Regras Corporativas Vinculantes

Um nível adequado e uniforme de proteção de dados

A Fresenius precisa seguir muitas leis de proteção de dados em todo o mundo. As Binding Corporate Rules (BCR) estabelecem um nível uniforme e adequado de proteção de dados. Isso permite a troca interna de dados pessoais entre as entidades da Fresenius em seu escopo.

Aplicável em todo o mundo

As BCR se aplicam às seguintes entidades da Fresenius:

• Fresenius Kabi AG, incluindo todas as subsidiárias/afiliadas
• Fresenius Digital Technology GmbH
• Fresenius SE e Co. KGaA

Aplicável a determinadas atividades

As BCR se aplicam às seguintes atividades de processamento de dados pessoais:

• Todas as atividades de entidades europeias.
• Atividades de entidades não europeias:
  • Quando eles coletam dados pessoais em nome de uma entidade europeia da Fresenius ou
  • Quando colaboram com uma entidade europeia da Fresenius
  • Quando recebem dados pessoais de entidades europeias
  • Quando eles coletam dados pessoais de pessoas localizadas na Europa para a oferta de bens e serviços ou relacionados ao monitoramento de comportamento.

As BCRs se aplicam tanto a processos baseados em papel quanto a processos baseados em TI.

As BCR se aplicam a todos os processos que permitem a pesquisa estruturada de dados pessoais.

A BCR define o nível mínimo

Se houver leis locais de proteção de dados que exijam regras mais rígidas ou adicionais sobre o processamento de dados pessoais, elas deverão ser observadas adicionalmente.

Se uma lei local contradisser as BCR, o Diretor de Proteção de Dados (DPO) deverá ser informado. O DPO avaliará o impacto e resolverá o conflito.

Se uma entidade receber uma ordem de uma autoridade para divulgar dados pessoais que não estejam de acordo com os requisitos das BCRs, o DPO precisará ser informado. O DPO informará a autoridade supervisora na Alemanha.

As BCR são obrigatórias para a organização e para nossos funcionários

As BCR precisam ser obrigatórias e são vinculantes para:

• Todas as entidades: elas assinam um contrato
• Todos os funcionários: eles têm o dever de seguir as políticas corporativas com base em seu contrato de trabalho.

As organizações e as pessoas podem obter direitos de acordo com essas obrigações.

A aplicação das BCRs e as possíveis sanções decorrentes de violações são as mesmas de qualquer outra violação de política.

O Grupo Fresenius estabeleceu uma organização interna de proteção de dados e atribuiu as seguintes funções e responsabilidades:

• O encarregado da proteção de dados (DPO) monitora, ou seja, verifica e supervisiona se as BCRs, as leis locais, as regras e os processos são seguidos. O DPO pode realizar auditorias, revisões e investigações. Os detalhes de contato são:

Diretor de Proteção de Dados:

Fresenius Kabi Brasil
Av. Marginal Projetada, 1652 - Tamboré,
Barueri - SP, 06460-200
E-mail: marco.cruz@fresenius-kabi.com

Coordenadora de Proteção de Dados:

Fresenius Kabi Brasil
Av. Marginal Projetada, 1652 - Tamboré,
Barueri - SP, 06460-200
E-mail: iarima.turtera@fresenius-kabi.com

• O consultor local de proteção de dados (LDPA) ajuda e aconselha os funcionários locais, bem como os proprietários de processos, sempre que tiverem dúvidas ou preocupações relacionadas à proteção de dados. Quando necessário, o LDPA apoia o DPA e o DPO, por exemplo, quando solicitado em sua função de monitoramento e contato com as autoridades de supervisão, por exemplo, devido a questões de idioma.
• O Data Protection Advisor (DPA) fornece tarefas de suporte e consultoria para as LDPAs e é responsável pelo sistema de gerenciamento de proteção de dados. Quando necessário, o DPA apoia o DPO, mediante solicitação, em sua função de monitoramento e contato com as autoridades de supervisão, por exemplo, devido a questões de idioma.

Ao processar dados pessoais, seguiremos vários princípios para proteger os direitos e liberdades fundamentais dos indivíduos de acordo com as BCR. Cada entidade deve cumprir os seguintes princípios ao processar dados pessoais:

Princípio 1: Legalidade

Ter uma base legal documentada ao coletar, usar e processar dados pessoais. Essas bases legais são listadas de forma limitativa. Os exemplos são:

• O processamento é necessário para a execução de um contrato com o indivíduo, como contratos de funcionários e contratos de vendas
• O indivíduo deu seu consentimento
• Os interesses legítimos da Fresenius são maiores do que as consequências negativas para os indivíduos
• A necessidade de cumprir outras obrigações legais, como leis tributárias, requisitos de vigilância ou requisitos de GxP.

Categorias especiais de dados, como dados de saúde, precisam de bases legais adicionais.

Se as leis locais exigirem disposições adicionais ou divergentes, elas também deverão ser seguidas (isso pode ser relevante, por exemplo, para dados de funcionários).

Princípio 2: Transparência e equidade

Tratar os dados pessoais de forma justa e transparente. Informar os indivíduos antes ou no momento da coleta e do uso dos dados pessoais sobre:

• Quem é o responsável e como podemos ser contatados
• Quais dados são coletados
• Como os dados são coletados
• Por que precisamos dos dados (finalidade)
• Com quais organizações os dados são compartilhados
• Se for compartilhado com outros países
• Por quanto tempo os dados serão armazenados
• A base legal para a coleta e o uso de dados e uma explicação sobre isso (princípio 1)
• Se os indivíduos tiverem um perfil
• Se tomarmos alguma decisão por meios automatizados
• Se os dados devem ser fornecidos e o que acontece se isso não for feito
• Os detalhes de contato do DPO e da autoridade
• Os direitos que os indivíduos têm.

Todas essas informações devem ser fornecidas de forma abrangente e de fácil acesso, usando uma linguagem clara e simples.

Princípio 3: Limitação da finalidade

Usar os dados pessoais somente para os fins especificados, explícitos e legítimos para os quais foram coletados. O uso posterior não é permitido, a menos que esse uso posterior esteja de acordo com a finalidade original e/ou que medidas adicionais sejam tomadas.

As finalidades do processamento posterior que geralmente são consideradas alinhadas com a finalidade original são:

• Arquivamento
• Auditoria interna
• Investigações.

A (L)DPA poderá fornecer orientação caso uma mudança de finalidade seja permitida. No caso de uma mudança de finalidade permitida, os indivíduos devem ser informados sobre tais mudanças.

Princípio 4: Minimização de dados

Somente coletar e usar dados pessoais que sejam necessários para a finalidade definida, conforme comunicado ao indivíduo. Isso significa garantir que os dados pessoais sejam relevantes e não excessivos em relação à finalidade.

Princípio 5: Precisão

Manter os dados pessoais precisos e atualizados. Devem ser implementados procedimentos para garantir que dados imprecisos sejam excluídos, corrigidos ou atualizados sem demora.

Princípio 6: Limitação de armazenamento

Não mantenha os dados pessoais por mais tempo do que o necessário para a finalidade para a qual foram coletados, a menos que isso seja exigido por lei. Nesse caso, o acesso a eles deve ser restrito. Excluir ou tornar anônimos os dados pessoais se não houver mais motivo ou finalidade legal.

Princípio 7: Segurança, integridade e confidencialidade

Tomar medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra destruição, perda, alteração, divulgação ou acesso a dados pessoais (por exemplo, por meio de funções apropriadas e conceito de direitos, backup e restauração ou pelo uso de criptografia).

Ao implementar essas medidas, os riscos para o indivíduo devem ser considerados. A segurança dos sistemas de TI deve ser avaliada à luz desses riscos durante a instalação e a manutenção dos sistemas de TI.

Documentar e relatar à organização de proteção de dados qualquer violação de segurança que possa resultar em um risco para os indivíduos afetados. Dependendo da situação, essas violações também devem ser notificadas à autoridade supervisora, aos indivíduos ou a outras organizações.

Princípio 8: Responsabilidade

Ser capaz de demonstrar conformidade com a BCR. Isso é feito por meio da criação e manutenção da documentação apropriada, como:

• Registros de atividades de processamento
• Medidas técnicas e organizacionais adotadas para cumprir os princípios de proteção de dados e lidar com os riscos.
• Avaliações de controle e risco de proteção de dados

Envolvimento de processadores

Somente contratar processadores que ofereçam garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de modo que o processamento atenda aos requisitos da BCR e das leis locais de proteção de dados. Isso deve ser garantido por um contrato de proteção de dados entre a respectiva entidade e o processador.

Transferências de dados pessoais (posteriores)

Implementar medidas para proteger adequadamente as transferências de dados pessoais para outras organizações situadas fora do EEE em conformidade com estas BCR. Isso pode ser feito por meio do acordo de cláusulas contratuais padrão adotadas pela Comissão Europeia com a outra organização.

Avaliação de risco de proteção de dados

Para cada atividade de processamento de dados, é necessário realizar uma avaliação de risco de proteção de dados. Essa avaliação é um processo formal para avaliar o impacto da atividade sobre os direitos e a liberdade dos respectivos titulares de dados envolvidos.

As lacunas de controle identificadas e os possíveis riscos devem ser relatados e documentados. As medidas técnicas e organizacionais de atenuação devem ser implementadas antes do início da atividade de processamento de dados.

Avaliações do impacto da proteção de dados

Se o resultado da avaliação de risco à proteção de dados for um risco alto, será necessário realizar uma avaliação de impacto à proteção de dados (DPIA). A orientação do DPO será solicitada.

Quando uma DPIA identificar um alto risco de uma atividade específica de processamento de dados, deverão ser implementadas medidas adequadas para mitigar esses riscos antes do início da atividade de processamento. Se a DPIA ainda indicar alto risco após a implementação das medidas, a autoridade supervisora em questão deverá ser consultada antes do processamento dos dados.

Os indivíduos devem ter condições de exercer seus direitos (direitos do titular dos dados):

• Direito de acesso aos dados pessoais: O indivíduo pode pedir para acessar/receber informações sobre dados pessoais individuais processados pela Fresenius (por exemplo, a finalidade do processamento, as categorias de dados pessoais em questão, os destinatários, os períodos de armazenamento, qualquer existência de tomada de decisão automatizada).
• Direito de retificar dados pessoais: O indivíduo pode solicitar a correção de dados pessoais imprecisos ou incompletos.
• Direito de apagar dados pessoais: O indivíduo pode solicitar a exclusão de seus dados pessoais, a menos que eles precisem ser mantidos, por exemplo, devido a exigências legais de retenção.
• Direito de restringir o processamento de dados pessoais: O indivíduo pode solicitar a restrição do processamento de seus dados pessoais se a precisão dos dados pessoais for contestada ou se o processamento for ilegal (não mais necessário para os fins pretendidos).
• Direito de receber dados pessoais em um formato portátil: O indivíduo pode solicitar o recebimento de seus dados pessoais em um formato comumente usado e legível por máquina, se as seguintes condições forem atendidas:
  • Os dados pessoais foram fornecidos pelo indivíduo
  • O processamento é baseado no consentimento do indivíduo ou em um contrato com o indivíduo
  • O processamento é realizado por meios automatizados.
• Direito de se opor ao processamento de dados pessoais: O indivíduo pode, devido à sua situação pessoal, se opor ao processamento de seus dados pessoais com base em interesses legítimos ou públicos. Essa solicitação deve ser avaliada. Além disso, o indivíduo pode se opor ao marketing direto e à criação de perfis. O processamento deve então ser interrompido.
• Direito de não estar sujeito à tomada de decisão automatizada: O indivíduo tem o direito de não estar sujeito à tomada de decisão automatizada (incluindo a criação de perfis) que possa levar a efeitos legais ou similares significativos sobre o indivíduo, a menos que:
  • É necessário para a celebração ou execução de um contrato entre o indivíduo e a respectiva entidade
  • Baseia-se no consentimento explícito do indivíduo.

Acesso à BCR

As BCRs devem estar disponíveis para os indivíduos de maneira apropriada. O BCR será publicado na Internet e na intranet.

Os indivíduos também podem acessar a BCR entrando em contato com o respectivo DPO ou com qualquer membro da organização de proteção de dados.

Tratamento de reclamações da BCR

Cada indivíduo tem direito a:

• Alegar violação das BCR, das leis locais de proteção de dados, de ordens de autoridades de supervisão, de políticas e diretrizes internas ou de compromissos voluntários relacionados à proteção de dados
• Abordar seus direitos individuais
• Aplicar qualquer outro direito da BCR.

Qualquer reclamação desse tipo pode ser enviada, por exemplo, por telefone, e-mail ou carta, ou oralmente, entrando em contato com o respectivo DPO, a respectiva (L)DPA ou a linha direta de conformidade.

Caso a reclamação seja considerada justificada, a entidade tomará as medidas adequadas para resolver a reclamação e informará o indivíduo, respectivamente, dentro de um mês.

Responsabilidade e aplicação

Os indivíduos afetados ou que tenham sofrido danos como resultado do processamento de seus respectivos dados pessoais têm o direito de aplicar essas partes da BCR e, se aplicável, de receber indenização perante um tribunal competente.

No caso de violações comprovadas por partes estabelecidas fora da UE/EFA, a FSE aceita a responsabilidade e a obrigação por quaisquer danos aos indivíduos. A entidade que causou o dano deve fornecer assistência razoável à FSE para responder a essas reclamações ou solicitações em tempo hábil.

Cooperação com autoridades de supervisão

Cada entidade é obrigada a cooperar com as autoridades de supervisão, a cumprir as orientações relativas à interpretação dessas BCR e a aceitar ser auditada pelas autoridades de supervisão em questão.

Treinamento

Cada entidade inscreverá e obrigará seus funcionários a participar de um treinamento sobre as BCR e a proteção de dados e a repetir regularmente esse treinamento. O treinamento geral deve ser fornecido pelo menos duas vezes por ano a todos os funcionários relevantes. Além disso, é fornecido treinamento específico para cada função (por exemplo, para departamentos de RH ou de compras), considerando as necessidades específicas de determinadas funções/pessoas.

Auditoria

Todas as partes se comprometerão a ser auditadas regularmente (por meio de auditorias planejadas ou ad hoc) para avaliar e testar a conformidade com as BCR e implementar mecanismos adequados e suficientes para remediar a não conformidade de uma entidade com as BCR. A organização de proteção de dados acompanhará qualquer auditoria conduzida para avaliar se as ações corretivas propostas foram adequadamente implementadas e documentará quaisquer resultados no relatório de auditoria. Cada entidade disponibilizará os relatórios de auditoria às autoridades de supervisão mediante solicitação.

Atualização do BCR

As partes analisarão as leis locais de proteção de dados e indicarão se são necessárias alterações nas BCR. A Fresenius pode alterar as BCR, se necessário. Quaisquer alterações significativas nas BCR serão prontamente informadas a cada entidade e à autoridade supervisora. Quaisquer outras alterações não substanciais às BCR serão informadas às partes assim que possível.