Datenschutz und Datensicherheit bei der Druckerei Kyburz AG
Die Druckerei Kyburz AG nimmt ihre Verantwortung im Bereich Datenschutz und Datensicherheit sehr ernst. Sie setzt alles daran, die ihr übergebenen personenbezogenen Daten nach dem aktuellen Stand der Technik zu schützen und zu verarbeiten. Dieses Dokument soll eine allgemeine Übersicht des umgesetzten Sicherheitskonzeptes geben.
Allgemeine Bestimmungen zum Umgang mit personenbezogenen Daten
Fremddaten:
Sofern es sich bei den zu liefernden Datensätzen nicht um solche von eigenen Kunden und/oder Interessenten handelt, die für eigene Leistungen beworben werden sollen, sondern (auch) um Fremddatensätze von Dritten, ist vom Auftraggeber Folgendes zu beachten: Rechtlich ist es erforderlich, dass alle Listen-Eigner mit der hier beauftragten Datenverarbeitung schriftlich einverstanden sind.
Lieferung personenbezogener Daten:
Jeder Datenlieferung müssen aussagekräftige Lieferscheine (Absender, Empfänger, Dateibezeichnung, Adressmenge, Angabe von Nutzer und Aktion sowie Satzaufbau, Verarbeitungsweisungen) schriftlich vorliegen.
Datenübermittlung:
Bei der Verwendung einer nicht sicheren Übermittlung lehnt die Druckerei jegliche Haftung im Falle eines Datenabflusses ab. Als unsicher geltende Übermittlungen sind im Anhang (Datenübermittlung) beschrieben.
Dateninhalt:
Die Druckerei Kyburz AG übernimmt keine Haftung für den Inhalt der gelieferten Daten; weder für die Richtigkeit noch für die Einhaltung der Datenschutzgesetze der jeweiligen Länder.
Datenweitergabe:
Personenbezogene Auftragsdaten dürfen nicht ohne das schriftliche Einverständnis des Auftraggebers durch die Druckerei an Dritte weitergegeben werden.
Kontrollrecht:
Der Auftraggeber hat das Recht, die Einhaltung unserer Datenschutzrichtlinien, in Bezug auf die vertraulichen Auftragsdaten, unter Einhaltung eines angemessenen Vorankündigungszeitraums, zu prüfen.
Robinsonliste:
Wir weisen darauf hin, dass Sie als Kunde die Möglichkeit haben, Ihre Daten mit der DDV-Robinsonliste abzugleichen.
Hinweis für Datenlieferungen aus EU-Ländern:
Der Adresserzeuger hat die betroffenen Personen zum Zeitpunkt der Erhebung dieser Daten und bei späterer Entscheidung über den Werbezweck, zeitlich vor dieser Weiterverarbeitung, über die Datenverarbeitung und über das Werbewiderspruchsrecht zu informieren.
Datensicherheit bei der Druckerei Kyburz AG
Allgemeiner Schutz:
Der Virenschutz und die Firewall der Druckerei Kyburz AG sind dauernd auf dem technisch aktuellen Stand.
Räumlichkeiten:
Die Räumlichkeiten der Programmierung sind über ein elektronisches Zeitschloss gesichert. Durch das Virtualisierungskonzept der Druckerei Kyburz AG ist eine zentrale Haltung aller Daten gewährleistet. Unser Serverraum ist über ein elektronisches Schloss gesichert. Fenster zum Raum sind mit Gittern abgesichert. Alle Zutritte sind elektronisch protokolliert.
Datenübermittlung:
Bei der Auftragsvergabe wird automatisch ein Online-Zugang auf daten.kyburzdruck.ch (https, ftps) für die Übermittlung der Auftragsdaten an die Druckerei Kyburz AG erstellt. Dieser Zugang ist bis zum Abschluss des Auftrages gültig. Die Zugangsdaten können beim jeweiligen Auftragsbearbeiter angefordert werden.
Eingehend:
Alle Daten, die auf diesen Server übermittelt werden, werden spätestens 5 Minuten nach Eingang verschlüsselt auf den internen Server (auftragsbezogen) verschoben. Dadurch ist die auftragsbezogene Verwendung der Daten sichergestellt. Diese Art der Datenübertragung ist zu bevorzugen und bei besonders schützenswerten und personenbezogenen Daten Pflicht.
Ausgehend:
Werden Daten für durch die Druckerei zur Herausgabe bereitgestellt, erscheint im jeweiligen Zugang ein Ordner mit der Bezeichnung ‚output‘. In diesem Verzeichnis befinden sich Daten die dem Kunden zu Verfügung gestellt werden. Dieses Verzeichnis und sein Inhalt werden täglich um 02:00 Uhr (und mindestens 24h alt) gelöscht.
Datenverarbeitung:
Für jeden Auftrag steht ein eigener virtueller Windows-Server-2016-Rechner zu Verfügung. Dadurch ist die Kapselung der Auftragsdaten garantiert. Diese Rechner haben keinen Zugriff aufs Internet und können keine E-Mails empfangen oder versenden. Es können nur über eine einzige Schnittstelle Daten an den Auftrag übergeben werden. Die Herausgabe von vertraulichen Auftragsdaten ist strikte untersagt. Diese Auftragsrechner haben geregelte Passwortbestimmungen. Nur eine bestimmte Anzahl Terminals/User können auf diese virtuellen Rechner zugreifen. Diese Terminals haben geregelte Passwortbestimmungen. Diese Terminals haben keinen Zugriff aufs Internet und können keine E-Mails empfangen oder versenden. Jede Anmeldung (Benutzer) an einem Terminal wird protokolliert. Jede Verbindung (Terminal) zu einem Auftragsrechner wird protokolliert; diese Verbindung ist komplett verschlüsselt. Keine vertraulichen Auftragsdaten werden unverschlüsselt über das Firmennetzwerk transportiert.
Datenausgabe:
Daten werden den verarbeitenden Anlagen in maschinenlesbarer Form auf einem geschützten Server zur Verfügung gestellt. Die Zugriffe auf die Daten sind geschützt und werden protokolliert. Diese Daten werden nach Produktionsende automatisch gelöscht.
Datenvernichtung:
Nach Auftragsabschluss (2 Tage nach der Produktion) werden:
– die vertraulichen Auftragsdaten für 3 Monate in ein sicheres Archiv verschoben. Diese Daten können von 2 Personen wiederhergestellt werden. Nach genau 90 Tagen werden dann diese Daten automatisch gelöscht;
– die nicht vertraulichen Auftragsdaten archiviert;
– der Auftragsrechner gelöscht – es bleiben keine Datenreste übrig.
Jegliche Makulatur, Fehlproduktion usw. wird bei uns nach Bankenstandard zertifiziert geschreddert.
Verfahren zur .berprüfung, Bewertung und Evaluierung der Datenschutz- und Datensicherheitsbestimmungen
Die Bestimmungen werden in folgenden Fällen überarbeitet, bewertet und überprüft:
1. Jährliches Audit zur .berprüfung der Einhaltung der Datenschutz- und Datensicherheitsbestimmungen
2. In folgenden Situation wird eine Risikoanalyse mit Optimierungsstrategie durchgeführt:
a. Anpassungen in der IT-Infrastruktur oder IT-Organisation
b. Anpassungen der Gebäudeinfrastruktur (Grundriss, Türen, Schliessanlagen)
c. Gesetzesänderungen
d. Massgebliche technologische Veränderungen
Für Fragen oder bei Unsicherheiten in Bezug auf Datenschutz/Datensicherheit nehmen Sie bitte mit Ihrem Auftragsbearbeiter Kontakt auf.
Druckerei Kyburz AG, 1. Oktober 2020