privacy statement

1. Zweck

Im Geschäftsverkehr erhebt HEMA personenbezogene Informationen über seine Kunden, Website-Besucher und Mitarbeiter über seine Kaufhäuser, Websites, Apps, Sonderangebote, Treueprogramme und andere Dienste. HEMA ist überzeugt, dass dem Schutz personenbezogener Daten wesentliche Bedeutung zukommt.

Das vorliegende Dokument enthält die Grundlagen der von HEMA verfolgten Politik im Hinblick auf die Privatsphäre, sensible Informationen privater Natur und den Datenschutz. Zum Schutz der Privatsphäre, sensibler Informationen privater Natur und personenbezogener Daten ist die effektive Sicherheit eine der obersten Prioritäten von HEMA. Aus diesem Grund hat HEMA angemessene technische und organisatorische Maßnahmen ergriffen, um Ihre personenbezogenen Daten vor einem Verlust oder anderen Formen der gesetzeswidrigen Verarbeitung zu schützen.

Die vorliegende Datenschutzrichtlinie dient dem Zweck, allen für HEMA tätigen Personen Instrumente an die Hand zu geben, um die verschiedensten Vorschriften zum Schutz der Privatsphäre und zum Datenschutz zu erfüllen.

 

2. Kontext

Neben innerstaatlichen Gesetzen und Vorschriften gibt auch die Europäische Union strenge Datenschutzgesetze vor. Beispiele hierfür sind die Europäische Menschenrechtskonvention (Jede Person hat das Recht auf Achtung ihres Privatlebens) und die Datenschutz-Grundverordnung (DSGVO). Diese Verordnung enthält neue und strengere Vorschriften über die Privatsphäre und deren Schutz.  

 

3. Begriffsbestimmungen

 

AP                                          

Autoriteit Persoonsgegevens, die niederländische Behörde, die die Einhaltung von Datenschutzgesetzen überprüft und Geldbußen verhängt.

 

Data Breach                            

ein Sicherheitsvorkommnis, das dazu führt, dass personenbezogene Daten gestohlen werden, in fremde Hände gelangen oder kopiert werden.

 

Data Breach Response Team    

das HEMA-Team, das aus (i) dem Head of Legal, Audit & Risk, (ii) dem Privacy Officer und (iii) dem Information Security Officer besteht und das Meldungen von Data Breaches prüft und auf solche Meldungen reagiert.

 

Data Minimalisation                   

das allgemeine Prinzip, das sich in der DSGVO im Hinblick auf die Sammlung von personenbezogenen Daten widerspiegelt.

Sie erheben und speichern so wenig Daten wie möglich.

 

Data Processing Agreement      

eine Vereinbarung zwischen der verantwortlichen Partei (HEMA) und einer Partei, die personenbezogene Daten im Namen von HEMA verarbeitet

 

Data Subject                            

die natürliche Person, deren personenbezogene Daten verarbeitet werden.

 

Purpose Limitation                    

das allgemeine Prinzip, das sich in der DSGVO widerspiegelt, wonach personenbezogene Daten nur für den Zweck verwendet werden dürfen, für den sie überlassen werden.

                       

Personal Data                           

alle Daten, die Informationen über eine identifizierbare Person liefern können. Beispiele hierfür sind: Name, Adresse, E-Mail-Adresse, Kundendatenbank, Merkmale, Meinungen, Handlungen von Personen, Fotos und andere visuelle Daten, spezielle personenbezogene Daten wie Daten über Religion, Überzeugungen, rassische oder ethnische Herkunft, politische Präferenz, Gesundheit, Sexualleben, Mitgliedschaften in Gewerkschaften, Vorstrafenregister.

 

Privacy Statement                                 

das Informationsdokument (Datenschutzerklärung) auf www.hema.nl für Website-Besucher und Kunden, das erläutert, wie HEMA mit personenbezogenen Daten von Besuchern und Kunden umgeht. Die Erklärung kann von Zeit zu Zeit geändert werden, wenn dies infolge neuer Entwicklungen erforderlich ist.

 

Security Incident                                    

jedes Vorkommnis, das zu einem Verlust oder zu einer Beschädigung von Daten geführt hat oder hätte führen können oder durch das eine Verletzung von Sicherheitsverfahren verursacht wurde.

 

4. Richtlinien

Wenn Sie bei der Arbeit für HEMA Zugang zu personenbezogenen Daten haben, müssen Sie unbedingt die folgenden Richtlinien befolgen:

  1. Begrenzen Sie die Erhebung von personenbezogenen Daten so weit wie möglich. à Datenminimierung
  2. Verwenden Sie personenbezogene Daten ausschließlich für vorher dargelegte Zwecke. à Zweckbindung
  3. Begrenzen Sie die Dauer der Speicherung von personenbezogenen Daten so weit wie möglich.
  4. Teilen bzw. bieten Sie Zugang zu personenbezogenen Daten ausschließlich (mit) Personen, die diese Daten unbedingt kennen müssen.
  5. Behandeln Sie personenbezogene Daten vertraulich.
  6. Geben Sie Login-Daten oder Passwörter nicht an andere weitere.
  7. Bei der Verarbeitung von personenbezogenen Daten dürfen Sie ausschließlich das HEMA-Netzwerk benutzen; Sie dürfen z. B. keine USB-Sticks oder persönlichen Cloud-Dienste verwenden.
  8. Wenn Dritten Zugang zu personenbezogenen Daten gewährt wird, ist eine Datenverarbeitungsvereinbarung (DVV) erforderlich. Bitte wenden Sie sich an die Abteilung Legal, um sich eine DVV aufsetzen zu lassen.
  9. Ziehen Sie bei der Verarbeitung von personenbezogenen Daten immer eine Verschlüsselung, Anonymisierung oder Pseudonymisierung in Betracht.

 

5. Verantwortlichkeiten

Für HEMA ist es sehr wichtig, dass unsere Dienste transparent und zuverlässig sind. Aus diesem Grunde werden die verschiedenen Verantwortlichkeiten rund um den Schutz der Privatsphäre und den Datenschutz im Folgenden näher darlegt.

Die Person, die mit sensiblen Informationen privater Natur arbeitet (z. B. die Abteilungen Kundendienst, Personal, e-commerce usw.), ist dafür verantwortlich, die Richtlinien einzuhalten, damit diese sensiblen Informationen sicher verwahrt werden.

Die Person, die eine Datenschutzverletzung feststellt, ist dafür verantwortlich, das Data Breach Response Team zu informieren.

Das Data Breach Response Team ist dafür verantwortlich, der AP Bericht zu erstatten.

Der Privacy Officer ist für die Datenschutzrichtlinie von HEMA verantwortlich.

Die Abteilung Information Management ist für die Sicherheit des Netzwerks und der Systeme bei HEMA verantwortlich.

Der Information Security Officer ist für die Überwachung der Sicherheit des Netzwerks und der Systeme bei HEMA verantwortlich.

 

6. Data Breach / Security Incident

Security Incident / Data Breach

Ein Sicherheitsvorkommnis wird zu einem Data Breach, wenn personenbezogene Daten (z. B. Name, Adresse, E-Mail-Adresse, Telefonnummern, IP-Adressen usw.) verloren gegangen sind, gelöscht oder gehackt wurden oder ein unbefugter Zugang zu diesen Daten bzw. eine unbefugte Einsichtnahme in diese Daten möglich wurde. Beispiele hierfür sind: Verlust eines USB-Sticks oder mobilen Geräts, Malware auf PCs, die mit dem HEMA-Netzwerk verbunden sind, E-Mail-Versand von Dateien mit personenbezogenen Daten an nicht beabsichtigte Empfänger. Auch der komplette Verlust von Daten (z. B.: ein Feuer ohne jegliche Datensicherung) gilt als Data Breach.

HEMA ergreift angemessene Maßnahmen, um Data Breaches zu verhindern, z. B. durch Verschlüsselungstechniken.

Vorkommnisse mit anderen Daten als personenbezogenen Daten gelten nicht als Data Breaches.

 

Was ist im Falle eines Data Breaches zu unternehmen?

Die DSGVO besagt, dass Unternehmen im Falle eines Data Breaches unverzüglich die Behörden unterrichten müssen. Wenn Sie also von einem Data Breach erfahren:

  1. dann setzen Sie sich bitte umgehend mit der Abteilung Audit & Risk (Security Officer) + und der Abteilung Legal (Privacy Officer) in Verbindung
  2. beginnt das Data Breach Response Team mit einer Protokollierung
  3. handeln Sie bitte rasch und seien Sie kooperativ; die AP muss innerhalb von 72 Stunden von uns informiert werden
  4. Wenn sich ein Data Breach in einem Unternehmen ereignet und nicht zeitnah den Behörden gemeldet wird, können Geldbußen in Höhe von 2 % unseres Jahresumsatzes oder EUR 10.000.000,- verhängt werden!

 

7. Kontaktliste

Diese Datenschutzrichtlinie wird in der Abteilung Legal gepflegt. Wenn Sie Fragen haben, weitere Informationen benötigen oder ein Security Incident melden möchten, setzen Sie sich bitte in Verbindung mit: privacy@hema.nl.

 

 

© HEMA - Februar 2017