Předávání osobních údajů evropských subjektů údajů do Spojenýchstátů amerických

1. Závazek společnosti Arthrex k bezpečnému přenosu osobních údajů

Společnost Arthrex zajišťuje, aby všechny přenosy osobních údajů do naší organizace byly plně v souladu s příslušnými předpisy o ochraně osobních údajů. Ochrana vašich osobních údajů je pro nás prioritou a neustále se snažíme dodržovat standardy stanovené rámcem pro ochranu osobních údajů mezi EU a USA.

Společnost Arthrex ve svých výrobcích, systémech a postupech uplatňuje nezbytná ochranná opatření, která zaručují, že jakýkoli další přenos osobních údajů je chráněn nejvyššími standardy.

Informace o ochraně vašich osobních údajů po celou dobu jejich používání naleznete ve smlouvě o zpracování údajů, kterou s vámi podepíšeme, v oznámení o ochraně osobních údajů společnosti Arthrex nebo v konkrétním oznámení o ochraně osobních údajů, které vám bylo poskytnuto v souvislosti s výrobkem či službou, které používáte.

2. Předávání osobních údajů do Spojených států amerických

Společnost Arthrex splňuje požadavky rámce ochrany osobních údajů mezi EU a USA (DPF EU/USA) a jeho rozšíření na Spojené království, stejně jako rámec ochrany osobních údajů mezi Švýcarskema USA (DPF Švýcarsko/USA), jak je stanoveno Ministerstvem obchodu USA. Společnost Arthrex potvrdila Ministerstvu obchodu USA, že dodržuje zásady rámce ochrany osobních údajů mezi EU a USA (Zásady DPF EU/USA) v souvislosti se zpracováním osobních údajů získaných z Evropské unie a Spojeného království na základě rámce DPF EU/USA a jeho rozšíření na Spojené království. Společnost Arthrex potvrdila Ministerstvu obchodu USA, že dodržuje zásady rámce ochrany osobních údajů mezi Švýcarskem a USA (Zásady DPF Švýcarsko/USA) v souvislosti se zpracováním osobních údajů získaných ze Švýcarska na základě rámce DPF Švýcarsko/USA.  Pokud dojde k jakémukoli rozporu mezi podmínkami těchto Zásad ochrany osobních údajů a zásady rámce ochrany osobních údajů mezi EU a USA (Zásady DPF EU/USA) a/nebo zásady rámce ochrany osobních údajů mezi Švýcarskem a USA (Zásady DPF Švýcarsko/USA), budou rozhodující tyto Zásady.  Více informací o programu rámce ochrany osobních údajů (DPF) a naší certifikaci naleznete na adrese https://www.dataprivacyframework.gov/.

Následující subjekty společnosti Arthrex v USA nebo dceřiné společnosti Arthrex v USA dodržují Zásady DPF EU/USA, včetně případného rozšíření Zásad DPF EU/USA ve Spojeném království a Zásad DPF Švýcarsko/USA, a vztahuje se na ně zaslání dokumentu DPF společností Arthrex:

• Arthrex, Inc., 1370 Creekside Blvd., Naples, Florida 34108, USA
• Arthrex Manufacturing Inc., 6875 Arthrex Commerce Dr., Ave Maria, FL 34142, USA
• Arthrex California Technology, Inc., 460 Ward Drive, Santa Barbara, California 93111, USA

V souladu s rámcem DPF EU/USA, jeho rozšířením na Spojené království a rámcem DPF Švýcarsko/USA, se společnost Arthrex zavazuje postoupit nevyřešené stížnosti týkající se nakládání s osobními údaji, které jsme obdrželi na základě rámce DPF EU/USA a rozšíření rámce DPF EU/USA na Spojené království a rácme DPF Švýcarsko/USA, službě ICDR-AAA DPF IRM Service, poskytovateli alternativního řešení sporů se sídlem ve Spojených státech. Pokud od nás neobdržíte včasné potvrzení vaší stížnosti související se Zásadami DPF nebo pokud jsme vaši stížnost související se Zásadami DPF nevyřešili k vašís pokojenosti, navštivte adresu https://go.adr.org/dpf_irm.html, kde získáte další informace nebo kde můžete podat stížnost. Služby ICDR-AAA jsou vám poskytovány bezplatně.

V souladu s rámcem DPF EU/USA, jeho rozšířením na Spojené království a rámcem DPF Švýcarsko/USA, se společnost Arthrex zavazuje řešit stížnosti týkající se zásad rámce ochrany osobních údajů (DPF) souvisejících se shromažďováním a používáním vašich osobních údajů. Osoby z EU a Spojeného království a švýcarští občané, kteří mají dotazy nebo stížnosti týkající se našeho nakládání s osobními údaji získanými na základě rámce DPF EU/USA, jeho rozšíření na Spojené království a rámce DPF Švýcarsko/USA, by měli nejprve kontaktovat společnost Arthrex na adrese: privacy@arthrex.com.

V souvislosti s předáváním osobních údajů do Spojených států a účastí v rámci ochrany osobních údajů (DPF) bude společnost Arthrex rozhodovat nároky a dodržovat podmínky stanovené v příloze I rámce DPF (https://www.dataprivacyframework.gov/framework-article/ANNEX-I-introduction).

Na společnost Arthrex se vztahují vyšetřovací a donucovací pravomoci Federální obchodní komise (FTC). Společnost Arthrex může být požádána o zveřejnění osobních údajů, které zpracováváme podle rámce pro ochranu osobních údajů, v reakci na zákonné požadavky veřejných orgánů, včetně splnění požadavků na zajištění národní bezpečnosti nebo vymáhání práva.

Informace o typu nebo identitě třetích stran a účelech, pro které společnost Arthrex zveřejňuje osobní údaje, naleznete na adrese https://privacy.arthrex.com/index.html#Sharing-of-Personal-Data. Společnost Arthrex nese odpovědnost za další přenos osobních údajů.

Informace o právech fyzických osob na přístup ke svým osobním údajům a na omezení používání a zveřejňování osobních údajů naleznete na adrese https://privacy.arthrex.com/index.html#What-Are-Your-Rights a v Oznámení o ochraně osobních údajů společnosti Arthrex v EHP na adrese https://privacy.arthrex.com/our-commitment-to-privacy/european-economic-area-emea.html.

3. Posouzení zájmu orgánů Spojených států amerických o předávání osobních údajů společnosti Arthrex

Kromě rozhodnutí o odpovídající ochraně osobních údajů mezi EU a USA jsme provedli rozsáhlé posouzení rizik předávání osobních údajů společností Arthrex, přičemž jsme zvážili následující faktory: účel(y), pro který jsou osobní údaje předávány a zpracovávány (např. marketing, lidské zdroje, ukládání dat, IT podpora, klinická hodnocení).     

• Typy subjektů zapojených do zpracování (např. veřejný/soukromý; správce/zpracovatel).
• Odvětví, ve kterém k přenosu dochází (např. lékařské, telekomunikační, finanční apod.).
• Kategorie předávaných osobních údajů (např. osobní údaje týkající se dětí mohou spadat do oblasti působnosti zvláštních právních předpisů ve třetí zemi).
• Zda budou osobní údaje uloženy ve třetí zemi, nebo zda existuje pouze vzdálený přístup k osobním údajům uloženým v EHP.
• Formát předávaných osobních údajů (např. v prostém textu, pseudonymizované nebo šifrované).
• Možnost, že osobní údaje mohou být předmětem dalšího předávání ze třetí země do jiné třetí země (nebo v rámci téže).

Tyto faktory a zejména povaha předávaných osobních údajů podporují tvrzení, že vláda USA pravděpodobně nebude usilovat o získání předávaných informací. Jako společnost vyrábějící zdravotnické prostředky není Arthrex zapojena do odvětví se zvýšeným zájmem o národní bezpečnost (např. obranné zakázky, podpora zpravodajské komunity, vládní zakázky nebo poskytování kritické infrastruktury). Místo toho předávané informace společnosti obvykle zahrnují osobní údaje zaměstnanců, zabezpečení datových systémů, přihlašovací údaje a informace o účtech uživatelů online vzdělávání a lékařské záznamy, které mohou obsahovat osobní údaje. Tyto lékařské záznamy se používají především k vývoji specifických chirurgických nástrojů a plánů, ke sledování rekonvalescence a pokroku pacienta v určitých pooperačních situacích a v omezených případech k technické podpoře procesů pořizování chirurgických videozáznamů. Společnost Arthrex získává osobní údaje od své dceřiné společnosti v EU za účelem podpory svých běžných obchodních činností, které nejsou citlivé z hlediska národní bezpečnosti nebo kontrarozvědky. Osobní údaje nejsou ze Spojených států přenášeny do dalších zemí, a pokud jsou přenášeny do Spojených států, jsou buď zasílány v zašifrovaném formátu, nebo je k nim bezpečný vzdálený přístup ze Spojených států. Společnost Arthrex neobdržela a pravděpodobně ani neobdrží žádnou žádost vlády USA týkající se osobních údajů zpracovávaných společností Arthrex. Proto nelze důvodně předpokládat, že by osobní údaje zpracovávané společností Arthrex byly předmětem zvláštního zájmu národní bezpečnosti.

4. Další aspekty

Společnost Arthrex případně ukládá a zpracovává osobní údaje evropských subjektů údajů výhradně v rámci Evropské unie. V takových případech nejsou osobní údaje uchovávány ve Spojených státech amerických a jakýkoli přístup k těmto údajům ze Spojených států amerických je založen na požadavku nezbytnosti znalosti, například při plnění úkolů zákaznické podpory, poskytování specifické bezpečnostní pomoci nebo při řešení technických problémů.

Předávání osobních údajů do USA probíhá výhradně na základě zásady „potřebujete vědět / potřebujete mít“ v souladu se smlouvami o zpracování údajů, které popisují organizační a technická opatření zavedená společností Arthrex k ochraně osobních údajů evropských subjektů údajů.

Společnost Arthrex bere na vědomí, že v případě příkazu k zpřístupnění osobních údajů orgánům USA by byla povinna informovat zákazníky a umožnit jim ukončit smlouvu s námi a zastavit předávání osobních údajů naší organizaci. Je důležité poznamenat, že společnost Arthrex nikdy nemusela takové oznámení vydat a na základě výše uvedeného hodnocení je vysoce nepravděpodobné, že by taková okolnost v budoucnu nastala.

5. Závěr

Na základě výše uvedené komplexní analýzy s jistotou tvrdíme, že riziko újmy pro subjekty údajů je minimální. Tento závěr vychází z přísných ochranných opatření a záruk, které společnost Arthrex zavedla, spolu s vysoce nepravděpodobnou pravděpodobností žádostí o přístup k osobním údajům ze strany amerických orgánů v souvislosti s našimi výrobky a službami. S ohledem na tyto faktory a v souladu s příslušnými právními povinnostmi proto potvrzujeme, že riziko poškození subjektů údajů považujeme za nevýznamné.

Bez ohledu na nízké riziko týkající se předávání osobních údajů evropských subjektů údajů do USA se společnost Arthrex plně zavazuje dodržovat zásady a ochranná opatření uvedená v rámci pro ochranu osobních údajů mezi EU a USA a ve všech příslušných předpisech, a také osvědčené postupy v oblasti ochrany údajů. Dodržováním těchto standardů zajišťujeme bezpečný a zákonný přenos osobních údajů a prokazujeme tak své neochvějné odhodlání chránit soukromí našich zákazníků.