Bindende virksomhetsregler

For en konsekvent håndtering av personopplysninger i alle enhetene som tilhører Fresenius Kabi (Fresenius Kabi AG og tilknyttede selskaper) og Fresenius Corporate, har vi vedtatt bindende regler for hele konsernet - Binding Corporate Rules (BCR). Disse reglene er godkjent av europeiske databeskyttelsesmyndigheter.

BCR er interne regler for databehandling i multinasjonale organisasjoner og har sammen med tilhørende sikkerhetspolicyer og prosedyrer som mål å skape et globalt enhetlig og tilstrekkelig nivå av databeskyttelse for de deltakende selskapene.

Forpliktelse til en felles standard for behandling av personopplysninger og til en effektiv tilnærming til etterlevelse av databeskyttelse forsterker vår forpliktelse til å beskytte personvernet ditt på globalt og lokalt nivå.

Hvis du er interessert i våre bindende virksomhetsregler, vennligst ta en titt på dokumentet eller sammendraget nedenfor:

Fresenius Kabi Binding Corporate Rules Document

Filename
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
Size
415 KB
Format
pdf
Fresenius Kabi Binding Corporate Rules Document

Sammendrag av bindende selskapsregler

Dette er et sammendrag av våre Business Corporate Rules og erstatter ikke BCR-dokumentet. Det fullstendige BCR-dokumentet er det juridisk bindende dokumentet.

Et passende og enhetlig nivå for personvern

Fresenius må følge en rekke personvernlover over hele verden. Bindende selskapsregler (BCR) setter et standard og tilstrekkelig nivå for beskyttelse av personopplysninger. Dette muliggjør intern utveksling av personopplysninger mellom aktuelle enheter i Freseniuskonsernet.

Gjelder over hele verden

BCR gjelder for følgende Fresenius-enheter:

  • Fresenius Kabi AG inkludert alle datterselskaper / tilknyttede selskaper
  • Fresenius Digital Technology (FDT)
  • Fresenius SE & Co. KGaA

Gjelder for følgende aktiviteter

BCR gjelder for følgende behandling av personopplysninger:

  • Alle aktiviteter ved våre europeiske enheter
  • Aktiviteter ved våre ikke-europeiske enheter:
    • Når de samler inn personopplysninger på vegne av den europeiske Fresenius-enheten eller
    • Når de samarbeider med den europeiske enheten Fresenius
    • Når de mottar personopplysninger fra europeiske enheter
    • Når de samler inn personopplysninger fra personer i Europa for å levere varer og tjenester eller aktiviteter relatert til monitorering/kontroll.

BCR gjelder både papirbaserte og elektroniske prosesser. BCR gjelder for alle prosesser som tillater strukturert søk etter personopplysninger.

BCR angir minimumskrav

Hvis lokale databeskyttelseslover krever strengere eller ytterligere regler for behandling av personopplysninger, må disse reglene også tas i betraktning.

Hvis det finnes en lokal lov som er i konflikt med BCR, må databeskyttelsesansvarlig (DPO) informeres. DPO vil vurdere påvirkning og løse uoverensstemmelser.

Hvis en enhet mottar et krav om å utlevere personopplysninger som ikke er i tråd med BCR-kravene, må du informere DPO. DPO vil informere tilsynsmyndigheten i Tyskland.

BCR er bindende for organisasjonen og våre ansatte

BCR er obligatorisk og er bindende for:

  • Alle enheter: Har signert kontrakt
  • Alle ansatte: Det er deres plikt å følge selskapets retningslinjer basert på deres ansettelseskontrakter.

Organisasjoner og enkeltpersoner kan få rettigheter i henhold til disse forpliktelsene. BCR-håndhevelse og mulige sanksjoner for brudd er de samme som alle andre brudd på corporate policies.

Freseniusgruppen har etablert en internpersonvernorganisasjon og definert følgende roller og ansvar:

  • Databeskyttelsesansvarlig (DPO) overvåker, det vil si sjekker og fører tilsyn med om BCR, lokale lover, regler og prosesser følges. DPO kan utføre revisjoner, gjennomganger og undersøkelser. DPO er også kontaktpunkt for personvernmyndigheter i Europa. Kontaktinformasjon er:

Databeskyttelsesansvarlig (DPO):
Else-Kröner-Str. 1
61352 Bad Homburg v.d.H.
Germany

E-post:
For Fresenius SE og FDT: dataprotectionofficer@fresenius.com
For Fresenius Kabi-enheter: dataprotectionofficer@fresenius-kabi.com

  • Den lokale personvernansvarlige (LDPA) hjelper og gir råd til de ansatte og prosesseiere når de har spørsmål eller bekymringer om personvern. Om nødvendig støtter LDPA DPA og DPO, for eksempel i forbindelse med lokal overvåking og kontakt med lokale tilsynsmyndigheter, for eksempel på grunn av språkproblemer.
  • Rådgiver for personvern (DPA) gir støtte- og rådgivningstjenster til LDPA og er ansvarlig for styringssystemet for personvern. Om nødvendig støtter DPA DPO med overvåkingsfunksjonen og kontakt med tilsynsmyndigheter, for eksempel på grunn av språkproblemer.

Når vi behandler personopplysninger, følger vi flere prinsipper for å beskytte de grunnleggende rettighetene til enkeltpersoner i henhold til BCR. Hver enhet må overholde følgende prinsipper ved behandling av personopplysninger:

Prinsipp 1: Legitimitet

Ha et dokumentert rettslig grunnlag ved innsamling, bruk og behandling av personopplysninger. Disse restriktive juridiske behandlingsgrunnlag er oppført. Eksempler er:

  • Behandling er nødvendig for å overholde en kontrakt med den enkelte, for eksempel ansettelseskontrakter og salgskontrakter
  • Personen har gitt godkjenning
  • Fresenius' legitime interesser er større enn de negative konsekvensene for enkeltpersoner
  • Behovet for å oppfylle andre juridiske forpliktelser, for eksempel skattelover, overvåkningsskrav eller GxP-krav.

Spesielle kategorier av opplysninger, for eksempel helsedata, trenger ytterligere juridiske grunner.
Hvis lokale lover krever ytterligere eller mer komplekse behandlingsgrunnlag, må de også følges (dette kan for eksempel gjelde for opplysninger om ansatte).

Prinsipp 2: Åpenhet og rettferdighet

Vi håndterer personopplysninger på en rettferdig og transperent måte. Enkeltpersoner informeres før eller på tidspunktet for innsamling og bruk av personopplysninger om følgende:

  • Hvem som er ansvarlig og hvordan du kontakter oss
  • Hvilke opplysninger som samles inn
  • Hvordan opplysningene samles inn
  • Hvorfor vi trenger opplysningene (formål)
  • Hvilke organisasjoner opplysningene deles med
  • Om opplysningene deles med andre land
  • Hvor lenge opplysningene lagres
  • Rettslig grunnlag for innsamling og bruk av data og forklaring av dem (prinsipp 1)
  • Dersom enkeltpersoner beskrives
  • Dersom vi tar automatiserte noen beslutninger
  • Dersom personopplysninger må oppgis og hva som skjer hvis ikke
  • Kontaktinformasjon for DPO og myndighet
  • Rettigheter som enkeltpersoner har.

All denne informasjonen må gis på en grundig og lettfattelig måte ved hjelp av klart og enkelt språk.

Prinsipp 3: Formålsbegrensning

Personopplysninger brukes bare til de spesifikke, eksplisitte og legitime formålene de ble samlet inn for. Ingen videre bruk er tillatt, med mindre denne tilleggsbruken er i tråd med det opprinnelige formålet og/eller ytterligere forholdsregler tas.

Ytterligere behandlingsformål som vanligvis anses som kompatible med det opprinnelige formålet er:

  • Arkivering
  • Internrevisjon
  • Undersøkelser

(L)DPA vil kunne gi veiledning om hvorvidt formålet kan endres. Hvis det tillatte formålet endres, må enkeltpersoner informeres om slike endring.

Prinsipp 4: Begrensning av datainnsamling

Innsamling og bruk av personopplysninger skla begrenses til det som er nødvendig for det angitte formålet som kommunisert til den enkelte. Dette betyr å sørge for at personopplysninger er relevante og ikke overdrevne i lys av formålet.

Prinsipp 5: Nøyaktighet

Personopplysninger skla være nøyaktige og holdes oppdaterte. Det må innføres rutiner for å sikre at unøyaktige data slettes, korrigeres eller oppdateres uten forsinkelse.

Prinsipp 6: Lagringsbegrensning

Ikke oppbevar personopplysninger lenger enn for det formålet de ble samlet inn for, med mindre loven krever det. I et slikt tilfelle må tilgangen begrenses. Slett personopplysninger eller gjør dem anonyme hvis det ikke lenger er forligger en juridisk grunn eller et juridisk formål med lagring av opplysningene.

Prinsipp 7: Sikkerhet, integritet og konfidensialitet

Tekniske og organisatoriske tiltak tas for å beskytte personopplysninger mot ødeleggelse, tap, endring, utlevering eller tilgang til personopplysninger (f.eks. gjennom tilgangskontroll, sikkerhetskopiering, gjenoppretting eller kryptering).

Når du implementerer slike tiltak, bør du vurdere risikoen som den enkelte blir utsatt for. Sikkerheten til IT-systemer bør vurderes i lys av disse risikoene ved installasjon og vedlikehold av IT-systemer.

Dokumenter og rapporter eventuelle sikkerhetsbrudd som det er sannsynlig at vil føre til en risiko for berørte personer til personvernansvarlig. Avhengig av situasjonen må disse bruddene også varsles til tilsynsmyndigheten, berørte enkeltpersoner eller organisasjoner.

Prinsipp 8: Ansvar

Vi skal kunne demonstrere overholdelse av BCR. Dette gjøres ved å opprette og vedlikeholde relvant dokumentasjon, for eksempel dokumenter som beskriver:

  • Aktivitetsoppføringer for behandling av personopplysninger
  • Tekniske og organistoriske tiltak som er iverksatt for å overholde prinsippene for personvern og risikostyring.
  • Vurdering og kontroll av risiko knyttet til personvern
Bruk av databehandlere

Bare engasjer databehandlere som iverksetter tilstrekkelige tekniske og organisatoriske sikkerhetstiltak som oppfyller BCR-behandlingskrav og lokale personvernlover. Dette må sikres gjennom en databehnadleravtale mellom den aktuelle enheten og databehandleren.

Videre overføring av personopplysninger

Iverksett tiltak for å beskytte overføring av personopplysninger til andre institusjoner utenfor EØS i samsvar med BCR. Dette kan gjøres ved å godta standard kontraktsklausuler som er vedtatt av EU-kommisjonen med den andre organisasjonen.

For hver databehandlingsaktivitet må det foretas en risikovurdering av personvern. Denne vurderingen er en formell prosess for å vurdere virkningen av aktiviteten på berørtes rettigheter.

Avdekkede hull og potensielle risikoer må rapporteres og dokumenteres. Tekniske og organisatoriske tiltak for å lukke disse forholdene må iverksettes før databehandlingsaktiviteten begynner.

Konsekvensutredninger for personvern

Hvis resultatet av en risikovurdering er høy risiko, må et foretas en konsekvensutredning med tanke på personvern (Data Protection Impact Assessment - DPIA). DPO skal involveres.

Dersom konsekvensutredningen konkluderer med stor risiko knyttet til bestemt databehandlingsaktivitet, må det iverksettes hensiktsmessige tiltak for å redusere disse risikoene før behandlingsaktiviteten begynner. Hvis DPIA fortsatt tilsier høy risiko etter implementering av tiltak, bør den relevante tilsynsmyndigheten konsulteres før behandling av dataene.

Enkeltpersoner må være i stand til å utøve sine rettigheter:

  • Rett til innsyn i personopplysninger: En person kan be om tilgang til/å motta informasjon om individuelle personopplysninger som behandles av Fresenius (f.eks. behandlingsformål, relevante kategorier av personopplysninger, mottakere, lagringsperioder og evt. enhver automatisert beslutningstaking).
  • Rett til å korrigere personopplysninger: En person kan be om at unøyaktige eller ufullstendige personopplysninger korrigeres.
  • Rett til å slette personopplysninger: En person kan be om at personopplysningene deres slettes med mindre det forligger lovpålagte krav til å oppbevare dem.
  • Rett til å begrense behandlingen av personopplysninger: En person kan be om begrensning i behandlingen av hans eller hennes personopplysninger hvis nøyaktigheten av personopplysningene blir utfordret, eller behandlingen er ulovlig (ikke lenger nødvendig for det opprinnelige formålet).
  • Rett til å motta personopplysninger i et bærbart format: En person kan be om å motta sine personopplysninger i et vanlig brukt og maskinlesbart format, hvis følgende betingelser er oppfylt:
    • Personopplysninger ble gitt av enkeltpersonen
    • Behandlingen avhenger av samtykke fra den enkelte eller en kontrakt med den enkelte
    • Behandling gjøres på automatiserte måter.
  • Rett til å motsette seg behandling av personopplysninger: På grunn av deres personlige status kan en person motsette seg behandlingen av sine personopplysninger basert på legitim eller offentlig interesse. Denne forespørselen må vurderes. Videre kan en person motsette seg direkte markedsføring og profilering, slik behandlingen må da opphøre.
  • Rett til ikke å underkaste seg automatisert beslutningstaking: En person har rett til ikke å underkaste seg en automatisert beslutningsprosess (inkludert profilering) som kan føre til juridiske eller lignende effekter på den enkelte, med mindre:
    • Det er nødvendig å inngå eller gjennomføre en kontrakt mellom den enkelte og den aktuelle Fresenius-enheten
    • Den er basert på det uttrykkelige samtykket fra den enkelte

Tilgang til Business Corporate Rules (BCR)

BCR må være tilgjengelig for enkeltpersoner på en hensiktsmessig måte. BCR vil bli lagt ut på våre nettsider og på vårt intranett.
Enkeltpersoner kan også få tilgang til BCR ved å kontakte den aktuelle DPO eller et hvilket som helst medlem av vår perosnvernorganisasjon.

BCR klagehåndtering

Enkeltpersoner har rett til å:

  • Erklære brudd på BCR, lokale databeskyttelseslover, ordre fra tilsynsmyndighet, interne retningslinjer og retningslinjer eller frivillige selvpåførte forpliktelser knyttet til personvern
  • Adressere sine individuelle rettigheter
  • Kreve enhver annen rettighet i henhold til BCR.

Slike klager kan gjøres, for eksempel via telefon, e-post eller muntlig ved å kommunisere med den relevante databeskyttelsesansvarlige (DPO), (L) DPA eller compliance hotline. Hvis klagen anses som berettiget, vil enheten iverksette passende tiltak (prosedyrer) for å adressere klagen og informere den enkelte innen en måned.

Ansvar og håndhevelse

Personer som har blitt rammet eller lidd skade følge av behandling av sine personopplysninger, har rett til å utføre disse delene av BCR, om mulig for å kreve erstatning foran en kompetent domstol. Ved brudd etablert av parter utenfor EU/EØS, påtar FSE seg ansvar for eventuelle skader på enkeltpersoner. Enheten som forårsaket skaden må gi rimelig støtte til FSE for å svare på disse klagene eller forespørslene i tide.

Samarbeid med tilsynsmyndighet

Hver enhet er pålagt å samarbeide med tilsynsmyndigheter, for å overholde råd om denne BCR-tolkningen og for å godta å bli revidert av relevant tilsynsmyndighet.

Opplæring

Hver enhet vil melde seg opp til og kreve at deres ansatte deltar i BCR- og personvernopplæring, og gjentar slik opplæring regelmessig. Generell opplæring må gis minst to ganger i året til alle relevante ansatte. I tillegg gis rollespesifikk opplæring (for eksempel personal- eller innkjøpsavdelinger) med tanke på spesifikke behov for bestemte roller/personer.

Revisjon

Alle parter vil være forpliktet til å gjennomgå regelmessig gransking (gjennom planlagte eller ikke-planlagte revisjoner) for å vurdere og sjekke overholdelse av BCR og implementere tilstrekkelige mekanismer for å adressere enhetens evt. manglende overholdelse av BCR. Vår personvernorganisasjon vil følge opp eventuelle tilsyn som er gjennomført for å vurdere om de foreslåtte korrigerende tiltakene er riktig implementert og for å dokumentere eventuelle resultater i revisjonsrapporten. Hver enhet vil utarbeide revisjonsrapporter tilgjengelige for tilsynsmyndigheter på forespørsel.

Oppdatering av BCR

Våre enheter vil gjennomgå lokal personvernlovgivning og avklare om endringer i BCR er nødvendige. Fresenius kan endre BCR om nødvendig. Eventuelle vesentlige endringer i BCR vil bli rapportert umiddelbart til hver enhet og til tilsynsmyndigheter. Eventuelle ytterligere ikke-materielle justeringer av BCR vil bli rapportert til partene så snart det er praktisk mulig.