Binding Corporate Rules (BCR)

Jotta voimme säädellä johdonmukaisesti tapaa, jolla henkilötietoja käsitellään Fresenius Kabi (Fresenius Kabi AB ja sen tytäryhtiöt) ja Fresenius Corporate -liiketoimintasegmenttien konserniyhtiöiden kesken, otimme käyttöön BCR-säännöt (Binding Corporate Rules). Nämä BCR:t ovat Euroopan tietosuojaviranomaisten hyväksymiä.

BCR ovat sisäisiä sääntöjä tietojenkäsittelyä varten monikansallisissa organisaatioissa, ja niiden tavoitteena on yhdessä niihin liittyvien turvallisuuspolitiikkojen ja menettelytapojen kanssa luoda maailmanlaajuisesti yhtenäinen ja riittävä tietosuojan taso osallistuville yrityksille.

Sitoutuminen yhteiseen standardiin henkilötietojen käsittelyssä ja tehokas lähestymistapa tietosuojan noudattamiseen vahvistaa sitoutumistamme yksityisyytesi suojaamiseen maailmanlaajuisesti ja paikallisesti.

Jos olet kiinnostunut sitovista yrityssäännöistämme, tutustu alla olevaan asiakirjaan tai yhteenvetoon:

Fresenius Kabi Binding Corporate Rules Document

Filename
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
Size
415 KB
Format
pdf
Fresenius Kabi Binding Corporate Rules Document

Yhteenveto sitovista yrityssäännöistä (BCR)

Tämä asiakirja on tiivistelmä, eikä se korvaa BCR-asiakirjaa. BCR-asiakirja on kaikissa tapauksissa ainoa laillisesti pätevä asiakirja.

Riittävä ja yhtenäinen tietosuojan taso

Freseniuksen on noudatettava monia tietosuojalakeja ympäri maailmaa. Yritysten sitovat säännöt (Binding Corporate Rules, BCR) asettavat yhtenäisen ja riittävän tietosuojan tason. Tämä mahdollistaa henkilötietojen sisäisen vaihdon piiriin kuuluvien Fresenius-yksiköiden välillä.

Sovellettavissa ympäri maailmaa

BCR koskee seuraavia Fresenius-yksiköitä:

  • Fresenius Kabi AG mukaan lukien kaikki tytäryhtiöt / tytäryhtiöt
  • Fresenius Digital Technology GmbH
  • Fresenius SE & Co. KGaA

Koskee tiettyjä toimintoja

BCR koskee seuraavia henkilötietojen käsittelytoimia:

  • Kaikki eurooppalaiset toimijat
  • Euroopan ulkopuolisten tahojen toiminta:
    • kun he keräävät henkilötietoja eurooppalaisen Fresenius-yhteisön puolesta tai
    • kun he tekevät yhteistyötä eurooppalaisen Fresenius-yksikön kanssa
    • kun he saavat henkilötietoja eurooppalaisilta yhteisöiltä
    • kun he keräävät henkilötietoja Euroopassa olevilta ihmisiltä tavaroiden ja palveluiden tarjoamista tai käyttäytymisen seurantaa varten.

BCR koskee sekä paperipohjaisia että IT-pohjaisia prosesseja. BCR koskee kaikkia prosesseja, jotka mahdollistavat henkilötietojen strukturoidun haun.

BCR asettaa vähimmäistason

Jos paikalliset tietosuojalait edellyttävät tiukempia tai lisäsääntöjä henkilötietojen käsittelystä, niitä on lisäksi noudatettava.

Jos paikallinen laki on ristiriidassa BCR:n kanssa, tietosuojavastaavalle (DPO) on ilmoitettava asiasta. Tietosuojavastaava arvioi vaikutukset ja ratkaisee ristiriidan.

Jos yhteisö saa viranomaiselta määräyksen luovuttaa henkilötietoja, jotka eivät ole BCR-vaatimusten mukaisia, tietosuojavastaavalle on ilmoitettava asiasta. Tietosuojavastaava ilmoittaa asiasta Saksan valvontaviranomaiselle.

BCR sitoo organisaatiota ja työntekijöitämme

BCR:n on oltava pakollinen ja sitova:

  • kaikki tahot: he allekirjoittavat sopimuksen
  • kaikki työntekijät: heillä on työsopimuksensa perusteella velvollisuus noudattaa yhtiön toimintaperiaatteita.

Organisaatiot ja ihmiset voivat saada oikeuksia näiden velvoitteiden perusteella. BCR:n täytäntöönpano ja mahdolliset rikkomuksista johtuvat sanktiot ovat samat kuin muissakin sääntörikkomuksissa.

Fresenius Group perusti sisäisen tietosuojaorganisaation ja jakoi seuraavat roolit ja vastuut:

  • Tietosuojavastaava (DPO) valvoo mm. tarkistaa ja valvoo, että BCR:iä, paikallisia lakeja, sääntöjä ja prosesseja noudatetaan. Tietosuojavastaava voi suorittaa tarkastuksia, tarkastuksia ja tutkimuksia. Tietosuojavastaava on myös Euroopan tietosuojaviranomaisten yhteyspiste. Yhteystiedot ovat:
    Data Protection Officer:
    Else-Kröner-Str. 1
    61352 Bad Homburg v.d.H.
    Germany
    Sähköposti:
    Fresenius SE ja Fresenius Digital Technology: dataprotectionofficer@fresenius.com
    Fresenius Kabi yksiköt: dataprotectionofficer@fresenius-kabi.com
  • Local Data Protection Advisor (LDPA) auttaa ja neuvoo paikallisia työntekijöitä sekä prosessien omistajia aina, kun heillä on tietosuojaan liittyviä kysymyksiä tai huolenaiheita. Tarvittaessa LDPA tukee DPA:ta ja DPO:ta, esim. pyynnöstä valvontatehtävässään ja yhteyksissä valvontaviranomaisiin esimerkiksi kieliongelmien vuoksi.
  • Data Protection Advisor (DPA) tarjoaa tuki- ja konsultointitehtäviä LDPA:ille ja vastaa tietosuojan hallintajärjestelmästä. Tarvittaessa tietosuojaviranomainen tukee DPO:ta pyynnöstä sen valvontatehtävässä ja yhteydenpidossa valvontaviranomaisiin esimerkiksi kieliongelmien vuoksi.

Henkilötietojen käsittelyssä noudatamme useita periaatteita suojellaksemme yksilöiden perusoikeuksia ja -vapauksia BCR:n mukaisesti. Jokaisen yhteisön on noudatettava seuraavia periaatteita käsitellessään henkilötietoja:

Periaate 1: Laillisuus

laillinen peruste henkilötietojen keräämisessä, käytössä ja käsittelyssä. Nämä oikeusperustat on lueteltu rajoitetusti. Esimerkkejä ovat:

  • käsittely on tarpeen henkilön kanssa tehdyn sopimuksen, kuten työntekijäsopimusten ja myyntisopimusten, täyttämiseksi
  • henkilö on antanut suostumuksensa
  • Freseniuksen oikeutetut edut ovat suuremmat kuin kielteiset seuraukset yksilöille
  • tarve täyttää muita lakisääteisiä velvoitteita, kuten verolakeja, valppausvaatimuksia tai GxP-vaatimuksia.

Erityiset tietoluokat, kuten terveystiedot, tarvitsevat lisäoikeudellisia perusteita.

Jos paikalliset lait edellyttävät lisämääräyksiä tai poikkeavia määräyksiä, niitä on myös noudatettava (tämä saattaa koskea esimerkiksi työntekijätietoja).

Periaate 2: Avoimuus ja oikeudenmukaisuus

Käsittele henkilötietoja oikeudenmukaisesti ja läpinäkyvästi. Ilmoita henkilöille ennen henkilötietojen keräämistä ja käyttöä tai sen yhteydessä:

  • kuka on vastuussa ja miten meihin saa yhteyttä
  • mitä tietoja kerätään
  • miten tiedot kerätään
  • miksi tarvitsemme tietoja (tarkoitus)
  • mille organisaatioille tiedot jaetaan
  • jos se jaetaan muiden maiden kanssa
  • kuinka kauan tietoja säilytetään
  • tietojen keräämisen ja käytön oikeusperusta ja sen selitys (periaate 1)
  • jos henkilöt on profiloitu
  • jos teemme päätöksiä automaattisesti
  • jos tiedot on annettava ja mitä tapahtuu, jos sitä ei tehdä
  • tietosuojavastaavan ja viranomaisen yhteystiedot
  • oikeudet, jotka yksilöillä on.

Kaikki nämä tiedot on annettava kattavassa ja helposti saatavilla olevassa muodossa selkeää ja selkeää kieltä käyttäen.

Periaate 3: Tarkoituksen rajoittaminen

Käytä henkilötietoja vain määriteltyihin, nimenomaisiin ja laillisiin tarkoituksiin, joita varten ne on kerätty. Jatkokäyttöä ei sallita, ellei tämä jatkokäyttö ole alkuperäisen tarkoituksen mukaista ja/tai lisätoimenpiteitä ei tehdä.

Jatkokäsittelyn tarkoitukset, joiden katsotaan yleensä olevan alkuperäisen tarkoituksen mukaisia, ovat:

  • arkistointi
  • sisäinen tarkastus
  • tutkimukset.

(L)DPA voi antaa ohjeita, jos tarkoituksen muuttaminen saatetaan sallia. Jos tarkoitusta muutetaan, henkilöille on ilmoitettava kaikista sellaisista muutoksista.

Periaate 4: Tietojen minimointi

Kerää ja käytä vain henkilötietoja, jotka ovat tarpeen yksilölle välitettyyn määriteltyyn tarkoitukseen. Tämä tarkoittaa sen varmistamista, että henkilötiedot ovat tarkoituksenmukaisia eivätkä liiallisia tarkoitukseen nähden.

Periaate 5: Tarkkuus

Pidä henkilötiedot oikein ja ajan tasalla. On toteutettava menettelyt sen varmistamiseksi, että virheelliset tiedot poistetaan, korjataan tai päivitetään viipymättä.

Periaate 6: Säilytyksen rajoitus

Älä säilytä henkilötietoja pidempään kuin on tarpeen siihen tarkoitukseen, jota varten ne on kerätty, ellei laki sitä edellytä. Tällöin pääsyä siihen on rajoitettava. Poista tai anonymisoi henkilötiedot, jos laillista syytä tai tarkoitusta ei enää ole.

Periaate 7: Turvallisuus, eheys ja luottamuksellisuus

Ryhdy asianmukaisiin teknisiin ja organisatorisiin toimenpiteisiin henkilötietojen suojaamiseksi tuhoamiselta, katoamiselta, muuttamiselta, paljastamiselta tai pääsyltä henkilötietoihin (esim. asianmukaisten roolien ja oikeuksien käsitteen, varmuuskopioinnin ja palautuksen avulla tai käyttämällä salausta). Tällaisia toimenpiteitä toteutettaessa on otettava huomioon yksilölle aiheutuvat riskit. Tietojärjestelmien turvallisuutta tulee arvioida näiden riskien valossa IT-järjestelmiä asennettaessa ja huollettaessa. Dokumentoi ja raportoi tietosuojaorganisaatiolle kaikki tietoturvaloukkaukset, jotka todennäköisesti aiheuttavat riskin asianomaisille henkilöille. Rikkomuksista on tilanteesta riippuen ilmoitettava myös valvontaviranomaiselle, yksityishenkilöille tai muille yhteisöille.

Periaate 8: Vastuullisuus

Pystyy osoittamaan BCR:n noudattamisen. Tämä tehdään luomalla ja ylläpitämällä asianmukaista dokumentaatiota, kuten:

  • käsittelytoimia koskevat tiedot tekniset ja organisatoriset
  • toimenpiteet tietosuojaperiaatteiden noudattamiseksi ja riskien torjumiseksi.
  • tietosuojariski- ja valvontaarvioinnit

Prosessorien sitoutuminen

Käytä vain käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta siten, että käsittely täyttää BCR:n ja paikallisten tietosuojalakien vaatimukset. Tämä on varmistettava asianomaisen tahon ja käsittelijän välisellä tietosuojasopimuksella.

(Eteenpäin) Henkilötietojen siirrot

Toteuttaa toimenpiteitä henkilötietojen siirtämisen riittävän turvaamiseksi muille ETA:n ulkopuolella sijaitseville organisaatioille tämän BCR:n mukaisesti. Tämä voitaisiin tehdä sopimalla Euroopan komission hyväksymistä vakiosopimuslausekkeista toisen organisaation kanssa.

Data protection risk assessment

Jokaisen tietojenkäsittelyn osalta on tehtävä tietosuojariskin arviointi. Tämä arviointi on muodollinen prosessi, jolla arvioidaan toiminnan vaikutusta asianomaisten rekisteröityjen oikeuksiin ja vapauteen.

Tunnistetut valvontapuutteet ja mahdolliset riskit on raportoitava ja dokumentoitava. Lieventävät tekniset ja organisatoriset toimenpiteet on toteutettava ennen tietojenkäsittelyn aloittamista.

Tietosuojavaikutusten arvioinnit

Jos tietosuojariskin arvioinnin tulos on korkea riski, on tehtävä tietosuojavaikutusten arviointi (Data Protection Impact Assessment, DPIA). Tietosuojavastaavalta kysytään neuvoa.

Jos tietosuojaselosteessa havaitaan korkea riski tiettyyn tietojenkäsittelytoimintaan, on toteutettava riittävät toimenpiteet tällaisten riskien vähentämiseksi ennen käsittelyn aloittamista. Jos DPIA osoittaa edelleen suurta riskiä toimenpiteiden toteuttamisen jälkeen, on ennen tietojen käsittelyä kuultava asianomaista valvontaviranomaista.

Yksityishenkilöillä on oltava mahdollisuus käyttää oikeuksiaan (rekisteröidyn oikeudet):

  • oikeus tutustua henkilötietoihin: Henkilö voi pyytää pääsyä/saamaan tietoja Freseniuksen käsittelemistä henkilötiedoista (esim. käsittelyn tarkoitus, henkilötietojen luokat, vastaanottajat, säilytysajat, mahdollinen automaattinen päätöksenteko)
  • oikeus henkilötietojen oikaisemiseen: Henkilö voi pyytää virheellisten tai puutteellisten henkilötietojen oikaisemista
  • oikeus poistaa henkilötiedot: Henkilö voi pyytää henkilötietojensa poistamista, ellei niitä ole tarpeen säilyttää esim. lakisääteisten säilytysvaatimusten vuoksi
  • oikeus rajoittaa henkilötietojen käsittelyä: Henkilö voi pyytää henkilötietojensa käsittelyn rajoittamista, jos henkilötietojen oikeellisuus kiistetään tai käsittely on lainvastaista (ei enää vaadittuihin tarkoituksiin).
  • oikeus saada henkilötiedot luettavassa muodossa: Henkilö voi pyytää saada henkilötietonsa yleisesti käytetyssä ja koneellisesti luettavassa muodossa, jos seuraavat ehdot täyttyvät:
    • henkilötiedot on toimittanut henkilö
    • käsittely perustuu henkilön suostumukseen tai henkilön kanssa tehtyyn sopimukseen
    • käsittely tapahtuu automatisoiduin keinoin
  • oikeus vastustaa henkilötietojen käsittelyä: Yksilöllä on oikeus vastustaa henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella häntä koskevien henkilötietojen käsittelyä oikeutetun tai yleisen edun nojalla. Tätä koskevat pyynnöt on arvioitava. Yksilöt voivat myös vastustaa suoramarkkinointia ja profilointia. Tässä tapauksessa tietojen käsittely täytyy lopettaa
  • oikeus olla joutumatta automaattisen päätöksenteon kohteeksi: Yksilöllä on oikeus olla joutumatta sellaisen automaattisen päätöksenteon (ja profiloinnin) kohteeksi, jolla voi olla häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Tämä ei päde seuraavissa tilanteissa:
    • päätös on välttämätön yksilön ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten
    • päätös perustuu yksilön nimenomaiseen suostumukseen. 

Pääsy BCR:ään

BCR:n on oltava yksilöiden saatavilla asianmukaisella tavalla. BCR julkaistaan Internetissä ja intranetissä. Yksityishenkilöt voivat myös päästä BCR:ään ottamalla yhteyttä vastaavaan tietosuojavastaavaan tai mihin tahansa tietosuojaorganisaation jäseneen.

BCR:n reklamoiden käsittely

Jokaisella on oikeus:

  • ilmoittaa sisäisten käytäntöjen ja ohjeiden rikkomisesta tai tietosuojaan liittyvistä vapaaehtoisista itsesitoumuksista
  • ilmoittaa yksilön oikeuksista
  • toteuttaa muut BCR:n oikeudet.

Tällaisia valituksia voi tehdä esim. puhelimitse, sähköpostitse tai kirjeellä tai suullisesti ottamalla yhteyttä asianomaiseen tietosuojavastaavaan, vastaavaan (L)DPA:hen tai vaatimustenmukaisuuden vihjelinjaan.

Jos valitus katsotaan aiheelliseksi, taho ryhtyy asianmukaisiin toimenpiteisiin käsitelläkseen valituksen ja ilmoittaa asiasta henkilölle kuukauden kuluessa.

Vastuu ja täytäntöönpano

Henkilöillä, joihin henkilötietojensa käsittely vaikuttaa tai joille on aiheutunut vahinkoa henkilötietojensa käsittelystä, on oikeus panna täytäntöön nämä BCR:n osat ja tarvittaessa saada korvaus toimivaltaiselta tuomioistuimelta. Jos EU:n/EFA:n ulkopuolelle sijoittautuneet osapuolet rikkovat todistetusti, FSE ottaa vastuun kaikista henkilöille aiheutuneista vahingoista. Vahingon aiheuttaneen tahon on annettava FSE:lle kohtuullista apua vastatakseen tällaisiin valituksiin tai pyyntöihin ajoissa.

Yhteistyö valvontaviranomaisten kanssa

Jokainen yhteisö on velvollinen toimimaan yhteistyössä valvontaviranomaisten kanssa, noudattamaan näiden BCR:n tulkintaa koskevia neuvoja ja hyväksymään asianomaisten valvontaviranomaisten suorittaman tarkastuksen.

Koulutus

Jokainen taho ilmoittaa ja velvoittaa työntekijänsä osallistumaan BCR- ja tietosuojakoulutukseen ja toistamaan tällaisen koulutuksen säännöllisesti. Kaikille asianomaisille työntekijöille on järjestettävä yleinen koulutus vähintään kahdesti vuodessa. Lisäksi tarjotaan roolikohtaista koulutusta (esim. HR- tai hankintaosastoille) ottaen huomioon tiettyjen roolien/henkilöiden erityistarpeet.

Auditointi

Kaikki osapuolet sitoutuvat auditoimaan heitä säännöllisesti (suunniteltujen tai tapauskohtaisten auditointien avulla) BCR-vaatimusten noudattamisen arvioimiseksi ja testaamiseksi ja ottamaan käyttöön riittävät ja riittävät mekanismit korjatakseen, jos yksikkö ei noudata BCR:ää. Tietosuojaorganisaatio seuraa kaikkia suoritettuja auditointeja arvioidakseen, onko ehdotetut korjaustoimenpiteet toteutettu asianmukaisesti, ja dokumentoi mahdolliset tulokset tarkastusraportissa. Jokainen yhteisö antaa tarkastusraportit valvontaviranomaisten käyttöön pyynnöstä.

BCR:n päivitys

Osapuolet tarkistavat paikalliset tietosuojalait ja ilmoittavat, jos BCR:ään tarvitaan muutoksia. Fresenius voi muuttaa BCR:ää tarvittaessa. Kaikista merkittävistä BCR:n muutoksista ilmoitetaan viipymättä kullekin yhteisölle ja valvontaviranomaiselle. Kaikista muista ei-olennaisista muutoksista BCR:ään ilmoitetaan osapuolille niin pian kuin mahdollista.