Polityka prywatności Velocity

Tytuł dokumentu Polityka prywatności Velocity
Dokument # POL GEN-007
Wersja # 00
Data wejścia w życie 15 kwietnia 2024 r.

1. Wstęp

Velocity Clinical Research Inc. („my” lub „nasze”, „Velocity”) gromadzi, przechowuje i przetwarza dane osobowe osób, takich jak pracownicy, dostawcy, pacjenci, a także inne strony trzecie („osoby, których dane dotyczą”) w różnych celach.

Niniejsza polityka opisuje, jak chronimy dane osobowe. Pomaga ona nam w rozumieniu zasad rządzących wykorzystywaniem danych osobowych. Opisuje także to, jak gromadzimy, obchodzimy się z i przechowujemy dane osobowe tak, aby spełniać nasze własne standardy ochrony oraz aby postępować zgodnie z Ogólnym rozporządzeniem o ochronie danych UE 2016/679 („RODO”) wraz z innymi związanymi z nim przepisami i delegowanymi krajowymi przepisami prawa (łącznie „prawo o ochronie danych”).

Firma Velocity stosuje się do ram ochrony danych UE-USA (EU-U.S. Data Privacy Framework; DPF) oraz rozszerzenia do DPF UE-USA Wielkiej Brytanii, jak zostały określone przez Departament Handlu USA. Firma Velocity zaświadczyła Departamentowi Handlu USA, że stosuje się do zasad określonych w DPF UE-USA w związku z przetwarzaniem danych osobowych pochodzących z Unii Europejskiej i Wielkiej Brytanii, opierając się na DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkie Brytanii. W przypadku wystąpienia jakiejkolwiek sprzeczności pomiędzy niniejszą polityką prywatności, a zasadami DPF UE-USA, obowiązywać będą zasady. Aby dowiedzieć się więcej o programie DPF oraz aby zobaczyć naszą certyfikację, odwiedź https://www.dataprivacyframework.gov/

a. Zakres

Niniejsza polityka ma zastosowanie do wszystkich pracowników mających styczność z danymi osobowymi w celach biznesowych, zarówno w obrębie, jak i poza Velocity.

b. Cel

Naszym celem jest ochrona osób, których dane dotyczą poprzez pozyskiwanie, gromadzenie, obchodzenie się z i przetwarzanie ich danych osobowych zgodnie z obowiązującym prawem o ochronie danych.

c. Konsekwencje naruszenia niniejszej polityki

Stosowanie się do niniejszej polityki oraz nasze obowiązki wynikające z prawa o ochronie danych traktujemy bardzo poważnie. Niedopełnienie tychże obowiązków może wystawić naszych pracowników, innych i firmę Velocity, jako całość, na ryzyko naruszenia przepisów. Naruszenie niniejszej polityki w jakimkolwiek stopniu może skutkować działaniami dyscyplinarnymi, nawet do i łącznie ze zwolnieniem z pracy.

d. Powiązane polityki i procedury

Niniejsza polityka uzupełnia nasze inne powiązane polityki i procedury (które mogą być wdrażane lub zmieniane od czasu do czasu). Można je znaleźć na MasterControl, repozytorium dokumentów systemu zarządzania jakością (Quality Management System; QMS) Velocity.

e. Czym jest ochrona danych i czemu jest ona ważna

Wszyscy ludzie posiadają prawa w związku ze sposobem, w jaki przetwarzane są ich dane osobowe. Pojęcie „ochrona danych” w niniejszej polityce odnosi się do przetwarzania danych osobowych w sposób udzielający i chroniący odpowiednie prawa do prywatności osób, których dane dotyczą oraz w sposób zapewniający im prawną ochronę w związku z danymi osobowymi (zgodnie z obowiązującym prawem o ochronie danych).

f. Czym są dane osobowe

Dane osobowe oznaczają wszelkie dane (lub ich połączenie), na podstawie których można bezpośrednio lub pośrednio zidentyfikować daną osobę. Dane osobowe mogą być faktyczne lub mogą stanowić opinię o osobie, jej działaniach i zachowaniu.

W ramach danych osobowych istnieje podkategoria: Szczególne kategorie danych osobowych To informacje związane z rasą lub pochodzeniem etnicznym osoby, jej poglądami politycznymi, przekonaniami religijnymi, duchowymi lub światopoglądowymi, przynależnością osoby do związków zawodowych, dane dotyczące zdrowia fizycznego lub psychicznego, związane z życiem seksualnym, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane genetyczne oraz dane dotyczące seksualności lub orientacji seksualnej osoby fizycznej (zgodnie z prawem o ochronie danych, tj. art. 9 RODO). Z przetwarzaniem szczególnych kategorii danych osobowych wiążą się jeszcze surowsze warunki.

2. Zasady ochrony danych

W ramach prawa o ochronie danych istnieje kilka zasad, których należy przestrzegać, przetwarzając dane osobowe. W następującym punkcie znajduje się opis tego, w jaki sposób dążymy do osiągnięcia zgodności z tymi zasadami:

  • Odpowiedzialność: Jesteśmy odpowiedzialni za i musimy być w stanie zademonstrować spełnienie głównych zasad i wytycznych prawa o ochronie danych.
  • Zgodność z prawem, uczciwość i przejrzystość: Dane osobowe mogą być przetwarzane jedynie zgodnie z prawem, uczciwie i w sposób przejrzysty. Oznacza to, że musimy informować osoby, których dane dotyczą o tym, jak i dlaczego przetwarzamy ich dane (przejrzystość), że przetwarzanie musi być zgodne z jego opisem podanym osobom, których dane dotyczą (uczciwość), i że przetwarzanie wynika z jednej z podstaw prawnych określonych w prawie o ochronie danych (zgodność z prawem).
  • Zasada ograniczenia celu: Musimy dokładnie określić (przed ich uzyskaniem), do czego będą wykorzystywane gromadzone przez nas dane osobowe i ograniczyć przetwarzanie danych osobowych do zakresu, w którym jest to konieczne do spełnienia określonego celu.
  • Zasada ograniczenia ilości zbieranych danych: Gromadzone przez nas dane osobowe będą prawidłowe, stosowne i ograniczone tylko do celów koniecznych, do jakich są przetwarzane.
  • Poprawność: Korzystamy z odpowiednich procesów, aby zapewniać poprawność i aktualność danych.
  • Ograniczenie okresu przechowywania danych: Dane osobowe będą przechowywane w sposób umożliwiający nam identyfikację osoby, której dane dotyczą, jedynie tak długo, jak to konieczne w celach, w jakich przetwarzane są dane osobowe.
  • Bezpieczeństwo/integralność i poufność: Wykorzystujemy odpowiednie środki techniczne i organizacyjne, aby chronić integralność i poufność danych osobowych, w tym ochrona przed nieautoryzowanym i niezgodnym z prawem przetwarzaniem, oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem danych.

a. Monitorowanie

odpowiedzialności

Z naruszeniami i niestosowaniem się do naszych obowiązków prawnych wynikających z prawa o ochronie danych wiążą się poważne konsekwencje. Przetwarzanie wszelkich danych osobowych zgodnie z naszymi obowiązkami prawnymi i zasadami ochrony danych leży w naszej odpowiedzialności.

Jeśli nie spełnimy wymogów dotyczących odpowiedzialności, wynikających z prawa o ochronie danych, ryzykujemy nie tylko naruszenie przepisów, ale także poważny szwank naszej dobrej reputacji.

Oceniamy zgodność z niniejszą polityką pod dwoma względami:

  1. zgodność związana z ogólną ochroną danych;
  2. skuteczność środków ochrony danych związana z naszymi procesami operacyjnymi.

Regularnie przeprowadzamy przeglądy i stosujemy się do zasad modelu „planuj, wykonaj, sprawdź i działaj” (Plan-Do-Act-Check; PDAC) w celu kontroli i ciągłego ulepszania naszych procesów. Działania te mają na celu stwierdzenie, czy osiągany jest odpowiedni poziom zgodności.

Zgłaszanie naruszeń ochrony danych osobowych

Jesteśmy odpowiedzialni za zgłaszanie naruszeń ochrony danych osobowych odpowiedniemu organowi nadzorczemu w ciągu 72 godzin, jeśli taki jest wymóg prawa (czas ten liczy się od momentu, w którym dowiedzieliśmy się o incydencie).

Jeśli podejrzewa się, że miało miejsce naruszenie ochrony danych osobowych, za które my (jako administrator) odpowiadamy, incydent ten musi zostać zbadany wewnętrznie przez inspektora ochrony danych (DPO) i zespół reagowania na incydenty. Jeśli z incydentem wiąże się ryzyko dla osób, których dane dotyczą, incydent ten musi być zgłoszony odpowiedniemu organowi nadzorczemu w ciągu 72 godzin od otrzymania wiadomości o nim.

Szkolenie

Wszyscy pracownicy muszą przejść odpowiednie do swojego stanowiska szkolenie w zakresie ochrony danych.

Dział HR odpowiada za odpowiednie przeszkolenie nowych pracowników w ramach procesu wdrażania, a wszyscy pracownicy uczestniczą w szkoleniach z ochrony danych raz w roku, lub wtedy, gdy ma miejsce znacząca zmiana prawa lub naszej polityki lub procedur, co ma miejsce częściej. Velocity Quality odpowiada za prowadzenie ewidencji szkoleń i przechowywanie najbardziej aktualnych materiałów szkoleniowych i dokumentów.

Odpowiedzialność

Każdy pracownik mający styczność z danymi osobowymi odpowiada za obchodzenie się z i przetwarzanie danych osobowych zgodnie z niniejszą polityką i obowiązującym prawem o ochronie danych.

W obrębie firmy Velocity są stanowiska o określonych obszarach odpowiedzialności:

  • Kierownictwo firmy jest ostatecznie odpowiedzialne za zapewnienie wypełnienia przez nas naszych obowiązków prawnych.
  • Urzędnik ds. prywatności Velocity w ogólny sposób odpowiada za zapewnienie przestrzegania prawa o ochronie danych.
  • The Zespół ds. prywatności w ogólny sposób odpowiada za konsekwentne stosowanie zasad niniejszej polityki oraz za:
    • przegląd na bieżąco wszelkich procedur związanych z ochroną danych i politykami;
    • organizację szkoleń i udzielanie porad w związku z ochroną danych wszystkim pracownikom i osobom, które obejmuje niniejsza polityka;
    • udzielanie odpowiedzi osobom, których dane dotyczą, które chcą wiedzieć jakie ich dane osobowe są przez nas przechowywane;
    • weryfikacja i zatwierdzanie przetwarzania danych osobowych przez strony trzecie, które są w posiadaniu tych danych oraz umów lub porozumień;
    • prowadzenie dokumentacji zawierającej operacje przetwarzania danych, w tym okresowe oceny i zatwierdzenia.
  • Kierownik działu technologi informatycznych odpowiada za:
    • spełnianie akceptowalnych standardów bezpieczeństwa przez wszystkie systemy, usługi i sprzęt służące do przechowywania danych;
    • przeprowadzanie regularnych kontroli i skanów w celu sprawdzenia, czy sprzęt komputerowy i oprogramowanie odpowiedzialne za bezpieczeństwo działa w sposób prawidłowy;
    • ocenę wszelkich firm zewnętrznych, z usług których firma Velocity rozważa skorzystać w celu zatrzymywania lub przetwarzania danych osobowych.
Przegląd operacji przetwarzania danych

W prawie o ochronie danych określono szeroki zakres wymogów w związku z dokumentacją i dowodem zachowywania zgodności z obowiązkami związanymi z ochroną danych. Kluczowym elementem w tym względzie jest przegląd operacji przetwarzania danych, jak zostało to określone w prawie o ochronie danych. Wykazujemy stosowanie się do prawa o ochronie danych za pomocą dokumentacji w aplikacji Foxondo .

„Ochrona prywatności w fazie projektowania”

Dokładamy starań, aby opracowywać wewnętrzne procesy, tak aby zasady ochrony danych były zawarte w każdym kroku operacji przetwarzania. „Ochrona prywatności w fazie projektowania” oznacza konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych zarówno przed, jak i w trakcie, każdej wykonywanej przez nas operacji przetwarzania, aby w operacje te włączyć zabezpieczenia. To ważny krok zapewniający ochronę osobom, których dane dotyczą i spełnienie wymogów przepisów prawa o ochronie danych.

Zawsze staramy się wdrażać odpowiednie środki techniczne i organizacyjne, zarówno podczas określania środków niezbędnych do przetwarzania, jak i podczas samego powtarzania, aby stosować się do zasady ograniczenia ilości zbieranych danych.

W celu umożliwienia identyfikacji i uwzględnienia wszelkich wymogów związanych z ochroną danych podczas projektowania nowych systemów lub procesów i/lub podczas oceny lub rozbudowy istniejących systemów lub procesów, przed rozpoczęciem pracy nad projektem konieczne jest przeprowadzenie wstępnej oceny skutków w zakresie ochrony danych (ocena wstępna, wersja skrócona oceny skutków w zakresie ochrony danych). W zależności od wyniku, pełna ocena skutków w zakresie ochrony danych może być prawnie wymagana.

b. Zgodność z prawem, uczciwość i przejrzystość

Odpowiadamy za zrozumienie kontekstu, w jakim przebiega przetwarzanie danych osobowych, jako część naszych codziennych działań. Chcemy czuwać nad tym, aby przebiegało to w sposób sprawiedliwy i zgodny z prawem i abyśmy byli to w stanie jasno wyjaśnić osobom, których dane dotyczą. Zawsze będzie przetwarzać dane osobowe w sposób zgodny z prawem, uczciwy i przejrzysty, szanując prawa osób, których dane dotyczą.

Nasi zewnętrzni dostawcy usług/kontrahenci przetwarzający dane osobowe w naszym imieniu są także zobowiązani do ochrony danych. W tym kontekście, jesteśmy prawnie zobowiązani do:

  • korzystania z usług jedynie tych zewnętrznych dostawców usług/kontrahentów, którzy są w stanie wykazać, że stosują się do prawa o ochronie danych, tj. RODO;
  • zawierania spełniających wymogi prawa o ochronie danych, tj. RODO, pisemnych uzgodnień umownych z zewnętrznymi dostawcami usług/kontrahentami; oraz
  • wykazywania organom ochrony danych osobowych, że zastosowaliśmy się do powyższych wymogów prawnych.
Gromadzenie danych osobowych i powiadamianie o nich

Możemy gromadzić dane osobowe tylko wtedy, gdy jest to konieczne do spełnienia prawnie zasadnych celów lub wyraźnie dozwolone. Będziemy gromadzić dane osób, których one dotyczą tylko w przypadku, gdy jedno z następujących stwierdzeń będzie mieć zastosowanie:

  • jesteśmy do tego zobowiązani na podstawie wymogów prawa, np. prawa UE lub obowiązującego prawa lokalnego;
  • przetwarzanie jest konieczne, aby mogły zostać spełnione cele biznesowe oraz, by nasza organizacja mogła podjąć lub wykonać zobowiązania umowne z osobami, których dane dotyczą;
  • przetwarzanie leży w naszych (rozsądnych) prawnie uzasadnionych interesach, a osoby, których dane dotyczą nie posiadają ważniejszych od nas, sprzecznych interesów;
  • osoby te wyraziły swoją zgodę na przetwarzanie. Zgoda musi zostać wyrażona dobrowolnie i uzyskana zgodnie z obowiązującym prawem o ochronie danych, jak określono w art. 7 RODO.
  • Przetwarzanie danych leży w żywotnym interesie osoby, której dane dotyczą lub innej.

Gromadząc dane osobowe, udzielamy osobom, których te dane dotyczą informacji dotyczących przetwarzania ich danych osobowych bezpłatnie i w sposób zwięzły, przejrzysty, zrozumiały i w łatwo dostępnym formacie, używając jasnego i prostego języka. Obejmuje to informacje o zewnętrznych dostawcach usług, którym ujawniane są dane osobowe tych osób i cel ujawnienia.

W przypadku, gdy dane osobowe będą przesyłane z terytorium objętym przepisami RODO do USA wewnątrz grupy Velocity, zawarta będzie także informacja o tym,

  • że firma Velocity podlega uprawnieniom dochodzeniowym i wykonawczy Federalnej Komisji Handlu (FTC) Stanów Zjednoczonych;
  • Firma Velocity jest zobowiązana do przeprowadzania arbitrażu w sprawie roszczeń i przestrzegania warunków określonych w załączniku I zasad DPF, pod warunkiem, że osoba powołała się na wiążący arbitraż, dostarczając Twojej organizacji zawiadomienie i postępując zgodnie z procedurami i spełniając warunki określone w załączniku I zasad;
  • Firma Velocity jest zobowiązana ujawnić dane osobowe w odpowiedzi na prawnie uzasadnione żądania ze strony organów władzy publicznej, w tym w celu spełnienia wymogów bezpieczeństwa międzynarodowego lub organów ścigania;
  • Velocity ponosi prawną odpowiedzialność za wtórne przekazywanie danych stronom trzecim;

 

c. Zasada ograniczenia celu: Przetwarzanie w ograniczonych celach

Dane osobowe uzyskane w jednym celu zazwyczaj nie mogą być wykorzystywane do innych celów. Dążymy do tego, aby przetwarzać dane osobowe tylko do celów wyraźnie dozwolonych przez prawo o ochronie danych. Informujemy osoby, których dane dotyczą o tych celach.

d. Zasada ograniczenia ilości zbieranych danych: Przetwarzanie danych, które jest wystarczające, odpowiednie i nie nadmierne w stosunku do celów

W każdym przypadku do przetwarzania danych wykorzystanych powinno być tylko tyle danych osobowych, ile jest to konieczne do osiągnięcia danego celu. Zawsze będziemy dążyć do tego, aby gromadzić dane osobowe w zakresie koniecznym do osiągnięcia danego celu, o którym osoba, której dane dotyczą została poinformowana i nie gromadzić niepotrzebnych danych osobowych.

e. Poprawność: Zapewnienie poprawności danych osobowych

Dążymy do tego, aby nasze systemy i procesy służące do wykrywania niepoprawnych informacji były rozbudowane i by szybko aktualizować lub usuwać wszelkie niepoprawne dane osobowe. Dokładamy wszelkich starań, aby przechowywane przez nas dane osobowe były poprawne i aktualne. Osoby, których dane dotyczą mają prawo zażądać poprawienia swoich błędnych danych osobowych.

f. Ograniczenie okresu przechowywania danych: Prowadzone w odpowiednim czasie przetwarzanie i przechowywanie danych

Dążymy do tego, aby nie przechowywać danych osobowych osób, których one dotyczą dłużej, niż jest to konieczne, zgodnie z obowiązującym prawem. Podejmujemy wszelkie wymagane kroki w celu zniszczenia lub usunięcia wszelkich niepotrzebnych danych osobowych z naszych systemów (elektronicznych i papierowych).

Wszyscy pracownicy muszą zapoznać się z procedurą usuwania/polityką przechowywania danych.

g. Bezpieczeństwo/integralność i poufność: Bezpieczeństwo danych osobowych

Zawsze powinniśmy dokładać wszelkich starań, aby poziom ochrony wszystkich przechowywanych przez nas danych osobowych był odpowiedni w stosunku do potencjalnego ryzyka. Stosujemy odpowiednie środki ochrony przed niezgodnym z prawem i nieautoryzowanym przetwarzaniem danych osobowych oraz przed ich przypadkową utratą lub uszkodzeniem zgodnie z naszą polityką prywatności. Procedury bezpieczeństwa obejmują (między innymi):

  • kontrole wejść – odwiedzający nie mogą wejść na teren ośrodków bez nadzoru pracowników i nie wolno im wkraczać do stref, w których przechowywane są dane osobowe, chyba że w towarzystwie pracownika;
  • bezpieczne, zamykane na zamek biurka i szafki – jeśli są w nich przechowywane informacje poufne jakiegokolwiek rodzaju, są one trzymane zamknięte; (Dane osobowe są zawsze traktowane jako poufne).
  • kontrole dostępu – dane przechowywane na komputerach są chronione silnymi hasłami i technologiami identyfikacji;
  • kontrole miejsc przechowywania danych – dane nie są nigdy zapamiętywane bezpośrednio na urządzeniach przenośnych, takich jak laptopy, tablety, czy smartfony (ale na scentralizowanych serwerach);
  • metody utylizacji – dokumenty papierowe przeznaczone do utylizacji są przechowywane w zamkniętych pudełkach, a następnie niszczone przez licencjonowane i powiązane z nami firmy złamujące się niszczeniem dokumentów; cyfrowe urządzenia do przechowywania danych są wymazywane za pomocą pełnego nadpisania danych lub fizycznie niszczone, gdy nie są już potrzebne;
  • sprzęt – użytkownicy danych pilnują tego, aby monitory komputerów nie pokazywały przechodzącym informacji poufnych i by wylogowywać się lub wyłączać komputer, gdy opuszczają stanowisko pracy.

3. Prawa osoby, której dane dotyczą

Musimy reagować na każde żądanie osób, których dane dotyczą, pragnących wykonać swoje prawa bez zbędnej zwłoki i w terminie jednego miesiąca od dnia otrzymania żądania. Przedłużenie tego terminu jest możliwe tylko w wyjątkowych okolicznościach.

Osobom, których dane dotyczą przysługują następujące prawa:

  • prawo do bycia poinformowanym;
  • prawo do sprostowania (korekty danych);
  • prawo do usunięcia;
  • prawo do ograniczenia przetwarzania;
  • prawo do przenoszenia danych;
  • prawo do sprzeciwu;
  • prawo do tego, by nie podlegać czysto zautomatyzowanej decyzji o negatywnych skutkach;

osoby, których dane dotyczą mają także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych odnośnie tego, w jaki sposób przetwarzamy ich dane osobowe.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się do współpracy i odpowiednio stosuje się do wskazówek panelu ustanowionego przez organy ochrony danych osobowych (DPAs) UE i Information Commissioner’s Office (ICO) Wielkiej Brytanii w związku z nierozstrzygniętymi skargami dotyczącymi przetwarzania przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkiej Brytanii danych osobowych.

4. Przesył danych

Czasem przesyłamy dane osobowe innym podmiotom. Podmioty te mogą być spółkami zależnymi, wchodzącymi w skład naszej grupy, ale także innymi firmami przetwarzającymi dane w naszym imieniu lub dostarczającymi nam systemy i usługi informatyczne, z których korzystają nasi użytkownicy do przetwarzania danych.

Firma Velocity zawsze zadba o to, aby taki przesył danych był zgodny z prawem. Jeśli to konieczne, w przypadku przesyłu danych z UE, firma Velocity zawiera z zewnętrznymi dostawcami usług standardowe klauzule umowne.

Jeśli zatrudniamy firmę w celu przetwarzania danych w naszym imieniu, współpracujemy tylko z firmami, które spełniają nasze wymagania dotyczące stosowania właściwych, spełniających nasze standardy i wymogi prawa o ochronie danych środków technicznych i organizacyjnych. Zanim rozpocznie się przetwarzanie danych, podpisane zostaną umowy dotyczące przetwarzania danych, wiążące firmę przetwarzającą stosownymi warunkami.

5. Urzędnik ds. prywatności Velocity i inspektor ochrony danych

Urzędnik ds. prywatności Velocity pomaga nam operować w zgodzie z prawem o ochronie danych i jest osobą kontaktową w przypadków codziennych problemów i pytań o ochronę danych naszych pracowników i inspektora ochrony danych. Urzędnik ds. prywatności Velocity odpowiada ogólnie za wdrażanie struktur różnych projektów związanych z prawem o ochronie danych i codzienne wdrażanie niniejszej polityki. Jej dane kontaktowe to:

Urzędnik ds. prywatności Velocity: Brandi Lang - blang@velocityclinical.com.

Koordynator ds. ochrony danych jest główną osobą kontaktową dla naszego inspektora ochrony danych, którego dane kontaktowe znajdują się poniżej:

Inspektor ochrony danych: Alef Völkner i jej zespół - tel. +49 22 66 - 90 15 920, DSB@fox-on.com.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się rozwiązać skargi związane z zasadami DPF UE-USA dotyczącymi gromadzenia i wykorzystywania przez nas Twoich danych osobowych. Mieszkańcy UE i WB, którzy mają pytania lub chcą zgłosić skargi w związku z przetwarzaniem przez nas danych osobowych otrzymanych w oparciu o DPF UE-USA i rozszerzenie do DPF UE-USA Wielkiej Brytanii, powinni najpierw skontaktować się z firmą Velocity, korzystając z powyższych danych kontaktowych.

Inspektor ochrony danych zajmuje się, właściwie i terminowo, wszelkimi kwestiami związanymi z ochroną danych osobowych. Inspektor ochrony danych raportuje bezpośrednio najwyższemu szczeblowi kierownictwa.

 

6. Aktualizacje

Numer wersji Data aktualizacji Podsumowanie aktualizacji
00 NA Oryginał

 

7. Słowniczek pojęć

Pojęcie Znaczenie
Pracownik (pracownicy) 

 

Wszystkie osoby zatrudnione lub zaangażowane w pracę na jakimkolwiek stanowisku dla Velocity. Na potrzeby niniejszej polityki, słowo „pracownicy” obejmuje następujące kategorie: Członkowie zarządu, pracownicy (na czas nieokreślony, na czas określony, pracujący w niepełnym wymiarze godzin i tymczasowi), pracownicy kontraktowi, aplikanci i emeryci.
Administrator 

 

Administrator jest osobą lub organizacją, która określa cele tego oraz to, w jaki sposób przetwarzane są dane osobowe i odpowiada za ustanawianie praktyk i wdrażanie polityk zgodnych z obowiązującym prawem o ochronie danych.
Ochrona danych 

 

Definicja ta odnosi się do stosunku, jaki istnieje między przetwarzaniem danych osobowych, a związanymi z tym oczekiwaniami dotyczącymi ochrony prywatności i obejmującą je prawną ochroną.
Osoba, której dane dotyczą 

 

Osoba, z którą dane osobowe są związane, np. pracownik, klient, osoba kontaktowa partnera biznesowego, itd.
Organ zajmujący się ochroną danych 

 

Komisja ds. ochrony danych jest organem nadzorczym/regulatorem odpowiedzialnym za egzekwowanie prawa o ochronie danych i stanie na straży praw osób, których dane dotyczą w związku z ochroną danych i prywatności odnośnie przetwarzania ich danych osobowych.
Dane osobowe 

 

Dane osobowe to wszelkie informacje (lub połączenie informacji), na podstawie których można bezpośrednio lub pośrednio zidentyfikować daną osobę. Uznaje się je także za informacje zawierające stwierdzenia o osobie (np. imię i nazwisko, informacje dotyczące otrzymywanego wynagrodzenia, stan cywilny, daty urlopu chorobowego)
Naruszenie ochrony danych osobowych To naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieautoryzowanego ujawnienia lub uzyskania dostępu do danych osobowych. Obejmuje to także naruszenia wynikające zarówno z przypadkowego, jak i umyślnego działania.
Przetwarzanie 

 

Przetwarzanie to każde działanie z udziałem danych osobowych. Obejmuje to uzyskiwanie, zapisywanie lub przechowywanie danych osobowych, lub wykonywanie wszelkich operacji lub zestawu operacji na danych osobowych, w tym organizowanie, korygowanie, odzyskiwanie, wykorzystywanie, ujawnianie, usuwanie lub niszczenie danych. Przetwarzanie oznacza także udostępnianie lub przesył danych osobowych stronom trzecim oraz uzyskiwanie dostępu do danych osobowych, w posiadaniu których jest administrator lub osoba przetwarzająca dane.
Osoba przetwarzająca dane Osobą przetwarzającą dane jest każda organizacja lub osoba z zewnątrz, która przetwarza dane osobowe w imieniu i/lub na polecenie administratora.
Szczególne kategorie danych osobowych Jak określono w prawie o ochronie danych, tj. art. 9 RODO: dane osobowe związane z rasą lub pochodzeniem etnicznym osoby, jej poglądami politycznymi, przekonaniami religijnymi lub światopoglądowymi, jej przynależnością do związków zawodowych, dane dotyczące zdrowia fizycznego lub psychicznego lub życia seksualnego/orientacji seksualnej osoby, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej i/lub dane genetyczne.
Tytuł dokumentu Informacja o ochronie prywatności - HR -- Pracownik
Dokument # FORM GEN-001
Wersja # 00
Data wejścia w życie 15 kwietnia 2024 r.

Informacja o polityce prywatności dla pracowników

Niniejszy dokument informuje Cię o przetwarzaniu Twoich danych osobowych przez Twojego pracodawcę, Velocity Clinical Research. Velocity Clinical Research jest administratorem Twoich danych osobowych.

Cele przetwarzania danych, dane osobowe i podstawa prawna

Przetwarzamy Twoje dane osobowe wyłącznie w celach związanych z zatrudnieniem (okres wdrażania pracownika, w całym okresie zatrudnienia i podczas rozwiązywania umowy) w związku z Twoją rolą i pełnioną przez Ciebie w naszej firmie funkcją i w ramach naszych prawnie uzasadnionych interesów biznesowych. Obejmują one:

Cel Kategorie danych osobowych Podstawa prawna
Zarządzanie zasobami ludzkimi (np. utrzymywanie akt osobowych pracownika), wdrażanie pracownika, komunikacja zewnętrzna Podstawowe dane pracownika (np. imię i nazwisko, płeć, narodowość, prywatny adres i dane kontaktowe, numer i identyfikatory pracownika, stanowisko, informacje dotyczące narzędzi pracy, dane dotyczące umowy, numer ubezpieczenia społecznego, pozwolenia na pracę, dane ubezpieczeniowe)

 

Wykonanie (tymczasowej lub na czas nieokreślony) umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych lub art. 6 (1) (b) RODO)
Zarządzanie jakością i monitorowanie działań pracowników Podstawowe dane pracownika, informacje dotyczące określonych działań (np. udział w procesach wewnętrznych, działania podjęte w ramach badań klinicznych, planowanie zmian) Wykonanie umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych lub art. 6 (1) (b) RODO); prawnie uzasadnione interesy związane z utrzymywaniem wysokiej jakości standardów w firmie (w UE: art. 6 (1) (f) RODO)

 

Płatności i księgowość (w tym księgowość płacowa, wypłata wynagrodzeń, księgowość finansowa, zaliczki na podatek dochodowy, planowanie kosztów związanych z zatrudnieniem pracowników i budżetowanie)

 

Podstawowe dane pracownika, dane dotyczące płatności (np. wynagrodzenia i wypłaty, pożyczki i zaliczki, premie, numer ubezpieczenia społecznego, dane bankowe, dane dotyczące kosztów podróży) Wykonanie umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych lub art. 6 (1) (b) RODO)
Zarządzanie ubezpieczeniami emerytalnymi

 

Imię i nazwisko, dane zawarte w umowie (np. dotyczące rozwiązania umowy, stanowiska), dane dotyczące ubezpieczeń emerytalnych i zabezpieczeń społecznych (np. wynagrodzenie, wynagrodzenie specjalne, nieobecności w pracy).

 

Wypełnienie obowiązków prawnych (w UE: art. 6 (1) (c) RODO).
Zarządzanie czasem pracowników (w tym organizacja nieobecności w pracy, planowanie i prowadzenie ewidencji godzin pracy i dni urlopu)

 

Podstawowe dane pracownika i dane dotyczące zarządzania jego czasem (np. godziny pracy, urlop i inne nieobecności, urlop rodzicielski, urlop chorobowy, urlop opiekuńczy) Wykonanie umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych)
Przegląd wyników, wewnętrzne zarządzanie talentami Podstawowe dane pracownika i dane dotyczące wyników (np. dane dotyczące szkoleń, przeglądy wyników, wskaźniki, role, imię i nazwisko przełożonego) Wykonanie umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych); wewnętrzne pozyskiwanie talentów opiera się na prawnie uzasadnionych interesach utrzymywania wysokiej jakości standardów siły roboczej

 

Szkolenia i rozwój Podstawowe dane pracownika i dane dotyczące szkoleń (np. szkolenia, historia szkoleń, wyniki oceny umiejętności) Wykonanie umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych)

 

Rejestrowanie niezdolności do pracy Podstawowe dane pracownika i dane dotyczące niezdolności do pracy (np. wypadki przy pracy, badania, dane osoby kontaktowej) Wypełnienie obowiązków związanych z pracą (np. w Niemczech: ust. 26 (3) federalnej ustawy o ochronie danych osobowych)

 

Bezpieczeństwo informatyczne i doskonalenie systemów informatycznych Imię i nazwisko, dane techniczne (np. identyfikator pracownika, identyfikator i konfiguracja laptopa, alerty bezpieczeństwa w laptopie, dane logowania) Prawnie uzasadnione interesy w zakresie zabezpieczenia infrastruktury informatycznej (np. w UE: art. 6 (1) (f) RODO)

 

Zarządzanie roszczeniami o charakterze prawnym i sporami Imię i nazwisko, informacje związane z roszczeniami (informacje dotyczące działań dyscyplinarnych, naruszeń, ostrzeżeń) Prawnie uzasadnione interesy (w UE: art. 6 (1) (f) RODO lub, w przypadku szczególnych kategorii danych osobowych: art. 9 (2) (f) RODO

W ograniczonych przypadkach będziemy polegać na Twojej zgodzie, np. w przypadku publikacji Twojego zdjęcia lub prowadzenia zapisu rocznic i urodzin (w UE: art. 6 (1) (a) RODO).

Odbiorcy

Przesyłamy dane stronom trzecim tylko wtedy, gdy jest to konieczne lub jeśli istnieje ku temu podstawa prawna. Kategorie stron trzecich, które mogą otrzymywać lub mieć dostęp do Twoich danych obejmują:

  • Kontrahentów zatrudnianych przez nas w celu świadczenia określonych usług wsparcia, np. dostawców usług informatycznych, konsultantów oraz księgowych z firm zewnętrznych lub pomoc prawną. Wszelkie powyższe podmioty są ściśle związane umowami o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.
  • Other Velocity Clinical Research business entities. This data remains within the Velocity group, but may involve international data transfer to the USA, where the Velocity headquarter is located. Many of our corporate shared services, such as HR, finance, and IT service provision are located in the USA, and EU employee data will therefore be accessible to individuals residing in the USA who are part of those functions. Data will only be transferred or disclosed to the extent necessary for this purpose and in compliance with the relevant data protection regulations. Velocity complies with the EU-U.S. Data Privacy Framework (EU-U.S. DPF) and the UK Extension to the EU-U.S. DPF, as set forth by the U.S. Department of Commerce. Velocity has certified to the U.S. Department of Commerce that it adheres to the EU-U.S. Data Privacy Framework Principles (EU-U.S. DPF Principles) with regard to the processing of personal data received from the European Union and the United Kingdom in reliance on the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF. If there is any conflict between the terms in this privacy notice and the EU-U.S. DPF Principles, the Principles shall govern. To learn more about the Data Privacy Framework (DPF) Program, and to view our certification, please visit https://www.dataprivacyframework.gov/
  • Klienci, w zakresie, w jakim potrzebować będą danych o pracownikach ośrodków, w których przeprowadzane są ich badania. Umowy z klientami obejmują także umowy o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.

 

Źródło i kategorie danych

Przetwarzamy dane, którymi się z nami dzielisz. Możemy także otrzymywać Twoje dane od stron trzecich:

  • za pośrednictwem biura podatkowego: dane dotyczące podatku dochodowego (takie jak stan cywilny, dodatki na dzieci);
  • za pośrednictwem Twojego ubezpieczyciela zdrowotnego (elektroniczne zaświadczenie o niezdolności do pracy, jeśli dotyczy, informacje o zasiłkach chorobowych na dzieci lub ochronie macierzyństwa);
  • Sądy/wierzyciele (w przypadku zajęcia wynagrodzenia lub dochodzenia)

Okresy przechowywania danych

Gromadzone na Twój temat dane będą usuwane niezwłocznie, gdy dane te przestaną być potrzebne do wypełniania stosunku pracy, lub gdy stosunek ten zostanie rozwiązany i jeśli nie istnieją sprzeczne ustawowe okresy przechowywania. Okresy przechowywania danych wynikają z prawa podatkowego, prawa pracy i przepisów prawa socjalnego i zazwyczaj wynoszą do 10 lat.

Podawanie danych

Jesteś zobowiązany do podania nam danych osobowych, które są niezbędne do wykonania zawartej z Tobą umowy i tych, które jesteśmy prawnie zobowiązani uzyskać. Jeśli nie udzielisz nam wymaganych informacji, możemy nie być w stanie nawiązać, ani utrzymywać z Tobą, stosunku pracy.

Twoje prawa jako osoby, której dane dotyczą

Jako osoba, której dane dotyczą przysługują Ci następujące prawa, pod warunkiem, że spełnione zostały wymogi prawne:

  • Prawo do bycia poinformowanym, art. 15 RODO
  • Prawo do sprostowania danych, art. 16 RODO
  • Prawo do usunięcia danych, art. 17 RODO
  • Prawo do ograniczenia przetwarzania, art. 18 RODO
  • Prawo do przenoszenia danych, art. 20 RODO
  • Prawo do sprzeciwu, art. 21 RODO
  • Prawo do tego, by nie podlegać zautomatyzowanej decyzji, art. 22 RODO

Jeśli przetwarzanie opiera się na Twojej zgodzie, masz prawo wycofać swoją zgodę na przetwarzanie danych w każdej chwili ze skutkiem na przyszłość. O ile przetwarzanie danych opiera się na prawnie uzasadnionych interesach, masz prawo się temu sprzeciwić. Możesz to zrobić, jeśli istnieją prawnie uzasadnione powody wynikające z Twojej danej sytuacji. Masz także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych w związku z przetwarzaniem danych.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się do współpracy i odpowiednio stosuje się do wskazówek panelu ustanowionego przez organy ochrony danych osobowych (DPAs) UE i Information Commissioner’s Office (ICO) Wielkiej Brytanii w związku z nierozstrzygniętymi skargami dotyczącymi przetwarzania przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkiej Brytanii danych osobowych.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się rozwiązać skargi związane z zasadami DPF UE-USA dotyczącymi gromadzenia i wykorzystywania przez nas Twoich danych osobowych. Mieszkańcy UE i WB, którzy mają pytania lub chcą zgłosić skargi w związku z przetwarzaniem przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzenie do DPF UE-USA Wielkiej Brytanii danych osobowych, powinni najpierw skontaktować się z firmą Velocity, pisząc na adres e-mail:privacy@velocityclinical.com.

Firma Velocity respektuje uprawnienia Federalnej Komisji Handlu (FTC) Stanów Zjednoczonych w zakresie prowadzenia dochodzeń i egzekwowania przepisów w związku z danymi osobowymi otrzymanymi lub przesłanymi zgodnie z DPF.

W niektórych przypadkach możesz wystąpić o wiążący arbitraż dla skarg dotyczących stosowania się do DPF po wcześniejszym wyczerpaniu innych procedur rozstrzygania sporów.

W niektórych sytuacjach konieczne może być ujawnienie przez nas danych osobowych w odpowiedzi na prawnie uzasadnione żądania organów władzy publicznej, w tym w celu spełnienia wymogów bezpieczeństwa narodowego lub organów ścigania.

Firma Velocity będzie ponosić odpowiedzialność na mocy zasad, jeśli jej przedstawiciel przetworzy informacje osobowe w sposób niezgodny z zasadami, chyba że organizacja udowodni, że nie ponosi odpowiedzialności za stanowiące naruszenie zdarzenie.

Jeśli masz jakiekolwiek pytania odnośnie swoich praw i tego, jak z nich korzystać, prosimy skontaktować się z działem HR lub urzędnikiem ds. prywatności firmy Velocity na adres e-mail: privacy@velocityclinical.com.

Podmiot odpowiedzialny i inspektor ochrony danych
Za przetwarzanie danych odpowiada w imieniu wszystkich jednostek znajdujących się na terenach UE i UK Velocity Clinical Research Germany GmbH.
Velocity Clinical Research Germany GmbH
Rosa-Luxemburg-Str. 20
04103 Lipsk
Niemcy

Dodatkowo, z inspektorem ochrony danych Velocity Clinical można się skontaktować pod adresem:
fox-on Datenschutz GmbH,
Pollerhofstraße 33a, 51789 Lindlar, Niemcy.
Adres e-mail: dsb+vel@fox-on.com

1. Aktualizacje

Niniejsza informacja o polityce prywatności jest okresowo aktualizowana. Najbardziej aktualną wersję znajdziesz zawsze na naszym intranecie.

Numer wersji Data aktualizacji Podsumowanie aktualizacji
00 15 KWIETNIA 2024 R. Oryginał

 

Tytuł dokumentu Informacja o ochronie prywatności - Non HR - Informacje o ochronie danych dla partnerów biznesowych lub osób kontaktowych u naszych partnerów biznesowych
Dokument # FORM GEN-002
Wersja # 00
Data wejścia w życie 15 kwietnia 2024 r.

Informacja o polityce prywatności dla partnerów biznesowych lub osób kontaktowych u naszych partnerów biznesowych

Cel przetwarzania danych

Przetwarzamy Twoje dane osobowe do następujących celów:

  • nawiązywanie kontaktu zawodowego i komunikacji;
  • utrzymywanie stosunków biznesowych i wdrażanie umów zawartych pomiędzy nami, a Twoim pracodawcą lub klientem.

Podstawa prawna

Przetwarzamy Twoje dane do celów wynikających z prawnie uzasadnionych interesów, jak stwierdzono powyżej (art. 6 ust. 1 litera f RODO). Są to wykonanie umowy i utrzymanie relacji biznesowych z Tobą lub Twoim pracodawcą/klientem. Jeśli będziemy przetwarzać dane osobowe w zakresie wykraczającym poza powyższe, będziemy to robić w oparciu o Twoją zgodę (art. 6 ust. 1 litera a RODO).

Kategorie i źródła danych osobowych

Przetwarzamy następujące informacje o Tobie: Imię i nazwisko, płeć, tytuł, firmowe dane kontaktowe, pozycja zawodowa, pracodawca, dane finansowe, informacje dotyczące wcześniejszej komunikacji. Jeśli dobrowolnie podałeś(-aś) nam także inne dane, możemy je także przechowywać. Jeśli sam nie przekazałeś(-aś) nam danych, otrzymaliśmy je od Twojego pracodawcy lub innego partnera biznesowego.

Odbiorcy

Przesyłamy dane stronom trzecim tylko wtedy, gdy jest to konieczne lub jeśli istnieje ku temu podstawa prawna. Kategorie stron trzecich, które mogą otrzymywać lub mieć dostęp do Twoich danych obejmują:

  • Kontrahentów zatrudnianych przez nas w celu świadczenia określonych usług wsparcia, np. dostawców usług informatycznych, konsultantów oraz księgowych z firm zewnętrznych lub pomoc prawną. Wszelkie powyższe podmioty są ściśle związane umowami o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.
  • Jednostki biznesowe Velocity Clinical Research Dane te pozostają w obrębie grupy Velocity, ale mogą być przesyłane do Stanów Zjednoczonych, gdzie znajduje się główna siedziba Velocity. Wiele z naszych wspólnych usług korporacyjnych, takich jak zarządzanie zasobami ludzkimi, sektor finansowy i świadczenie usług IT znajduje się w Stanach Zjednoczonych, a więc dane pochodzące z UE są tym samym dostępne dla osób mieszkających w Stanach Zjednoczonych, które sprawują te funkcje. Dane będą przesyłane i ujawniane jedynie w stopniu koniecznym do spełnienia tego celu i zgodnie ze stosownymi przepisami prawa dotyczącymi ochrony danych. Firma Velocity stosuje się do ram ochrony danych UE-USA (EU-U.S. Data Privacy Framework; DPF) oraz rozszerzenia do DPF UE-USA Wielkiej Brytanii, jak zostały określone przez Departament Handlu USA. Firma Velocity zaświadczyła Departamentowi Handlu USA, że stosuje się do zasad określonych w DPF UE-USA w związku z przetwarzaniem danych osobowych pochodzących z Unii Europejskiej i Wielkiej Brytanii, opierając się na DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkie Brytanii. W przypadku wystąpienia jakiejkolwiek sprzeczności pomiędzy niniejszą informacją o polityce prywatności, a zasadami DPF UE-USA, obowiązywać będą zasady. Aby dowiedzieć się więcej o programie DPF oraz aby zobaczyć naszą certyfikację, odwiedź https://www.dataprivacyframework.gov/
  • Klienci, w zakresie, w jakim potrzebować będą danych o pracownikach ośrodków, w których przeprowadzane są ich badania. Umowy z klientami obejmują także umowy o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.

Źródło i kategorie danych

Przetwarzamy dane, którymi się z nami dzielisz. Możemy także otrzymywać Twoje dane od stron trzecich:

  • twojego pracodawcy, gdy mamy ze sobą relacje biznesowe.

Okresy przechowywania danych

Dane osobowe są przechowywane tak długo, jak jest to konieczne do celów wymienionych powyżej. Jeśli Twoje dane kontaktowe są przetwarzane w związku z fakturami, będziemy je przechowywać zgodnie z ustawowymi okresami przechowywania danych.

Twoje prawa jako osoby, której dane dotyczą

Jako osoba, której dane dotyczą przysługują Ci następujące prawa, pod warunkiem, że spełnione zostały wymogi prawne:

  • Prawo do bycia poinformowanym, art. 15 RODO
  • Prawo do sprostowania danych, art. 16 RODO
  • Prawo do usunięcia danych, art. 17 RODO
  • Prawo do ograniczenia przetwarzania, art. 18 RODO
  • Prawo do przenoszenia danych, art. 20 RODO
  • Prawo do sprzeciwu, art. 21 RODO
  • Prawo do tego, by nie podlegać zautomatyzowanej decyzji, art. 22 RODO

Jeśli przetwarzanie opiera się na Twojej zgodzie, masz prawo wycofać swoją zgodę na przetwarzanie danych w każdej chwili ze skutkiem na przyszłość. O ile przetwarzanie danych opiera się na prawnie uzasadnionych interesach, masz prawo się temu sprzeciwić. Możesz to zrobić, jeśli istnieją prawnie uzasadnione powody wynikające z Twojej danej sytuacji. Masz także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych w związku z przetwarzaniem danych.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się do współpracy i odpowiednio stosuje się do wskazówek panelu ustanowionego przez organy ochrony danych osobowych (DPAs) UE i Information Commissioner’s Office (ICO) Wielkiej Brytanii w związku z nierozstrzygniętymi skargami dotyczącymi przetwarzania przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkiej Brytanii danych osobowych.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się rozwiązać skargi związane z zasadami DPF UE-USA dotyczącymi gromadzenia i wykorzystywania przez nas Twoich danych osobowych. Mieszkańcy UE i WB, którzy mają pytania lub chcą zgłosić skargi w związku z przetwarzaniem przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzenie do DPF UE-USA Wielkiej Brytanii danych osobowych, powinni najpierw skontaktować się z firmą Velocity, pisząc na adres e-mail:privacy@velocityclinical.com.

Firma Velocity respektuje uprawnienia Federalnej Komisji Handlu (FTC) Stanów Zjednoczonych w zakresie prowadzenia dochodzeń i egzekwowania przepisów w związku z danymi osobowymi otrzymanymi lub przesłanymi zgodnie z DPF.

W niektórych przypadkach możesz wystąpić o wiążący arbitraż dla skarg dotyczących stosowania się do DPF po wcześniejszym wyczerpaniu innych procedur rozstrzygania sporów.

W niektórych sytuacjach konieczne może być ujawnienie przez nas danych osobowych w odpowiedzi na prawnie uzasadnione żądania organów władzy publicznej, w tym w celu spełnienia wymogów bezpieczeństwa narodowego lub organów ścigania.

Firma Velocity będzie ponosić odpowiedzialność na mocy zasad, jeśli jej przedstawiciel przetworzy informacje osobowe w sposób niezgodny z zasadami, chyba że organizacja udowodni, że nie ponosi odpowiedzialności za stanowiące naruszenie zdarzenie.

Podmiot odpowiedzialny i inspektor ochrony danych
Za przetwarzanie danych odpowiada w imieniu wszystkich jednostek znajdujących się na terenach UE i UK Velocity Clinical Research Germany GmbH.
Velocity Clinical Research Germany GmbH
Rosa-Luxemburg-Str. 20
04103 Lipsk
Niemcy

Dodatkowo, z inspektorem ochrony danych Velocity Clinical można się skontaktować pod adresem:
fox-on Datenschutz GmbH,
Pollerhofstraße 33a, 51789 Lindlar, Niemcy.
Adres e-mail: dsb+vel@fox-on.com

1. Aktualizacje

Niniejsza informacja o polityce prywatności jest okresowo aktualizowana. Najbardziej aktualną wersję znajdziesz zawsze na naszym intranecie.

Numer wersji Data aktualizacji Podsumowanie aktualizacji
00 15 KWIETNIA 2024 R. Oryginał
Tytuł dokumentu Informacja o ochronie prywatności - Baza danych rekrutacyjnych pacjentów niebędących pracownikami działu HR
Dokument # FORM GEN-003
Wersja # 00
Data wejścia w życie 15 kwietnia 2024 r.

Informacja o polityce prywatności do rekrutacji pacjentów

Cel przetwarzania danych

Przetwarzamy Twoje dane osobowe do następujących celów:

  • budowania i utrzymywania bazy danej potencjalnych uczestników przyszłych badań;
    informowania potencjalnych uczestników o badaniach, które mogą być dla nich odpowiednie.
  • informowanie potencjalnych uczestników o badaniach, które mogą być dla nich istotne

Podstawa prawna

Przetwarzamy Twoje dane osobowe za Twoją zgodą (art. 6 ust. 1 litera a RODO) i w celu wypełnienia prawnych i oficjalnych wymogów (art. 6 ust. 1 litera c RODO).

Kategorie danych osobowych

Przetwarzamy Twoje następujące dane: imię i nazwisko, adres, płeć, dane kontaktowe, data urodzenia, stan cywilny, dane zdrowotne.

Odbiorcy

Przesyłamy dane stronom trzecim tylko wtedy, gdy jest to konieczne lub jeśli istnieje ku temu podstawa prawna. Kategorie stron trzecich, które mogą otrzymywać lub mieć dostęp do Twoich danych obejmują:

  • Kontrahentów zatrudnianych przez nas w celu świadczenia określonych usług wsparcia, np. dostawców usług informatycznych, konsultantów oraz księgowych z firm zewnętrznych lub pomoc prawną. Wszelkie powyższe podmioty są ściśle związane umowami o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.
  • Jednostki biznesowe Velocity Clinical Research Dane te pozostają w obrębie grupy Velocity, ale mogą być przesyłane do Stanów Zjednoczonych, gdzie znajduje się główna siedziba Velocity. Wiele z naszych wspólnych usług korporacyjnych, takich jak zarządzanie zasobami ludzkimi, sektor finansowy i świadczenie usług IT znajduje się w Stanach Zjednoczonych, a więc dane pochodzące z UE są tym samym dostępne dla osób mieszkających w Stanach Zjednoczonych, które sprawują te funkcje. Dane będą przesyłane i ujawniane jedynie w stopniu koniecznym do spełnienia tego celu i zgodnie ze stosownymi przepisami prawa dotyczącymi ochrony danych. Firma Velocity stosuje się do ram ochrony danych UE-USA (EU-U.S. Data Privacy Framework; DPF) oraz rozszerzenia do DPF UE-USA Wielkiej Brytanii, jak zostały określone przez Departament Handlu USA. Firma Velocity zaświadczyła Departamentowi Handlu USA, że stosuje się do zasad określonych w DPF UE-USA w związku z przetwarzaniem danych osobowych pochodzących z Unii Europejskiej i Wielkiej Brytanii, opierając się na DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkie Brytanii. W przypadku wystąpienia jakiejkolwiek sprzeczności pomiędzy niniejszą informacją o polityce prywatności, a zasadami DPF UE-USA, obowiązywać będą zasady. Aby dowiedzieć się więcej o programie DPF oraz aby zobaczyć naszą certyfikację, odwiedź https://www.dataprivacyframework.gov/
  • Klienci, w zakresie, w jakim potrzebować będą danych o pracownikach ośrodków, w których przeprowadzane są ich badania. Umowy z klientami obejmują także umowy o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.

Okresy przechowywania danych

Dane osobowe są przechowywane tak długo, jak jest to konieczne do celów wymienionych powyżej. Jeśli Twoje dane kontaktowe są przetwarzane w związku z fakturami, będziemy je przechowywać zgodnie z ustawowymi okresami przechowywania danych. Będziemy przechowywać Twoje dane jedynie tak długo, dopóki nie wycofasz swojej zgody. Gdy tylko wycofasz zgodę, usuniemy te dane z naszej bazy danej pacjentów.

Twoje prawa jako osoby, której dane dotyczą

Jako osoba, której dane dotyczą przysługują Ci następujące prawa, pod warunkiem, że spełnione zostały wymogi prawne:

  • Prawo do bycia poinformowanym, art. 15 RODO
  • Prawo do sprostowania danych, art. 16 RODO
  • Prawo do usunięcia danych, art. 17 RODO
  • Prawo do ograniczenia przetwarzania, art. 18 RODO
  • Prawo do przenoszenia danych, art. 20 RODO
  • Prawo do sprzeciwu, art. 21 RODO
  • Prawo do tego, by nie podlegać zautomatyzowanej decyzji, art. 22 RODO

Jeśli przetwarzanie opiera się na Twojej zgodzie, masz prawo wycofać swoją zgodę na przetwarzanie danych w każdej chwili ze skutkiem na przyszłość. O ile przetwarzanie danych opiera się na prawnie uzasadnionych interesach, masz prawo się temu sprzeciwić. Możesz to zrobić, jeśli istnieją prawnie uzasadnione powody wynikające z Twojej danej sytuacji. Masz także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych w związku z przetwarzaniem danych.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się do współpracy i odpowiednio stosuje się do wskazówek panelu ustanowionego przez organy ochrony danych osobowych (DPAs) UE i Information Commissioner’s Office (ICO) Wielkiej Brytanii w związku z nierozstrzygniętymi skargami dotyczącymi przetwarzania przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkiej Brytanii danych osobowych.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się rozwiązać skargi związane z zasadami DPF UE-USA dotyczącymi gromadzenia i wykorzystywania przez nas Twoich danych osobowych. Mieszkańcy UE i WB, którzy mają pytania lub chcą zgłosić skargi w związku z przetwarzaniem przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzenie do DPF UE-USA Wielkiej Brytanii danych osobowych, powinni najpierw skontaktować się z firmą Velocity, pisząc na adres e-mail:privacy@velocityclinical.com.

Firma Velocity respektuje uprawnienia Federalnej Komisji Handlu (FTC) Stanów Zjednoczonych w zakresie prowadzenia dochodzeń i egzekwowania przepisów w związku z danymi osobowymi otrzymanymi lub przesłanymi zgodnie z DPF.

W niektórych przypadkach możesz wystąpić o wiążący arbitraż dla skarg dotyczących stosowania się do DPF po wcześniejszym wyczerpaniu innych procedur rozstrzygania sporów.

W niektórych sytuacjach konieczne może być ujawnienie przez nas danych osobowych w odpowiedzi na prawnie uzasadnione żądania organów władzy publicznej, w tym w celu spełnienia wymogów bezpieczeństwa narodowego lub organów ścigania.

Firma Velocity będzie ponosić odpowiedzialność na mocy zasad, jeśli jej przedstawiciel przetworzy informacje osobowe w sposób niezgodny z zasadami, chyba że organizacja udowodni, że nie ponosi odpowiedzialności za stanowiące naruszenie zdarzenie.

Podmiot odpowiedzialny i inspektor ochrony danych
Za przetwarzanie danych odpowiada w imieniu wszystkich jednostek znajdujących się na terenach UE i UK Velocity Clinical Research Germany GmbH.
Velocity Clinical Research Germany GmbH
Rosa-Luxemburg-Str. 20
04103 Lipsk
Niemcy

Dodatkowo, z inspektorem ochrony danych Velocity Clinical można się skontaktować pod adresem:
fox-on Datenschutz GmbH,
Pollerhofstraße 33a, 51789 Lindlar, Niemcy.
Adres e-mail: dsb+vel@fox-on.com

1. Aktualizacje

Niniejsza informacja o polityce prywatności jest okresowo aktualizowana. Najbardziej aktualną wersję znajdziesz zawsze na naszym intranecie.

Numer wersji Data aktualizacji Podsumowanie aktualizacji
00 15 KWIETNIA 2024 R. Oryginał
Tytuł dokumentu Informacja o ochronie prywatności na stronie internetowej UE/Wielka Brytania
Dokument # FORM GEN-011
Wersja # 00
Data wejścia w życie 30 sierpnia 2024 r.

Polityka prywatności Velocity European Website

Informacja o ochronie prywatności
dla użytkowników strony velocityclinicaltrials.eu

Cel przetwarzania danych
Velocity Clinical Research to globalna sieć dedykowanych ośrodków badań klinicznych, które rekrutują pacjentów do badań klinicznych fazy 1-4 w imieniu firm biofarmaceutycznych i organizacji badawczych działających na zlecenie. W ramach rekrutacji pacjentów zachęcamy potencjalnych uczestników do odwiedzenia naszej strony internetowej w celu oceny ich kwalifikowalności na podstawie wymagań badania.

Nasza strona internetowa ma na celu powiadamianie o nadchodzących badaniach klinicznych, które odpowiadają Twoim zainteresowaniom i potrzebom.

Podstawa prawna
Przetwarzamy dane osobowe użytkownika za jego zgodą (art. 6 ust. 1 lit. a, art. 9 ust. 2 lit. a RODO), aby świadczyć usługi tej aplikacji (art. 6 ust. 1 lit. b RODO) oraz w oparciu o nasze uzasadnione interesy (art. 6 ust. 1 lit. f RODO) w celu analizowania zachowań w ruchu internetowym i marketingu.

Kategorie danych osobowych
Przetwarzamy dane osobowe podane przez użytkownika w formularzu zgłoszeniowym, a także przekazane nam za pośrednictwem zaakceptowanych przez użytkownika plików cookie. W celu świadczenia naszych usług obejmuje to dane dotyczące zdrowia oraz dane dotyczące rasy i pochodzenia etnicznego, które są uważane za dane wrażliwe zgodnie z art. 9 ust. 1 lit. a) RODO. 9 Abs. 1 RODO.

Odbiorca
Możemy udostępniać dane użytkownika innym odbiorcom w ramach Velocity Clinical Research Group. Ponadto korzystamy z usług dostawców, którzy zapewniają lub utrzymują naszą infrastrukturę IT (usługi IT/oprogramowanie, centra obsługi telefonicznej, dostawcy usług w chmurze) i wspierają nas w świadczeniu usług w ramach tej witryny internetowej. Tacy usługodawcy i/lub ich podwykonawcy/spółki macierzyste mogą znajdować się w krajach trzecich poza UE/EOG. W takich przypadkach wszystkie transfery opierają się na standardowych klauzulach umownych UE.

Velocity przestrzega Ram Prywatności Danych UE-USA (EU-U.S. DPF) i Rozszerzenia UK do EU-U.S. DPF, zgodnie z ustaleniami Departamentu Handlu USA. Velocity zaświadczyła Departamentowi Handlu USA, że przestrzega zasad ramowych ochrony prywatności danych UE-USA (zasady DPF UE-USA) w odniesieniu do przetwarzania danych osobowych otrzymanych z Unii Europejskiej i Wielkiej Brytanii w oparciu o DPF UE-USA i brytyjskie rozszerzenie DPF UE-USA. W przypadku sprzeczności między warunkami niniejszej informacji o ochronie prywatności a Zasadami DPF UE-USA, obowiązują Zasady. Aby dowiedzieć się więcej o programie Data Privacy Framework (DPF) i zapoznać się z naszą certyfikacją, odwiedź stronę https://www.dataprivacyframework.gov/.

WordPress
Wykorzystujemy WordPress do tworzenia stron internetowych, z siedzibą pod adresem 60 29th Street #343, San Francisco, CA 94110. Dane te nie są udostępniane stronom trzecim. Obowiązuje umowa o przetwarzaniu danych (DPA), zapewniająca zgodność z wymogami prawnymi. Więcej informacji można znaleźć na stronie: https://cookiedatabase.org/service/wordpress/

Complianz
Korzystamy z usług firmy Complianz, zlokalizowanej pod adresem Kalmarweg 14-5, 9723 JG Groningen, Holandia, w celu zarządzania zgodą na pliki cookie w naszych witrynach internetowych. Complianz uzyskuje dostęp wyłącznie do wybranych przez użytkownika ustawień dotyczących plików cookie i adresu IP. Wdrożono umowę o przetwarzaniu danych (DPA), która zapewnia zgodność z wymogami prawnymi.

Więcej informacji można znaleźć na stronie: https://complianz.io/

Czcionki Google
Korzystamy z usług Google Fonts do wyświetlania czcionek internetowych, zlokalizowanych pod adresem 1600 Amphitheatre Parkway w Mountain View, Kalifornia, Stany Zjednoczone, w celu wyświetlania czcionek na naszych stronach internetowych. W celu zapewnienia, że dane użytkownika są przetwarzane zgodnie ze wszystkimi wymogami prawnymi, została zawarta umowa o przetwarzaniu danych.

Więcej informacji można znaleźć na stronie: https://policies.google.com/privacy

YouTube

Korzystamy z serwisu YouTube do wyświetlania filmów, zlokalizowanego pod adresem 901 Cherry Ave, San Bruno, CA 94066, Stany Zjednoczone, w celu wyświetlania filmów na naszych stronach internetowych. W celu zapewnienia, że dane użytkownika są przetwarzane zgodnie ze wszystkimi wymogami prawnymi, została zawarta umowa o przetwarzaniu danych.

Więcej informacji można znaleźć na stronie: https://www.youtube.com/howyoutubeworks/our-commitments/protecting-user-data/

Okres przechowywania
Dane osobowe są przechowywane tak długo, jak jest to konieczne do wyżej wymienionych celów.

Prawa użytkownika jako osoby, której dane dotyczą
Jako osoba, której dane dotyczą, masz prawo do następujących praw, pod warunkiem spełnienia wymogów prawnych:

  • Prawo do bycia poinformowanym, art. 15 RODO
  • Prawo do sprostowania danych, art. 16 RODO
  • Prawo do usunięcia danych, art. 17 RODO
  • Prawo do ograniczenia przetwarzania, art. 18 RODO
  • Prawo do przenoszenia danych, art. 20 RODO
  • Prawo do sprzeciwu, art. 21 RODO

Ponieważ przetwarzanie odbywa się na podstawie zgody użytkownika, ma on prawo do cofnięcia zgody na przetwarzanie swoich danych w dowolnym momencie ze skutkiem na przyszłość. Należy pamiętać, że w takim przypadku nie będziemy już w stanie świadczyć użytkownikowi naszych usług.

W zakresie, w jakim przetwarzanie danych opiera się na ocenie uzasadnionych interesów, użytkownik ma prawo sprzeciwić się takiemu przetwarzaniu danych. Muszą istnieć ku temu uzasadnione powody wynikające z sytuacji użytkownika.

Użytkownik ma również prawo do złożenia skargi do organu nadzorczego ds. ochrony danych w związku z przetwarzaniem jego danych.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się do współpracy i odpowiednio stosuje się do wskazówek panelu ustanowionego przez organy ochrony danych osobowych (DPAs) UE i Information Commissioner’s Office (ICO) Wielkiej Brytanii w związku z nierozstrzygniętymi skargami dotyczącymi przetwarzania przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkiej Brytanii danych osobowych.

Zgodnie z DPF UE-USA i brytyjskim rozszerzeniem DPF UE-USA, Velocity zobowiązuje się do rozstrzygania skarg związanych z Zasadami DPF dotyczących gromadzenia i wykorzystywania przez nas danych osobowych użytkowników. Osoby fizyczne z UE i Wielkiej Brytanii, które mają pytania lub skargi dotyczące naszego postępowania z danymi osobowymi otrzymanymi w oparciu o DPF UE-USA i brytyjskie rozszerzenie DPF UE-USA, powinny najpierw skontaktować się z Velocity pod adresem: privacy@velocityclinical.com.

Firma Velocity respektuje uprawnienia Federalnej Komisji Handlu (FTC) Stanów Zjednoczonych w zakresie prowadzenia dochodzeń i egzekwowania przepisów w związku z danymi osobowymi otrzymanymi lub przesłanymi zgodnie z DPF.

W niektórych przypadkach możesz wystąpić o wiążący arbitraż dla skarg dotyczących stosowania się do DPF po wcześniejszym wyczerpaniu innych procedur rozstrzygania sporów.

W niektórych sytuacjach konieczne może być ujawnienie przez nas danych osobowych w odpowiedzi na prawnie uzasadnione żądania organów władzy publicznej, w tym w celu spełnienia wymogów bezpieczeństwa narodowego lub organów ścigania.

Velocity ponosi odpowiedzialność zgodnie z zasadami, jeżeli jej agent przetwarza takie dane osobowe w sposób niezgodny z zasadami, chyba że organizacja udowodni, że nie ponosi odpowiedzialności za zdarzenie powodujące szkodę.

Dostarczanie danych
Użytkownik musi podać nam dane osobowe niezbędne do wysyłania wiadomości z ankietami i oceny kwalifikowalności do udziału w badaniach. Możemy nie być w stanie zaoferować usług aplikacji bez posiadania tych obowiązkowych informacji.

Zautomatyzowane podejmowanie decyzji i profilowanie
Dane przekazane nam za pośrednictwem tego formularza są analizowane automatycznie i tworzą/aktualizują profil. Nie jest to jednak związane z podejmowaniem jakichkolwiek decyzji, które mają skutek prawny lub w podobny sposób znacząco wpływają na użytkownika, ponieważ ostateczne ustalenie kwalifikowalności pozostaje w wyłącznej gestii wyszkolonych specjalistów medycznych posiadających licencję w odpowiedniej jurysdykcji.

Podmiot odpowiedzialny
Za przetwarzanie danych odpowiedzialna jest firma Velocity Clinical Research Inc., 300 E. Main St., Suite 300, Durham, NC 27701, Stany Zjednoczone.
E-mail: privacy@velocityclinical.com
Telefon: 0800 032 1732