Obvezujuća korporativna pravila

Da bismo dosljedno regulirali način postupanja s osobnim podacima i obrade osobnih podataka u tvrtkama unutar poslovnih segmenata Fresenius Kabi (Fresenius Kabi AG i povezane tvrtke) i Fresenius Corporate, usvojili smo Obvezujuća korporativna pravila. Svoje odobrenje ovih pravila dala su i europska nadležna tijela za zaštitu podataka. 

Obvezujuća korporativna pravila su interna pravila za obradu podataka unutar multinacionalnih organizacija i, zajedno s povezanim politikama i postupcima sigurnosti, imaju za cilj oblikovati globalno ujednačenu i adekvatnu razinu zaštite podataka u uključenim tvrtkama.

Obveza zajedničkog standarda obrade osobnih podataka i učinkovitog pristupa usklađenosti sa zahtjevima o zaštiti podataka dodatno učvršćuje našu predanost zaštiti vaše privatnosti i na globalnoj i na lokalnoj razini.

Ako vas zanimaju naša Obvezujuća korporativna pravila, pogledajte cijeli dokument ili sažetak:

Fresenius Kabi Binding Corporate Rules Document

Filename
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
Size
415 KB
Format
pdf
Fresenius Kabi Binding Corporate Rules Document

Sažetak Obvezujućih korporativnih pravila

Donji sažetak ne zamjenjuje dokument Obvezujućih korporativnih pravila. Dokument Obvezujućih korporativnih pravila u svakom će slučaju biti jedini dokument koji je zakonski primjenjiv.

Adekvatna i ujednačena razina zaštite podataka

Tvrtka Fresenius mora se pridržavati brojnih zakona o zaštiti podataka diljem svijeta. Obvezujuća korporativna pravila osiguravaju ujednačenu i adekvatnu razinu zaštite podataka. Time je omogućena interna razmjena osobnih podataka između pravnih osoba u sklopu grupe Fresenius.

Primjenjiva diljem svijeta

Obvezujuća korporativna pravila primjenjiva su na sljedeće Fresenius pravne osobe:

  • Fresenius Kabi AG, uključujući sva društva-kćeri / podružnice 
  • Fresenius Digital Technology GmbH
  • Fresenius SE & Co. KGaA

Primjenjiva na određene aktivnosti

Obvezujuća korporativna pravila primjenjiva su na sljedeće aktivnosti obrade osobnih podataka: 

  • sve aktivnosti pravnih osoba u Europi
  • aktivnosti pravnih osoba izvan Europe:
    • kada prikupljaju osobne podatke u ime neke Fresenius pravne osobe u Europi ili 
    • kada surađuju s Fresenius pravnom osobom u Europi
    • kada primaju osobne podatke od pravnih osoba u Europi
    • kada prikupljaju osobne podatke osoba koje se nalaze u Europi radi nuđenja robe i usluga ili u vezi s aktivnostima praćenja.

Obvezujuća korporativna pravila primjenjiva su i na procese u kojima se koristi papirnati oblik podataka i na one koji se temelje na informacijskoj tehnologiji. 

Obvezujuća korporativna pravila primjenjiva su na sve procese koji omogućuju strukturiranu potragu za osobnim podacima.

Obvezujuća korporativna pravila definiraju minimalnu razinu

Ako bilo koji lokalni zakon o zaštiti podataka zahtijeva stroža ili dodatna pravila o obradi osobnih podataka, potrebno se također pridržavati i takvih pravila.

Ako je neki lokalni zakon u sukobu s Obvezujućim korporativnim pravilima, potrebno je obavijestiti službenika za zaštitu podataka. Službenik će procijeniti utjecaj takvog sukoba i razriješiti ga.

Ako neka pravna osoba od nadležnog tijela primi nalog za otkrivanje osobnih podataka koji nije  u skladu sa zahtjevima Obvezujućih korporativnih pravila, potrebno je obavijestiti službenika za zaštitu podataka. Službenik će obavijestiti nadzorno tijelo u Njemačkoj.

Obvezujuća korporativna pravila obvezujuća su za organizaciju i naše zaposlenike

Obvezujućih korporativnih pravila moraju se pridržavati te su obvezujuća za:

  • sve pravne osobe: one potpisuju ugovor
  • sve zaposlenike: oni imaju dužnost pridržavati se korporativnih politika prema svom ugovoru o radu

Organizacije i fizičke osobe mogu imati određena prava na temelju ovih obveza. 

Provođenje obvezujućih korporativnih pravila i moguće sankcije zbog njihova kršenja isti su kao i za kršenje drugih politika.

Fresenius grupa osnovala je internu organizaciju za zaštitu podataka te je uvela sljedeće uloge i odgovornosti:

  • Službenik za zaštitu podataka prati, tj. provjerava i nadzire slijede li se Obvezujuća korporativna pravila, lokalni zakoni, pravila i postupci. Službenik za zaštitu podataka može provoditi revizije, preglede i istrage. Službenik za zaštitu podataka također je točka kontakta za nadležna tijela za zaštitu podataka u Europi. Podaci za kontakt su:
    Službenik za zaštitu podataka:
    Else-Kröner-Str. 1
    61352 Bad Homburg v.d.H.
    Njemačka
    Ili elektronička pošta:
    Za Fresenius SE and Netcare: dataprotectionofficer@fresenius.com
    Za pravne osobe Fresenius Kabi: dataprotectionofficer@fresenius-kabi.com
  • Lokalni savjetnik za zaštitu podataka pruža pomoć i savjete lokalnim zaposlenicima i vlasnicima procesa u slučaju bilo kakvih pitanja ili dvojbi u vezi sa zaštitom podataka. Po potrebi, lokalni savjetnik za zaštitu podataka pruža podršku savjetniku za zaštitu podataka i službeniku za zaštitu podataka, npr. na zahtjev, u funkciji praćenja te u komuniciranju s nadzornim tijelima, primjerice zbog jezične barijere.
  • Savjetnik za zaštitu podataka pruža podršku i savjete lokalnom savjetniku za zaštitu podataka te je odgovoran za sustav upravljanja zaštitom podataka. Po potrebi, savjetnik za zaštitu podataka pruža podršku službeniku za zaštitu podataka, na zahtjev, u njegovoj funkciji praćenja te u komuniciranju s nadzornim tijelima, primjerice, zbog jezične barijere.

U obradi osobnih podataka slijedit ćemo nekoliko načela kako bismo zaštitili temeljna prava i slobode osoba u skladu s Obvezujućim korporativnim pravilima. Svaka pravna osoba mora se pridržavati sljedećih načela prilikom obrade osobnih podataka:

1. načelo: Zakonitost

Mora postojati dokumentirana pravna osnova za prikupljanje, uporabu i obradu osobnih podataka. Popis ovih pravnih osnova je ograničen. Primjeri su: 

  • obrada je nužna radi izvršavanja ugovora s pojedincem, primjerice ugovora o radu i ugovora o prodaji
  • pojedinac je dao privolu
  • legitimni interesi tvrtke Fresenius veći su od negativnih posljedica za pojedince.
  • nužnost ispunjavanja drugih zakonskih obveza, kao što su porezni zakoni, zahtjevi vigilancije ili dobre prakse (GxP).

Posebne kategorije podataka, poput zdravstvenih podataka, zahtijevaju dodatnu pravnu osnovu.

Ako lokalni zakoni zahtijevaju dodatne ili odstupajuće odredbe, i njih je također potrebno slijediti (to može, primjerice, biti bitno za podatke zaposlenika).

2. načelo: Transparentnost i poštenost

S osobnim podacima potrebno je postupati pošteno i transparentno. Prije ili u trenutku prikupljanja i uporabe osobnih podataka obavijestite pojedince o sljedećem:

  • tko je odgovoran i kako može stupiti u kontakt s nama
  • koji se podaci prikupljaju
  • kako se podaci obrađuju
  • zašto nam podaci trebaju (svrha)
  • s kojim se organizacijama podaci dijele
  • dijele li se s drugim zemljama
  • koliko će se dugo podaci čuvati
  • pravna osnova za prikupljanje i uporabu podataka te njezino objašnjenje (1. načelo)
  • izrađuju li se profili pojedinaca
  • donosimo li odluke na automatiziran način
  • moraju li se podaci pružiti i što će se dogoditi ako se ne pruže
  • podaci za kontakt službenika za zaštitu podataka i nadležnog tijela
  • prava pojedinaca

Sve se ove informacije moraju pružiti u razumljivom i lako dostupnom obliku, koristeći jasan i jednostavan jezik.

3. načelo: Ograničavanje svrhe

Osobni podaci smiju se upotrebljavati samo u unaprijed navedene, izričite i legitimne svrhe za koje su i prikupljeni. Nije dozvoljena njihova daljnja uporaba, osim ako je takva daljnja uporaba u skladu s izvornom svrhom i/ili su poduzete dodatne mjere.

Svrhe za daljnju obradu za koje se u pravilu smatra da su u skladu s izvornim svrhama su: 

  • arhiviranje
  • interna revizija
  • istrage.

(Lokalni) savjetnik za zaštitu podataka moći će vam odgovoriti može li se dozvoliti promjena svrhe. U slučaju da je promjena svrhe dozvoljena, pojedince je potrebno obavijestiti o takvim promjenama.

4. načelo: Smanjenje količine podataka

Smiju se prikupljati i upotrebljavati samo oni podaci koji su nužni za definiranu svrhu koja je pojedincu priopćena. To znači osigurati da su osobni podaci relevantni i da nisu prekomjerni s obzirom na svrhu.

5. načelo: Točnost

Potrebno je održavati točnost i ažurnost osobnih podataka. Moraju se provesti postupci kojima se osigurava brisanje, ispravak ili ažuriranje netočnih podataka bez odgode.

6. načelo: Ograničenje pohrane

Osobni podaci ne smiju se čuvati dulje nego što je nužno za svrhu u koju su prikupljeni, osim ako zakon to ne zahtijeva. U takvom slučaju mora se ograničiti pristup podacima. Osobne podatke potrebno je izbrisati ili anonimizirati ako više ne postoji pravni razlog ili svrha.

7. načelo: Sigurnost, cjelovitost i povjerljivost

Poduzmite odgovarajuće tehničke i organizacijske mjere za zaštitu osobnih podataka od uništenja, gubitka, izmjene, otkrivanja ili pristupa osobnim podacima (npr. putem odgovarajućeg koncepta uloga i prava, pričuvne kopije i mogućnosti povrata podataka ili korištenja enkripcije). 

Kod provođenja takvih mjera moraju se u obzir uzeti rizici za pojedinca. Prilikom instalacije i održavanja IT sustava mora se procijeniti njegova sigurnost u svjetlu tih rizika. 

Potrebno je dokumentirati i prijaviti organizaciji za zaštitu podataka svaku povredu sigurnosti koja će vjerojatno rezultirati rizikom za dotične pojedince. Ovisno o situaciji, takve se povrede također moraju prijaviti nadležnom tijelu, pojedincima ili drugim organizacijama.

8. načelo: Pouzdanost

Vaša usklađenost s Obvezujućim korporativnim pravilima mora biti dokaziva. To se postiže izradom i održavanjem odgovarajuće dokumentacije, kao što su:

  • evidencija aktivnosti obrade
  • tehničke i organizacijske mjere koje su poduzete u svrhu usklađenosti s načelima zaštite podataka i za adresiranje rizika
  • procjene rizika i kontrole zaštite podataka

Angažiranje izvršitelja obrade

Angažirajte samo izvršitelje obrade koji pružaju dovoljno jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera s kojima će obrada biti u skladu sa zahtjevima Obvezujućih korporativnih pravila i lokalnih zakona o zaštiti podataka. To se mora osigurati ugovorom o zaštiti podataka između odnosne pravne osobe i izvršitelja obrade.

(Daljnji) prijenosi osobnih podataka 

Uvedite mjere kojima ćete adekvatno zaštititi prijenose osobnih podataka drugim organizacijama koje se nalaze izvan EGP-a, u skladu s ovim Obvezujućim korporativnim pravilima. To se može izvesti tako da se s drugom organizacijom ugovore standardne ugovorne klauzule koje je usvojila Europska komisija.

Procjena rizika zaštite podataka

Za svaku aktivnost obrade podataka potrebno je provesti procjenu rizika zaštite podataka. Ova je procjena formalan proces kojim se procjenjuje učinak određene aktivnosti na prava i slobode odnosnih ispitanika.

Uočeni nedostaci kontrole i mogući rizici moraju se prijaviti i dokumentirati. Prije početka aktivnosti obrade podataka moraju se uvesti tehničke i organizacijske mjere za smanjenje rizika.

Procjene učinka na zaštitu podataka 

Ako je rezultat procjene rizika zaštite podataka visok rizik, potrebno je provesti procjenu učinka na zaštitu podataka. Potrebno je zatražiti savjet službenika za zaštitu podataka.

Ako procjena učinka na zaštitu podataka pokaže da postoji visok rizik za određenu aktivnost obrade podataka, moraju se uvesti odgovarajuće mjere za smanjenje takvih rizika prije početka aktivnosti obrade. Ako procjena učinka na zaštitu podataka nakon uvedenih mjera i dalje pokazuje da postoji visok rizik, pije obrade podataka potrebno se savjetovati s odnosnim nadzornim tijelom.

Pojedinci moraju moći ostvariti svoja prava (prava ispitanika):

  • Pravo na pristup osobnim podacima: pojedinac može zatražiti pristup/primanje informacija o pojedinačnim osobnim podacima koje Fresenius obrađuje (npr. svrha obrade, kategorije obrađivanih osobnih podataka, primatelji, razdoblja pohrane, uporaba automatiziranog odlučivanja).
  • Pravo na ispravak osobnih podataka: pojedinac može zatražiti ispravak netočnih ili nepotpunih osobnih podataka.
  • Pravo na brisanje osobnih podataka: pojedinac može zatražiti brisanje svojih osobnih podataka, osim ako se moraju zadržati, primjerice, jer zakon tako zahtijeva. 
  • Pravo na ograničenje obrade osobnih podataka: pojedinac može zatražiti ograničenje obrade svojih osobnih podataka ako je ili točnost osobnih podataka osporena ili je obrada nezakonita (nije više potrebna za dotične svrhe).
  • Pravo primanja osobnih podataka u prenosivom formatu: pojedinac može zatražiti primitak svojih osobnih podataka u uobičajenom i strojno čitljivom formatu ako su ispunjeni sljedeći uvjeti: 
    • osobne podatke pružio je odnosni pojedinac
    • obrada se temelji na privoli pojedinca ili na ugovoru s pojedincem
    • obrada se provodi automatiziranom metodom.
  • Pravo na ulaganje prigovora na obradu osobnih podataka: pojedinac može, zbog svoje osobne situacije, uložiti prigovor na obradu svojih osobnih podataka na temelju legitimnog ili javnog interesa. Takav zahtjev potrebno je procijeniti. Pojedinac nadalje može uložiti prigovor na izravni marketing i izradu profila. Obrada zatim mora prestati.
  • Pravo izuzeća od automatiziranog odlučivanja: pojedinac ima pravo biti izuzet od automatiziranog odlučivanja (uklj. izradu profila) koje bi moglo dovesti do pravnih ili sličnih značajnih učinaka na pojedinca, osim u sljedećim slučajevima:
    • ako je to potrebno za sklapanje ili izvršavanje ugovora između pojedinca i odnosne pravne osobe
    • temelji se na izričitoj privoli pojedinca.

 

Pristup Obvezujućim korporativnim pravilima

Obvezujuća korporativna pravila moraju pojedincima biti dostupna na odgovarajući način. Obvezujuća korporativna pravila bit će objavljena na internetu i intranetu.

Pojedinci također mogu pristupiti Obvezujućim korporativnim pravilima tako da se obrate odnosnom službeniku za zaštitu podataka ili bilo kojem članu organizacije za zaštitu podataka. 

Postupanje s pritužbama na Obvezujuća korporativna pravila

Svaki pojedinac ima pravo:

  • prijaviti povredu Obvezujućih korporativnih pravila, lokalnih zakona o zaštiti podataka, naloga nadzornih tijela, internih politika i smjernica ili obveza koje je sam dobrovoljno preuzeo u vezi sa zaštitom podataka
  • ukazati na svoja individualna prava
  • ostvariti bilo koje drugo pravo na temelju Obvezujućih korporativnih pravila.


Sve takve pritužbe mogu se podnijeti npr. putem telefona, elektroničke pošte ili pisma, usmeno putem obraćanja odnosnom službeniku za zaštitu podataka, odnosnom (lokalnom) savjetniku za zaštitu podataka ili na dežurnu liniju za usklađenost. 

U slučaju da se pritužba smatra opravdanom, pravna osoba poduzet će odgovarajuću radnju ili radnje za rješavanje pritužbe te će o tome obavijestiti pojedinca unutar mjesec dana.

Odgovornost i provedba

Pojedinci na koje je obrada osobnih podataka štetno utjecala ili su pretrpjeli štetu kao rezultat obrade imaju pravo primijeniti ove dijelove Obvezujućih korporativnih pravila i, ovisno o primjenjivosti, primiti naknadu pred nadležnim sudom.

U slučaju dokazanih povreda koje su skrivile strane s nastanom izvan EU-a/EGP-a, FSE prihvaća  odgovornost za sve odštete prema pojedincima. Pravna osoba koja je uzrokovala štetu pravovremeno će pružiti razumnu pomoć FSE-u u odgovoru na takve pritužbe ili zahtjeve.

Suradnja s nadzornim tijelima

Svaka pravna osoba obvezna je surađivati s nadzornim tijelima, pridržavati se savjeta o tumačenju ovih Obvezujućih korporativnih pravila te pristati na reviziju od strane odgovarajućih nadzornih tijela.

Osposobljavanje

Svaka pravna osoba upisat će i obvezati svoje zaposlenike na sudjelovanje u osposobljavanju o Obvezujućim korporativnim pravilima i zaštiti podataka te na redovito ponavljanje takvog osposobljavanja. Opće osposobljavanje mora se svim relevantnim zaposlenicima pružiti barem svake dvije godine. Nadalje, osposobljavanje za određenu ulogu (npr. za ljudske potencijale ili odjele nabave) mora se pružiti uzimajući u obzir specifične potrebe određenih uloga/osoba.

Revizije

Sve strane obvezat će se na redovito podvrgavanje reviziji (planiranoj ili po ad hoc načelu) kako bi se procijenila i ispitala usklađenost s Obvezujućim korporativnim pravilima te uveli adekvatni i dovoljni mehanizmi za ispravak neusklađenosti pravne osobe s Obvezujućim korporativnim pravilima. Organizacija za zaštitu podataka provest će naknadnu kontrolu provedene revizije kako bi procijenila jesu li predložene korektivne mjere odgovarajuće provedene te će dokumentirati sve ishode u izvješću o reviziji. Svaka pravna osoba stavit će izvješća o reviziji na raspolaganje nadzornim tijelima na njihov zahtjev.

Ažuriranje Obvezujućih korporativnih pravila

Strane će pregledati lokalne zakone o zaštiti podataka i navesti jesu li potrebne promjene u Obvezujućim korporativnim pravilima. Fresenius može po potrebi izmijeniti i dopuniti Obvezujuća korporativna pravila. O bilo kakvim značajnim promjenama u Obvezujućim korporativnim pravilima odmah će biti obaviještene sve pravne osobe i nadzorno tijelo. Ostale nesuštinske izmjene i dopune Obvezujućih korporativnih pravila bit će prijavljene stranama čim to bude moguće.