polityka-prywatnosci
1. Cel
Bausch Health Companies („Bausch Health" lub „Spółka") przetwarza Dane osobowe, aby wspierać swoją misję poprawy jakości życia ludzi poprzez oferowane produkty. Wykorzystujemy Dane osobowe w ramach naszych działań w zakresie badań i rozwoju, marketingu innowacyjnych produktów oraz w odniesieniu do naszych Partnerów. Bausch Health szanuje prywatność osób, które przekazują nam swoje Dane osobowe oraz przestrzega obowiązujących w różnych krajach przepisów prawa dotyczących ochrony prywatności. Niniejsza Polityka określa standardowe zasady regulujące prawa do prywatności osób, które powierzają swoje dane Bausch Health, oraz zasady ochrony danych osobowych stosowane przez Bausch Health, jej podmioty powiązane oraz podmioty trzecie działające w imieniu Bausch Health.
2. Zakres i zastosowanie
W ramach naszej działalności podmioty Bausch Health gromadzą i wykorzystują dane osobowe dotyczące konsumentów, pacjentów, pracowników służby zdrowia, pracowników Spółki, sprzedawców i innych osób. Niniejsza Polityka ma zastosowanie do wszystkich Danych osobowych gromadzonych, przetwarzanych, obsługiwanych, udostępnianych, wykorzystywanych i przechowywanych przez Bausch Health. Niniejsza Polityka ma zastosowanie do wszystkich pracowników, wykonawców, konsultantów i podmiotów zewnętrznych świadczących usługi w imieniu Bausch Health (zwanych dalej łącznie „Partnerami").
3. Definicje
„Anonimizacja" to proces, w ramach którego z Danych osobowych są nieodwracalnie usuwane wszystkie informacje umożliwiające ustalenie tożsamości i w wyniku którego danych tych nie można już powiązać z daną osobą. Po zakończeniu tego procesu dane nie są już uważane za Dane osobowe.
„Prywatność danych" oznacza co do zasady możliwość decydowania przez osobę, kiedy, w jaki sposób oraz w jakim zakresie dane osobowe jej dotyczące są udostępniane lub przekazywane innym podmiotom.
„Incydent związany z bezpieczeństwem Danych osobowych" oznacza każde zdarzenie obejmujące trwały lub czasowy, przypadkowy lub nieuprawniony dostęp do danych osobowych, ich ujawnienie, modyfikację, zniszczenie lub utratę danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych za pośrednictwem systemów informatycznych spółek Bausch Health lub przez podmioty trzecie przetwarzające dane osobowe w imieniu Bausch Health.
„Dane osobowe" oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (,,osoby, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to taka, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej.
„Pseudonimizacja" oznacza zastąpienie imienia i nazwiska osoby oraz większości innych cech identyfikacyjnych etykietą, kodem lub innymi sztucznymi identyfikatorami w celu ochrony przed ustaleniem tożsamości danej osoby. Dane pseudonimizowane są nadal uważane za Dane osobowe.
„Przetwarzanie" odnosi się do każdej operacji lub zestawu operacji, które są wykonywane na Danych osobowych, niezależnie od tego, czy są wykonywane automatycznie, czy w inny sposób. Obejmuje to zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, aktualizowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych.
„Dane szczególnych kategorii" oznaczają podzbiór Danych osobowych, wymagający wyższego poziomu ochrony. Mogą to być dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej, tożsamości płciowej, informacje o ubezpieczeniu społecznym lub innym, zarzutach lub wyrokach skazujących, krajowe dokumenty tożsamości lub dane dotyczące rachunków finansowych, w tym numerów kont i osobistych numerów identyfikacyjnych (PIN).
„Podmiot trzeci" oznacza każdą osobę, w tym osobę prawną, z którą Bausch Health współpracuje i która nie jest spółką z grupy Bausch Health. Przykładowo mogą to być osoby lub przedsiębiorstwa świadczące usługi w zakresie administracji świadczeń, agregacji danych, administracji zarządczej, dostawcy aplikacji do zarządzania relacjami z klientami („CRM"), organizacje prowadzące badania kontraktowe (CRO) oraz inne podmioty.
4. Zgodność z przepisami prawa
4.1. Niniejsza Polityka ma na celu ustanowienie jednolitego minimalnego standardu w odniesieniu do ochrony Danych osobowych przez Spółkę. W krajach, w których nie obowiązują przepisy o ochronie danych lub w krajach o niższych standardach niż określone w niniejszej Polityce należy przestrzegać minimalnych standardów określonych w niniejszej Polityce.
4.2. Na całym świecie obowiązują różne przepisy prawa, których Spółka musi przestrzegać w związku z prowadzeniem działalności we wszystkich krajach, w których działa. Podmioty Spółki mogą wdrażać lokalne standardowe procedury operacyjne (SOP), spełniające wymogi prawa miejscowego i być zgodne z postanowieniami niniejszej Polityki. W przypadku konfliktu zastosowanie mają bardziej rygorystyczne wymagania.
4.3. Od wszystkich pracowników oczekuje się rozpoznania, kiedy przetwarzają Dane osobowe i przestrzegania wymogów i zasad dotyczących ochrony danych mających zastosowanie do przetwarzanych danych. Pytania dotyczące zgodności z przepisami prawa miejscowego należy kierować do Działu Prawnego i Etyki oraz Zgodności z Przepisami (Legal and Ethics & Compliance Department).
5. Obowiązujące przepisy dotyczące ochrony prywatności
Poniżej przedstawiono niewyczerpującą listę obowiązujących przepisów stanowych, krajowych i międzynarodowych dotyczących prywatności, których Spółka przestrzega:
-
5.1. Ogólne rozporządzenie o ochronie danych („RODO”)
-
5.1.1. rozporządzenie Unii Europejskiej („UE”) obowiązujące od 25 maja 2018 r. RODO wymaga, aby organizacje zapewniały ochronę danych osobowych i ochronę prawa do prywatności wszystkich obywateli UE. Rozporządzenie zawiera siedem zasad ochrony danych, które należy wdrożyć, oraz osiem praw w zakresie prywatności, których realizacja musi zostać zapewniona. Uprawnia również organy ochrony danych na poziomie państw członkowskich do egzekwowania RODO za pomocą sankcji i grzywien.
-
-
5.2. Ustawa o ochronie danych osobowych Chińskiej Republiki Ludowej („Personal information protection law „PIPL”)
-
5.2.1. Ustawa ta uchwalona w dniu 20 sierpnia 2021 r. została ustanowiona w celu ochrony praw i interesów związanych z Danymi osobowymi, standaryzacji działań związanych z przetwarzaniem Danych osobowych i promowania racjonalnego wykorzystywania Danych osobowych.
-
-
5.3. Ustawa o ochronie danych osobowych i dokumentów elektronicznych („PIPEDA”)
-
5.3.1. Kanadyjska ustawa mająca na celu wspieranie i promowanie handlu elektronicznego poprzez ochronę Danych osobowych gromadzonych, wykorzystywanych lub ujawnianych w określonych okolicznościach, w szczególności poprzez umożliwienie stosowania środków elektronicznych do komunikowania się lub rejestrowania informacji lub transakcji oraz poprzez zmianę kanadyjskiej ustawy o dowodach, ustawy o instrumentach ustawowych i ustawy o zmianie statutu (Canada Evidence Act, Statutory Instruments Act oraz Statute Revision Act).
-
-
5.4. Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych, z 1996 r. („HIPAA”)
-
5.4.1. HIPAA to nadrzędne prawo obowiązujące w Stanach Zjednoczonych, nakładające ograniczenia dotyczące wykorzystywania i przetwarzania chronionych danych dotyczących stanu zdrowia („PHI”). HIPAA ustanawia między innymi zasady, zgodnie z którymi świadczeniodawcy, towarzystwa ubezpieczeniowe, inne podmioty służby zdrowia i partnerzy biznesowi mogą wymieniać się informacjami niezbędnymi do prowadzenia leczenia, przetwarzania płatności i zapewniania opieki zdrowotnej.
-
-
5.5. Dodatkowe przepisy stanowe dotyczące prywatności obowiązujące w Stanach Zjednoczonych, w tym przepisy obowiązujące w stanach Kalifornia, Kolorado, Wirginia, Utah i wielu innych jurysdykcjach.
-
5.5.1. Chociaż HIPAA jest ustawą krajową Stanów Zjednoczonych regulującą chronione dane dotyczące stanu zdrowia, uchwalono różne przepisy stanowe, nakładające na Spółkę dodatkowe wymagania, w tym wymagania dotyczące danych osobowych niezwiązanych z opieką zdrowotną. Każde z nich ma własne elementy, jednak występują między nimi podobieństwa, w tym zasady dotyczące gromadzenia i przetwarzania danych, praw osób, których dane dotyczą, a także sankcji, kar i grzywien itp.
-
5.5.2. Więcej informacji na temat zgodności z HIPAA i przepisami stanowymi można znaleźć w amerykańskiej Polityce prywatności US Privacy Policy BHC-US-CMP-021.
-
6. EU-U.S. Data Privacy Framework, UK Extension to the EU-U.S. DPF i Swiss-U.S. Data Privacy Framework
6.1. Bausch Health przestrzega Ram Ochrony Danych UE-USA (EU-U.S. DPF); rozszerzenia brytyjskiego do Ram danych UE-USA (UK-U.S. DPF) oraz Ram ochrony danych Szwajcaria-USA (the EU-U.S. Data Privacy Framework (EU-U.S. DPF) and the UK Extension to the EU-U.S. DPF (UK-U.S. DPF), and the Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) ustanowionych przez Departament Handlu Stanów Zjednoczonych. Bausch Health poświadczyła przed Departamentem Handlu Stanów Zjednoczonych, że przestrzega zasad Ram ochrony danych UE-USA (zasady EU-U.S. DPF) w odniesieniu do przetwarzania danych osobowych otrzymanych z Unii Europejskiej i Wielkiej Brytanii w oparciu o EU-U.S. DPF i rozszerzenie UK-U.S. DPF. Bausch Health również poświadczyła przed Departamentem Handlu Stanów Zjednoczonych, że przestrzega zasad ramowych dotyczących ochrony danych osobowych między Szwajcarią a Stanami Zjednoczonymi (zasady DPF między Szwajcarią a Stanami Zjednoczonymi) w odniesieniu do przetwarzania danych osobowych otrzymanych ze Szwajcarii w oparciu o zasady Swiss-US DPF między Szwajcarią a Stanami Zjednoczonymi. W przypadku jakichkolwiek sprzeczności między postanowieniami niniejszej Polityki prywatności a zasadami UE-USA DPF i/lub zasadami ramowymi UK-US DPF i/lub zasadami Swiss-US DPF pierwszeństwo mają te Zasady. Aby dowiedzieć się więcej o programie Ram ochrony danych osobowych (DPF) i zapoznać się z naszym certyfikatem, prosimy odwiedzić stronę https://www.dataprivacyframework.gov.
6.2. Niniejsza Polityka ma zastosowanie do danych osobowych przetwarzanych przez dział kadr („HR") Spółki, a także do danych osobowych niezwiązanych z działem kadr.
6.3. W przypadku konieczności przekazania danych osobowych za granicę należy przeprowadzić kontrolę w celu oceny ryzyka i zapewnienia odpowiednich zabezpieczeń. Wymóg ten dotyczy wszystkich podmiotów Bausch Health. Przed przekazaniem danych do innego kraju należy skonsultować się z zespołem Legal and Ethics & Compliance.
7. Polityka i zasady
7.1. Zgodne z prawem i rzetelne przetwarzanie Danych osobowych
Jedną z podstawowych zasad dotyczących ochrony poufności danych jest to, że Dane osobowe należy przetwarzać w sposób zgodny z prawem, przejrzysty i uczciwy. W związku z tym pracownicy powinni:
- gromadzić Dane osobowe wyłącznie w określonym, istotnym i uzasadnionym celu biznesowym;
- przetwarzać Dane osobowe wyłącznie, gdy istnieje ku temu podstawa prawna, na przykład gdy dana osoba wyraziła na to zgodę lub gdy przetwarzanie jest konieczne do wykonania umowy, wywiązania się z obowiązku prawnego lub do realizacji uzasadnionego i nadrzędnego interesu biznesowego Bausch Health;
- informować osoby przed zgromadzeniem ich Danych osobowych o tym, w jaki sposób ich dane będą wykorzystywane i udostępniane, oraz przekazać im dane kontaktowe w przypadku pytań, wątpliwości lub skarg;
- wykorzystywać Dane osobowe wyłącznie w sposób opisany w klauzuli informacyjnej lub formularzu zgody lub w sposób, którego każda rozsądna osoba mogłaby się spodziewać. Spółka nie będzie wykorzystywać Danych osobowych do celu innego, niż cel, w którym Dane osobowe zostały zgromadzone.
7.2. Zarządzanie danymi osobowymi: proporcjonalność, integralność i przechowywanie danych
Bausch Health ma obowiązek zarządzać Danymi osobowymi i przechowywać je w odpowiedzialny sposób i zgodnie z oczekiwaniami osób, które powierzają swoje Dane osobowe spółce Bausch Health. Wszyscy pracownicy będą:
- przetwarzać wyłącznie niezbędne Dane osobowe proporcjonalne do określonych celów biznesowych;
- stosować uzasadnione środki w celu zachowania prawidłowości, kompletności, aktualności i wiarygodności Danych osobowych zgodnie z ich przeznaczeniem;
- prowadzić scentralizowany Rejestr czynności przetwarzania (Record of Processing Operations, „RoPA"), jeśli wymagają tego przepisy prawa. Rejestr będzie udostępniany na żądanie właściwym organom;
- ograniczać przetwarzanie „danych szczególnej kategorii", przetwarzać je tylko wtedy, gdy jest to zgodne z prawem. W szczególności: Przetwarzanie ukierunkowane na cel: Dane szczególnej kategorii będą przetwarzane tylko wtedy, gdy jest to niezbędne do określonych działań, takich jak wypełnianie obowiązków prawnych, ochrona żywotnych interesów, zarządzanie stosunkami pracy lub gdy uzyskano wyraźną zgodę na ich przetwarzanie. Minimalny zakres gromadzenia danych: firma będzie gromadzić i przechowywać tylko minimalną ilość danych szczególnej kategorii niezbędną do osiągnięcia określonego celu. Brak niepotrzebnego wykorzystywania: dane szczególnej kategorii nie będą wykorzystywane do celów niezwiązanych lub drugorzędnych, chyba że zostaną ustanowione nowe podstawy prawne i warunki zgodnie z RODO. Zapewnienie stosowania odpowiednich środków kontroli bezpieczeństwa w celu zachowania poufności, integralności i dostępności danych szczególnej kategorii.
- Przeprowadzać Ocenę skutków dla ochrony danych („DPIA") podczas przetwarzania danych szczególnej kategorii/danych, które mogą wiązać się z „wysokim ryzykiem" dla danych osobowych osób fizycznych;
- przestrzegać polityk dotyczących retencji danych oraz przechowywać Dane osobowe wyłącznie przez okres niezbędny do realizacji uzasadnionych celów biznesowych, dla których zgromadzono dane oraz tak długo, jak wymagają tego obowiązujące przepisy prawa;
- usuwać lub anonimizować Dane osobowe, które nie są już potrzebne, w taki sposób aby nie było możliwe zidentyfikowanie osoby, której dane dotyczą;
- uwzględnić i udokumentować zdolność do przestrzegania zasad ochrony prywatności określonych w niniejszej Polityce w fazie opracowywania i planowania czynności przetwarzania;
- przestrzegać polityk i procedur bezpieczeństwa Bausch Health podczas przetwarzania Danych osobowych;
- nie udostępniać Danych osobowych innym współpracownikom lub podmiotom trzecim, które nie mają ważnego powodu biznesowego do uzyskania dostępu do tych danych. Przykładowo zakodowane dane uzyskane podczas badań klinicznych nie powinny być udostępniane należy udostępniać Partnerom marketingowym;
- niezwłocznie zgłaszać wszelkie Incydenty związane z naruszeniem bezpieczeństwem Danych osobowych do Działu Informatyki („IT") i Działu Compliance.
7.3. Prawa osób fizycznych - wybór i dostęp
Spółka szanuje prawa osób fizycznych do uzyskiwania dostępu do swoich Danych osobowych oraz do żądania ich sprostowania, zmiany lub usunięcia. Ponadto osoby fizyczne mają prawo wyboru, czy ich dane osobowe będą mogły być przekazywane podmiotom zewnętrznym albo przetwarzane w zupełnie innym celu. Wszelkie otrzymane decyzje lub wnioski należy udokumentować i traktować priorytetowo w stosunku do standardu określonego w RODO. Spółka zapewnia osobom fizycznym łatwo dostępne sposoby wykonywania ich praw poprzez zapewnienie wyznaczonego adresu e-mail, określonego w pkt 12 niniejszej Polityki oraz wyznaczenie kompetentnych osób do realizacji wszystkich otrzymanych wniosków. Dział Compliance w porozumieniu z Inspektorem Ochrony Danych Osobowych („DPO") zapewnia nadzór i i zarządzanie wszystkimi wnioskami.
7.3.1. Wybór
Spółka będzie szanować prawo osoby fizycznej do wyboru czy jej Dane osobowe będą mogły być:
• ujawniane podmiotom zewnętrznym lub
• wykorzystane w celu niezgodnym z celem lub celami, dla których były pierwotnie gromadzone.
W toku prowadzenia działalności operacyjnej Bausch Health jest zobowiązany do ujawniania Danych Osobowych podmiotom trzecim. Przed ujawnieniem jakichkolwiek Danych Osobowych Bausch Health zapewnia zawarcie niezbędnych umów z odbiorcami danych oraz weryfikuje czy charakter i cel przetwarzania są uzasadnione oraz zgodne z prawem.
Bausch Health przetwarza Dane Osobowe w określonych celach związanych ze świadczeniem usług na rzecz klientów, w celu wypełnienia obowiązków regulacyjnych oraz realizacji wymogów umownych. Na tej podstawie Bausch Health nie przetwarza Danych Osobowych w celach niezgodnych z pierwotnym celem przetwarzania. Jeżeli dane osobowe zebrane w jednym celu miałyby zostać wykorzystane w innym celu, Dział Prawny oraz Dział Compliance (Legal and Ethics & Compliance) muszą zweryfikować czy proponowana zmiana jest zgodna z prawem.
7.3.2 Udostępnianie, korygowanie, zmiana lub usunięcie
Spółka wdrożyła rozbudowane procedury zarządzania tego rodzaju wnioskami i zapewnia przeznaczoną do tego celu skrzynkę pocztową oraz zasoby w celu spełnienia oczekiwań osoby przekazującej wniosek i wywiązania się przez Bausch Health ze swoich obowiązków regulacyjnych. Proces ten został opisany w Procedurze dotyczącej wniosków o dostęp do danych osobowych pomiotów danych (Data Subject Access Rights Procedure) obowiązującej w Spółce.
7.4. Ujawnianie danych podmiotom zewnętrznym i innym jednostkom stowarzyszonym Bausch Health
7.4.1. Bausch Health korzysta z usług różnych usługodawców zewnętrznych w celu wspierania świadczenia naszych usług na rzecz klientów oraz w celu spełniania zobowiązań umownych i regulacyjnych. Ww. usługodawcy to w szczególności (a) profesjonalni doradcy, audytorzy i partnerzy biznesowi; (b) dostawcy, którzy świadczą usługi w chmurze, zarządzają bazami danych, wykonują analizy danych, przetwarzają płatności, zapewniają wsparcie techniczne lub obsługę klienta lub wysyłają komunikaty w naszym imieniu; oraz (c) spółki, z którymi utrzymujemy relacje w zakresie promocji, marketingu, reklamy lub inne relacje o charakterze handlowym, w tym instytucje finansowe i spółki świadczące usługi realizacji i/lub dostawy zamówień. Usługodawcy ci znajdują się na całym świecie, ze względu na międzynarodowy zasięg naszej działalności. W każdym przypadku podejmujemy uzasadnione środki ostrożności wspierające ochronę Danych osobowych przed nieuprawnionym wykorzystaniem lub ujawnieniem. Przykładowo przeprowadzamy dokładne analizy due diligence, zawieramy pisemne umowy, które zobowiązują takich usługodawców do przestrzegania wszystkich obowiązujących przepisów dotyczących ochrony danych i prywatności, zachowania poufności danych i wdrażamy odpowiednie środki bezpieczeństwa w odniesieniu do takich danych. Ponadto usługodawcy ci mają wyłącznie dostęp do Danych osobowych, które są niezbędne lub wskazane do wykonywania zadań w naszym imieniu. Wszystkie umowy są zawierane zgodnie z art. 28 RODO i obejmują zasady ochrony danych, prawo do audytu, wymóg zgłaszania naruszeń bezpieczeństwa oraz instrukcje dotyczące przetwarzania danych. Niektóre przepisy mogą nakładać szczególne wymagania co do charakteru i brzmienia gwarancji umownych. Jeżeli takie wymagania mają charakter bezwzględnie obowiązujący, Spółka dołoży starań aby były spełnione.
7.4.2. Spółka może udostępniać Dane osobowe innym jednostkom stowarzyszonym Bausch Health, agencjom rządowym i innym podmiotom zewnętrznym z uzasadnionych powodów biznesowych, zgodnie z wymogami prawa (w tym ujawniać dane organom porządkowym w celu umożliwienia im wykonywania ich obowiązków), w celu ochrony interesów Spółki lub za zgodą danej osoby.
7.4.3. Ujawnianie danych osobowych w odpowiedzi na zgodne z prawem wnioski organów publicznych. Bausch Health nie będzie ujawniać żadnych Danych osobowych, chyba że będzie to wyraźnie dozwolone przez postanowienia umowne, z wyjątkiem przypadków, gdy będzie to konieczne do zachowania zgodności z obowiązującymi przepisami prawa lub ważnym i wiążącym nakazem organu porządkowego, takim jak wezwanie sądowe lub nakaz sądowy. Bausch Health nie jest podmiotem objętym rutynowym nadzorem w USA ze względu na charakter naszych działań związanych z przetwarzaniem danych. Spółka nie zapewni żadnemu organowi publicznemu bezpośredniego lub nieograniczonego dostępu do danych naszych klientów. Zobowiązujemy się również nie udostępniać naszych kluczy szyfrowania. Żądania dostępu do danych muszą być zgodne z obowiązującymi wymogami i procedurami prawnymi oraz muszą zostać zweryfikowane przez zespół prawny Bausch Health. Spółka zobowiązuje się niezwłocznie powiadomić podmiot przekazujący dane, jeśli będziemy mieli powody, by sądzić, że podlegamy określonym przepisom lub praktykom. Zgadzamy się niezwłocznie powiadomić podmiot przekazujący dane oraz w miarę możliwości i za zgodą podmiotu przekazującego dane, zainteresowane osoby, gdy Bausch Health otrzyma prawnie wiążący wniosek od organu publicznego, w tym organu sądowego, o ujawnienie danych osobowych przekazywanych w oparciu o DPF UE-USA, UK Extension to the EU-U.S. DPF i Swiss-U.S. Data Privacy Framework, lub dowie się o jakimkolwiek bezpośrednim dostępie organów publicznych do danych osobowych przekazywanych w oparciu o DPF UE-USA the UK Extension to the EU-U.S. DPF i Swiss-U.S. Data Privacy Framework,. Jeśli będzie nas obowiązywać zakaz powiadamiania podmiotu przekazującego dane lub zainteresowanych osób wynikający z przepisów prawa USA, Bausch Health dołoży wszelkich starań, aby uzyskać niezwłocznie uchylenie takiego zakazu. Będziemy dokumentować nasze starania i w razie potrzeby przekażemy je na żądanie podmiotowi przekazującemu dane. Spółka niezwłocznie powiadomi o uchyleniu zakazu prawnego zgodnie z obowiązującymi przepisami.
7.5. Przekazywanie danych poza granice kraju
Jako globalna spółka, Bausch Health może przekazywać Dane osobowe między swoimi jednostkami stowarzyszonymi i podmiotami zewnętrznymi wspierającymi naszą działalność. Takie przekazywanie w wielu przypadkach będzie wymagało przekazania danych poza granice kraju. Przepisy dotyczące ochrony danych obowiązujące w wielu jurysdykcjach nakładają szczególne wymagania dotyczące zgodnego z prawem przesyłania danych poza granice ich kraju. Wymogi te dotyczą nie tylko przekazywania danych do i od podmiotów zewnętrznych, ale także przekazywania danych pomiędzy podmiotami prawnymi Bausch Health.
Każdy kraj, w którym obowiązują określone przepisy prawa i ograniczenia dotyczące przekazywania danych, wdroży standardowe procedury operacyjne regulujące takie przekazywanie.
Wszyscy Partnerzy zaangażowani w działalność wymagającą przekazywania Danych osobowych poza granice swojego kraju muszą:
• ustalić czy istnieje słuszne uzasadnienie przekazywania Danych osobowych;
• przekazywać Dane osobowe zgodnie z lokalnymi standardowymi procedurami operacyjnymi i wymogami prawnymi;
• w przypadku zarządzania systemem globalnym – konsultować się z Globalnym Biurem ds. Ochrony Prywatności w celu uzyskania informacji na temat wymogów globalnych.
7.5.1 Dalsze przekazywanie danych podmiotom zewnętrznym
Bausch Health rozumie i akceptuje potencjalne ryzyko oraz odpowiedzialność w sytuacji, gdy podmioty trzecie współpracujące z Bausch Health angażują inną organizację do realizacji czynności przetwarzania danych w imieniu Bausch Health, obejmujących dalsze przekazywanie danych osobowych. Spółka stosuje środki zarządzania związanym z tym ryzykiem i odpowiedzialnością, zapewniając, aby warunki umowne były równoważne lub nie mniej rygorystyczne niż warunki Bausch Health narzucone tym organizacjom. W przypadku gdy inne organizacje nie wywiążą się ze swoich zobowiązań umownych, podmiot trzeci pozostaje w pełni odpowiedzialny wobec Spółki za działanie lub zaniechanie tej innej organizacji.
7.6 Uprawnienia Federalnej Komisji Handlu w zakresie prowadzenia czynności wyjaśniających i egzekwowania przestrzegania przepisów
Jeżeli Bausch Health stanie się przedmiotem orzeczenia sądu w związku z nieprzestrzeganiem przepisów prawa albo nakazu Federalnej Komisji Handlu (Federal Trade Commission, „FTC"), Spółka upubliczni wszelkie istotne części sprawozdań dotyczących przestrzegania zasad lub oceny związane z DPF UE- USA, które przedłożyła sądowi albo FTC, w zakresie zgodnym z wymogami poufności. Federal Trade Commission Act jest podstawową ustawą regulującą działalność Komisji. Na mocy tej ustawy, z późniejszymi zmianami, Komisja jest uprawniona w szczególności do: (a) zapobiegania nieuczciwym metodom konkurencji oraz nieuczciwym lub wprowadzającym w błąd działaniom lub praktykom w handlu lub mającym na handel wpływ; (b) dochodzenia rekompensaty pieniężnej oraz innych środków ochrony prawnej w związku z działaniami szkodliwymi dla konsumentów; (c) ustanawiania przepisów precyzyjnie określających działania lub praktyki uznawane za nieuczciwe lub wprowadzające w błąd oraz określania wymogów mających na celu zapobieganie takim działaniom lub praktykom; (d) gromadzenia i opracowywania informacji oraz prowadzenia dochodzeń dotyczących organizacji, działalności, praktyk oraz zarządzania podmiotów uczestniczących w obrocie handlowym; oraz (e) sporządzania raportów i przedstawiania Kongresowi oraz opinii publicznej rekomendacji legislacyjnych. FTC posiada uprawnienia wykonawcze i może kierować do spółek pisma ostrzegawcze, informujące, że ich działania są prawdopodobnie niezgodne z prawem oraz że w przypadku ich niezwłocznego zaprzestania mogą one ponieść poważne konsekwencje prawne, w tym zostać pozwane w postępowaniu federalnym. Komisja może nałożyć na spółkę, które dopuściło się nieuczciwych lub wprowadzających w błąd działań, kary pieniężne w ramach tzw. Penalty Offense Authority. Na podstawie tych uprawnień Komisja może dochodzić cywilnych kar pieniężnych, jeżeli wykaże, że (1) spółka wiedziała, iż dane działanie jest nieuczciwe lub wprowadzające w błąd i stanowi naruszenie FTC Act, oraz (2) FTC wcześniej wydała pisemną decyzję (o której mowa poniżej), w której uznała takie działanie za nieuczciwe lub wprowadzające w błąd.
7.7 Wiążący arbitraż
Pod warunkiem, że dana osoba wystąpiła o wiążący arbitraż poprzez dostarczenie zawiadomienia do Bausch Health, Spółka przyjmuje odpowiedzialność za rozpatrywanie roszczeń w ramach postępowania arbitrażowego zgodnie z zasadą dotyczącą ochrony prawnej, egzekwowania prawa oraz odpowiedzialności oraz postępuje zgodnie z warunkami określonymi w załączniku I do zasad DPF. Bausch Health zobowiązuje się, że w przypadku otrzymania jakichkolwiek roszczeń budzących obawy o naruszenie przez Spółkę jej zobowiązań wynikających z Zasad DPF, ustali czy jakiekolwiek takie naruszenie pozostało w pełni lub częściowo nienaprawione. W odniesieniu do powoda Spółka będzie wspierać organ wydający wiążące decyzje arbitrażowe w celu określenia niezbędnych środków zaradczych i przyznania niepieniężnego zadośćuczynienia na mocy zasad słuszności (takiego jak umożliwienie dostępu do danych danej osoby, skorygowanie ich, usunięcie lub zwrócenie). Zgodnie z Ramami Ochrony Danych UE-USA (EU-U.S. DPF), rozszerzeniem UK do EU-U.S. DPF oraz Ramami Ochrony Danych Szwajcaria-USA (Swiss-U.S. DPF), Bausch Health zobowiązuje się do rozpatrywania skarg dotyczących zasad DPF odnoszących się do gromadzenia i wykorzystywania danych osobowych. Osoby z UE, Wielkiej Brytanii oraz Szwajcarii, które mają pytania lub skargi dotyczące sposobu przetwarzania przez nas danych osobowych otrzymanych w oparciu o EU-U.S. DPF, rozszerzenie UK do EU-U.S. DPF oraz Swiss-U.S. DPF, powinny w pierwszej kolejności skontaktować się z Bausch Health pod adresem: privacy@bauschhealth.com Jeśli konkretna kwestia dotycząca prywatności nie została rozwiązana po podjęciu próby bezpośredniego kontaktu z firmą Bausch Health, spółka powinna zarejestrować się w The International Centre for Dispute Resolution®-American Arbitration Association® (ICDR-AAA®) oraz partycypować w kosztach arbitrażu, w tym pokrycia honoraria arbitrów, do wysokości określonych limitów. Więcej informacji na temat mechanizmu wiążącego arbitrażu dla osób fizycznych w UE/EOG i Wielkiej Brytanii (lub Gibraltaru) można znaleźć na stronie https://go.adr.org/dpf_irm.html Ponadto firma Bausch Health ustanowiła JAMS jako swój mechanizm alternatywnego rozstrzygania sporów (ADR), https://www.jamsadr.com/DPF-Dispute-Resolution Zgodnie z EU-U.S. Data Privacy Framework (EU-U.S. DPF), rozszerzeniem UK do EU-U.S. DPF oraz Swiss-U.S. DPF, Bausch Health zobowiązuje się do współpracy oraz stosowania się — odpowiednio — do zaleceń panelu ustanowionego przez organy ochrony danych UE („DPA"), brytyjskiego Information Commissioner's Office („ICO") oraz szwajcarskiego Federalnego Inspektora Ochrony Danych i Informacji („FDPIC"), a także wyznaczonego organu ochrony danych dla UE, tj. Prezesa Urzędu Ochrony Danych Osobowych W Polsce („UODO"), w odniesieniu do nierozstrzygniętych skarg dotyczących sposobu przetwarzania danych osobowych z zakresu zasobów ludzkich, otrzymanych w oparciu o EU-U.S. DPF, rozszerzenie UK do EU-U.S. DPF oraz Swiss-U.S. DPF. Jeśli po zastosowaniu mechanizmów odwoławczych opisanych w niniejszej Polityce nie uda się rozwiązać problemów, osoby fizyczne mogą również skorzystać z opcji wiążącego arbitrażu w celu rozstrzygnięcia skargi dotyczącej danych osobowych pochodzących z UE, Wielkiej Brytanii, Gibraltaru lub Szwajcarii. Więcej informacji na temat wiążącego arbitrażu można znaleźć na stronie internetowej Departamentu Handlu Stanów Zjednoczonych poświęconej składaniu skarg, dostępnej pod adresem: https://www.dataprivacyframework.gov/s/.
7.8 Bezpieczeństwo
Bausch Health wdroży odpowiednie środki administracyjne, techniczne i fizyczne w celu zabezpieczenia i odpowiedniej ochrony Danych osobowych przed ich nieuprawnionym wykorzystaniem, ujawnieniem, utratą, zniszczeniem i modyfikacją. Takie zabezpieczenia będą uwzględniać aktualny stan wiedzy technicznej oraz będą zależeć od stopnia wrażliwości Danych osobowych. Aby określić wymagany poziom bezpieczeństwa, należy ocenić poszczególne zagrożenia związane z przetwarzaniem. Bausch Health będzie stosować proces zgłaszania naruszeń bezpieczeństwa danych, badać takie naruszenia i zgłaszać je zgodnie z wymogami przepisów prawa lokalnego. Spółka prowadzi rejestr naruszeń ochrony danych, który będzie udostępniany na żądanie właściwym organom regulacyjnym.
8. Zarządzanie prywatnością danych
Bausch Health będzie prowadzić program ochrony prywatności danych i utrzymywać strukturę zarządzania w celu nadzorowania globalnych wymagań dotyczących ochrony prywatności danych i aktualizowania metod zarządzania środowiskiem prawnym, statusem programu i wszelkimi powiązanymi zagrożeniami. Struktura zarządzania prywatnością obejmuje:
- Globalnego przedstawiciela ds. ochrony danych osobowych odpowiedzialnego za nadzór nad wdrażaniem i realizacją Programu ochrony danych i prywatności Spółki, działający we współpracy z zewnętrznym Inspektorem ochrony danych („IOD").
- W niektórych przypadkach wyznaczenie Inspektora ochrony danych może być wymagane przez prawo. W takich przypadkach zostanie wyznaczony Inspektor ochrony danych, który będzie wykonywać obowiązki określone w przepisach prawa;
- Regionalni Specjaliści ds. Zgodności (Regional Compliance Officers, „RCO"), którzy są odpowiedzialni za nadzór nad Programem ochrony danych i prywatności i wdrażanie go na poziomie regionalnym/krajowym. RCO udzielają wsparcia pracownikom w regionie w zakresie wymogów dotyczących ochrony danych oraz będą doradzać w sprawie ważnych projektów mających wpływ na przetwarzanie Danych osobowych. RCO pełnią również rolę punktu kontaktowego w relacjach z organami administracji publicznej.
- Kadra kierownicza ds. bezpieczeństwa IT jest odpowiedzialna za wdrożenie i realizację programu bezpieczeństwa systemów informatycznych obejmującego całą spółkę w celu zapewnienia odpowiedniej ochrony elektronicznych zasobów informacyjnych. Zaleca się, aby w komitetach sterujących zasiadali specjaliści ds. bezpieczeństwa informacji.
9. Monitorowanie
Bausch Health przeprowadza regularne, okresowe audyty oraz monitoring swojej działalności. Dział Ethics & Compliance opracowuje coroczny plan monitoringu, obejmujący działania związane z przetwarzaniem i obsługą danych osobowych. Monitoring jest dokumentowany, a w razie potrzeby wdrażane są odpowiednie działania korygujące i/lub zapobiegawcze.
10. Szkolenia i edukacja
Bausch Health zapewnia wszystkim pracownikom szkolenia w zakresie niniejszej Polityki oraz zasad ochrony danych osobowych. Partnerzy, których role obejmują wykorzystywanie i przetwarzanie Danych osobowych w regularnych odstępach czasu, mają zapewnione szkolenia dostosowanego do ich potrzeb. Dodatkowa edukacja jest zapewniana pracownikom za pośrednictwem różnych narzędzi komunikacyjnych, w tym biuletynów Działu Etyki i Zgodności.
11. Skutki naruszeń
Pracownicy oraz konsultanci, którzy naruszają postanowienia niniejszej Polityki, mogą podlegać odpowiednim środkom dyscyplinarnym i karom, aż do rozwiązania stosunku pracy lub umowy włącznie.
12. Aktualizacja polityki
Dział Compliance jest odpowiedzialny za publikację i aktualizowanie niniejszej Polityki. Niniejsza Polityka będzie rutynowo weryfikowana i w razie potrzeby zmieniana lub dostosowywana do zmian w przepisach dotyczących prywatności. Za wdrożenie odpowiednich standardowych procedur operacyjnych i zapewnienie zgodności z niniejszą Polityką i powiązanymi procedurami odpowiedzialne są jednostki biznesowe i odpowiednie działy.
13. Pytania
Wszelkie pytania, wątpliwości lub informacje o podejrzeniu naruszenia niniejszej Polityki należy kierować do swojego przełożonego, Działu Compliance, Działu Prawnego lub Bausch Health Ethics Hotline (http://hotline.bauschhealth.com/). Pytania można również wysyłać na adres Privacy@bauschhealth.com.
Wyszukaj produkt
Jeżeli szukasz konkretnego produktu wpisz jego nazwę lub słowo kluczowe
O firmie
Prekursorem firmy EMO-FARM Sp. z o.o. była Wytwórnia Artykułów Farmaceutycznych i Kosmetycznych EMO, która powstała w 1983 roku…
więcej

