Informacja dotycząca przetwarzania danych osobowych dla pracowników ochrony zdrowia i innych partnerów biznesowych Sandoz

Aktualizacja: 5 grudnia 2022

Niniejsza Informacja dotycząca przetwarzania danych osobowych (dalej: Informacja) jest przeznaczona dla:

  • pracowników ochrony zdrowia, z którymi nawiązujemy lub utrzymujemy relacje,
  • naszych    klientów    lub    potencjalnych    klientów    będących    osobami fizycznymi (np. farmaceutów pracujących na zasadzie samozatrudnienia),
  • przedstawicieli lub osób kontaktowych naszych klientów lub potencjalnych klientów będących podmiotami prawnymi (np. osób pracujących w hurtowniach).

Przekazujemy Panu/Pani niniejszą Informację, ponieważ Sandoz Polska Sp. z o.o., z siedzibą przy ulicy Domaniewskiej 50C w Warszawie (02-672), (dalej: Sandoz, „my” lub „nas/nam”), przetwarza Pana/Pani dane osobowe.

Sandoz podejmuje decyzje o tym, dlaczego i jak Pana/Pani dane osobowe są przetwarzane, a co za tym idzie działa jako administrator Pana/Pani danych osobowych.

Zachęcamy do dokładnego zapoznania się z niniejszą Informacją, w której określamy, w jakim kontekście przetwarzamy Pana/Pani dane osobowe, a także przedstawiamy Pana/Pani prawa oraz nasze obowiązki związane z przetwarzaniem danych.

W przypadku pytań dotyczących przetwarzania Pana/Pani danych osobowych prosimy o kontakt z Sandoz korzystając z danych kontaktowych dostępnych tutaj lub pocztą elektroniczną, pisząc na adres: [email protected].

Pana/Pani dane mogą pochodzić bezpośrednio od Pana/Pani lub od naszych partnerów biznesowych  (tj.  podmiotu  prawnego,  w  którym  Pan/Pani  pracuje)  bądź mogą być pozyskane z zaufanych publicznie dostępnych źródeł (takich jak: PubMed, Clinical Trials.gov, strony internetowe kongresów czy strony internetowe uczelni wyższych).

Możemy gromadzić różne rodzaje Pana/Pani danych osobowych, w tym w szczególności:

  • informacje ogólne o Panu/Pani i informacje identyfikacyjne (np. imię i nazwisko, płeć, adres e-mail i/lub adres pocztowy, numer telefonu stacjonarnego i/lub komórkowego),
  • informacje dotyczące Pana/Pani funkcji (np. tytuł, stanowisko, nazwa spółki, a także, w przypadku pracowników ochrony zdrowia, pierwsza specjalizacja, druga specjalizacja, rok ukończenia uczelni medycznej, publikacje, udział w kongresach i spotkaniach naukowych, nagrody, biografia, wykształcenie, powiązanie z uczelniami wyższymi, wiedza fachowa i uczestnictwo w badaniach klinicznych/wkład w badania kliniczne, zaangażowanie w opracowywanie wytycznych, uczestnictwo w kolegiach redakcyjnych i organizacjach),
  • informacje dotyczące płatności (np. szczegóły dotyczące rachunku bankowego, numer NIP dla rozliczenia podatku od towarów i usług lub inny numer identyfikacji podatkowej),
  • informacje o unikalnym oznaczeniu ID partnera biznesowego nadanym przez Sandoz oraz o profilu partnera biznesowego,
  • elektroniczne dane identyfikacyjne, o ile są konieczne w celu wykonywania dostaw produktów lub świadczenia usług na rzecz naszej spółki (np. login, prawo dostępu, hasła, numer identyfikatora, adres IP, identyfikatory on-line/pliki cookies, dzienniki – logi, czas dostępu i połączenia, rejestracja obrazu lub dźwięku, np. zdjęcia identyfikatora, system monitoringu CCTV czy zapisy głosu),
  • informacje dotyczące Pana/Pani preferencji, w tym te dotyczące kanałów komunikacji i częstotliwości kontaktu,
  • dane, jakie Pan/Pani nam przekazuje, na przykład wypełniając formularze, uczestnicząc w spotkaniach lub odpowiadając na pytania w ankiecie,
  • dane związane z naszymi produktami i usługami oraz
  • informacje o działaniach/relacjach o charakterze naukowym i medycznym, jakie prowadzi/utrzymuje Pan/Pani z nami, w tym o potencjalnych przyszłych relacjach.

Jeżeli zamierza Pan/Pani przekazać nam dane  osobowe  innych  osób  fizycznych (np. innych przedstawicieli Pana/Pani zawodu), musi Pan/Pani przekazać takim osobom egzemplarz niniejszej Informacji o ochronie prywatności bezpośrednio lub za pośrednictwem ich pracodawcy.

2.1    Podstawa prawna przetwarzania danych

Nie będziemy przetwarzać Pana/Pani danych osobowych w przypadku braku odpowiedniego uzasadnienia prawnego dla tego rodzaju działań. W związku z tym będziemy przetwarzać Pana/Pani dane osobowe jedynie:

  • jeżeli uzyskaliśmy wcześniej Pana/Pani zgodę, lub
  • jeżeli przetwarzanie jest konieczne w celu wykonania naszych zobowiązań umownych wobec Pana/Pani lub w celu podjęcia wnioskowanych przez Pana/Panią działań przed zawarciem umowy, lub
  • jeżeli przetwarzanie jest konieczne w celu spełnienia przez nas obowiązków prawnych lub regulacyjnych, lub
  • jeżeli przetwarzanie jest konieczne w celu realizacji naszych prawnie uzasadnionych interesów i nie wpływa nadmiernie na Pana/Pani interesy lub podstawowe prawa i wolności.
  • Podczas przetwarzania Pana/Pani danych osobowych na podstawie ostatniego z wymienionych warunków, zawsze dążymy do utrzymania równowagi między naszymi prawnie uzasadnionymi interesami a Pana/Pani prywatnością. Przykładami takich „prawnie uzasadnionych interesów” są czynności przetwarzania danych wykonywane, aby:
    • rozwijać bliskie i oparte na zaufaniu relacje zawodowe z pracownikami służby zdrowia;
    • dostarczać pracownikom służby zdrowia wiedzy na temat  naszych leków i osiągnięć naukowych;
    • promować innowacje w dziedzinie farmaceutycznej;
    • zarządzać zasobami ludzkimi i finansowymi Sandoz oraz optymalizować interakcje z pracownikami służby zdrowia;
    • zapewnić by właściwy lek zgodnie z opinią techniczną i zawodową dobrze poinformowanego pracownika służby zdrowia dotarł do pacjenta;
    • korzystać z efektywnych kosztowo usług (np. możemy zdecydować się na korzystanie z pewnych platform oferowanych przez dostawców w celu przetwarzania danych);
    • oferować nasze produkty i usługi klientom;
    • zapobiegać oszustwom i przestępstwom, nadużyciom dotyczącym naszych produktów lub usług, a także zapewnić bezpieczeństwo naszych systemów, architektury i sieci informatycznych;
    • sprzedać dowolną część naszej działalności lub jej aktywów lub umożliwić nabycie całości lub części naszej działalności lub aktywów przez osobę trzecią; oraz aby realizować nasze cele korporacyjne i cele związane z odpowiedzialnością społeczną.

Dalsze informacje na temat testu równowagi powyższych poszczególnych interesów można uzyskać na prośbę skierowaną do Sandoz.

2.2    Cele przetwarzania danych

Zawsze przetwarzamy Pana/Pani dane osobowe w konkretnym celu, a także przetwarzamy jedynie te dane osobowe , które są niezbędne do jego do osiągnięcia. Przetwarzamy Pana/Pani dane osobowe w szczególności w następujących celach:

  • zarządzania naszymi relacjami z Panem/Panią (np. przez nasze bazy danych),
  • podejmowania działań służących przygotowaniu do zawarcia umów lub realizacji umów zawartych,
  • rejestrowania transakcji i zapewnienia transparentności przekazywanych świadczeń,
  • zapewniania Panu/Pani odpowiednich i aktualnych informacji na temat chorób, leków, a także naszych produktów i usług,
  • podnoszenia jakości naszych usług przez dostosowanie naszej oferty do Pana/Pani konkretnych potrzeb,
  • odpowiadania na Pana/Pani wnioski i zapewniania Pani/Panu skutecznego wsparcia,
  • przekazywania Panu/Pani ankiet (np. mających na celu ułatwienie Pana/Pani przyszłych kontaktów z nami),
  • przesyłania Panu/Pani wiadomości dotyczących produktów i usług, które promujemy,
  • zarządzania działaniami komunikacyjnymi i relacjami prowadzonymi z Panem/Panią (np. przez obsługę baz danych przechowujących zapisy o kontaktach z pracownikami służby zdrowia lub przez zarządzanie planami wizyt i przez raportowanie wizyt),
  • śledzenia naszych działań (np. pomiar kontaktów czy poziomu sprzedaży, liczby spotkań/wizyt),
  • zapraszania Pana/Pani na sponsorowane przez nas wydarzenia czy spotkania promocyjne (np. wydarzenia medyczne, wydarzenia z udziałem prelegentów, konferencje),
  • przyznawania Panu/Pani dostępu do naszych modułów szkoleniowych, pozwalając Panu/Pani w ten sposób dostarczać nam pewne usługi,
  • zarządzania naszymi zasobami informatycznymi, w tym zarządzania infrastrukturą i zapewniania ciągłości prowadzenia działalności,
  • ochrony interesów ekonomicznych spółki oraz zapewniania zgodności prawnej i sprawozdawczości (takich jak: zgodność z naszymi politykami i miejscowymi wymaganiami prawnymi, sprawy dotyczące podatków i potrąceń, zarządzanie domniemanymi przypadkami niewłaściwych działań czy oszustw, przeprowadzanie audytów, obrona w trakcie postępowań sądowych),
  • zarządzania transakcjami fuzji i przejęć dotyczącymi naszej spółki,
  • archiwizowania i prowadzenia ewidencji,
  • prowadzenia rozliczeń i wystawiania faktur oraz
  • we wszelkich innych celach wymaganych przez przepisy prawa.

W trakcie wykonywania naszych działań oraz w celach wskazanych w niniejszej Informacji Pana/Pani dane osobowe mogą być dostępne lub przekazane następującym kategoriom odbiorców, zgodnie z zasadą wiedzy koniecznej i dla osiągnięcia takich celów:

  • naszemu personelowi (w tym pracownikom, działom i innym spółkom należącym do Grupy Novartis),
  • naszym niezależnym agentom lub brokerom (o ile występują),
  • naszym dostawcom i usługodawcom, którzy zapewniają nam dostawę produktów i świadczenie usług,
  • naszym dostawcom systemów informatycznych, dostawcom usług przetwarzania danych w chmurze obliczeniowej, dostawcom baz danych i konsultantom,
  • naszym partnerom biznesowym, którzy oferują produkty i świadczą usługi wspólnie z nami lub z naszymi spółkami zależnymi,
  • stronom trzecim, na które przenosimy nasze prawa lub obowiązki, oraz
  • naszym doradcom i prawnikom zewnętrznym w kontekście sprzedaży lub przeniesienia jakiejkolwiek części naszej działalności lub majątku.

Wymienione powyżej strony trzecie są na mocy umów zobowiązane do ochrony poufności i bezpieczeństwa Pana/Pani danych osobowych, zgodnie z obowiązującymi przepisami prawa.

Pana/Pani dane osobowe mogą być także dostępne lub przekazane krajowym i/lub międzynarodowym organom regulacyjnym, wykonawczym, publicznym lub sądowym, w przypadku gdy wymagają tego od nas obowiązujące przepisy prawa lub regulacje bądź na ich wniosek.

Dane osobowe, które gromadzimy, mogą być także przetwarzane, dostępne lub przechowywane w kraju innym niż kraj, w którym znajduje się nasza siedziba, a który to kraj może nie oferować takiego samego poziomu ochrony danych osobowych.

Jeżeli przekażemy Pana/Pani dane osobowe spółkom zewnętrznym podlegającym innym jurysdykcjom, zapewnimy ochronę Pana/Pani danych osobowych przez (i) zastosowanie poziomu ochrony wymaganego na mocy miejscowych przepisów prawa o ochronie/prywatności danych obowiązujących naszą spółkę, (ii) prowadzenie działalności zgodnie z naszymi politykami i standardami oraz (iii) o ile nie określono inaczej, przekazywanie Pana/Pani danych osobowych wyłącznie na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską. Wykonując swoje prawa przedstawione w sekcji 6. poniżej, może Pan/Pani żądać dodatkowych informacji dotyczących międzynarodowego przekazywania danych osobowych oraz uzyskać kopię dowodów na zastosowanie odpowiednich mechanizmów zabezpieczeń.

W odniesieniu do przekazywania danych osobowych wewnątrz grupy, w grupie Novartis przyjęto Wiążące Zasady Korporacyjne, tj. zbiór zasad, reguł i narzędzi przewidzianych w prawie europejskim, dążąc do zapewnienia skutecznego poziomu ochrony danych w związku z przekazywaniem danych osobowych poza Europejski Obszar Gospodarczy (EOG) i Szwajcarię. Więcej informacji na temat Wiążących Zasad Korporacyjnych Novartis znajduje się tutaj.

Wdrożyliśmy odpowiednie środki techniczne i organizacyjne, by zapewnić odpowiedni poziom  ochrony Pana/Pani danych osobowych.

Wspomniane środki zastosowaliśmy, biorąc pod uwagę:

  • aktualnie dostępne technologie,
  • koszty ich wdrożenia,
  • charakter danych oraz
  • ryzyko związane z przetwarzaniem.

Celem powzięcia powyższych działań jest zapewnienie ochrony przed przypadkowym lub bezprawnym zniszczeniem lub zmodyfikowaniem, przypadkową utratą, nieupoważnionym ujawnieniem lub dostępem czy przed innymi bezprawnymi formami przetwarzania danych.

Ponadto, gdy wykonujemy czynności na Pana/Pani danych osobowych:

  • gromadzimy i przetwarzamy wyłącznie dane osobowe, które są adekwatne, stosowne i nienadmierne, biorąc pod uwagę osiągnięcie opisanych powyżej celów,
  • zapewniamy, by Pana/Pani dane osobowe były aktualne i prawidłowe.

W zakresie drugiego z określonych powyżej celów możemy zwracać się do Pana/Pani z prośbą o potwierdzenie prawidłowości przechowywanych przez nas danych osobowych. Zachęcamy także do samodzielnego informowania nas o zmianach dotyczących Pana/Pani danych, abyśmy mogli zapewnić ich aktualność.

Będziemy przechowywać Pana/Pani dane osobowe jedynie tak długo, jak jest to konieczne do osiągnięcia celów, dla których zostały one zgromadzone, lub do spełnienia wymagań wynikających z przepisów prawa lub regulacji.

W przypadku stron umów okres przechowywania danych osobowych odpowiada okresowi ważności Pana/Pani umowy (lub umowy Pana/Pani spółki) zawartej z nami oraz, dodatkowo, okresowi przedawnienia roszczeń wynikających z takiej umowy, chyba że nadrzędne, określone przez prawo lub regulacje harmonogramy wymagają dłuższego lub krótszego czasu przechowywania danych. Z chwilą upływu tak określonego terminu Pana/Pani dane osobowe są usuwane z naszych aktywnych systemów.

Dane osobowe gromadzone i przetwarzane w kontekście powstałego sporu są usuwane lub archiwizowane, (i) gdy tylko osiągnięte zostaje polubowne rozstrzygnięcie sporu, (ii) gdy zostaje wydana ostateczna decyzja w sprawie sporu lub (iii) gdy roszczenie ulega przedawnieniu.

Może Pan/Pani wykonywać następujące prawa na warunkach i w granicach określonych w prawie:

  • prawo dostępu do Pana/Pani danych osobowych przetwarzanych przez nas oraz, jeżeli uważa Pan/Pani, że jakiekolwiek informacje Pana/Pani dotyczące są niepoprawne, nieaktualne czy niekompletne, prawo do żądania ich korekty lub aktualizacji,
  • prawo do żądania usunięcia Pana/Pani danych osobowych lub ich ograniczenia do konkretnych kategorii przetwarzania,
  • prawo do cofnięcia Pana/Pani zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • prawo do wniesienia sprzeciwu wobec przetwarzania Pana/Pani danych osobowych w całości lub w części,
  • prawo do wniesienia sprzeciwu wobec kanału komunikacji wykorzystywanego do prowadzenia komunikacji na potrzeby marketingu bezpośredniego oraz
  • prawo do żądania przeniesienia danych, tj. tego, by przekazane nam przez Pana/Panią dane osobowe zostały Panu/Pani zwrócone lub przekazane do osoby wskazanej przez Pana/Panią, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, bez przeszkód z naszej strony oraz z zastrzeżeniem Pana/Pani obowiązków dotyczących poufności.

W przypadku pytań dotyczących powyższych praw lub chęci ich wykonania może Pan/Pani przesłać odpowiedni wniosek poprzez  poprzez stronę: https://www.novartis.com/privacy/dsr

Jeżeli nie jest Pan/Pani zadowolony/zadowolona ze sposobu, w jaki przetwarzamy Pana/Pani dane osobowe, prosimy o przekazanie o poinformowanie naszego inspektora ochrony danych, pisząc na adres [email protected], który zbada przedstawioną kwestię.

Poza prawami wskazanymi powyżej ma Pan/Pani także w każdym przypadku prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (dane kontaktowe dostępne są tutaj).

Wszelkie przyszłe zmiany lub uzupełnienia, opisanych w niniejszej Informacji zasad przetwarzania Pana/Pani danych osobowych, będą Panu/Pani przekazywane z wyprzedzeniem, z wykorzystaniem stosowanych przez nas kanałów komunikacji (np. pocztą elektroniczną lub poprzez nasze strony internetowe).

Powiązane skróty