Obligation to comply with data protection legislation

Carla Araos Yoga
Nordstrasse 195
8037 Zürich

We undertake to comply with the applicable data protection provisions of the revised Data Protection Act (rev-DSG) and the European General Data Protection Regulation (EU GDPR).

The principles for the processing of personal data are laid down in Art. 6 revDSG, among others, and essentially include the following obligations, which we are aware of:

  • Personal data may only be processed lawfully.
  • Their processing must be carried out in good faith and must be proportionate.
  • Personal data may only be obtained for a specific purpose that is recognisable to the data subject; it may only be processed in a way that is compatible with this purpose.
  • Personal data is destroyed or anonymised as soon as it is no longer required for the purpose of processing.
  • Anyone who processes personal data must ensure that it is correct. He or she must take all reasonable measures to ensure that data that is incorrect or incomplete with regard to the purpose of its collection or processing is rectified, erased or destroyed. The appropriateness of the measures depends in particular on the type and scope of the processing and the risk that the processing poses to the personality or fundamental rights of the data subjects.

We confirm in particular the following:

  1. Register of processing activities: If we have 250+ employees (heads) or process sensitive data on a large scale or carry out high-risk profiling, we keep a register of our activities.
  2. Data protection declaration: Any planned procurement of personal data that is not required by law is noted in the data protection declaration (DPA). We draw people’s attention to the DSE (GTC, forms, apps, etc.). The DSE is communicated on our website, if we have one.
  3. Processors: If we entrust the processing of our data to an IT provider or another party, we conclude a commissioned data processing agreement (DPA).
  4. Notification of data security breaches: If the confidentiality, integrity or availability of personal data is breached AND the risk of negative consequences for individuals is high, we notify the Federal Data Protection and Information Commissioner (FDPIC).
  5. Safeguarding the rights of data subjects: We correctly identify the person in advance. We provide a person with information about their own personal data and certain other information on request. Any person can request data correction. Any person can request the deletion of their data. In certain cases, we must disclose personal data.
  6. Data protection by default: Where we have data protection settings in apps, on websites, etc., these are set to the minimum. Where we have data protection settings in apps, on websites, etc., these are set to the minimum to ensure that the processing of personal data is limited to the minimum necessary for the intended purpose.
  7. Confidentiality: We keep personal data entrusted to us for professional purposes confidential or we make it clear in advance that we will not keep the data confidential.

Zürich, 6.01.2023

Carla Araos
Course Provider

Verpflichtung zur Einhaltung der Datenschutzgesetzgebung

Carla Araos Yoga
Nordstrasse 195
8037 Zürich

Wir verpflichten uns, die geltenden Datenschutzbestimmungen des revidierten Datenschutzgesetzes (rev-DSG) sowie der Europäischen Datenschutzgrundverordnung (EU-DSGVO) einzuhalten.

Die Grundsätze für die Verarbeitung personenbezogener Daten sind u.a. in Art. 6 revDSG festgelegt und beinhalten im Wesentlichen folgende Verpflichtungen, welche uns bekannt sind:

  • Personendaten dürfen nur rechtmässig bearbeitet werden.
  • Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein.
  • Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
  • Personendaten werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
  • Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Die Angemessenheit der Massnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringt.

Wir bestätigen insbesondere was folgt:

  1. Verzeichnis der Bearbeitungstätigkeiten: Falls wir 250+ Mitarbeiter (Köpfe) haben oder sensitive Daten in grossem Umfang bearbeiten oder Hochrisiko-Profiling betreiben, führen wir ein Verzeichnis unserer Aktivitäten.
  2. Datenschutzerklärung: Jede planmässige, gesetzlich nicht erforderliche Beschaffung von Personendaten ist in der Datenschutzerklärung (DSE) vermerkt. Wir weisen die Personen auf die DSE hin (AGB, Formulare, Apps etc.). Die DSE ist auf unserer Website kommuniziert, sofern wir über eine solche verfügen.
  3. Auftragsbearbeiter: Falls wir einem IT-Provider oder sonst jemandem die Bearbeitung unserer Daten anvertrauen, schliessen wir einen Auftragsdatenverarbeitungsvertrag (ADV) ab.
  4. Meldung von Verletzungen der Datensicherheit: Ist die Vertraulichkeit, die Integrität oder Verfügbarkeit von Personendaten verletzt UND das Risiko negativer Folgen für einzelne Personen hoch, machen wir eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
  5. Wahrung der Rechte der Betroffenen: Wir identifizieren die Person vorgängig richtig. Wir geben einer Person Auskunft über ihre eigenen Personendaten und auf Wunsch bestimmte weitere Infos. Jede Person kann Datenkorrektur verlangen. Jede Person kann die Löschung ihrer Daten verlangen. In bestimmten Fällen müssen wir Personendaten herausgeben.
  6. Datenschutz als Standard: Wo wir in Apps, auf Websites etc. Einstellungen zum Datenschutz haben, sind diese auf das Minimum voreingestellt, um sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
  7. Vertraulichkeit: Uns anvertraute, beruflich nötige Personendaten halten wir geheim oder wir stellen vorab klar, dass wir die Daten nicht geheim halten werden.

Zürich, 6.01.2023

Carla Araos
Kursanbieter