Binding Corporate Rules

För att konsekvent reglera det sätt på vilket personuppgifter hanteras eller processer bland koncernbolagen inom affärssegmenten Fresenius Kabi (Fresenius Kabi AB och dess närstående bolag) och Fresenius Corporate antog vi bindande företagsregler (BCR). Dessa BCR är godkända av de europeiska dataskyddsmyndigheterna.

BCR är interna regler för databehandling inom multinationella organisationer och syftar tillsammans med tillhörande säkerhetspolicyer och rutiner till att skapa en globalt enhetlig och adekvat nivå av dataskydd för de deltagande företagen.

Engagemang för en gemensam standard för behandling av personuppgifter och ett effektivt tillvägagångssätt för efterlevnad av dataskydd förstärker vårt åtagande att skydda din integritet på global och lokal nivå

Om du är intresserad av våra bindande företagsregler, vänligen ta en titt på dokumentet eller sammanfattningen nedan:

Fresenius Kabi Binding Corporate Rules Document

Filename
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
Size
415 KB
Format
pdf
Fresenius Kabi Binding Corporate Rules Document

Sammanfattning av de bindande företagsbestämmelserna (BCR)

Detta dokument är en sammanfattning och ersätter inte BCR-dokumentet. BCR-dokumentet är i samtliga fall det enda dokumentet som är rättsligt gällande.

En fullgod och enhetlig dataskyddsnivå

Fresenius måste följa många dataskyddslagar över hela världen. De bindande företagsbestämmelserna (BCR) anger en enhetlig och fullgod dataskyddsnivå. Detta möjliggör internt utbyte av personuppgifter inom ramen för Fresenius olika enheter. 

Tillämpliga världen över

BFB gäller för följande Fresenius-enheter:
-    Fresenius Kabi AG inklusive alla dotterbolag/filialer 
-    Fresenius Digital Technology (FDT)
-    Fresenius SE & Co. KGaA

Tillämpliga för vissa aktiviteter

BCR tillämpas vid följande processer för personuppgiftsbehandling: 

  • Alla aktiviteter hos europeiska enheter
  •  Aktiviteter hos icke-europeiska enheter:
    • När de samlar in personuppgifter åt en europeisk Fresenius-enhet. 
    • När de samarbetar med en europeisk Fresenius-enhet. 
    • När de mottar personuppgifter från europeiska enheter.
    • När de samlar in personuppgifter från personer bosatta i Europa för att erbjuda produkter och tjänster, eller i samband med övervakningsuppgifter.

BCR tillämpas för både pappersbaserade och IT-baserade processer. 
BCR tillämpas för alla processer som tillåter strukturerad sökning efter personuppgifter.

BCR anger miniminivån

Eventuella lokala dataskyddslagar som kräver striktare eller kompletterande regler för behandling av personuppgifter ska också följas. 
Om en lokal lag står i strid mot BCR måste dataskyddsombudet (DPO) informeras om detta. DPO bedömer effekten och löser konflikten. 
Om en enhet mottar en begäran från en myndighet om att lämna ut personuppgifter som inte är i linje med kraven i BCR, ska DPO informeras. DPO informerar i sin tur tillsynsmyndigheten i Tyskland.

BCR är bindande för organisationen och våra medarbetare

BCR måste följas och är bindande för:
-    Alla enheter: de undertecknar ett avtal. 
-    Alla medarbetare: de är förpliktade att följa företagspolicyer baserat på sitt anställningsavtal.
Organisationer och personer kan erhålla rättigheter enligt dessa förpliktelser. 
Tillämpandet av BCR och genomdrivandet av potentiella sanktioner på grund av överträdelser är desamma som vid varje annan policyöverträdelse.

Fresenius Group etablerade en intern dataskyddsorganisation och tilldelade följande roller och ansvarsområden:

  • Dataskyddsombudet (DPO) övervakar, dvs. kontrollerar och säkerställer att BCR, lokala lagar, regler och processer följs. DPO kan utföra revisioner, inspektioner och undersökningar. Dessutom är DPO kontaktpunkt för de europeiska dataskyddsmyndigheterna. Kontaktuppgifter:

Dataskyddsombud:
Else-Kröner-Str. 1
61352 Bad Homburg v.d.H.
Tyskland
E-post:
För Fresenius SE och FDT: dataprotectionofficer@fresenius.com
För Fresenius Kabi-enheter: dataprotectionofficer@fresenius-kabi.com

  • Lokal personuppgiftsansvarig (LDPA) hjälper och råder lokala medarbetare såväl som processägare vid eventuella frågor eller funderingar relaterade till dataskydd. Vid behov stödjer LDPA företagets personuppgiftsansvariga (DPA) och DPO, t.ex. på begäran med företagets övervakningsfunktion och kontakt med tillsynsmyndigheter vid exempelvis språkfrågor.
  • DPA erbjuder support- och konsulttjänster för LDPA och ansvarar för dataskyddssystemet. Vid behov stödjer DPA DPO, t.ex. på begäran med dess övervakningsfunktion och kontakt med tillsynsmyndigheter vid exempelvis språkfrågor.

När vi behandlar personuppgifter ska vi följa flera principer för att skydda individernas grundläggande rättigheter och friheter i enlighet med BCR. Varje enhet måste iaktta följande principer vid behandling av personuppgifter: 

Princip 1: Laglighet

Ha en dokumenterad rättslig grund vid insamling, användning och behandling av personuppgifter. Sådana rättsliga grunder listas med begränsningar. Exempel är: 

  • Behandlingen är nödvändig för att uppfylla ett avtal med individen, t.ex. anställningsavtal och försäljningsavtal.
  • Individen har gett sitt samtycke.
  • Fresenius berättigade intressen är större än de negativa konsekvenserna för individerna.
  • Behovet av att uppfylla andra rättsliga skyldigheter, t.ex. skattelagar, krav på vaksamhet eller GxP-krav.

Särskilda kategorier av uppgifter, bland annat hälsouppgifter, kräver kompletterande rättsliga grunder.
Om lokal lagstiftning kräver kompletterande eller avvikande bestämmelser måste även dessa följas (detta kan bland annat vara relevant för uppgifter om medarbetare).

Princip 2: Öppenhet och rättvisa

Hantera personuppgifter på ett rättvist och öppet sätt. Informera individer innan eller vid insamling och användning av personuppgifter om: 

  • Vem som är ansvarig och hur vederbörande kan kontaktas.
  • Vilka uppgifter som samlas in.
  • Hur uppgifterna samlas in.
  • Varför vi behöver uppgifterna (syfte).
  • Med vilka organisationer uppgifterna delas.
  • Om de delas med andra länder.
  • Hur länge uppgifterna lagras.
  • Den rättsliga grunden till insamling och användning av uppgifter samt en förklaring av detta (princip 1).
  • Om individerna profileras.
  • Om vi fattar några beslut med hjälp av automatiserade medel.
  • Om uppgifterna måste lämnas och vad som händer om detta inte sker.
  • Kontaktuppgifter till DPO och myndighet.
  • Individernas rättigheter.

All denna information måste ges i ett detaljerat och lättåtkomligt format och på ett tydligt och lättläst språk. 

Princip 3: Begränsat syfte

Personuppgifter används endast till de specificerade, uttryckliga och rättsliga syften för vilka de samlas in. Annan användning är inte tillåten, såvida inte denna användning är i linje med det ursprungliga syftet och/eller kompletterande åtgärder vidtas.
Syften för ytterligare behandling som i allmänhet anses vara i linje med det ursprungliga syftet är: 

  • Arkivering
  • Internrevision 
  • Undersökningar

(L)DPA kan ge råd om huruvida en ändring av syftet kan vara tillåten. I händelse av en tillåten ändring av syftet måste individer informeras om sådan ändring.

Princip 4: Dataminimering 

Samla in och använd endast uppgifter som är nödvändiga för det definierade syftet så som det har kommunicerats till individen. Det innebär att säkerställa att personuppgifter är relevanta och inte orimliga i förhållande till syftet.

Princip 5: Noggrannhet

Kontrollera att personuppgifter är korrekta och aktuella. Procedurer ska implementeras för att säkerställa att felaktiga uppgifter raderas, korrigeras eller uppdateras utan dröjsmål.

Princip 6: Lagringsbegränsningar

Lagra inte personuppgifter längre än nödvändigt för syftet som de insamlats för, såvida inte detta är ett rättsligt krav. I sådana fall ska åtkomst till uppgifterna vara begränsad. Radera eller anonymisera personuppgifter om det inte längre finns något rättsligt skäl eller syfte.

Princip 7: Säkerhet, integritet och sekretess

Vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot förstörelse, förlust, ändringar, avslöjande eller åtkomst (t.ex. genom ett lämpligt roll- och rättighetskoncept, säkerhetskopiering och återställning eller med hjälp av kryptering). 
När sådana åtgärder implementeras måste riskerna för individen beaktas. IT-systemens säkerhet måste bedömas med dessa risker för ögonen vid installation och underhåll av IT-system. 
Dokumentera och rapportera varje brott mot säkerheten som sannolikt resulterar i en risk för de berörda individerna till dataskyddsorganisationen. Beroende på situationen ska sådana brott även meddelas till tillsynsmyndigheten, individerna eller andra organisationer.

Princip 8: Ansvarsskyldighet

Efterlevnad av BCR ska kunna påvisas. Detta sker genom att skapa och underhålla relevant dokumentation såsom: 

  • Register över behandlingsaktiviteter. 
  • Tekniska och organisatoriska åtgärder som har vidtagits för att efterleva dataskyddsprinciperna och ta itu med riskerna.
  • Risk- och kontrollbedömningar av dataskyddet.

Anlitande av databehandlare

Anlita endast databehandlare som erbjuder tillräckliga garantier om att vidta lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i BCR och lokala dataskyddslagar. Detta måste säkerställas genom ett dataskyddsavtal mellan respektive enhet och databehandlaren.

(Vidare) Överföring av personuppgifter

Vidta åtgärder för att ge ett fullgott skydd vid överföring av personuppgifter till andra organisationer utanför EES i enlighet med dessa BCR. Detta kan göras genom att enas om standardavtalsklausuler, som har antagits av den Europeiska kommissionen, med den andra organisationen.

Riskbedömning

För varje databehandlingsaktivitet ska en riskbedömning av dataskyddet utföras. Denna bedömning är en formell process för att bedöma aktivitetens effekt på respektive berörd persons rättigheter och frihet. 
Identifierade brister och potentiella risker ska rapporteras och dokumenteras. Förmildrande tekniska och organisatoriska åtgärder ska vidtas innan databehandlingsaktiviteten påbörjas. 

Konsekvensbedömning

Om resultatet av riskbedömningen är en hög risk måste en konsekvensbedömning (DPIA) utföras. DPO kommer att rådfrågas om detta.
Om en DPIA identifierar en hög risk för en specifik databehandlingsaktivitet måste lämpliga åtgärder vidtas för att mildra sådana risker innan behandlingsaktiviteten påbörjas. Om DPIA fortfarande indikerar en hög risk efter att åtgärderna har vidtagits ska relevant tillsynsmyndighet rådfrågas innan uppgifterna behandlas.

Individer har rätt att utöva sina rättigheter (de registrerades rättigheter):

 

  • Rätt till information: Individen kan be om att få åtkomst till/information om de personuppgifter som behandlas av Fresenius (t.ex. syftet med behandlingen, vilka kategorier av personuppgifter som berörs, mottagare, lagringsperioder och eventuellt automatiserat beslutsfattande).
  • Rätt till rättelse: Individen kan begära att få felaktiga uppgifter rättade eller kompletterade.
  • Rätt till radering: Individen kan begära radering av sina personuppgifter såvida inte dessa måste lagras av exempelvis rättsliga skäl. 
  • Rätt till begränsning av behandling: Individen kan begära att behandlingen av vederbörandes personuppgifter begränsas om antingen riktigheten i personuppgifterna ifrågasätts eller om behandlingen är olaglig (inte längre nödvändig för definierade syften).
  • Rätt till dataportabilitet: Individen kan begära att få sina personuppgifter i ett allmänt använt och maskinläsbart format om följande förutsättningar är uppfyllda: 
    • Personuppgifter har tillhandahållits av individen. 
    • Behandlingen är baserad på individens samtycke eller ett avtal med individen.
    • Behandlingen utförs med hjälp av automatiska medel.
  • Rätt att göra invändningar: Individen kan, baserat på vederbörandes personliga situation, invända mot behandling av personuppgifterna baserat på legitima eller allmänna intressen. En sådan begäran måste bedömas. Individen kan dessutom invända mot direkt marknadsföring och profilering. Behandlingen ska då genast upphöra. 
  • Rätt att inte bli föremål för automatiserat beslutsfattande: Individen har rätt att inte bli föremål för automatiserat beslutsfattande (inkl. profilering) som kan ha rättsliga eller liknande betydande följder för individen såvida inte:
    • Det är nödvändigt för att ingå eller uppfylla ett avtal mellan individen och respektive enhet.
    • Det är baserat på individens uttryckliga samtycke.

Åtkomst till BCR

BCR måste vara tillgängliga för individer i ett lämpligt format. BCR publiceras på webben och intranätet. 
Individer kan även få åtkomst till BCR genom att kontakta respektive DPO eller annan medlem av dataskyddsorganisationen. 

Hantering av klagomål avseende BCR

Varje individ har rätt att:

  • Göra gällande brott mot BCR, lokala dataskyddslagar, krav från tillsynsmyndigheter, interna policyer och riktlinjer eller frivilliga egna förpliktelser relaterade till dataskydd.
  • Hänvisa till sina individuella rättigheter.
  • Upprätthålla varje annan rättighet i BCR.

Sådana klagomål kan lämnas via telefon, e-post eller brev, eller muntligt genom kontakt med respektive DPO, respektive (L)DPA eller samtal till direktlinjen. 
Om klagomålet anses berättigat kommer enheten att inom en månad vidta lämplig(a) åtgärd(er) för att lösa problemet och informera individen. 

Ansvarsskyldighet och tillämpning

Individer som påverkas av eller har skadats som ett resultat av behandlingen av sina personuppgifter är berättigade att göra gällande dessa delar i BCR och om tillämpligt få kompensation inför en behörig domstol.
I händelse av bevisade brott av parter etablerade utanför EU/EES antar FSE ansvar och skadeståndsskyldighet för eventuellt skadestånd till individerna. Enheten som orsakade skadan ska ge skälig assistans till FSE för att besvara sådana klagomål eller krav inom rimlig tid.

Samarbete med tillsynsmyndigheter

Varje enhet är skyldig att samarbeta med tillsynsmyndigheterna och efterkomma råden avseende tolkningen av dessa BCR, och måste godkänna att granskas av de berörda tillsynsmyndigheterna.

Utbildning

Varje enhet ska anmäla sina medarbetare till en utbildning om BCR och dataskydd, säkerställa att de deltar i denna utbildning och ge denna utbildning på regelbunden basis. Allmän utbildning ska erbjudas alla relevanta medarbetare minst vartannat år. Dessutom ska rollspecifik utbildning (t.ex. för HR- eller inköpsavdelningar) erbjudas med hänsyn till vissa rollers/personers specifika behov.

Revision

Alla parter förpliktar sig att regelbundet revideras (genom planerade eller ad hoc-revisioner) för att utvärdera och testa efterlevnaden av BCR och implementera relevanta och tillräckliga mekanismer för att rätta till en enhets eventuella bristande efterlevnad av BCR. Dataskyddsorganisationen ska följa upp varje utförd revision för att bedöma huruvida föreslagna korrigerande åtgärder har vidtagits samt dokumentera alla resultat i revisionsrapporten. Varje enhet ska på begäran göra revisionsrapporter tillgängliga för tillsynsmyndigheter. 

Uppdatering av BCR

Parter ska granska lokala dataskyddslagar och indikera om ändringar i BCR är nödvändiga. Fresenius kan göra ändringar i BCR vid behov. Varje betydande ändring i BCR kommer genast att rapporteras till varje enhet och till tillsynsmyndigheten. Alla mindre väsentliga ändringar i BCR kommer att rapporteras till parterna så fort som det låter sig göras.

Utträdeshantering

Om en enhet slutar hålla sig till BCR (dvs. genom uppsägning av respektive internt koncernavtal), ska sådan enhet antingen: 

  • Återlämna alla personuppgifter till varje part varifrån uppgifter har erhållits. 
  • I enlighet med lokala datalagringsföreskrifter förstöra alla sådana personuppgifter. 
  • Tillhandahålla tillräckliga garantier med hänsyn till sådana personuppgifter (t.ex. med hjälp av standardavtalsklausuler).