Privacy Statement für die Pharmazeutische Gehaltskasse

Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden in der GK durch Informationstechnik maßgeblich unterstützt. Nahezu alle Informationen, die das Know How der GK ausmachen, liegen in elektronischer Form vor, aber unter IT-Sicherheit versteht man auch solche Daten, die nicht in den Systemen gespeichert werden. Vor dem Hintergrund der externen und internen Anforderungen ist Informationssicherheit und Datenschutz ein integraler Bestandteil unserer Unternehmensphilosophie. Die GK verfolgt eine moderate Entwicklungsstrategie, welche besagt, dass die Entwicklung der Informatik als wichtig angesehen wird, aber nicht alle strategischen Unternehmensbereiche in gleichem Ausmaß betrifft. Die Erarbeitung der strategisch relevanten Geschäftsprozesse erfolgt im Rahmen einer Business Impact Analyse.

1.1 Allgemeines

Die Pharmazeutische Gehaltskasse für Österreich (kurz GK) ist das Sozial- und Wirtschaftsinstitut der österreichischen Apothekerinnen und Apotheker. Die GK ist eine Körperschaft des öffentlichen Rechts, und ihr Rechts- und Wirkungsbereich erstreckt sich über das gesamte Bundesgebiet. Sie untersteht der Aufsicht des Bundesministeriums für Arbeit, Soziales, Gesundheit und Konsumentenschutz.

Die GK hat ihren Sitz im Apothekerhaus in der Spitalgasse 31 in 1090 Wien. Die GK gliedert sich in 6 Abteilungen, um die Kernprozesse der Körperschaft nach den gesetzlichen Vorgaben umzusetzen.

Der GK obliegt nach Maßgabe des Gehaltskassengesetzes 2002:

  • die Bemessung und Auszahlung der Bezüge aller in öffentlichen Apotheken oder in Anstaltsapotheken auf Grund eines Dienstvertrages angestellten Apotheker und Aspiranten,
  • die Errichtung eines Reservefonds zur Sicherstellung der Besoldung,
  • die Verrechnung ärztlicher Verschreibungen (Rezepte), auf Grund deren die öffentlichen Apotheken und die Anstaltsapotheken Arzneimittel für Rechnung der Sozialversicherungsträger und sonstiger juristischer Personen abzugeben haben, denen auf Grund gesetzlicher Vorschriften beim Arzneimittelbezug Nachlässe zu gewähren sind (begünstigter Bezieher),
  • die unentgeltliche, gemeinnützige Stellenvermittlung für Mitglieder und Berufsanwärter sowie
  • die Errichtung eines Wohlfahrts- und Unterstützungsfonds und die Gewährung von einmaligen und widerkehrender Leistungen an Mitglieder und ehemalige Mitglieder, deren Angehörige oder Hinterbliebene sowie an Studierende der Pharmazie aus diesem Fonds.

1.1.1 Stellenwert der IT-Sicherheit und des Datenschutzes

Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden in der GK durch Informationstechnik maßgeblich unterstützt. Nahezu alle Informationen, die das Know How der GK ausmachen, liegen in elektronischer Form vor, aber unter IT-Sicherheit versteht man auch solche Daten, die nicht in den Systemen gespeichert werden. Vor dem Hintergrund der externen und internen Anforderungen ist Informationssicherheit und Datenschutz ein integraler Bestandteil unserer Unternehmensphilosophie. Die GK verfolgt eine moderate Entwicklungsstrategie, welche besagt, dass die Entwicklung der Informatik als wichtig angesehen wird, aber nicht alle strategischen Unternehmensbereiche in gleichem Ausmaß betrifft. Die Erarbeitung der strategisch relevanten Geschäftsprozesse erfolgt im Rahmen einer Business Impact Analyse.

Dem gesetzlichen Auftrag entsprechend, werden personenbezogene Daten verarbeitet, weshalb der Datenschutz eine wichtige Rolle einnimmt. Die Wahrung der Persönlichkeitsrechte und die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz hat einen hohen Stellenwert. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht.

Eine Vertraulichkeitsverletzung kann hohen kommerziellen Schaden verursachen, weil dadurch nachteilige Folgen für die GK entstehen können. Jeder wahrgenommene Fall von Vertraulichkeitsverletzung würde aber jedenfalls einen großen Imageschaden für die GK und die österreichische Apothekerschaft darstellen und die vertraulichen Geschäftsprozesse und die Zusammenarbeit mit den Körperschaften und Vereinen im Apothekerhaus, sowie mit externen Geschäftspartnern und Behörden gefährden.

1.1.2 Sicherheitsanforderungen durch interne und externe Stakeholder

Es liegt in der Verantwortung der GK, die Sicherheit in der Informationstechnik für die Mitglieder, Mitarbeiter, Behörden und Geschäftspartner zu gewährleisten. Dabei werden die speziellen Anforderungen an die Verarbeitung von personenbezogenen bzw. sensiblen Daten berücksichtigt.

Das Vertrauen unserer Stakeholder beruht darauf, dass wir

  • die gesetzlichen Vorgaben und insbesondere die Datenschutzgesetze einhalten,
  • die Vertraulichkeit der Daten unserer Mitglieder wahren
  • und Dienstleistungen in der geplanten und zugesicherten Zeit abwickeln.


Vor diesem Hintergrund ist die GK davon abhängig, dass sie bestehende Risiken für die genannten Ziele erkennt, durch geeignete Maßnahmen vermeidet bzw. mindert und Restrisiken geeignet behandelt. Mit dem IT-Risikomanagement wird sichergestellt, dass die Sicherheitsanforderungen auf das definierte Sicherheitsniveau gebracht und auch gehalten werden.

1.1.3 Allgemeine Informationspflichten gemäß DSGVO

Gemäß DSGVO Artikel 37 Absatz 1 lit a und c ist ein Datenschutzbeauftragter zu benennen.

Beschwerdestelle:

Österreichische Datenschutzbehörde
Wickenburggasse 8-10
1080 Wien
+43 1 52152-2569
dsb@dsb.gv.at
https://www.dsb.gv.at

Verantwortlicher:

Dr. Wolfgang Nowatschek
Spitalgasse 31
1090 Wien
+43 1 40414-200
office@gk.or.at

Vertreterin des Verantwortlichen:

Dr. Brigitte Wunsch
Spitalgasse 31
1090 Wien
+43 1 40414-200
office@gk.or.at

Datenschutzbeauftragter:

Ing. Walter M. Bugnar
Spitalgasse 31
1090 Wien
+43 1 40414-200
walter.bugnar@gk.or.at


1.2 Informationen zur Datenverarbeitung iS Art. 13 und 14 DSGVO

Die GK erhebt, verarbeitet, gespeichert und archiviert personenbezogene Daten um die im Gehaltskassengesetz 2002 aufgeführten Aufgaben und Tätigkeiten erfüllen zu können. Die personenbezogenen Daten werden ausschließlich in Österreich verarbeitet, gespeichert und archiviert. Das Recht der Person auf die Datenübertragbarkeit kann nicht angewendet werden, da es nur eine GK gibt. Die GK führt keine automatisierten Entscheidungsfindungen einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 DSGVO durch.

Erhebt die GK personenbezogene Daten (entweder direkt über die Person oder über Dritte), die über den gesetzlichen Auftrag hinausgehen, wird die betroffene Person wie folgt informiert:

  • Name und die Kontaktdaten des Verantwortlichen sowie seines Vertreters,
  • Name und die Kontaktdaten des Datenschutzbeauftragten,
  • Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
  • die personenbezogenen Daten werden ausschließlich in Österreich verarbeitet, gespeichert und archiviert,
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte,Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung.


Folgende Datenverarbeitungen führt die GK durch:

  1. Beratung,
  2. Bewerbungsmanagement,
  3. GK-Interne Verwaltungstätigkeit,
  4. IT Betrieb, Support und Dienstleistung,
  5. Leistungsgewährung,
  6. Personalverwaltung,
  7. Rezeptverrechnung und Impfaktionen,
  8. Stellenvermittlung,
  9. Umlagenvorschreibung Betrieb,
  10.  Verrechnung / Auszahlung der Gehaltskassenbezüge,
  11.  Verwaltung ausgeschiedenes Personal.


Diese Information wird auf der Homepage der GK veröffentlich und im Anlassfall darauf per Link unter Angabe der URL referenziert.

1.3 Individuelle Vereinbarungen insbesondere Zustimmungs- und Widerrufsregeln

Die GK trifft keine individuellen Vereinbarungen insbesondere Zustimmungs- und Widerrufsregeln mit betroffenen Personen.

1.4 Informationen zum Bestehen besonderer Risken iS Art. 35

Eine Datenschutz-Folgeabschätzung ist für die Anwendungen

  • Rezeptverrechnung und Impfaktionen,
  • Verrechnung / Auszahlung der Gehaltskassenbezüge (vormals Mitgliederkataster)

aufgrund von

  • Artikel 35 Absätze 1 und 3 lit a und b

durchgeführt worden.

1.5 Informationen zur Vorgangsweise bei Datenschutzverletzungen iS Art. 34

Der Verantwortliche der GK hat folgende Vorkehrungen zur Verhinderung von Datenschutzverletzungen installiert:

  1. Es sind geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen sind auf die von der Verletzung betroffenen personenbezogenen Daten angewandt.
  2. Der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Artikel

34 Absatz 1 DSGVO aller Wahrscheinlichkeit nach nicht mehr besteht,

  • 1.1 Stellenwert der IT-Sicherheit und des Datenschutzes,
  • 1.2 Sicherheitsanforderungen durch interne und externe Stakeholder.

Aufgrund der getroffenen Maßnahmen wird die betroffene Person nur auf ausdrückliches Verlangen der Aufsichtsbehörde hinsichtlich einer Datenschutzverletzung informiert.

1.6 Informationen über Binding Corporate Rules und ihre Umsetzung bzw. Durchsetzbarkeit für Betroffene iS Art. 47

Die GK ist eine Körperschaft des öffentlichen Rechts, und ihr Rechts- und Wirkungsbereich erstreckt sich ausschließlich über das gesamte Bundesgebiet.

Die GK gehört keiner Unternehmensgruppe an.