Diese Richtlinie regelt die datenschutzkonforme Informationsverarbeitung und die entsprechenden Verantwortlichkeiten bei der Novogenia GmbH. Alle Mitarbeiter sind zur Einhaltung dieser Richtlinie verpflichtet.
Begriffsdefinitionen / Anwendungsbereich
Personenbezogene Daten:
Einzelangaben über persönliche oder sachliche Verhältnisse einer natürlichen Person (Betroffener). Beispiele: Name, Vorname, Geburtstag, Adressdaten, Bestelldaten, E-Mail-Inhalte.
Besondere personenbezogener Daten:
Angaben über rassische, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Verantwortliche Stelle:
ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
Name und Kontaktdaten des betrieblichen Datenschutzbeauftragten:
Externer Datenschutzbeauftragter
Stephan Kletzl
Irrsdorfer Bachstrasse 48
5204 Strasswalchen
Austria
E-Mail: stephan@usergems.com
Anwendungsbereich
Das verantwortliche Unternehmen Novogenia GmbH agiert als Serviceprovider für externe Ärtze, Ernährungsberater, Vertriebspersonen, Privatpersonen und Unternehmen. Novogenia garantiert die Einhaltung der Datenschutzrichtlinien für jene Bereiche, die im Einflussbereich der Novogenia liegen. Dies beinhaltet alle Bereiche von Eingang der Proben und Bestelldetails bis hin zum Versand der Berichte in der gewünschten (digitale oder gedruckte) Form. Einhaltung des Datenschutzes vor Eingang der Daten und Proben bei Novogenia, sowie nach Versand der Berichte über digitalem Weg oder per Post oder Kurier liegen nicht im Bereich von Novogenia und werden von Novogenia nicht überwacht und kontrolliert. Für Auskunft zu den Datenschutzvorkehrungen vor Eingang der Probe im Labor wenden Sie sich bitte an Ihren Ansprechpartner und Betreuer, der für diesen Bereich zuständig ist. Im Falle von digitaler Übermittlung an eine Email Adresse wenden Sie sich an Ihren Email Provider um sich über die Datenschutzvorkehrungen zu informieren. Im Falle, dass Sie gedruckte Berichte wünschen, werden diese Dokumente an die Druckerei Books on Demand übergeben, gedruckt und per Post oder Kurier versendet. Für Informationen über die jeweiligen Datenschutzvorkehrungen wenden Sie sich an das entsprechende Unternehmen.
Mit Einsendung Ihrer Probe akzeptieren Sie die Tatsache, dass Novogenia datenschutzrechtlich nur für den eigenen Bereich haftet und dass Novogenia in Ihrem Auftrag die Dokumente und Daten an die jeweilige Verteilungsstelle weiter gibt.
Vertragspartner
Im Rahmen des Bestellvorganges erhält Novogenia ein ausgefülltes Antragsformular. Dies mündet in zwei Vertragsverhältnissen: Vertriebspartner-Vertrag: Der Vertriebspartner akzeptiert mit seiner Unterschrift unsere AGB, die Datenschutzregelungen und geht einen Vertrag mit Novogenia ein. Endkunden-Vertrag: Der Endkunde geht mit seiner Unterschrift einen direkten Vertrag mit Novogenia ein. Dadurch akzeptiert er die AGBs, die Datenschutz-Regelungen und mündet in einem Vertragsverhältnis mit Novogenia.
Verwendung der Daten
Aufzeichnung über Bestellungsablauf
Rechnungsstellung direkt oder über Dritte
Auswertung, um gesundheitsbezogene Aussagen und Auswertungen zu treffen
Abgleichung mit wissenschaftlichen Datenbanken
Erstellung personalisierter:
Empfehlungen
Therapieempfehlungen
Ernährungsempfehlungen
Vorsorgeprogramme
Briefe
Geschenke, Gutscheine und Werbemittel
Verbesserung des Kundenservices durch bereithalten von:
der Bestellhistorie
den Empfehlungen
den Programmen
den Druckmaterialien
dem Kundenschutz-Management
Direktwerbung und Kontaktaufnahme
auf persönlicher Basis
auf elektronischem Weg
Auf telefonischem Weg
Auswertung für:
Forschungszwecke
Marktforschung
Populationsgenetik
Verpflichtung auf das Datengeheimnis
Jeder Mitarbeiter, der Zugriff auf personenbezogene Daten und besondere personenbezogene Daten bekommt, hat sich vorab schriftlich zur Einhaltung des Datenschutzes verpflichtet und hat umfangreiche Schulungen und Anweisungen zur Einhaltung des Datenschutzes absolviert. Teilnehmen und bestehen von derartigen Trainings wird im Unternehmen protokolliert.
Zugriffseinschränkung und Protokollierung
Der Zugriff von Mitarbeitern auf sensible Daten ist durch diverse Systeme eingeschränkt und wird protokolliert. Folgende Maßnahmen stellen dies sicher:
Computer sind passwortgeschützt
Jeder Mitarbeiter bekommt einen personenbezogenen Login, der:
nur Daten zur Verfügung stellt, welche für diesen Mitarbeiter notwendig sind
durch zwei Faktor Authentifizierung Passwort geschützt ist
SSL-verschlüsselte Datenübertragung nutzt protokolliert, welche Daten von diesem Mitarbeiter verarbeitet werden
in regelmäßigen Abständen fordert, dass das Passwort geändert wird.
Zuweiser und Betreuer und die assoziierten Unternehmen erhalten ausschließlich Zugriff auf personenbezogene Daten von den von Ihnen ein gesendeten Kunden. Dieser Zugriff ist passwortgeschützt.
Download von Analyseberichten: der Download von Analyseberichten in passwortgeschützten digitalen Plattformen ist zeitlich begrenzt und deaktiviert sich nach der definierten Zeit von üblicherweise drei Monaten. Danach ist der Download des Dokumentes nicht mehr möglich, kann aber auf Wunsch des Zuweisers, Betreuers, den assoziierten Unternehmen oder des Endkunden zeitlich begrenzt reaktiviert werden.
Der Prozess der Verarbeitung der Daten
Folgende Prozesse und Verfahren sind zur Verarbeitung der Daten etabliert:
Novogenia GmbH
Öffnen der gesendeten Probenpakete durch datenschutz-geschultes Personal
Physische Kennzeichnung der Proben und Probenduplikate durch einen einmaligen Barcode
Kennzeichnung des Analyseformulars (wenn in gedruckter Form übermittelt) durch denselben Barcode
Registrierung des Barcodes im System und Digitalisierung der ggf. handgeschriebenen Formulare und Daten durch datenschutz-geschultes Personal. Die daraus gewonnenen Daten werden unter diesem Bestellbarcode gespeichert.
Zugriff auf diese sensiblen Daten wird durch Computer-Passwörter und begrenzt berechtigte Benutzerkonten reguliert und protokolliert.
Die Barcode-anonymisierten Proben werden in das Labor weitergeleitet und dort je nach Analyseauftrag ausschließlich unter der Barcodekennung verarbeitet. Labor-Mitarbeiter kennen zu diesem Zeitpunkt nur die Barcodekennung und nicht die Identität des Kunden.
Auswertung der genetischen Rohdaten von zwei unabhängigen geschulten Mitarbeitern
Freigabe der Auswertung der genetischen Rohdaten und Import der Ergebnisse in die entsprechende Kundendatei.
Interpretation der genetischen Rohdaten unter Einbeziehung der personenbezogenen Daten zu gesundheitlichen Aspekten
Erstellung personalisierter Analyseberichte und Programme auf Basis dieser Daten in digitaler Form
Auf Wunsch: Upload in den Benutzer-Login, um den digitalen Bericht entweder dem Endkunden oder dem Betreuer und den assoziierten Unternehmen zur Verfügung zu stellen
Auf Wunsch: Digitale verschlüsselte Übermittlung des digitalen Berichtes an die Druckerei, die unter eigener Datenschutzerklärung diesen Bericht druckt und in einem geschlossenen Paket per Post oder Kurier versendet.
Annahme von Bestellungen zur Erstellung von (genetisch) personalisierter Produkten
Erstellung des Herstellungsauftrages und Druck der entsprechenden Produktlabels durch Datenschutz-geschultes Personal
Erstellung des personalisierten Produktes nach Auftrag durch Datenschutz-geschultes Personal
Verpackung und Versendung von personalisierten Produkten per Kurier oder Post
Wer erhält Zugriff auf die Daten?
Personen und Unternehmen, die aktiv mit den Daten arbeiten
Befugte und Datenschutz-geschulte Mitarbeiter der folgenden Unternehmensgruppe stehen unter Geheimhaltungspflicht und haben Zugriff auf die Daten:
BITTE BEACHTEN: Diese 3 Firmen sind Teil der Novogenia Firmengruppe mit demselben Geschäftsführer und demselben Personal. Das Datenschutzsystem betrifft somit alle drei Firmen gleich.
Novogenia GmbH, Strass 19, 5301 Eugendorf, Österreich (Labor)
DNA Plus – Zentrum für Humangenetik GmbH, Strass 19, 5301 Eugendorf, Österreich (Interpretation)
Hosting
AWS – Amazon Web Services, Inc., P.O. Box 81226, Seattle, WA 98108-1226 (Ist ISO 28001, 27017, 27018 und PCI-DSS zertifiziert, https://aws.amazon.com/compliance/data-privacy-faq/ ), Serverlocation Virginia, USA
Unternehmen, an die wir für den Druck und Versand in Ihrem Auftrag die Daten übermitteln würden
Zusätzlich im Rahmen der Abarbeitung werden auf Wunsch des Kunden oder Distributoren Teile der Daten potentiell durch Mitarbeiter externer Unternehmen zugänglich gemacht.
Nur auf Wunsch des Kunden: Druck und Versand der Berichte über Books on Demand GmbH, In de Tarpen 42, 22848 Norderstedt, Deutschland (https://www.bod.de/bod-datenschutz.html)
Mitarbeiter von Kurier- und Postservices, die verschlossene Pakete transportieren.
Betreuer und Zuweiser
Novogenia GmbH und die assoziierten Unternehmen betreiben vorzugsweise keinen Endkunden-Vertrieb. Aus diesen Gründen ist bei vielen Bestellprozessen ein Betreuer/Zuweiser involviert, der von Bestellung zu Bestellung variiert und in den Datenschutzbestimmungen von Novogenia vorab nicht aufgelistet werden kann. Der Betreuer oder Zuweiser (und die dazugehörigen und organisierenden Unternehmen und Personen), die eine Analyse oder Bestellung in Auftrag gegeben haben erhalten ebenfalls Zugriff auf die entsprechenden Daten. Diese Personen und Unternehmen unterliegen ihrer eigenen Datenschutzerklärung und werden von dieser Datenschutzerklärung nicht erfasst.
Wie lange werden die Daten gespeichert?
Die Daten werden je nach Wunsch des Kunden spätestens 3 Monate nach Abschluss der Analyse/Bestellung gelöscht oder sonst unter Einhaltung des Datenschutzes für 10 Jahre gespeichert. (Empfehlung von AKOÖ)
Löschung der Daten
Sie haben des Recht auf Löschung Ihrer personenbezogenen Daten und die Einschränkung der Weiterleitung aller oder mancher Ihrer Daten. Prozessbedingt sind wir nicht in der Lage nur manche Ihrer Daten anhand der Vereinbarung in der Unternehmensgruppe zu verwalten und zu verarbeiten. Deshalb bieten wir Ihnen die gesetzeskonforme Aufbewahrung Ihrer Daten an. Alternativ haben Sie die Möglichkeit alle Ihre Daten löschen zu lassen.
Gewisse Daten wie die Rechnungsadresse unterliegen der Aufbewahrungspflicht und dürfen nicht gelöscht werden. Diese werden digital versperrt und erst nach der erforderlichen Frist von 7 Jahren können diese auf Wunsch gelöscht werden.
Zur Bestätigung Ihrer Identität ist eine Ausweiskopie notwendig.
FORMULAR ZUR BEANTRAGUNG DER LÖSCHUNG IHRER DATEN
Löschung von Daten
Folgende Daten können auf Anfrage gelöscht werden:
Gesundheitsrelevante Daten
Lebensstilrelevante Daten
Genetische Daten
Folgende Daten können aufgrund der gesetzlichen Aufbewahrungspflicht nicht gelöscht werden
Rechnungsdaten
Bestelldaten
Rechnungsadresse und Name
Anonymisierte wissenschaftliche Erkenntnisse, die aus den Daten gewonnen wurden
Recht auf Einsicht in Ihre gespeicherten Daten
Sie haben das Recht Einsicht in alle über Sie gespeicherten Daten zu erhalten. Dazu füllen Sie bitte folgendes Formular aus, legen Sie eine Ausweiskopie als Beweis Ihrer Identität bei und schicken Sie es per Post oder Elektronisch an:
Novogenia GmbH
Strass 19
5301 Eugendorf
Österreich
Oder office@novogenia.com
Sie erhalten anschließend innerhalb der gesetzlichen Frist die über Sie gespeicherten Daten zugeschickt.
Bitte beachten Sie: In manchen Fällen sind technologiebedingt mehr genetische Rohdaten über Sie verfügbar, als in den bestellten Berichten notwendig waren. Diese weiteren genetischen Rohdaten werden NUR ausgewertet und interpretiert, wenn Sie dies bestellen. Durch eine Anforderung der über Sie gespeicherten Daten erhalten Sie somit keine weiteren Analyseberichte oder Auswertungen.
Zur Bestätigung Ihrer Identität ist eine Ausweiskopie notwendig.
FORMULAR ZUR EINSICHT DER GESPEICHERTEN DATEN
Ihre weiteren Rechte
Haben Sie das Gefühl, dass unser Service gegen Ihr Datenschutz-Recht verstößt, haben Sie das Recht bei der zuständigen Datenschutz-Behörde Beschwerde gegen uns einzureichen.
Direktwerbung und Kontaktaufnahme zu Marketingzwecken
Sie haben jederzeit das Recht uns mitzuteilen, dass Sie nicht von uns zu Direktwerbungs- oder Marketingzwecken kontaktiert werden wollen.
Übermittlung Personenbezogener Daten per E-Mail oder Kontaktformular
Sollten Sie uns personenbezogene Daten per Email, Kommunikationsmedien oder Kontaktformular übermitteln, geben Sie uns automatisch die Erlaubnis diese dauerhaft zu speichern. Sie können jedoch jederzeit die Löschung dieser Daten beantragen.
Cookies
Unsere Website verwendet so genannte Cookies. Dabei handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten keinen Schaden an. Wir nutzen Cookies dazu, unser Angebot nutzerfreundlich zu gestalten. Einige Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Sie ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen. Wenn Sie dies nicht wünschen, so können Sie Ihren Browser so einrichten, dass er Sie über das Setzen von Cookies informiert und Sie dies nur im Einzelfall erlauben. Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.
Google Analytics
Diese Website nutzt den Dienst „Google Analytics“, welcher von der Google Inc. (1600 Amphitheatre Parkway Mountain View, CA 94043, USA) angeboten wird, zur Analyse der Websitebenutzung durch Nutzer. Der Dienst verwendet „Cookies“ – Textdateien, welche auf Ihrem Endgerät gespeichert werden. Die durch die Cookies gesammelten Informationen werden im Regelfall an einen Google-Server in den USA gesandt und dort gespeichert.
Auf dieser Website greift die IP-Anonymisierung. Die IP-Adresse der Nutzer wird innerhalb der Mitgliedsstaaten der EU und des Europäischen Wirtschaftsraum gekürzt. Durch diese Kürzung entfällt der Personenbezug Ihrer IP-Adresse. Im Rahmen der Vereinbarung zur Auftragsdatenvereinbarung, welche die Websitebetreiber mit der Google Inc. geschlossen haben, erstellt diese mithilfe der gesammelten Informationen eine Auswertung der Websitenutzung und der Websiteaktivität und erbringt mit der Internetnutzung verbundene Dienstleistungen.
Sie haben die Möglichkeit, die Speicherung des Cookies auf Ihrem Gerät zu verhindern, indem Sie in Ihrem Browser entsprechende Einstellungen vornehmen. Es ist nicht gewährleistet, dass Sie auf alle Funktionen dieser Website ohne Einschränkungen zugreifen können, wenn Ihr Browser keine Cookies zulässt.
Weiterhin können Sie durch ein Browser-Plugin verhindern, dass die durch Cookies gesammelten Informationen (inklusive Ihrer IP-Adresse) an die Google Inc. gesendet und von der Google Inc. genutzt werden. Folgender Link führt Sie zu dem entsprechenden Plugin: httpss://tools.google.com/dlpage/gaoptout?hl=de
Hier finden Sie weitere Informationen zur Datennutzung durch die Google Inc.: httpss://support.google.com/analytics/answer/6004245?hl=de
Datenschutzvereinbarung
(1) Gegenstand dieses Vertrages ist die Verarbeitung und der eventuelle Austausch personenbezogener Daten zwischen den beiden Parteien.
(2) Die Datenkategorien sind in den AGB von Novogenia aufzufinden.
(3) Je nach Richtung des Informationsflusses trifft die Definition Auftraggeber und Auftragnehmer auf beide Parteien zu.
Die Vereinbarung ist auf unbestimmte Zeit geschlossen. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
Pflichten beider Parteien
(1)Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
(2) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
(3) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen).
(4) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.
(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
(6) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.
(7) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
(8) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
Ort der Durchführung der Datenverarbeitung ist in den AGB der Novogenia GmbH ersichtlich.
Das angemessene Datenschutzniveau ergibt sich aus[3]
einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO.
einer Ausnahme für den bestimmten Fall nach Art 49 Abs 1 DSGVO.
verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs 2 lit b DSGVO.
Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO.
genehmigten Verhaltensregeln nach Art 46 Abs 2 lit e iVm Art 40 DSGVO.
einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs 2 lit f iVm Art 42 DSGVO.
von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO.
einer Ausnahme für den Einzelfall nach Art 49 Abs 1 Unterabsatz 2 DSGVO.
Weitergabe der Daten an Dritte
Keine der beiden Parteien ist berechtigt sensible Daten an Dritte weiterzugeben. Sie sind auch nicht, einen Sub-Auftragsverarbeiter heranzuziehen.
Beabsichtigte Änderungen des Sub-Auftragsverarbeiters sind dem Auftraggeber so rechtzeitig schriftlich bekannt zu geben, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
Er hat den Auftraggeber von der beabsichtigten Heranziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
[borlabs-cookie type=“btn-cookie-preference“ title=“Datenschutzeinstellungen bearbeiten“/]