can contact us as
follows for your data protection concerns and to exercise your rights in
accordance with section 11:
Canton of Aargau
Department of Health
and Social Affairs
Bachstrasse 15
5001 Aarau
Switzerland
dgs@ag.ch
We
process various categories of data about you. Personal data refers to
information that relates to an identified or identifiable natural person, e.g.
title, first name, surname, date of birth, address, email address, etc.
The
most important categories of data are as follows:
- The personal data of the emergency services that are processed
as part of their registration and the events or operations in which they have
participated:
o
Surname, first name,
address and date of birth
o Details of any specialist medical training and experience in rescue
services
o BLS/AED certificate and confidentiality agreement
o Cell phone number
o Cell phone model
o Date and time of acknowledgement and completion of an operation
o Distance from the location of the event or operation at the time of
acknowledgement
o Position at the time of completion of the event or operation
- Personal data of patients that are
processed in connection with an event or an operation:
o First name and surname (if known)
o Type of event or operation (e.g. "cardiac arrest")
o Location of the event or operation
o Any further information on the state of health
- Incident and operation data that
further qualify the type, location, course of the operation and the alarmed
group
- Location and metadata on AED devices that
can be recorded and displayed to emergency services
- Technical data generated when using
our services and products, such as (not exhaustive):
o Login data
o Various time stamps for alerting and the activities of emergency
services in the field
o Status and location of emergency services
- Communication data: If you are in
contact with us by e-mail, telephone or
chat, letter or other means of communication, we collect
the data exchanged between you and us, including your contact details and the
marginal data of the communication. If we want or need to establish your
identity, e.g. if you request information or media access, etc., we collect
data to identify you. We retain this data for as long as is necessary for
reasons of proof or to comply with legal or contractual requirements or for
technical reasons.
15. For what purposes do we
process your data?
We
process your data for the purposes explained below.
- We process your data in order to deploy people
to a rescue operation, to carry it out and to conclude it. If you take part in
an incident or operation, your data will be processed for the organization and
execution of the operation, in particular to provide
you and the emergency services involved in the operation with a situation
report. For this purpose, the emergency medical call center
144 and the Department of Health and Social Affairs have access to your data.
- We process your data for purposes related to communication with you, in particular to respond to inquiries and assert your
rights and to contact you in the event of queries. This also includes services
that exist in connection with the support of Momentum (PRO) or "First
Responder Aargau". We retain this data in order to
document our communication with you, for training purposes, for quality
assurance and for follow-up questions.
- We process your data for the establishment, administration and
processing of contractual relationships
- We process data for marketing purposes and to maintain relationships,
e.g. to send personalized advertising for products and services.
- We continue to process your data for market research, to improve our
services and operations and for product development
- We may also process your data for security purposes and for access
control.
- We process personal data to comply with laws, instructions and
recommendations from authorities and internal regulations
("compliance").
- We also process data for the purposes of our risk management and in the
context of prudent corporate governance, including business organization and
corporate development.
- We may process your data for other purposes, e.g. as part of our
internal processes and administration.
16. On what basis do we process
your data?
If
we ask for your consent for certain processing, we will inform you separately
about the corresponding purposes of the processing. You can withdraw your
consent at any time with effect for the future by written notification (by
post); our contact details can be found in Section 2. As soon as we have
received notification of the withdrawal of your consent, we will no longer
process your data for the purposes to which you originally consented, unless
we have another legal basis for doing so. The withdrawal of your consent does
not affect the lawfulness of processing based on consent before its
withdrawal.
Where
we do not ask for your consent for processing, we base the processing of your
personal data on the fact that the processing is necessary for the initiation
or execution of a contract with you (or the entity you represent) or that we
or third parties have a legitimate interest in it, in particular in order to
pursue the purposes and associated objectives described above under Section 4
and to be able to carry out corresponding measures. Our legitimate interests
also include compliance with statutory provisions, insofar as this is not
already recognized as a legal basis by the applicable data protection law.
If
we receive sensitive data (e.g. health data, information on political,
religious or ideological views or biometric data for identification purposes),
we may also process your data based on other legal grounds, e.g. in the event
of disputes due to the necessity of processing for any legal proceedings or
the enforcement of or defense against legal claims.
In individual cases, other legal grounds may apply, which we will communicate
to you separately if necessary.
17. To whom do we disclose your
data?
In
connection with our contracts, our services and products, our legal
obligations or otherwise to protect our legitimate interests and the other
purposes listed in Section 4, we also transfer your personal data to third
parties, in particular to the following categories of
recipients:
- Service providers: We work with service
providers in Switzerland and abroad who process data about you on our behalf
or under joint responsibility with us or who receive data about you from us
under their own responsibility.
- Public authorities: We may disclose
personal data to offices, courts and other authorities in Switzerland and
abroad if we are legally obliged or entitled to do so or if this appears
necessary to protect our interests. The authorities process data about you
that they receive from us on their own responsibility.
- Other organizations or persons:
This refers to other cases where the involvement of third parties arises from
the purposes set out in section 4
All
these categories of recipients may in turn involve third parties, so that your
data may also become accessible to them. We can restrict the processing by
certain third parties (e.g. IT providers), but not by other third parties
(e.g. authorities, etc.).
18. Is your personal data
also sent abroad?
Personal
data in connection with rescue operations in accordance with Section 4 will be
stored and processed in the cloud platform "Microsoft Azure" of
Microsoft Corporation, One Microsoft Way, Redmond, Washington, 98052-6399 USA,
whereby the Microsoft Privacy Statement[4] , the Online Services Terms[5] and the Data Protection Addendum[6] guarantee adequate legal data protection. With
regard to the cloud services used, it is ensured that, whenever
available, cloud services in the Azure Regions Switzerland North and
Switzerland West are used.
As
explained in Section 6, we also disclose data to other bodies if necessary. If
a recipient is located in a country without adequate statutory data
protection, we contractually oblige the recipient to comply with the
applicable data protection law (we use the revised standard contractual
clauses of the European Commission, which are available here: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?), unless the recipient is already subject to a legally recognized set
of rules to ensure data protection and we cannot rely on an exemption clause.
An
exception may apply in particular in the case of
legal proceedings abroad, but also in cases of overriding public interests or
if the processing of a contract requires such disclosure, if you have given
your consent or if the data in question has been made generally accessible by
you and you have not objected to its processing.
19. How long do we process your
data?
We
process your data for as long as required by our processing purposes, the
statutory retention periods and our legitimate interests in processing for
documentation and evidence purposes or for as long as storage is technically
necessary. If there are no legal or contractual obligations to the contrary,
we delete or anonymize your data after the storage or processing period has
expired as part of our normal processes.
20. How do we protect your data?
We
take appropriate technical and organizational security measures to protect the
confidentiality, integrity and availability of your personal data, to protect
it against unauthorized or unlawful processing and to counteract the risks of
loss, unintentional alteration, unwanted disclosure or unauthorized access.
To
make it easier for you to control the processing of your personal data, you
also have the following rights in connection with our data processing,
depending on the applicable data protection law:
- The right to request information from us as to whether and which of
your data we process;
- the right to have us correct data if it is incorrect;
- the right to request the deletion of data;
- the right to obtain from us the personal data concerning you in a
commonly used electronic format or to transmit those data to another controller;
- the right to withdraw consent where our processing is based on your consent;
- the right to receive, upon request, further information necessary for
the exercise of these rights;
If
you wish to exercise the above rights against us, please contact us in
writing, at our premises or, unless otherwise stated or agreed, by e-mail; our
contact details can be found in Section 2. Please note that these rights are
subject to conditions, exceptions or restrictions under the applicable data
protection law (e.g. to protect third parties or business secrets). We will
inform you accordingly if necessary.
If you do not agree
with our handling of your rights or data protection, please let us know
(Section 2). You also have the right to lodge a complaint with the data
protection supervisory authority in your country.
A list of authorities in the EEA can be
found here: https://edpb.europa.eu/about-edpb/board/members_de.
You can contact the supervisory
authority in the United Kingdom here: https://ico.org.uk/global/contact-us/.
You can contact the Swiss supervisory
authority here: https://www.edoeb.admin.ch/edoeb/de/home/adresse.html.
The
Department of Health and Social Affairs of the Canton of Aargau may amend these data protection provisions at any time. The
Department of Health and Social Affairs of the Canton of Aargau will
inform you of any changes in an appropriate form.
[1]
https://privacy.microsoft.com/de-de/privacystatement
[2]
https://www.microsoft.com/licensing/terms/de-DE/product/ForallOnlineServices
[3] https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_de
[4]
https://privacy.microsoft.com/de-de/privacystatement
[5]
https://www.microsoft.com/licensing/terms/de-DE/product/ForallOnlineServices
[6] https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en