Een passend en uniform niveau van gegevensbescherming
Fresenius moet zich wereldwijd aan veel wetten houden die de bescherming van persoonsgegevens regelen. De bindende bedrijfsvoorschriften (oftewel Binding Corporate Rules, hierna BCR genoemd) stellen een uniform en passend niveau van gegevensbescherming vast. Dit maakt de interne gegevensuitwisseling tussen de entiteiten van Fresenius mogelijk.
Over de gehele wereld van toepassing
De BCR zijn van toepassing op de volgende entiteiten van Fresenius:
- Fresenius Kabi AG inclusief alle dochter- en gelieerde ondernemingen
- Fresenius Digital Technology (FDT)
- Fresenius SE & CO. KGaA
Op bepaalde activiteiten van toepassing
De BCR zijn van toepassing op de volgende activiteiten waarbij persoonsgegevens worden verwerkt:
- Alle activiteiten door Europese entiteiten
- Activiteiten door niet-Europese entieiten:
- Als zij persoonsgegevens verzamelen voor of namens een Europese entiteit van Fresenius
- Als zij samenwerken met een Europese entiteit van Fresenius
- Als zij persoonsgegevens ontvangen van een Europese entiteit
- Als zij persoonsgegevens verzamelen van personen die zich in Europa bevinden die gebruikt worden voor het aanbieden van goederen of diesnten of voor het observeren van gedrag
De BCR zijn van toepassing op papieren en elektronische verwerkingen.
De BCR zijn van toepassing op elke verwerking die gestructureerd naar persoonsgegevens doorzocht kan worden.
De BCR bepalen het minimumniveau
Als lokale wetegeving inzake de bescherming van persoonsgegevens strengere of aanvullende regels geeft dienen deze tevens in acht te worden genomen.
Als lokale wetgeving in tegenspraak is met de BCR, moet de functionaris gegevensbescherming hierover worden geïnformeerd. De functionaris gegevensbescherming beoordeelt het effect hiervan en lost de tegenstrijdigeheid op.
Als een entiteit een instructie van een instantie krijgt om persoonsgegevens over te dragen terwijl dit niet overeenkomst met de BCR-beginselen, moet de functionaris gegevensbescherming hierover geïnformeerd worden. De functionaris gegevensbescherming informeert de toezichthoudende autoriteit in Duitsland hierover.
De BCR zijn bindend voor de organisatie en onze medewerkers
De BCR moeten verplicht worden gsteld en zijn bindend voor:
- alle entiteiten; zij sluiten hiervoor een overeenkomst
- alle medewerkers; op basis van hun arbeidsovereenkomst hebben zij de verplichting het bedrijfsbeleid na te leven
Organisaties en personen kunnen rechten aan deze verplichtingen ontlenen (zie paragraaf 6, 9 en 10).
Handhavong van de BCR en eventuele sancties wegens schending daarvan zijn hetzelfde als bij elke andere schending van het bedrijfsbeleid.