Base Document - AstraZeneca Binding Corporate Rules

ASTRAZENECA
Wiążące reguły
korporacyjne
PRZEGLĄD
Wiążące reguły korporacyjne umożliwiają wielonarodowym firmom przekazywanie
danych osobowych z Europejskiego Obszaru Gospodarczego (EOG) do ich oddziałów
zgodnie z wymaganiami prawa w zakresie ochrony danych w Europie.
W celu uzyskania zatwierdzenia dla naszych wiążących reguł korporacyjnych firma
AstraZeneca [We, Us, Our] przedstawiła wielu europejskim organom regulacyjnym
zajmującym się ochroną prywatności danych, że ma odpowiednie zabezpieczenia
dotyczące ochrony danych osobowych w całej organizacji, spełniające wymagania
dokumentów Grupy roboczej art. 29, związane z wiążącymi regułami korporacyjnymi.
Proces zatwierdzenia obejmuje przegląd kluczowych elementów ram obejmujących
ochronę danych, w tym:
 Globalną politykę ochrony prywatności.
 Umowę Intra-Group Agreement (IGA) podpisaną przez oddziały AstraZeneca w celu
nadania mocy prawnej wymaganiom BCR.
KLUCZOWE WYMAGANIA
W krajach, gdzie wiążące reguły korporacyjne mają zastosowanie w firmie AstraZeneca,
nakładają one na nas obowiązek:



Używania danych osobowych tylko do określonych celów;
Podejmowania działań zapewniających, że przechowywane przez nas dane
osobowe są dokładne i aktualne;
Podejmowania odpowiednich środków zapobiegających użyciu danych osobowych
niezgodnie z prawem, ich przypadkowej utracie, zniszczeniu lub uszkodzeniu.
Więcej informacji na temat tych wymagań można znaleźć w naszej Globalnej polityce
ochrony prywatności.
KOGO TO DOTYCZY?
Nasze wiążące reguły korporacyjne obejmują wiele kategorii danych osobowych, w tym:

pracowników;



przedstawicieli branży medycznej;
pacjentów;
dostawców.
TRANSFERY MIĘDZYNARODOWE
Wiążące reguły korporacyjne AstraZeneca nie są ograniczone tylko do zasad
przekazywania danych z obszaru EOG, ale nie obejmują przekazywania danych między
oddziałami AstraZeneca.
Nasze wiążące reguły korporacyjne mają zastosowanie do:


Przekazywania danych osobowych z każdego innego kraju, w którym jest
uregulowane przetwarzanie danych osobowych;
Kolejnych etapów przetwarzania lub dalszego przekazywania danych osobowych
przez oddział AstraZeneca.
Nasze wiążące reguły korporacyjne nie mają zastosowania do:




Sytuacji, w których oddział AstraZeneca po prostu przetwarza dane osobowe na
rzecz firm innych niż jednostki AZ, które kontroluje, i jest prawnie odpowiedzialny
za przetwarzanie tych danych;
Danych osobowych, które pochodzą z jurysdykcji, gdzie przekazywanie danych
osobowych nie jest uregulowane ani kontrolowane przez AstraZeneca na żadnym
etapie regulowanej jurysdykcji;
Nagrań telewizji przemysłowej (ponieważ nie można ich zazwyczaj przekazywać za
granicę);
Danych dotyczących pracowników AstraZeneca w jednostkach w USA.
JAKIE DANE OSOBOWE MOGĄ BYĆ PRZEKAZYWANE?
Rodzaj danych osobowych, które mogą być przekazywane, obejmuje informacje niezbędne
do prowadzenia legalnej działalności gospodarczej, będące częścią operacji biznesowych.
Polityka prywatności, której podlega użytkownik podczas gromadzenia jego danych (lub
zaraz potem), zawiera więcej informacji o tym, jakie dane osobowe są gromadzone przez
AstraZeneca i jak będą wykorzystywane.
DOKĄD MOGĄ BYĆ PRZEKAZYWANE DANE OSOBOWE?
Główna siedziba firmy AstraZeneca znajduje się w Wielkiej Brytanii. W związku z tym
oczekuje się, że większość transferów danych osobowych poza EOG będzie
dokonywanych z systemów kontrolowanych przez Wielką Brytanię.
Ponieważ AstraZeneca może przekazywać dane osobowe do swoich oddziałów,
prawdopodobnie większość transferów będzie się odbywać do USA, Chin, Indii i Singapuru.
Więcej szczegółów na temat działalności AstraZeneca jest dostępnych na
AstraZeneca.com.
ZABEZPIECZANIE DANYCH OSOBOWYCH
W firmie AstraZeneca ochronę danych osobowych traktujemy niezwykle poważnie,
dlatego wdrożyliśmy odpowiednie zasady bezpieczeństwa, które w największym
możliwym stopniu mają zapewnić bezpieczeństwo oraz integralność wszystkich naszych
danych, w tym danych osobowych użytkownika.
Więcej szczegółów na temat podejścia do bezpieczeństwa w firmie AstraZeneca jest
dostępnych na naszej stronie internetowej dotyczącej polityki globalnej.
PRAWA UŻYTKOWNIKA
Jeśli dane osobowe użytkownika są przesyłane zgodnie z wiążącymi regułami
korporacyjnymi, użytkownik może mieć pewność, że zapewniamy:

Przejrzystość: Użytkownik uzyska od nas informacje na temat sposobu
przetwarzania danych osobowych w zakresie koniecznym do zapewnienia
rzetelności takiego przetwarzania. Te informacje są zazwyczaj umieszczane w
polityce prywatności udostępnianej użytkownikowi w momencie, gdy w firmie
AstraZeneca są gromadzone jego dane osobowe lub chwilę potem.

Dostęp: Użytkownik może uzyskać od AstraZeneca dostęp do przechowywanych
przez nas swoich danych osobowych. Podejmiemy wszelkie niezbędne kroki, aby
zapewnić dostęp do żądanych danych osobowych użytkownika. Jednak możemy
nie być w stanie dostarczyć wszystkich informacji, o które prosi użytkownik.
Wszelkie wstrzymanie ujawnienia informacji odbywa się tylko na podstawie
obowiązujących przepisów prawa. Szczegóły dotyczące uzyskiwania dostępu do
danych zostaną przekazane użytkownikowi w stosownym oświadczeniu o
ochronie prywatności AstraZeneca, które obejmuje przetwarzanie danych
osobowych.

Sprostowanie i usunięcie: Użytkownik może zwrócić się do AstraZeneca na
piśmie o sprostowanie, zmianę, usunięcie lub zawieszenie wykorzystywania
danych osobowych posiadanych przez AstraZeneca, o ile dane te są niepoprawne
lub zostały użyte niezgodnie z wiążącymi regułami korporacyjnymi. AstraZeneca
zrealizuje to żądanie z wyjątkiem określonych okoliczności i z zastrzeżeniem
zgodności z obowiązującymi przepisami prawa. Szczegóły dotyczące
dokonywania sprostowań i usunięcia danych zostaną przekazane użytkownikowi
w stosownym oświadczeniu o ochronie prywatności AstraZeneca, które obejmuje
przetwarzanie danych osobowych.

Prawo sprzeciwu: Ze względu na ważne i uzasadnione przyczyny użytkownik
może sprzeciwić się gromadzeniu, przechowywaniu i wykorzystaniu jego danych
osobowych przez AstraZeneca.

Zautomatyzowane przetwarzanie: W przypadku mało prawdopodobnego
automatycznego przetwarzania informacji dotyczących użytkownika, które ma na
niego znaczny wpływ, AstraZeneca umożliwi użytkownikowi omówienie rezultatów
takiego przetwarzania przed podjęciem stosownej decyzji (z wyjątkiem zakresu, w
jakim obowiązujące prawo pozwala na takie przetwarzanie).
EGZEKWOWANIE SWOICH PRAW
W zależności od okoliczności i lokalizacji użytkownik może mieć możliwość korzystania z
praw ochrony prywatności za pomocą wiążących reguł korporacyjnych poprzez jeden z
organów regulacyjnych, który zatwierdził wiążące reguły korporacyjne, lub poprzez sąd
angielski lub sąd w jurysdykcji użytkownika.
Użytkownik jest również uprawniony do otrzymania na żądanie egzemplarza umowy IGA
w celu zapoznania się z mechanizmem zapewniającym ochronę informacji oraz
możliwość korzystania z praw. Wybrane wrażliwe informacje handlowe mogą być
utajnione w egzemplarzu umowy IGA przekazywanym użytkownikowi.
W ramach umowy dotyczącej wiążących reguł korporacyjnych wyraziliśmy również zgodę,
by w przypadku wystąpienia przez użytkownika z powództwem przeciwko AstraZeneca
ciężar udowodnienia, iż postępowaliśmy zgodnie z wiążącymi regułami korporacyjnymi,
spoczywał na AstraZeneca. Zanim użytkownik skorzysta z tych praw, powinien
skontaktować się z nami w sposób przewidziany w części „Zadawanie pytań / zgłaszanie
zażaleń” poniżej, aby umożliwić nam ustosunkowanie się do tych zastrzeżeń.
ZADAWANIE PYTAŃ / ZGŁASZANIE ZAŻALEŃ
Jeśli użytkownik chce uzyskać dostęp do danych, zmienić je, wprowadzić poprawki lub
usunąć, może to zrobić, korzystając z danych kontaktowych dostępnych w polityce
prywatności. Skierują one użytkownika prosto do obszaru biznesowego AstraZeneca, w
którym następuje zarządzanie danymi osobowymi.
Jeśli chcesz dowiedzieć się więcej na temat wiążących reguł korporacyjnych i swoich
praw w tym zakresie lub jeśli chcesz złożyć skargę dotyczącą sposobu, w jaki
AstraZeneca obsługuje Twoje dane osobowe, możesz wnieść zażalenie za
pośrednictwem strony www.AZethics.com będącej częścią procesu zarządzania skargami
w AstraZeneca.
Można też zadać pytanie lub zgłosić problem, pisząc na adres e-mail:
-
[email protected] lub
adres doręczenia: Chief Privacy Officer, AstraZeneca, Horizon Place, 600
Capability Green, Luton, Bedfordshire, LU1 3LU, Wielka Brytania.
Postaramy się odpowiedzieć na złożone skargi i podjąć odpowiednie działania w ciągu 6
miesięcy.