Wiążące reguły korporacyjne

Odpowiedni i jednolity poziom ochrony danych

Fresenius musi przestrzegać wielu różnych przepisów dotyczących ochrony danych, obowiązujących na całym świecie. Wiążące reguły korporacyjne (BCR) określają jednolity i odpowiedni poziom ochrony danych. Umożliwia to wewnętrzną wymianę danych osobowych między właściwymi podmiotami Fresenius. 

Zasady BCR obowiązują w następujących podmiotach Fresenius:

• Fresenius Kabi AG oraz jego spółkach zależnych/powiązanych 
• Fresenius Digital Technology (FDT)
• Fresenius SE & Co. KGaA

Obowiązują w stosunku do określonych czynności

Zasady BCR obowiązują w stosunku do następujących czynności przetwarzania danych osobowych: 

• Wszelkie czynności w podmiotach europejskich
• Czynności w podmiotach spoza Europy:
• gromadzenie danych w imieniu europejskiego podmiotu Fresenius lub  
  • współpraca z europejskim podmiotem Fresenius 
  • uzyskiwanie danych osobowych od podmiotów europejskich
  • gromadzenie danych osobowych osób na terytorium Europy w celu oferowania dóbr i usług lub w związku z monitorowaniem zachowania.

Zasady BCR dotyczą zarówno procedur opartych na dokumentacji papierowej, jak i elektronicznej. 
Zasady BCR dotyczą wszystkich procesów umożliwiających usystematyzowane wyszukiwanie danych osobowych.

Zasady BCR określają minimalny poziom

Jeśli przepisy ochrony danych osobowych w danym kraju nakładają surowsze lub dodatkowe zasady dotyczące przetwarzania danych osobowych, należy ich również przestrzegać. 
O wszelkich niezgodnościach między przepisami prawa krajowego a BCR należy powiadomić Inspektora ochrony danych (Data Protection Officer, DPO). DPO dokonuje oceny wpływu i rozwiązuje konflikt. 
Jeśli jeden z podmiotów otrzyma wezwanie organu publicznego do ujawnienia danych osobowych, niezgodne z wymogami zasad BCR, należy o tym powiadomić DPO. DPO powiadamia organ nadzorczy w Niemczech.

Zasady BCR obowiązują zarówno organizację, jak i naszych pracowników

Do przestrzegania zasad BCR należy zobowiązać:

• Wszystkie podmioty: przez podpisanie umowy 
• Wszystkich pracowników: są oni zobowiązani do przestrzegania zasad obowiązujących u pracodawcy.

Organizacje i osoby mogą rościć sobie prawa na podstawie tych obowiązków.

Egzekwowanie zasad BCR oraz potencjalne sankcje w przypadku ich naruszenia są takie same, jak w przypadku naruszenia innych zasad.

Grupa Fresenius ustanowiła wewnętrzną organizację ochrony danych, w której wyznaczyła następujące role i obowiązki:

• Inspektor ochrony danych (Data Protection Officer, DPO) monitoruje, tzn. sprawdza i nadzoruje przestrzeganie zasad BCR, przepisów prawa krajowego oraz procedur. DPO może przeprowadzać audyty, weryfikacje i dochodzenia. DPO jest również osobą kontaktową z organami odpowiedzialnymi za ochronę danych w Europie. Dane kontaktowe:

Data Protection Officer:

Else-Kröner-Str. 1
61352 Bad Homburg v.d.H.
Niemcy

Lub za pośrednictwem poczty elektronicznej:

Dla Fresenius SE i FDT:                dataprotectionofficer@fresenius.com

Dla podmiotów Fresenius Kabi:   dataprotectionofficer@fresenius-kabi.com

• Krajowy doradca ds. ochrony danych (Local Data Protection Advisor, LDPA) pomaga i doradza krajowym pracownikom oraz właścicielom procesów w razie pytań lub wątpliwości dotyczących ochrony danych. Tam, gdzie to konieczne, LDPA udziela wsparcia DPA i DPO, np. na ich prośbę udziela wsparcia w monitorowaniu i kontaktach z organami nadzorczymi, przykładowo w przypadku problemów językowych.
• Doradca ds. ochrony danych (Data Protection Advisor, DPA)  udziela wsparcia i porad krajowym doradcom LDPA i odpowiada za system zarządzania ochroną danych. Tam, gdzie to konieczne, DPA udziela wsparcia DPO, np. na jego prośbę udziela wsparcia w monitorowaniu i kontaktach z organami nadzorczymi, przykładowo w przypadku problemów językowych.

W związku z przetwarzaniem danych przestrzegamy szeregu reguł mających na celu zapewnienie ochrony podstawowych praw i wolności osób zgodnie z zasadami BCR. Każdy podmiot musi przestrzegać poniższych reguł w związku z przetwarzaniem danych osobowych:

 

Reguła 1: Zgodność z prawem

Gromadzenie, wykorzystywanie i przetwarzanie danych osobowych zgodnie z udokumentowaną podstawą prawną. Jest ograniczona liczba podstaw prawnych. Należą do nich na przykład:

 

• przetwarzanie jest niezbędne na potrzeby realizacji umowy z osobą, np. umowy o pracę czy umowy sprzedaży
• osoba, której dane dotyczą, udzieliła zgody
• uzasadnione interesy Fresenius przeważają negatywne konsekwencje dla osoby
• konieczność wypełnienia innych obowiązków prawnych, np. przepisów podatkowych, wymogów kontrolnych lub dobrych praktyk.

Szczególne kategorie danych, jak dane o zdrowiu, wymagają dodatkowej podstawy prawnej.

Jeśli przepisy prawa krajowego nakładają dodatkowe lub inne obowiązki, należy ich również przestrzegać (mogą one na przykład dotyczyć danych pracowników).

 

Reguła 2: Transparentność i uczciwość

Dane osobowe należy przetwarzać w uczciwy i transparentny sposób. Przed lub w momencie uzyskania lub wykorzystywania danych osobowych należy informować osoby o tym:

 

• Kto jest odpowiedzialny i jak można się z tą osobą kontaktować
• Jakie dane są gromadzone
• W jaki sposób dane są gromadzone
• Dlaczego potrzebujemy tych danych (cel)
• Jakim organizacjom udostępniamy dane
• Czy udostępniamy je do innych krajów
• Jak długo będziemy przechowywać dane
• Jaka jest podstawa prawna gromadzenia i wykorzystywania danych wraz z wyjaśnieniem (reguła 1)
• Czy osoby są profilowane
• Czy podejmujemy jakiekolwiek decyzje w zautomatyzowany sposób
• Jeśli jest wymóg przekazania danych i co się stanie, jeśli nie zostaną przekazane
• Jakie są dane kontaktowe DPO i organu
• Jakie są prawa osoby, której dane dotyczą.

Informacje te należy przekazać w kompleksowy i zrozumiały sposób za pomocą jasnego i prostego języka.

 

Reguła 3: Ograniczenie wykorzystania

Dane osobowe należy wykorzystywać wyłącznie do określonych, sprecyzowanych i zgodnych z prawem celów, do których są gromadzone. Dalsze wykorzystanie nie jest dozwolone, chyba że jest zgodne z pierwotnym celem lub zostały podjęte dodatkowe środki.

Celami dalszego przetwarzania, które zasadniczo są uważane za zgodne z pierwotnym celem są:

 

• Archiwizowanie
• Wewnętrzny audyt
• Dochodzenie

(L)DPA może doradzić, czy zmiana celu jest dopuszczalna. W razie dopuszczalnej zmiany celu o takiej zmianie należy powiadomić osoby, których dane dotyczą.

 

Reguła 4: Minimalizowanie danych

Należy gromadzić i wykorzystywać tylko te dane osobowe, które są niezbędne do określonego celu, o którym została poinformowana osoba, której dane dotyczą. Oznacza to upewnienie się, że dane osobowe są adekwatne i nie są nadmierne w stosunku do celu.

 

Reguła 5: Rzetelność

Należy dbać o rzetelność i aktualność danych. Należy wdrożyć procedury zapewniające niezwłoczne usuwanie, poprawianie lub aktualizowanie nieprawidłowych danych.

 

Reguła 6: Ograniczone przechowywanie

Nie należy przechowywać danych osobowych dłużej niż to konieczne do celu, do którego zostały zgromadzone, chyba że prawo wymaga dłuższego przechowywania. W takim wypadku należy ograniczyć dostęp do danych. Po ustaniu przyczyny prawnej lub celu dane osobowe należy usuwać lub anonimizować.

 

Reguła 7: Bezpieczeństwo, nienaruszalność i poufność

Należy podjąć stosowne środki techniczne i organizacyjne w celu ochrony danych osobowych przed zniszczeniem, utratą, zmianą, ujawnieniem lub nieuprawnionym dostępem (np. poprzez określenie stosownych ról i praw, tworzenie kopii zapasowych i możliwości odzyskiwania lub kodowanie).

Wdrażając takie środki należy rozważyć ryzyko dla osoby, której dane dotyczą. Podczas instalacji i konserwacji systemów komputerowych należy ocenić ich bezpieczeństwo w świetle tego ryzyka.

Należy dokumentować i zgłaszać do organizacji ochrony danych wszelkie przypadku naruszenia bezpieczeństwa mogące stanowić zagrożenie dla osób, których to dotyczy. W zależności od sytuacji takie naruszenia mogą wymagać zgłoszenia również do organu nadzorczego, osoby, której to dotyczy, lub innych organizacji.

 

Reguła 8: Odpowiedzialność

Wymagane jest wykazanie, że zasady BCR są przestrzegane. W tym celu należy tworzyć i prowadzić stosowną dokumentację, na przykład:

• rejestr czynności związanych z przetwarzaniem danych
• techniczne i organizacyjne środki podjęte w celu zapewnienia zgodności z regułami ochrony danych osobowych i zapobiegania ryzyku
• ocena i kontrola ryzyka związanego z ochroną danych osobowych

Angażowanie podmiotów przetwarzających

 

Należy zatrudniać jedynie te podmioty przetwarzające, które dają wystarczającą gwarancję wdrożenia stosownych środków technicznych i organizacyjnych w sposób zgodny z wymogami zasad BCR oraz przepisów prawa krajowego. Należy to zapewnić przez zawarcie umowy o ochronie danych osobowych pomiędzy danym podmiotem a podmiotem przetwarzającym.

Transfer danych osobowych

Należy wdrożyć środki mające na celu stosowne zabezpieczenie transferu danych osobowych do innych organizacji poza EOG stosownie do niniejszych zasad BCR. Można tego dokonać przez uzgodnienie standardowych klauzul umownych, przyjętych przez Komisję Europejską w stosunku do innych organizacji.

Ocena ryzyka dla ochrony danych osobowych

Dla każdej czynności przetwarzania danych należy przeprowadzić ocenę ryzyka dla ochrony danych osobowych. Ocena ta jest formalną procedurą oceny wpływu czynności na prawa i wolności osoby, której dane dotyczą.

Stwierdzone braki w kontroli i potencjalne ryzyko należy raportować i dokumentować. Przed rozpoczęciem czynności należy wdrożyć techniczne i organizacyjne środki zaradcze.

 

Ocena wpływu na ochronę danych osobowych

Jeśli ocena ryzyka dla ochrony danych wskazuje na wysokie ryzyko, należy przeprowadzić ocenę wpływu na ochronę danych osobowych (Data Protection Impact Assessment, DPIA). Należy zwrócić się o radę do DPO.

Jeśli ocena DPIA wskaże na wysokie ryzyko danej czynności przetwarzania danych, przed rozpoczęciem czynności należy wdrożyć odpowiednie środki zaradcze w celu zmniejszenia tego ryzyka. Jeśli ocena DPIA dalej wskazuje na wysokie ryzyko po wdrożeniu środków zaradczych, przed przetwarzaniem danych należy skonsultować się z właściwym organem nadzorczym.

Osoby muszą mieć zapewnioną możliwość korzystania ze swoich praw (praw osoby, której dane dotyczą):

• Prawo dostępu do danych osobowych: Osoba może poprosić o dostęp do / uzyskać informacje o jej danych osobowych przetwarzanych przez Fresenius (np. cel przetwarzania, kategorie danych osobowych, odbiorcy, okresy przechowywania, czy są zautomatyzowane procesy decyzyjne).
• Prawo do sprostowania danych osobowych: Osoba może poprosić o poprawienie nieprawidłowych lub niepełnych danych osobowych.
• Prawo do usunięcia danych osobowych: Osoba może poprosić o usunięcie jej danych osobowych, chyba że ich przechowywanie jest wymagane, np. na mocy przepisów prawa o przechowywaniu danych.
• Prawo do ograniczenia przetwarzania danych osobowych: Osoba może poprosić o ograniczenie przetwarzania jej danych osobowych, jeśli rzetelność danych osobowych jest kwestionowana lub jeśli przetwarzanie jest niezgodne z prawem (nie jest już wymagane do określonych celów).
• Prawo do otrzymania danych osobowych w formacie przenośnym: Osoba może poprosić o udostępnienie jej danych osobowych w powszechnie używanym formacie możliwym do odczytu maszynowego, jeśli są spełnione następujące warunki:

• Osoba udostępniła dane osobowe
• Przetwarzanie odbywa się na podstawie zgody osoby lub umowy z osobą
• Przetwarzanie odbywa się w sposób zautomatyzowany.

• Prawo do sprzeciwu wobec przetwarzania danych osobowych: Osoba może, z przyczyn osobistych, wyrazić sprzeciw wobec przetwarzania jej danych osobowych z uwagi na uzasadniony lub publiczny interes. Taki wniosek należy rozpatrzyć. Ponadto osoba może wyrazić sprzeciw wobec marketingu bezpośredniego i profilowania. W takiej sytuacji należy zaprzestać przetwarzania.
• Prawo do wyrażenia sprzeciwu wobec bycia przedmiotem zautomatyzowanego procesu decyzyjnego: Osoba ma prawo do wyrażenia sprzeciwu wobec bycia przedmiotem zautomatyzowanego procesu decyzyjnego (w tym profilowania), mogącego skutkować prawnymi lub podobnymi znaczącymi konsekwencjami dla osoby, chyba że:

• Jest to konieczne do zawarcia lub realizacji umowy pomiędzy osobą a danym podmiotem
• Odbywa się na podstawie wyraźnej zgody

Dostęp do zasad BCR

Należy udostępnić osobom zasady BCR we właściwy sposób. Należy opublikować zasady BCR w internecie i intranecie. 

Osoby mogą również poprosić o dostęp do zasad BCR właściwego DPO lub dowolnego członka organizacji ochrony danych.

 

Przetwarzanie zgodne z zasadami BCR

Każda osoba ma prawo:

• Zgłosić podejrzenie naruszenia zasad BCR, przepisów prawa krajowego dotyczących ochrony danych, nakazów organów nadzorczych, wewnętrznych zasad i wytycznych lub dobrowolnych zobowiązań odnośnie ochrony danych
• Egzekwować własne prawa
• Egzekwować pozostałe prawa wynikające z zasad BCR.

Wszelkie tego typu skargi można zgłaszać telefonicznie, mailowo, listownie, ustnie do właściwego DPO lub właściwego (L)DPA, lub na infolinię dedykowaną sprawom dotyczącym compliance.

Jeśli skarga zostanie uznana za uzasadnioną, podmiot podejmie stosowne działania w celu jej naprawienia, o czym powiadomi osobę w ciągu miesiąca.

 

Odpowiedzialność i egzekwowanie zasad

Osoby, które poniosły szkody w wyniku przetwarzania ich danych osobowych, mają prawo egzekwować odpowiednie części zasad BCR oraz, jeśli to stosowne, dochodzić roszczeń przed właściwym sądem.

W przypadku udowodnionego naruszenia przez podmioty ustanowione poza UE/EOG FSE przyjmuje odpowiedzialność za odszkodowanie należne osobie. Podmiot, który spowodował powstanie szkody, ma obowiązek udzielić FSE stosownego wsparcia w celu stosownej i terminowej reakcji na takie skargi.

 

Współpraca z organami nadzorczymi

Każdy podmiot ma obowiązek współpracy z organami nadzorczymi, stosowania się do porad dotyczących interpretacji niniejszych zasad BCR oraz umożliwiania przeprowadzania audytów przez właściwe organy nadzorcze.

 

Szkolenia

Każdy podmiot zobowiąże pracowników do udziału w szkoleniu dotyczącym zasad BCR oraz ochrony danych i do okresowego powtarzania takiego szkolenia. Szkolenie ogólne z udziałem wszystkich właściwych pracowników należy powtarzać co najmniej raz na dwa lata. Ponadto należy organizować szczegółowe szkolenia dla poszczególnych ról (np. działu kadr lub zamówień), stosownie do potrzeb danych pracowników.

 

Audyty

Wszystkie strony zgadzają się na okresowe (planowane lub doraźne) audyty w celu oceny i zbadania zgodności z zasadami BCR oraz wdrażanie stosownych i wystarczających mechanizmów w celu usunięcia niezgodności z zasadami BCR w danym podmiocie. Organizacja ochrony danych po przeprowadzonym audycie zbada, czy proponowane działania naprawcze zostały właściwie wdrożone i udokumentuje wyniki w raporcie z audytu. Każdy podmiot udostępni raporty z audytu na prośbę organów nadzorczych.

 

Aktualizacja zasad BCR

Strony mają obowiązek śledzić zmiany w krajowych przepisach prawa ochrony danych i wskazywać konieczne zmiany w zasadach BCR. Fresenius może wprowadzać zmiany w zasadach BCR w razie potrzeb. Poszczególne podmioty i organ nadzorczy będą niezwłocznie informowane o wszelkich istotnych zmianach w zasadach BCR. Strony będą informowane o innych, mniej istotnych zmianach w zasadach BCR tak szybko, jak to będzie możliwe.

 

Zarządzanie wyjściem

 

Jeśli dany podmiot przestanie przestrzegać zasad BCR (np. po rozwiązaniu umowy wewnątrzgrupowej), podmiot ten

• zwróci wszelkie dane osobowe stronom, od których te dane otrzymał, albo
• zniszczy wszelkie takie dane osobowe zgodnie z zasadami prawa krajowego dotyczącymi przechowywania danych, albo
• zapewni wystarczające zabezpieczenie takich danych osobowych (na przykład przez zawieranie standardowych klauzul umownych).