Kötelező erejű vállalati szabályok

Megfelelő és egységes szintű adatvédelem

A Freseniusnak világszerte számos adatvédelmi törvényt kell betartania. A kötelező erejű vállalati szabályok (BCR) egységes és megfelelő adatvédelmi szintet határoznak meg. Ez lehetővé teszi a személyes adatok belső cseréjét a Fresenius hatálya alá tartozó egységek között.

Világszerte alkalmazandó

A BCR a következő Fresenius egységekre vonatkozik:

• Fresenius Kabi AG, beleértve az összes leányvállalatot / kapcsolt vállalkozást is 
• Fresenius Digital Technology GmbH
• Fresenius SE & Co. KGaA

Alkalmazási kör

A BCR a következő személyes adatkezelési tevékenységekre vonatkozik: 

• Az európai szervezetek valamennyi tevékenysége.
• Nem európai szervezetek tevékenységei:
  • Amikor személyes adatokat gyűjtenek egy európai Fresenius szervezet nevében vagy 
  • Ha együttműködnek egy európai Fresenius egységgel
  • Amikor személyes adatokat kapnak európai jogalanyoktól
  • Amikor személyes adatokat gyűjtenek az Európában tartózkodó személyektől áruk és szolgáltatások kínálása vagy a viselkedés nyomon követése céljából.

A BCR mind a papíralapú, mind az informatikai alapú folyamatokra vonatkozik. 
BCR minden olyan folyamatra vonatkozik, amely lehetővé teszi a személyes adatok strukturált keresését.

A BCR meghatározza az adatbiztonság minimális szintjét

Ha a helyi adatvédelmi törvények szigorúbb vagy kiegészítő szabályokat írnak elő a személyes adatok feldolgozására vonatkozóan, akkor ezeket is be kell tartani.

Ha egy helyi jogszabály ellentmond a BCR-nek, az adatvédelmi tisztviselőt tájékoztatni kell. Az adatvédelmi tisztviselő értékeli a hatást, és feloldja az ellentmondást.

Ha egy jogalany olyan hatósági utasítást kap személyes adatok közlésére, amely nem felel meg a BCR-követelményeknek, tájékoztatni kell az adatvédelmi tisztviselőt. Az adatvédelmi tisztviselő tájékoztatja az illetékes felügyeleti hatóságot.

A BCR kötelező érvényű a társaságainkra és az alkalmazottainkra nézve.

A BCR-eket kötelezővé kell tenni, és kötelező érvényűek:

• Minden Fresenius entitás: szerződésben köteleződik el
• Minden alkalmazott: a munkaszerződésük alapján kötelesek követni a vállalati irányelveket.

A BCR betartatása és a jogsértések miatti lehetséges szankciók ugyanazok, mint bármely más irányelv megsértése esetén.

A Fresenius Csoport létrehozott egy belső adatvédelmi szervezetet, és a következő szerepeket és feladatokat jelölte ki:

• Az adatvédelmi tisztviselő (DPO) felügyeli, azaz ellenőrzi és nyomonköveti, hogy a BCR-eket, a helyi törvényeket, szabályokat és folyamatokat betartják-e. Az adatvédelmi tisztviselő auditokat, felülvizsgálatokat és vizsgálatokat végezhet. Az adatvédelmi tisztviselő egyben az európai adatvédelmi hatóságok kapcsolattartója is. Az elérhetőségek a következők:
• Adatvédelmi tisztviselő:
  Else-Kröner-Str. 1
  61352 Bad Homburg v.d.H.
  Németország
  Vagy postai úton:
  A Fresenius SE és a Netcare esetében: dataprotectionofficer@fresenius.com.
  A Fresenius Kabi szervezetek esetében: dataprotectionofficer@fresenius-kabi.com
• A helyi adatvédelmi tanácsadó (LDPA) segít és tanácsot ad a helyi alkalmazottaknak, valamint a folyamatgazdáknak, ha bármilyen kérdésük vagy aggályuk merül fel az adatvédelemmel kapcsolatban. Szükség esetén az LDPA támogatja az adatvédelmi tisztviselőt és az adatvédelmi tisztviselőt, pl. kérésre a felügyeleti funkcióban és a felügyeleti hatóságokkal való kapcsolattartásban, pl. nyelvi problémák miatt.
• Az adatvédelmi tanácsadó (DPA) támogató és tanácsadói feladatokat lát el az adatvédelmi tisztviselők számára és felelős az adatvédelmi irányítási rendszerért. Szükség esetén az adatvédelmi tisztviselő kérésre támogatja az adatvédelmi tisztviselőt az ellenőrzési feladatai ellátásában és a felügyeleti hatóságokkal való kapcsolattartásban, például nyelvi problémák miatt.

A személyes adatok feldolgozása során a BCR-nek megfelelően számos alapelvet követünk az egyének alapvető jogainak és szabadságainak védelme érdekében. A személyes adatok feldolgozása során minden jogalany köteles betartani az alábbi elveket:

1. alapelv: Jogszerűség

Dokumentált jogalapja van a személyes adatok gyűjtésének, felhasználásának és feldolgozásának. Például: 

• Az adatkezelés az egyénekkel kötött szerződés teljesítéséhez szükséges, mint például a munkavállalói szerződések és az adásvételi szerződések.
• Az adatkezelés az érintett hozzájárulásán alapul
• A Fresenius jogos érdekei nagyobbak, mint az egyénekre gyakorolt negatív következmények.
• Egyéb jogi kötelezettségek, például az adótörvények, a gyógyszerbiztonsági követelmények, vagy a GxP elvárások teljesítésének szükségessége.

Az adatok különleges kategóriáinak, például az egészségügyi adatoknak, további jogalapokra van szükségük.
Ha a helyi jogszabályok további vagy eltérő rendelkezéseket írnak elő, ezeket is be kell tartani (ez például a munkavállalói adatokra vonatkozhat).

2. alapelv: Átláthatóság és tisztességes eljárás

A személyes adatok tisztességes és átlátható módon történő kezelése. A személyes adatok gyűjtése és felhasználása előtt vagy a gyűjtés és felhasználás pillanatában tájékoztassa az egyéneket a következőkről: 

• Ki a felelős és hogyan lehet velünk kapcsolatba lépni
• Milyen adatokat gyűjtenek
• Az adatgyűjtés módja
• Miért van szükségünk az adatokra (cél)
• Milyen szervezetekkel osztják meg az adatokat
• Ha azt más országokkal megosztják
• Mennyi ideig tárolják az adatokat
• Az adatgyűjtés és -felhasználás jogalapja és annak magyarázata (1. alapelv)
• Ha profilozás történik
• Ha automatizált módon hozunk döntéseket
• Ha az adatokat meg kell adni, és mi történik, ha ez nem történik meg
• Az adatvédelmi tisztviselő és a hatóság elérhetőségei
• Az egyének jogai.

Mindezeket az információkat átfogó és könnyen hozzáférhető formában, világos és közérthető nyelven kell megadni.

3. alapelv: Célhoz kötöttség

A személyes adatokat csak azokra a meghatározott, egyértelmű és jogszerű célokra használják fel, amelyekhez gyűjtötték azokat. További felhasználás nem megengedett, kivéve, ha ez a további felhasználás összhangban van az eredeti céllal és/vagy további intézkedéseket hoznak A további feldolgozás céljai, amelyek általában az eredeti céllal összhangban lévőnek tekinthetők, a következők: 

• Archiválás
• Belső ellenőrzés
• Vizsgálatok.

A (helyi) adatvédelmi tanácsadó útmutatást tud adni, ha a cél megváltoztatása megengedett. Engedélyezett célváltozás esetén az egyéneknek tájékoztatást kell kapniuk az ilyen változásokról.

4. alapelv: Az adatok minimalizálása

Csak olyan személyes adatokat gyűjtünk és használunk fel, amelyek az egyénnel közölt meghatározott célhoz szükségesek. Ez azt jelenti, hogy biztosítani kell, hogy a személyes adatok relevánsak legyenek, és a célhoz képest ne legyenek túlzott mértékűek.

5. alapelv: Pontosság

A kezelt személyes adatoknak pontosnak és naprakésznek kell lenniük. Eljárásokat kell bevezetni annak biztosítására, hogy a pontatlan adatokat haladéktalanul töröljék, helyesbítsék vagy frissítsék.

6. alapelv: Korlátozott tárolhatóság

A személyes adatokat nem őrizzük tovább, mint ami a cél teljesüléséhez szükséges, kivéve, ha ezt törvény írja elő. Ebben az esetben az adatokhoz való hozzáférést korlátozzuk. Töröljük vagy anonimizáljuk a személyes adatokat, ha nincs többé jogi ok vagy cél azok kezeléséhez.

7. alapelv: Biztonság, integritás és bizalmasság

Megfelelő technikai és szervezési intézkedések meghozatala a személyes adatok megsemmisítés, elvesztés, megváltoztatás, nyilvánosságra hozatal vagy a személyes adatokhoz való hozzáférés elleni védelme érdekében (pl. megfelelő szerepek és jogok koncepciója, biztonsági mentés és helyreállítás vagy titkosítás alkalmazása révén). 
Az ilyen intézkedések végrehajtásakor figyelembe kell venni az egyént érintő kockázatokat. Az informatikai rendszerek telepítésekor és karbantartásakor az informatikai rendszerek biztonságát e kockázatok fényében kell értékelni. 
Dokumentálni kell és jelenteni kell az adatvédelmi szervezetnek a biztonság minden olyan megsértését, amely valószínűleg kockázatot jelent az érintett egyének számára. A helyzettől függően az ilyen jogsértéseket a felügyeleti hatóságnak, az egyéneknek vagy más szervezeteknek is be kell jelenteni.

8. alapelv: Elszámoltathatóság

Társaságunk elkötelezett abban, hogy képes legyen bizonyítani a BCR betartását. Ez a megfelelő dokumentáció létrehozásával és karbantartásával történik, mint például: 

• a feldolgozási tevékenységek nyilvántartása
• az adatvédelmi elveknek való megfelelés és a kockázatok kezelése érdekében hozott technikai és szervezési intézkedések.
• adatvédelmi kockázat- és ellenőrzési értékelések

Adatfeldolgozók elkötelezése

Csak olyan adatfeldolgozókat veszünk igénybe, akik megfelelő garanciákat nyújtanak a megfelelő technikai és szervezési intézkedések végrehajtására oly módon, hogy a feldolgozás megfeleljen a BCR és a helyi adatvédelmi jogszabályok követelményeinek. Ezt az adott jogalany és az adatfeldolgozó közötti adatvédelmi szerződéssel kell biztosítani.

Személyes adatok továbbítása 

Intézkedések végrehajtása a személyes adatoknak az EGT-n kívül található más szervezetek részére történő továbbításának megfelelő védelmére, a jelen BCR-nek megfelelően. Ezt úgy lehet megtenni, hogy az Európai Bizottság által elfogadott általános adatvédelmi kikötésekben állapodnak meg a másik szervezettel.

Adatvédelmi kockázatértékelés

Minden adatfeldolgozási tevékenységhez adatvédelmi kockázatértékelést kell végezni. Ez az értékelés egy olyan hivatalos folyamat, amelynek során felmérésre kerül a tevékenységnek az érintettek jogaira és szabadságára gyakorolt hatását.

Az azonosított ellenőrzési hiányosságokat és potenciális kockázatokat jelenteni és dokumentálni kell. Az enyhítő technikai és szervezési intézkedéseket az adatfeldolgozási tevékenység megkezdése előtt végre kell hajtani.

Adatvédelmi hatásvizsgálatok

Ha az adatvédelmi kockázatértékelés eredménye magas kockázatot jelez, adatvédelmi hatásvizsgálatot (DPIA) kell végezni. Amihez az adatvédelmi tisztviselő tanácsát ki kell kérni.

Amennyiben a DPIA magas kockázatot állapít meg egy adott adatfeldolgozási tevékenységgel kapcsolatban, az adatfeldolgozási tevékenység megkezdése előtt megfelelő intézkedéseket kell végrehajtani az ilyen kockázatok csökkentésére. Ha a DPIA az intézkedések végrehajtása után is magas kockázatot jelez, az érintett felügyeleti hatósággal az adatfeldolgozás előtt konzultálni kell.

Az egyének számára lehetővé kell tenni, hogy gyakorolhassák jogaikat (az érintettek jogai):

• A személyes adatokhoz való hozzáférés joga: Az egyén kérheti a Fresenius által feldolgozott személyes adatokhoz való hozzáférést/információkat (pl. a feldolgozás célja, az érintett személyes adatok kategóriái, a címzettek, a tárolási időszakok, az automatizált döntéshozatal esetleges megléte).
• A személyes adatok helyesbítéséhez való jog: Az egyén kérheti a pontatlan vagy hiányos személyes adatok helyesbítését.
• A személyes adatok törléséhez való jog: Az egyén kérheti személyes adatainak törlését, kivéve, ha azokat meg kell őrizni, pl. jogi megőrzési követelmények miatt. 
• A személyes adatok feldolgozásának korlátozásához való jog: Az egyén kérheti személyes adatai feldolgozásának korlátozását, ha a személyes adatok pontosságát vitatják, vagy ha a feldolgozás jogellenes (már nem szükséges az elérni kívánt célokhoz).
• A személyes adatok hordozható formátumban történő átvételéhez való jog: Az érintett kérheti, hogy személyes adatait általánosan használt és géppel olvasható formátumban kapja meg, ha a következő feltételek teljesülnek: 
  • A személyes adatokat az egyén adta meg
  • Az adatkezelés az egyén hozzájárulásán vagy az egyénnel kötött szerződésen alapul.
  • A feldolgozás automatizált eszközökkel történik.
• A személyes adatok feldolgozása elleni tiltakozás joga: Az egyén személyes helyzetére tekintettel tiltakozhat személyes adatainak jogos vagy közérdeken alapuló feldolgozása ellen. Az ilyen kérelmet értékelni kell. Az egyén tiltakozhat továbbá a közvetlen üzletszerzés és a profilalkotás ellen. A feldolgozást ekkor le kell állítani.
• Az automatizált döntéshozatal tilalmához való jog: Az egyénnek joga van ahhoz, hogy ne legyen tárgya olyan automatizált döntéshozatalnak (ideértve a profilalkotást is), amely az egyénre nézve jogi vagy hasonló jelentős következményekkel járhat, kivéve, ha:
  • A magánszemély és az adott jogalany közötti szerződés megkötéséhez vagy teljesítéséhez szükséges.
  • Ehez az egyén kifejezett hozzájárulásán alapul.

Hozzáférés a BCR-hez

A BCR-nek megfelelő módon elérhetőnek kell lennie az egyének számára. A BCR-t közzéteszik az interneten és az intraneten. 
Az egyének a BCR-hez úgy is hozzáférhetnek, hogy kapcsolatba lépnek az adott adatvédelmi tisztviselővel vagy az adatvédelmi szervezet bármely tagjával. 

BCR panaszkezelés

Minden egyén jogosult:

• A BCR, a helyi adatvédelmi törvények, a felügyeleti hatóságok utasításai, a belső politikák és iránymutatások, illetve az adatvédelemmel kapcsolatos önkéntes kötelezettségvállalások megsértése vonatkozásában,
• Egyéni jogainak kezelése kapcsán
• A BCR-ből származó bármely más jogának érvényesítésére.

Az ilyen panaszokat például telefonon, e-mailben, levélben, szóban, az érintett adatvédelmi tisztviselőhöz, az érintett adatvédelmi hatósághoz vagy a megfelelőségi forródróthoz fordulva lehet benyújtani. 
Amennyiben a panaszt megalapozottnak ítélik, a szervezet megfelelő intézkedéseket tesz a panasz kezelésére, és egy hónapon belül tájékoztatja az érintettet.

Felelősség és végrehajtás

Azok a magánszemélyek, akiket személyes adataik feldolgozása érint, vagy akiket kár ért, jogosultak a BCR ezen részeinek érvényesítésére, és adott esetben kártérítésre az illetékes bíróság előtt.
Az EU-n/EGT-n kívül letelepedett felek által elkövetett bizonyított jogsértések esetén Fresenius vállalja a felelősséget az egyénekkel szembeni károkért. A kárt okozó jogalany köteles észszerű segítséget nyújtani az FSE-nek az ilyen panaszok vagy kérések időben történő megválaszolásához.

Együttműködés a felügyeleti hatóságokkal

Minden jogalany köteles együttműködni a felügyeleti hatóságokkal, eleget tenni az e BCR értelmezésére vonatkozó tanácsoknak, és elfogadni, hogy az érintett felügyeleti hatóságok auditálják.

Képzés

Minden jogalany beíratja és kötelezi alkalmazottait, hogy vegyenek részt a BCR-ről és az adatvédelemről szóló képzésen, és rendszeresen ismételjék meg ezt a képzést. Az általános képzést legalább kétévente minden érintett alkalmazott számára biztosítani kell. Ezen túlmenően szerepkör-specifikus képzéseket (pl. a HR vagy a beszerzési osztályok számára) is biztosítanak, figyelembe véve az egyes szerepkörök/személyek sajátos igényeit.

Auditálás

Minden fél vállalja, hogy rendszeresen ellenőrzi magát (tervezett vagy eseti auditok keretében), hogy értékelje és tesztelje a BCR betartását, és megfelelő és elégséges mechanizmusokat alkalmazzon a BCR-nek való meg nem felelés orvoslására. Az adatvédelmi szervezet nyomon követi az elvégzett auditokat annak értékelése érdekében, hogy a javasolt korrekciós intézkedéseket megfelelően végrehajtották-e, és az auditjelentésben dokumentálja az eredményeket. Minden szervezet kérésre az ellenőrzési jelentéseket a felügyeleti hatóságok rendelkezésére bocsátja. 

A BCR frissítése

A felek felülvizsgálják a helyi adatvédelmi jogszabályokat, és jelzik, ha a BCR módosítására van szükség. Fresenius szükség esetén módosíthatja a BCR-t. A BCR minden jelentős változását haladéktalanul jelzi az egyes jogalanyoknak és a felügyeleti hatóságnak. A BCR minden egyéb, nem lényegi módosítását a lehető leghamarabb jelzik az érintett felek.