Datenschutzerklärung SWICA für Bewerbende

1. Allgemeines

1.1 Geltungsbereich und Zweck

Die SWICA Gesundheitsorganisation (SWICA-Gruppe, nachfolgend SWICA) besteht aus der SWICA Krankenversicherung AG, der SWICA Versicherungen AG, sowie der SWICA Management AG und santé24 als Teil der SWICA Management AG, setzt im Bereich des Datenschutzes auf eine gesetzeskonforme Datenbearbeitung sowie auf eine offene Kommunikation und auf Transparenz hinsichtlich dem Umgang mit Personendaten gegenüber ihren Mitarbeitenden und Kunden. Mit dieser Datenschutzerklärung, möchten wir Sie über die Datenbearbeitung betreffend Bewerbenden bei SWICA informieren und die gesetzlich erlaubten Datenbearbeitungsvorgänge erklären. Diese Datenschutzerklärung gilt für die gesamte SWICA und für alle Bewerbenden.

1.2 Begriffe

Der Datenschutz bezweckt den Schutz der Persönlichkeit sowie den Schutz der Grundrechte der Bewerbenden bei der Bearbeitung von Personendaten durch SWICA.

Unter Personendaten versteht SWICA alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche oder juristische Person beziehen. Als identifizierbar wird eine natürliche oder juristische Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen oder juristischen Person sind, identifiziert werden kann.

Unter besonders schützenswerten Personendaten sind Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten, biometrische Daten, die eine natürliche Person eindeutig identifizieren, Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, Daten über Massnahmen der sozialen Hilfe zu verstehen.

Ein Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interesse, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Unter Gesundheitsdaten werden alle Daten bezeichnet, welche einen medizinischen Befund darstellen und sich für die Betroffenen negativ auswirken könnten. Insbesondere gelten nachfolgende Informationen als Gesundheitsdaten: Aufzeichnungen über den Verlauf einer Behandlung, Anamnesen Symptombeschreibungen, Diagnosen, ärztliche Verordnungen, ärztliche Berichte und Spitalberichte, Therapien, Medikamente, Überweisungen, Laborresultate, Tarifpositionen, Aufzeichnungen von bildgebenden Verfahren, Daten über den Behandlungspfad wie Medikation, weiterführende Therapien oder auch die Wirksamkeit und Zweckmässigkeit der Behandlung etc.

Ein Persönlichkeitsprofil stellt eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt, dar. Als medizinischer Befund wird das Ergebnis medizinischer Untersuchungen, wie etwa einer körperlichen Untersuchung, einer psychischen Exploration oder einer labor- und gerätemedizinischen Untersuchung bezeichnet.

Unter Bearbeiten versteht SWICA jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Personendaten.

Bewerbende sind natürliche Personen, die von SWICA aktiv aufgrund ihres öffentlichen, beruflichen Profils (z.B. LinkedIn) kontaktiert werden oder natürliche Personen, welche Interesse an einer beruflichen Anstellung bei SWICA haben.

Überwiegendes privates oder öffentliches Interesse, liegt dann vor, wenn SWICA die Datenbearbeitung damit rechtfertigt, dass ein berechtigtes privates Interesse von SWICA oder ein berechtigtes öffentliches Interesse die Datenbearbeitung rechtfertigt. Ein privates Interesse liegt dann vor, wenn das Interesse zur Datenbearbeitung für SWICA im Gegensatz zu den Risiken und Gefahren betreffend die Datenbearbeitung der betroffenen Person überwiegt. Ein öffentliches Interesse an einer Datenbearbeitung liegt dann vor, wenn das Interesse zur Datenbearbeitung für die Öffentlichkeit im Gegensatz zu den Risiken und Gefahren betreffend die Datenbearbeitung der betroffenen Person überwiegt.

1.3 Rechtsgrundlagen im Datenschutzbereich

Eine Datenbearbeitung ist gemäss Art. 30 DSG dann erlaubt, wenn die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt wird. Erlaubt ist eine Datenbearbeitung insbesondere, wenn entweder eine gesetzliche Grundlage die Datenbearbeitung gestattet, die betroffene Person eingewilligt hat, die Datenbearbeitung im Rahmen der Erfüllung eines Vertrages erfolgt oder SWICA ein berechtigtes Interesse zur Datenbearbeitung geltend machen kann. Im Rahmen der Datenbearbeitung dürfen die Daten nur entsprechend den Grundsätzen von Art. 6 DSG bearbeitet werden. Das heisst, die Daten dürfen nur nach Treu und Glauben, verhältnismässig und zweckgebunden bearbeitet werden. Werden Daten im Rahmen des Arbeitsverhältnisses oder des Rekrutierungsprozesses bearbeitet, so erfolgt dies entweder aufgrund der direkten Einwilligung in Form der Einreichung der Bewerbungsunterlagen oder durch Abschluss eines Arbeitsvertrages mit SWICA. Ferner werden die Daten zur Durchführung des Arbeitsvertrages bearbeitet.

2. Bearbeitungsrahmen

2.1 Kategorien von Personendaten

2.1.1 Allgemein

Im Rahmen ihrer Tätigkeit bearbeitet SWICA unter anderem Personendaten von Bewerbenden. Nachfolgend dargestellt sind die Datenkategorien, welche von SWICA im Rahmen ihrer Tätigkeit als Arbeitgeber verarbeitet werden. SWICA bearbeitet von ihren Bewerbenden insbesondere folgende Datenkategorien: Normale Personendaten, medizinische Daten, Persönlichkeitsprofile, Daten über den persönlichen Lebensbereich und Finanzdaten. Diese Datenkategorien beinhalten unter anderem nachfolgende Informationen.

SWICA kann im Rahmen der Akquirierung und des Bewerbungsprozesses unter anderem folgende Informationen über ihre Bewerbende bearbeiten:

Stamm- und Vertragsdaten (wie z.B. Vorname, Name, Anschrift, Postleitzahl, Geburtsdatum, E-Mail-Adresse, Telefonnummer (Mobile und Festnetz), komplette Bewerbungsdaten (inkl. Daten über das Privatleben wie bspw. Hobbies, Zivilstand, Anzahl Kinder, Nationalität, Ausbildungen, frühere Arbeitgeber, allenfalls Informationen über den Leumund, gewerkschaftliche oder parteiliche Tätigkeiten, die Religion, Arbeitszeugnisse von früheren Arbeitgebern oder auch Angaben über den Militärdienst usw.).

2.2 Bearbeitungszwecke

2.2.1 Allgemein

SWICA bearbeitet die unter Ziffer 2.1 beschriebenen Personendaten zur Durchführung des Arbeitsverhältnisses gemäss der arbeitsvertraglichen Regelung. Darunter versteht SWICA insbesondere Folgendes:

Die Daten von Bewerbenden werden von SWICA im Rahmen der Akquirierung und des Bewerbungsprozesses bearbeitet. Insbesondere werden dabei die Bewerbungsunterlagen oder öffentliche, berufliche Profile (z.B. LinkedIn) hinsichtlich der Eignung einer beruflichen Anstellung bei SWICA geprüft. Ferner werden die Daten zu Beweiszwecken im Rahmen von Gerichtsstreitigkeiten verwendet, wenn diese als Beweis oder dessen Entkräftung für eine von SWICA oder der betroffenen Person behaupteten Tatsache dienlich sind.

3. Rechte der Betroffenen

3.1 Recht auf Auskunft

Alle, von einer durch SWICA vorgenommenen Datenbearbeitung betroffenen Personen, haben das Recht, ein Bestätigung darüber zu verlangen, ob über sie personenbezogene Daten verarbeitet werden. Liegt eine Verarbeitung von Daten vor, so liefert SWICA folgende Angaben:

• Eine Kopie aller bearbeiteten Daten, sofern keine berechtigten Interessen oder Drittrechte entgegenstehen;
• Den Verarbeitungszweck;
• Die Kategorien der personenbezogenen Daten;
• Die Empfänger oder Kategorien von Empfängern (im Falle einer Übermittlung an Drittländer, das Drittland oder internationale Organisationen) gegenüber denen die personenbezogenen Daten bekanntgegeben worden sind bzw. bekanntgegeben werden sollen;
• Die geplante Dauer für welche die Daten gespeichert werden sollen bzw. wenn die Dauer noch nicht festgelegt wurde, der Zweck, welche die Aufbewahrung rechtfertigt;
• Die Information über das Widerspruchsrecht, das Recht zur Einschränkung der Verarbeitungstätigkeit, das Recht zur Löschung von personenbezogenen Daten und das Recht auf Berichtigung;
• Die Information über das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde;
• Wenn Personendaten nicht direkt bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
• Die Information über eine allfällige Datenbearbeitung zur automatisierten Entscheidungsfindung einschliesslich Profiling;
• Im Falle der Übermittlung der Daten an ein Drittland, die Information über die geeigneten Garantien welche im Zusammenhang mit der Übermittlung stehen.

Für die Wahrnehmung der Rechte gilt Ziffer 3.9 nachfolgend.

3.2 Recht auf Berichtigung

Alle, von einer durch SWICA vorgenommenen Datenbearbeitung betroffenen Personen, haben das Recht, unverzüglich die Berichtigung der sie betreffenden unrichtigen personenbezogenen Daten zu verlangen. Darüber hinaus, hat jede betroffene Person, welche durch eine von SWICA vorgenommenen Datenbearbeitung betroffen ist, unter Berücksichtigung der Zwecke der Verarbeitung, das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. Dieses Recht kann eingeschränkt werden, wenn eine gesetzliche Bestimmung oder ein berechtigtes Interesse vorliegt, welches die Interessen sowie die Rechte und Freiheiten der betroffenen Person überwiegt.

Für die Wahrnehmung der Rechte gilt Ziffer 3.9 nachfolgend.

3.3 Recht auf Löschung

Alle, von einer durch SWICA vorgenommenen Datenbearbeitung betroffenen Personen, haben das Recht von SWICA zu verlangen, dass die sie betreffenden Personendaten unverzüglich gelöscht werden, wenn einer der nachfolgenden Gründe vorliegt:

• Die Personendaten werden für die bei der Erhebung der Daten angegebenen Zwecke nicht mehr benötigt;
• Die betroffene Person widerruft die Einwilligung zur Datenbearbeitung und es besteht kein anderer Rechtfertigungsgrund;
• Die betroffene Person legt Widerspruch gegen die Datenverarbeitung ein und es bestehen keine vorrangigen berechtigten Interessen, die eine weitere Verarbeitung rechtfertigen würden;
• Die verarbeiteten Daten wurden unrechtmässig verarbeitet;
• Die Löschung ist gesetzlich vorgeschrieben;

Für die Wahrnehmung der Rechte gilt Ziffer 3.9 nachfolgend.

3.4 Recht auf Einschränkung der Bearbeitung

Alle, von einer durch SWICA vorgenommenen Datenbearbeitung betroffenen Personen, haben das Recht von SWICA die Einschränkung der Verarbeitung zu verlangen. Die Einschränkung der Verarbeitungstätigkeit kann von der betroffenen Person verlangt werden, wenn einer der nachfolgenden Voraussetzungen oder Gründe zutrifft:

• Wird die Richtigkeit der Personendaten von der betroffenen Person bestritten, so ist die Verarbeitungstätigkeit für die Dauer der Abklärungen welche SWICA zur Sicherstellung der Richtigkeit durchführt einzuschränken;
• Die Verarbeitung der Personendaten erfolgt unrechtmässig, die betroffene Person hat jedoch nicht die Löschung verlangt, sondern die Einschränkung der Verarbeitung;
• Wenn SWICA die Personendaten nicht mehr benötigt, die betroffene Person die Daten jedoch noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt;
• Legt die betroffene Person Widerspruch gegen die Verarbeitung ein, so wird die Verarbeitung solange eingestellt bis feststeht, ob SWICA ein überwiegendes berechtigtes Interesse geltend machen kann oder ein anderer Rechtfertigungsgrund vorliegt.

Wird eine Beschränkung der Verarbeitungstätigkeit wieder aufgehoben, so informiert SWICA die betroffene Person vorhergehend. Für die Wahrnehmung der Rechte gilt Ziffer 3.9 nachfolgend.

3.5 Recht auf Widerspruch

Alle, von einer durch SWICA vorgenommenen Datenbearbeitung betroffenen Personen, haben das Recht aufgrund ihrer persönlichen Situation, gegen eine Datenverarbeitung Widerspruch einzulegen, sofern keine gesetzliche Bestimmung oder ein berechtigtes Interesse vorliegt, welches die Interessen sowie die Rechte und Freiheiten der betroffenen Person überwiegt. Für die Wahrnehmung der Rechte gilt Ziffer 3.9 nachfolgend.

3.6 Automatisierte Entscheidungen im Einzelfall und Profiling

Ist die betroffene Person aufgrund der Erfüllung eine Vertrages, einer gesetzlichen Grundlage oder aufgrund der ausdrücklichen Einwilligung der betroffenen Person, einer automatisierten Verarbeitung – einschliesslich Profiling – unterworfen und entfaltet dieser Entscheid gegenüber der betroffenen Person rechtliche Wirkung, so hat die betroffene Person das Recht darauf, dass von Seiten SWICA eine Person eingreift, die Entscheidung darlegt und der betroffenen Person das Recht auf Anfechtung des Entscheids gewährt.

Für die Wahrnehmung der Rechte gilt Ziffer 3.9 nachfolgend.

3.7 Recht auf Widerruf einer Einwilligung

Jede Einwilligung zur Datenbearbeitung, welche SWICA erteilt wurde, kann wiederrufen werden, sofern der weiteren Datenbearbeitung kein berechtigtes Interesse oder eine gesetzliche Grundlage, welche diese rechtfertigen würde, entgegensteht. Der Widerruf kann auf die einfachste Art erfolgen, sofern es sich um eine Datenbearbeitung handelt, welche SWICA vornimmt. Wurde einer Drittperson eine Handlungsvollmacht oder ein Einsichtsrecht in die Daten gegeben, so benötigt SWICA den Widerruf der Vollmacht schriftlich. Die Rechtmässigkeit der Datenbearbeitung bis zum Widerruf der Einwilligung bleibt davon unberührt.

3.8 Recht auf Beschwerde gegenüber der Aufsichtsbehörde

Nebst den Rechten gegenüber SWICA besteht auch das Recht, sich direkt an die Datenschutzbehörde zu wenden.

3.9 Meldestelle für die Ausübung der Betroffenenrechte

Für die Ausübung dieser Rechte bitten wir Sie, sich direkt bei unserer Datenschutzstelle unter datenschutz@swica.ch zu melden. Für die Ziffern 3.1. bis 3.4 bitten wie Sie uns ein schriftliches Gesuch und eine Kopie Ihres Personalausweises zuzusenden. SWICA benötigt dies, um die gesuchstellende Person zu identifizieren. Das Gesuch und die Kopie des Personalausweises werden im Minimum 11 Jahre aufbewahrt.

4. Betrieblicher Datenschutzbeauftragter

SWICA hat zur Erfüllung ihrer Pflicht und zum verbesserten Schutz der Personendaten einen betrieblichen Datenschutzbeauftragten bestellt. Dieser ist dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie der Liechtensteinischen Datenschutzstelle gemeldet. Für Fragen oder Anmerkungen dürfen Sie sich gerne direkt an die Personalabteilung oder an den Datenschutzbeauftragten von SWICA wenden.

SWICA Gesundheitsorganisation Human Resources / Datenschutz Römerstasse 38
8401 Winterthur
E-Mail: hr@swica.ch / datenschutz@swica.ch

5. Datenbearbeitung innerhalb von SWICA

SWICA legt viel Wert auf das Verhältnismässigkeitsprinzip und gewährt nur denjenigen Mitarbeitenden Zugriff auf die Personendaten, welche aufgrund ihrer Rolle, Funktion und Tätigkeit bei SWICA, Zugriff brauchen. Diese sind im Falle von SWICA ausschliesslich die HR-Mitarbeitenden von SWICA bzw. im Rahmen des Bewerbungsprozesses mögliche Vorgesetzte oder auch zukünftige Teammitglieder bzw. im Rahmen von Jahresgesprächen oder anderen Mitarbeitergesprächen und die direkten Vorgesetzten.

Durch regelmässige Schulungen, Informationsmaterialien und Weisungen stellt SWICA sicher, dass diese gesetzlichen Vorgaben zum Datenschutz und zur Datensicherheit eingehalten werden.

6. Datenbekanntgabe

SWICA gibt keine Daten an unberechtigte Dritte bekannt. Jegliche Datenweitergabe erfolgt ausschliesslich innerhalb des gesetzlichen Rahmens bzw. gemäss den gesetzlichen Bestimmungen über die Auftragsdatenbearbeitung.

7. Auftragsdatenbearbeitung

7.1 Art der Datenbearbeitung

Im Rahmen ihrer Tätigkeit als Arbeitgeber lässt SWICA bestimmte Datenbearbeitungsvorgänge von einem Dritten ausführen. SWICA bleibt jedoch für die rechtmässige Bearbeitung der Daten verantwortlich. Der beauftragte Dritte darf die Daten nur zu den Zwecken bearbeiten, zu welchen SWICA ihn autorisiert hat. Dabei stellt SWICA mit vertraglichen Mitteln sicher, dass die Daten nur so bearbeitet werden dürfen, wie SWICA es selbst auch darf. Der Inhalt dieser Datenschutzerklärung muss auch vom Auftragnehmer eingehalten werden.

Darüber hinaus verpflichtet SWICA die Auftragnehmer, die Datensicherheit mit geeigneten technischen und organisatorischen Massnahmen sicherzustellen. Diese Massnahmen können von SWICA regelmässig auf ihre Einhaltung durch den Auftragnehmer überprüft werden. Die Kontrollen finden zum einen anhand einer Selbstdeklaration durch den Auftragnehmer oder anhand eines Audits, welches entweder durch SWICA selbst oder einen von SWICA beauftragten Dritten durchgeführt werden.

Jegliche Anfragen hinsichtlich der Rechte der Betroffenen gemäss Ziffer 3 dieser Datenschutzerklärung müssen an SWICA direkt gestellt werden.

Folgende Datenbearbeitungen werden aktuell an Dritte ausgelagert.

7.2 Ort der Datenbearbeitung Cornerstore

Die Daten welche vom Auftragsdatenbearbeiter bearbeitet werden, werden in Europa gespeichert. Ort der Speicherung in Europa ist:

• Deutschland: Frankfurt
• Frankreich: Paris (Back Up Server)

Im Falle von anspruchsvollen Supportanfragen (so genannter Third-Level Support) von SWICA können die Daten zudem auch in Drittländer ausserhalb der Europäischen Union oder des EFTA-Raums bekannt gegeben werden. Die Daten werden dabei auf den entsprechenden Supportstationen angezeigt. Eine Speicherung der Daten in diesen Ländern findet jedoch nicht statt. Entsprechende Drittländer sind:

• Israel
• Neuseeland
• USA
• Indien

Die unter Ziffer 7.1 genannten Auftragsdatenbearbeiter erfüllen die gesetzlichen Anforderungen, welche vom schweizerischen Datenschutzgesetz vorgeschrieben sind, um eine Datenbearbeitung in den jeweiligen Ländern durchzuführen. Entsprechend sind vertragliche Garantien mit den Auftragsdatenbearbeitern verabredet worden, welche die Auftragsdatenbearbeitung gemäss dem Schweizer Datenschutzgesetz vorsieht. Darüber hinaus sind die Auftragsdatenbearbeiter ISO 27001/2013 zertifiziert und halten die europäischen Datenschutzstandards ein.

8. Dauer der Datenspeicherung

Daten werden solange bei SWICA gespeichert, wie der Zweck, eine gesetzliche Grundlage oder ein anderer Rechtfertigungsgrund die Aufbewahrung legitimiert.

Besonders schützenswerte Personendaten, welche in Papierform aufbewahrt werden, werden ausschliesslich durch einen dafür eingerichteten Dienst fachgerecht und datenschutzkonform entsorgt. Daten welche sich auf einen elektronischen Datenträger befinden werden vor deren Entsorgung unwiederbringlich gelöscht. Die Datenträger werden zerstört.

9. Schlussbestimmungen

9.1 Anwendbarkeit

Wenn Bewerbende einen entsprechenden Datenaustausch mit SWICA eingehen (unabhängig davon ob diese auf einer schriftlichen vertraglichen Vereinbarung beruht oder nicht) ist diese Datenschutzerklärung anwendbar.

9.2 Zugang zur Datenschutzerklärung

Diese Datenschutzerklärung ist auf dem Stellenportal oder der Webseite von SWICA öffentlich zugänglich und kann von den betroffenen Personen jederzeit über datenschutz@swica.ch einverlangt werden.

9.3 Salvatorische Klausel

Sollten einzelne Bestimmung dieser Datenschutzerklärung ungültig sein, so werden die restlichen Bestimmungen davon nicht berührt.

9.4 Anwendbares Recht und Gerichtsstand

Das für diese Datenschutzerklärung anwendbare Recht ist ausschliesslich materielles Schweizer Recht unter Ausschluss allfälliger Kollisionsnormen.
Sollten sich aus dieser Datenschutzerklärung Streitigkeiten ergeben, so bestimmt sich der Gerichtsstand gemäss den geltenden Bestimmungen der Zivilprozessordnung. Allfällige Kollisionsnormen sind ausgeschlossen.