Prohlášení o předávání osobních údajů evropských subjektů údajů do Spojených států amerických

 

  1. Závazek společnosti Arthrex k bezpečnému přenosu údajů

 

Společnost Arthrex zajišťuje, aby všechny přenosy osobních údajů do naší organizace byly plně v souladu s příslušnými předpisy o ochraně osobních údajů. Ochrana vašich osobních údajů je pro nás prioritou a neustále se snažíme dodržovat standardy stanovené rámcem pro ochranu osobních údajů mezi EU a USA.

Společnost Arthrex ve svých výrobcích, systémech a postupech uplatňuje nezbytná ochranná opatření, která zaručují, že jakýkoli další přenos osobních údajů je chráněn nejvyššími standardy.

Informace o ochraně vašich osobních údajů po celou dobu jejich používání naleznete ve smlouvě o zpracování údajů, kterou s vámi podepíšeme, v oznámení o ochraně osobních údajů společnosti Arthrex nebo v konkrétním oznámení o ochraně osobních údajů, které vám bylo poskytnuto v souvislosti s výrobkem či službou, které používáte.

 

  1. Zajištění bezpečných transatlantických datových toků pomocí rámce EU a USA pro ochranu osobních údajů

 

Společnost Arthrex dodržuje rámec pro ochranu osobních údajů mezi EU a USA (EU-U.S. DPF), rozšíření rámce pro ochranu osobních údajů mezi EU a USA ve Spojeném království a rámec pro ochranu osobních údajů mezi Švýcarskem a USA (Swiss-U.S. DPF), jak je stanovilo Ministerstvo obchodu USA. Společnost Arthrex potvrdila Ministerstvu obchodu USA, že dodržuje zásady rámce pro ochranu osobních údajů mezi EU a USA (dále jen „zásady rámce EU a USA“), pokud jde o zpracování osobních údajů získaných z Evropské unie na základě rámce EU a USA a ze Spojeného království (a Gibraltaru) na základě rozšíření rámce EU a USA. Společnost Arthrex potvrdila Ministerstvu obchodu USA, že dodržuje zásady švýcarsko-amerického rámce ochrany osobních údajů (zásady švýcarsko-amerického rámce ochrany osobních údajů), pokud jde o zpracování osobních údajů získaných ze Švýcarska na základě rámce pro ochranu osobních údajů mezi Švýcarskem a USA. Pokud dojde k rozporu mezi podmínkami v těchto zásadách ochrany osobních údajů a zásadami DPF mezi EU a USA a/nebo zásadami DPF mezi Švýcarskem a USA, platí tyto zásady. Chcete-li si prohlédnout naši certifikaci, navštivte https://www.dataprivacyframework.gov/.

Máte-li jakékoli dotazy nebo stížnosti týkající se nakládání společnosti Arthrex s vašimi osobními údaji podle Rámce pro ochranu osobních údajů nebo obecně našich postupů v oblasti ochrany osobních údajů, kontaktujte nás na adrese: privacy@arthrex.com. Na váš dotaz odpovíme neprodleně. Pokud máte nevyřešený problém týkající se ochrany osobních údajů nebo používání údajů, který jsme uspokojivě nevyřešili, obraťte se na našeho poskytovatele řešení sporů (zdarma) se sídlem v USA na adrese https://www.adr.org/. Pokud společnost Arthrex ani náš externí poskytovatel řešení sporů vaši stížnost nevyřeší, můžete se obrátit na závazné rozhodčí řízení prostřednictvím rámcového panelu pro ochranu osobních údajů. Chcete-li se dozvědět více o panelu pro ochranu osobních údajů, podívejte se sem.

Registraci rámce ochrany osobních údajů společnosti Arthrex si můžete prohlédnout zde. Na společnost Arthrex se vztahují vyšetřovací a donucovací pravomoci Federální obchodní komise (FTC). Společnost Arthrex může být požádána o zpřístupnění osobních údajů, které zpracováváme podle rámce pro ochranu osobních údajů, v reakci na zákonné žádosti orgánů veřejné moci, včetně splnění požadavků národní bezpečnosti nebo prosazování práva.

 

  1. Posouzení zájmu orgánů Spojených států amerických o předávání osobních údajů společnosti Arthrex

Kromě rozhodnutí o odpovídající ochraně osobních údajů mezi EU a USA jsme provedli rozsáhlé posouzení rizik předávání osobních údajů společností Arthrex, přičemž jsme zvážili následující faktory: účel(y), pro který jsou osobní údaje předávány a zpracovávány (např. marketing, lidské zdroje, ukládání dat, IT podpora, klinická hodnocení).     

  • Typy subjektů zapojených do zpracování (např. veřejný/soukromý; správce/zpracovatel).
  • Odvětví, ve kterém k přenosu dochází (např. lékařské, telekomunikační, finanční apod.).
  • Kategorie předávaných osobních údajů (např. osobní údaje týkající se dětí mohou spadat do oblasti působnosti zvláštních právních předpisů ve třetí zemi).
  • Zda budou osobní údaje uloženy ve třetí zemi, nebo zda existuje pouze vzdálený přístup k osobním údajům uloženým v EHP.
  • Formát předávaných osobních údajů (např. v prostém textu, pseudonymizované nebo šifrované).
  • Možnost, že osobní údaje mohou být předmětem dalšího předávání ze třetí země do jiné třetí země (nebo v rámci téže).

Tyto faktory a zejména povaha předávaných osobních údajů podporují tvrzení, že vláda USA pravděpodobně nebude usilovat o získání předávaných informací. Jako společnost vyrábějící zdravotnické prostředky není Arthrex zapojena do odvětví se zvýšeným zájmem o národní bezpečnost (např. obranné zakázky, podpora zpravodajské komunity, vládní zakázky nebo poskytování kritické infrastruktury). Místo toho předávané informace společnosti obvykle zahrnují osobní údaje zaměstnanců, zabezpečení datových systémů, přihlašovací údaje a informace o účtech uživatelů online vzdělávání a lékařské záznamy, které mohou obsahovat osobní údaje. Tyto lékařské záznamy se používají především k vývoji specifických chirurgických nástrojů a plánů, ke sledování rekonvalescence a pokroku pacienta v určitých pooperačních situacích a v omezených případech k technické podpoře procesů pořizování chirurgických videozáznamů. Společnost Arthrex získává osobní údaje od své dceřiné společnosti v EU za účelem podpory svých běžných obchodních činností, které nejsou citlivé z hlediska národní bezpečnosti nebo kontrarozvědky. Osobní údaje nejsou ze Spojených států přenášeny do dalších zemí, a pokud jsou přenášeny do Spojených států, jsou buď zasílány v zašifrovaném formátu, nebo je k nim bezpečný vzdálený přístup ze Spojených států. Společnost Arthrex neobdržela a pravděpodobně ani neobdrží žádnou žádost vlády USA týkající se osobních údajů zpracovávaných společností Arthrex. Proto nelze důvodně předpokládat, že by osobní údaje zpracovávané společností Arthrex byly předmětem zvláštního zájmu národní bezpečnosti.

 

  1. Doplňková opatření

Společnost Arthrex zavedla další opatření k zajištění odpovídající ochrany osobních údajů, a to i v případech, kdy právní režim cílové země představuje nízké nebo žádné podstatné riziko. Tato doplňková opatření jsou rozdělena do tří kategorií: i) smluvní záruky, ii) organizační záruky a iii) technické záruky.

 

    a) Smluvní

Jak je vysvětleno výše, společnost Arthrex uzavře smluvní dohodu popisující záruky pro předávání osobních údajů do Spojených států amerických.

Pokud je zpracování osobních údajů evropských subjektů údajů nařízeno smlouvou, společnost Arthrex:

   (i) souhlasí s tím, že bude přímo vázána smlouvami o zpracování údajů, které popisují organizační a technická opatření zavedená společností Arthrex k ochraně osobních údajů evropských subjektů údajů;

   (ii) uzavře s každým dílčím zpracovatelem, který se nachází ve třetí zemi bez odpovídající ochrany, příslušnou dohodu o spolupráci mezi zpracovateli, pokud dílčí zpracování vede k dalšímu předávání údajů do třetí země.

 

    b) Organizační

Obavy, které SDEU vyjádřil v souvislosti s předáváním osobních údajů do Spojených států amerických, se týkaly především postupů vlády Spojených států amerických při shromažďování údajů, jak jsou popsány v nařízení vlády USA č. 12333 (dále jen „EO 12333“) a v článku 702 zákona o dohledu nad zahraničním zpravodajstvím (dále jen „§ 702 zákona FISA“), zejména pokud jde o „předcházející“ sledování podle § 702 zákona FISA. Rizika spojená s těmito konkrétními právními předpisy se však na zpracování osobních údajů společností Arthrex nevztahují nebo je lze účinně zmírnit zavedením vhodných organizačních ochranných opatření nabízených společností Arthrex. Kromě toho hodlá společnost Arthrex využít dostupné právní mechanismy, aby přezkoumala požadavky na přístup k osobním údajům ze strany amerických orgánů.

Je důležité zdůraznit, že společnost Arthrex nepomáhá ani nemůže být nucena pomáhat americkým orgánům při jejich úsilí o shromažďování informací podle výkonného nařízení 12333. Společnost Arthrex se nepodílí a nebude poskytovat žádnou formu pomoci americkým orgánům zapojeným do sledovacích činností podle EO 12333. EO 12333 nedává vládě USA pravomoc nutit společnosti k poskytování pomoci při těchto činnostech a Arthrex se nebude podílet na dobrovolné spolupráci. Společnost Arthrex se proto neúčastní žádných akcí, které by usnadňovaly hromadné sledování podle EO 12333, jež bylo považováno za problematické, a nelze ji k nim ani nutit.

Společnost Arthrex není oprávněna přijímat „předcházející“ nebo hromadné příkazy ke sledování podle § 702 zákona FISA, protože neposkytuje příslušné služby. Výklad a aplikace § 702 zákona FISA ze strany americké vlády potvrzují, že společnost Arthrex není způsobilá pro specifické nařízení. Je velmi nepravděpodobné, že by zpracovávané osobní údaje zákazníků společnosti Arthrex byly relevantní pro zahraniční zpravodajskou činnost, kterou upravuje § 702 zákona FISA. Pokud by takové údaje byly relevantní, vláda by pravděpodobně využila jiné právní cesty, například získání příkazu k prohlídce, protože jde o rychlejší a jednodušší proces než vydávání příkazů podle § 702 zákona FISA.

 

    C) Technické

Arthrex zavádí technická opatření, která úspěšně zmírňují hlavní obavy, konkrétně hromadné sledování podle § 702 zákona FISA a hromadné odposlechy podle EO 12333.

Společnost Arthrex šifruje všechny osobní údaje uložené v našem systému a při přenosu pomocí šifrování, které je v souladu s nejmodernějšími požadavky GDPR. Šifrovací opatření zavedená společností Arthrex slouží k zabránění neoprávněného přístupu k osobním údajům ve srozumitelném formátu a k ochraně před neoprávněným odposlechem nebo manipulací během přenosu osobních údajů mezi dvěma koncovými body.

Společnost Arthrex uplatňuje přísné administrativní, technické a fyzické protokoly k ochraně osobních údajů uložených na svých serverech. Přístup k osobním údajům je omezen pomocí přihlašovacích údajů, které jsou vyhrazeny pouze zaměstnancům, kteří takový přístup potřebují k plnění svých pracovních povinností. Společnost Arthrex využívá kontroly přístupu, jako je vícefaktorové ověřování, omezený přístup ke správcovským účtům, jednotné přihlašování, princip nejmenších oprávnění nebo důkladné kontroly hesel. Kromě toho společnost Arthrex uplatňuje metody minimalizace údajů, aby omezila přenos osobních údajů z EU do jurisdikcí třetích zemí. To může v případě potřeby zahrnovat pseudonymizaci nebo deidentifikaci osobních údajů.

 

  1. Další aspekty

Společnost Arthrex případně ukládá a zpracovává osobní údaje evropských subjektů údajů výhradně v rámci Evropské unie. V takových případech nejsou osobní údaje uchovávány ve Spojených státech amerických a jakýkoli přístup k těmto údajům ze Spojených států amerických je založen na požadavku nezbytnosti znalosti, například při plnění úkolů zákaznické podpory, poskytování specifické bezpečnostní pomoci nebo při řešení technických problémů.

Předávání osobních údajů do USA probíhá výhradně na základě zásady „potřebujete vědět / potřebujete mít“ v souladu se smlouvami o zpracování údajů, které popisují organizační a technická opatření zavedená společností Arthrex k ochraně osobních údajů evropských subjektů údajů.

Společnost Arthrex bere na vědomí, že v případě příkazu k zpřístupnění osobních údajů orgánům USA by byla povinna informovat zákazníky a umožnit jim ukončit smlouvu s námi a zastavit předávání osobních údajů naší organizaci. Je důležité poznamenat, že společnost Arthrex nikdy nemusela takové oznámení vydat a na základě výše uvedeného hodnocení je vysoce nepravděpodobné, že by taková okolnost v budoucnu nastala.

 

  1. Závěr

Na základě výše uvedené komplexní analýzy s jistotou tvrdíme, že riziko újmy pro subjekty údajů je minimální. Tento závěr vychází z přísných ochranných opatření a záruk, které společnost Arthrex zavedla, spolu s vysoce nepravděpodobnou pravděpodobností žádostí o přístup k osobním údajům ze strany amerických orgánů v souvislosti s našimi výrobky a službami. S ohledem na tyto faktory a v souladu s příslušnými právními povinnostmi proto potvrzujeme, že riziko poškození subjektů údajů považujeme za nevýznamné.

Bez ohledu na nízké riziko týkající se předávání osobních údajů evropských subjektů údajů do USA se společnost Arthrex plně zavazuje dodržovat zásady a ochranná opatření uvedená v rámci pro ochranu osobních údajů mezi EU a USA a ve všech příslušných předpisech, a také osvědčené postupy v oblasti ochrany údajů. Dodržováním těchto standardů zajišťujeme bezpečný a zákonný přenos osobních údajů a prokazujeme tak své neochvějné odhodlání chránit soukromí našich zákazníků.