Un niveau de protection des données adéquat et uniforme
Fresenius doit respecter de nombreuses lois relatives à la protection des données à travers le monde. Ces règles d’entreprise contraignantes (BCR) définissent un niveau de protection des données uniforme et adéquat. Cela a pour but de permettre un échange interne de données à caractère personnel entre les différentes entités composant Fresenius.
Valables dans le monde entier
Les BCR valent pour les entités Fresenius suivantes :
- Fresenius Kabi AG, toutes les filiales / succursales incluses
- Fresenius Digital Technology (FDT)
- Fresenius SE & Co. KGaA
Valables pour certaines activités
Les BCR s’appliquent aux activités de traitement de données à caractère personnel suivantes :
- Toutes les activités exercées par des entités européennes
- Les activités des entités non européennes :
• lorsqu’elles collectent des données à caractère personnel au nom d’une entité Fresenius européenne ou
• lorsqu’elles collaborent avec une entité Fresenius européenne
• lorsqu’elles réceptionnent des données à caractère personnel transmises par des entités européennes
• lorsqu’elles collectent des données à caractère personnel relatives à des personnes situées au sein de l’Union européenne afin de leur proposer des biens et des services.
Les BCR s’appliquent à la fois aux traitements sur papier et aux traitements informatisés.
Les BCR valent pour tous les traitements permettant la recherche structurée de données à caractère personnel.
Les BCR définissent le standard minimum
Si une quelconque loi locale relative à la protection des données requiert l’application de règles plus strictes ou supplémentaires dans le cadre du traitement de données à caractère personnel, elle doit être respectée en sus des règles internes de Fresenius.
Si une loi locale contredit les dispositions des BCR, Le délégué à la protection des données (Data Protection Officer - DPO) doit en être informé. Le DPO passera en revue l’impact de la loi concernée et solutionnera le conflit.
Si une autorité demande à une entité de révéler des données à caractère personnel d'une manière allant à l’encontre des exigences établies par les BCR, Le DPO doit en être informé. Le DPO en informera alors l’autorité de contrôle allemande.
Les BCR sont contraignantes pour l’ensemble de notre organisation et de nos employés
Les BCR doivent être observées et sont contraignantes pour :
- Toutes les entités : elles ont signé un contrat
- Tous les employés : ils ont le devoir de suivre les procédures de l’entreprise comme cela est stipulé dans leur contrat de travail.
Les organisations et les personnes physiques peuvent disposer de droits liés à ces obligations.
Les sanctions potentielles résultant de violations faites aux dispositions des BCR sont identiques à celles appliquées en cas de violations faites à n’importe quelle autre procédure.