Przekazywanie danych osobowych europejskich podmiotów danych do Stanów Zjednoczonych

1. Zobowiązanie firmy Arthrex do bezpiecznego przekazywania danych osobowych

Arthrex zapewnia, że wszystkie transfery danych osobowych do naszej firmy są w pełni zgodne z odpowiednimi przepisami o ochronie danych. Ochrona Państwa danych osobowych jest dla nas priorytetem i nieustannie angażujemy się w utrzymywanie standardów, jakie wprowadzają Ramy ochrony danych UE-USA.

W naszych produktach, systemach i procesach firma Arthrex wdraża niezbędne zabezpieczenia, aby zagwarantować, że wszelkie dalsze przekazywanie danych osobowych jest chronione zgodnie z najwyższymi standardami.

Aby zapewnić Państwu informacje na temat ochrony Państwa danych osobowych w trakcie ich przetwarzania, proszę zapoznać się z Umową o przetwarzaniu danych, którą podpisujemy z Państwem, Informacją o ochronie prywatności firmy Arthrex lub konkretną informacją o ochronie prywatności przekazaną Państwu w kontekście produktu i usługi, z których Państwo korzystają.

2. Przekazywanie danych osobowych do Stanów Zjednoczonych

Arthrex przestrzega Ram ochrony danych osobowych UE-USA (dalej: EU-US DPF), brytyjskiego rozszerzenia Ram ochrony danych UE-USA oraz szwajcarsko-amerykańskich Ram ochrony prywatności (Swiss-US DPF), określonych przez Departament Handlu USA. Firma Arthrex poświadczyła przed Departamentem Handlu USA, że przestrzega zasad ramowych dotyczących ochrony danych osobowych UE-USA (dalej: Zasady EU-US DPF) w odniesieniu do przetwarzania danych osobowych otrzymanych z Unii Europejskiej i Wielkiej Brytanii w związku z EU-US DPF oraz do brytyjskiego rozszerzenia EU-US DPF. Firma Arthrex poświadczyła przed Departamentem Handlu USA, że przestrzega zasad szwajcarsko-amerykańskich Ram ochrony prywatności (dalej: Zasady Swiss-US DPF) w odniesieniu do przetwarzania danych osobowych otrzymanych ze Szwajcarii w oparciu o szwajcarsko-amerykańską umowę ramową o ochronie danych (Swiss-US DPF). W przypadku jakichkolwiek sprzeczności między postanowieniami niniejszej polityki prywatności a zasadami EU-US DPF lub zasadami Swiss-US DPF, decydujące znaczenie mają te zasady. Aby dowiedzieć się więcej na temat programu Ram ochrony danych (DPF) oraz zapoznać się z naszym certyfikatem, proszę wejść na stronę https://www.dataprivacyframework.gov/.

Następujące podmioty Arthrex w USA lub spółki zależne Arthrex w USA stosują się do Zasad EU-US DPF, w tym do postanowień obowiązujących w oparciu o brytyjskie rozszerzenie do EU-US DPF i Zasady Swiss-US DPF, i są objęte zgłoszeniem DPF przez Arthrex:

• Arthrex, Inc., 1370 Creekside Blvd., Naples, Florida 34108, USA (globalna siedziba główna)
• Arthrex Manufacturing Inc., 6875 Arthrex Commerce Dr., Ave Maria, FL 34142, USA
• Arthrex California Technology, Inc., 460 Ward Drive, Santa Barbara, California 93111, USA

Zgodnie z porozumieniem EU-US w sprawie ochrony danych (DPF), brytyjskim rozszerzeniem do EU-US DPF oraz Swiss-US DPF firma Arthrex zobowiązuje się do przekazywania nierozstrzygniętych skarg dotyczących przetwarznia przez nas danych osobowych, otrzymanych w oparciu o EU-US DPF, brytyjskim rozszerzeniem do EU-US DPF oraz Swiss-US DPF do Służby ICDR-AAA DPF IRM, podmiotu zajmującego się rozstrzyganiem sporów z siedzibą w USA. Jeżeli nie otrzymają Państwo od nas terminowo potwierdzenia złożenia przez Państwa skargi dotyczącej Zasad DPF lub też nie odniesiemy się do Państwa skargi dotyczącej zasad DPF w sposób, który będzie dla Państwa satysfakcjonujący, proszę wejść na stronę https://go.adr.org/dpf_irm.html celem uzyskania dalszych informacji lub złożenia skargi. Usługi ICDR-AAA są dla Państwa bezpłatne.

Zgodnie z porozumieniem EU-US DPF, brytyjskim rozszerzeniem do EU-US DPF oraz Swiss-US DPF firma Arthrex zobowiązuje się do rozpatrywania skarg dotyczących Zasad DPF, dotyczących gromadzenia i wykorzystania Państwa danych osobowych. Osoby indywidualne z UE, Wielkiej Brytanii i Szwajcarii mające pytania lub skargi dotyczące przetwarzania przez nas danych osobowych otrzymanych w związku z EU-US DPF, brytyjskim rozszerzeniem do EU-US DPF i Swiss-US DPF powinny w pierwszej kolejności skontaktować się z firmą Arthrex pod adresem privacy@arthrex.com.

Firma Arthrex ponosi odpowiedzialność, na mocy Zasad EU-US DPF, brytyjskiego rozszerzenia do EU-US DPF oraz Swiss-US DPF, względem zaangażowanych stron trzecich, które będą przetwarzać dane osobowe w imieniu firmy Arthrex w sposób zgodny z Zasadami, chyba że Arthrex wykaże, iż nie ponosi odpowiedzialności za zdarzenie, które spowodowało szkodę. Aby uzyskać informacje na temat rodzaju lub tożsamości stron trzecich oraz celu, w związku z którym Arthrex ujawnia dane osobowe, proszę wejść na stronę https://privacy.arthrex.com/pl/nasze-zobowiazanie-do-w-ochrone-prywatnosci.

Arthrex podlega uprawnieniom dochodzeniowym i egzekucyjnym amerykańskiej Federalnej Komisji Handlu (FTC - Federal Trade Commission). Firma Arthrex może być zobowiązana do ujawnienia danych osobowych, które przetwarzamy zgodnie z Ramami ochrony danych, w odpowiedzi na zgodne z prawem wnioski organów publicznych, w tym w celu spełnienia wymogów bezpieczeństwa narodowego lub egzekwowania prawa.

W celu uzyskania informacji na temat rodzaju lub celem zidentyfikowania takich stron trzecich oraz celu, w związku z którym Arthrex ujawnia dane osobowe, proszę wejść na stronę https://privacy.arthrex.com/pl/nasze-zobowiazanie-do-w-ochrone-prywatnosci#Udost-pnianie-danych-osobowych. Arthrex ponosi odpowiedzialność za dalsze przekazywanie danych osobowych.

Celem uzyskania informacji na temat praw osób indywidualnych w zakresie dostępu do swoich danych osobowych oraz ograniczenia ich wykorzystywania i ujawniania, proszę wejść na stronę https://privacy.arthrex.com/pl/nasze-zobowiazanie-do-w-ochrone-prywatnosci#Jakie-s-prawa-u-ytkownika-klienta oraz zapoznać się z informacją o ochronie prywatności w regionie EMEA firmy Arthrex na stronie https://privacy.arthrex.com/pl/europa-bliski-wschd-i-afryka-emea-europe-the-middle-east-and-africa.

3. Wybór

Jeśli dane osobowe objęte niniejszą Informacją o ochronie prywatności mają zostać wykorzystywane do nowych celów, które istotnie różnią się od celów, dla których pierwotnie zgromadzono dane lub też dla których uzyskano późniejsze upoważnienie, lub też mają one zostać ujawnione osobie trzeciej niebędącej pełnomocnikiem, w sposób niewskazany w niniejszej Informacji o ochronie prywatności, firma Arthrex umożliwi Państwu dokonanie wyboru, czy chcą Państwo, by Państwa dane zostały wykorzystane bądź ujawnione. Prośby dotyczące rezygnacji z takiego wykorzystania lub ujawnienia danych osobowych należy kierować na adres privacy@arthrex.com.

Określone dane osobowe, jak np. informacje o chorobach czy stanie zdrowia, pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub światopoglądowych są uznawane za „wrażliwe dane osobowe”. Firma Arthrex nie będzie wykorzystywać „wrażliwych danych osobowych” do celów innych niż te, dla którego zostały one pierwotnie zgromadzone lub dla których uzyskano zgodę osoby fizycznej, chyba że firma Arthrex otrzyma na to Państwa zgodę.

4. Prawa podmiotów danych

Każdej osobie, której dane osobowe zostały przekazane firmie Arthrex, przysługuje prawo do uzyskania potwierdzenia czy jej dane osobowe są przetwarzanie lub nie przetwarzane. W tym kontekście takiej osobie przysługuje prawo zażądać od firmy Arthrex: skorygowania niedokładnych danych osobowych lub uzupełnienia niekompletnych danych osobowych; usunięcia określonych danych osobowych, na przykład tych, które nie są już potrzebne do spełnienia uzasadnionych celów; ograniczenia przetwarzania określonych danych osobowych (np. niedokładnych danych osobowych) oraz prawo do przenoszenia danych. Taka osoba ma również prawo do sprzeciwu wobec pewnych działań z zakresu przetwarzania jej danych osobowych. Zgodnie z lokalnymi regulacjami dotyczącymi ochrony danych prywatności, osoba fizyczna jest również uprawniona do złożenia skargi do organu nadzorczego.

W odniesieniu do danych osobowych otrzymanych lub przekazanych zgodnie z DPF, jeżeli skarga odnosząca się do DPF nie może zostać rozstrzygnięta za pośrednictwem wyżej wymienionych sposobów, mogą Państwo, pod określonymi warunkami, powołać się na wiążący arbitraż dla niektórych pozostałych roszczeń, które nie zostały rozwiązane za pomocą innych mechanizmów do ich rozstrzygania. W odniesieniu do przekazywania danych osobowych do Stanów Zjednoczonych oraz podlegania pod DPF, firma Arthrex będzie rozstrzygać roszczenia oraz stosować się do warunków określonych w Załączniku I do DPF, który można znaleźć tutaj.

5. Ocena interesu władz Stanów Zjednoczonych w odniesieniu do przekazywania danych osobowych przez firmę Arthrex

Oprócz decyzji w sprawie adekwatności EU-US DPF przeprowadziliśmy szeroko zakrojoną ocenę ryzyka związanego z przekazywaniem danych osobowych przez firmę Arthrex, biorąc pod uwagę następujące czynniki: cel(e), dla którego dane osobowe są przekazywane i przetwarzane (np. marketing, HR, przechowywanie danych, wsparcie IT, badania kliniczne):

• rodzaje podmiotów zaangażowanych w przetwarzanie (np. podmioty publiczne/prywatne; administrator/podmiot przetwarzający);
• sektor, w którym następuje transfer danych (np. medyczny, telekomunikacyjny, finansowy itp.);
• kategorie przekazywanych danych osobowych (np. dane osobowe odnoszące się do dzieci mogą wchodzić w zakres określonych przepisów w kraju trzecim);
• czy dane osobowe będą przechowywane w kraju trzecim, czy też istnieje jedynie zdalny dostęp do danych osobowych przechowywanych w EOG;
• format przekazywanych danych osobowych (np. w postaci zwykłego tekstu, pseudonimizowane lub zaszyfrowane);
• możliwość, że dane osobowe mogą podlegać dalszemu przekazywaniu z kraju trzeciego do innego (lub w obrębie tego samego) kraju trzeciego.

Czynniki te, a w szczególności charakter przekazywanych danych osobowych, przemawiają za argumentem, że jest mało prawdopodobne, aby rząd USA starał się pozyskać przekazane informacje. Jako producent wyrobów medycznych, firma Arthrex nie jest zaangażowana w branżę o podwyższonych obawach dotyczących bezpieczeństwa narodowego (np. kontrakty obronne, wsparcie społeczności wywiadowczej, kontrakty rządowe lub dostarczanie infrastruktury krytycznej). Zamiast tego, przekazywane przez firmę informacje zazwyczaj obejmują dane osobowe personelu, bezpieczeństwo systemu danych, dane uwierzytelniające uczestników szkoleń online i informacje o koncie, a także dokumentację medyczną, która może zawierać dane osobowe. Ta dokumentacja medyczna jest wykorzystywana przede wszystkim do opracowywania konkretnych narzędzi i planów chirurgicznych, monitorowania powrotu pacjenta do zdrowia i postępów w określonych okolicznościach pooperacyjnych oraz, w ograniczonych przypadkach, do zapewnienia wsparcia technicznego dla procesów nagrywania wideo zabiegów chirurgicznych. Arthrex otrzymuje dane osobowe od swojej spółki zależnej w UE w celu wspierania rutynowych działań biznesowych, które nie są wrażliwe pod względem bezpieczeństwa narodowego lub względów kontrwywiadowczych. Dane osobowe nie są przesyłane ze Stanów Zjednoczonych do innych krajów, a w przypadku przesłania ich do Stanów Zjednoczonych są one przesyłane w zaszyfrowanym formacie lub są bezpiecznie dostępne zdalnie ze Stanów Zjednoczonych. Firma Arthrex nie otrzymała i prawdopodobnie nie otrzyma żadnego wniosku rządu USA dotyczącego danych osobowych przetwarzanych przez Arthrex. W związku z tym nie można zasadnie oczekiwać, że jakiekolwiek dane osobowe, przetwarzane przez Arthrex, będą mieć szczególne znaczenie dla bezpieczeństwa narodowego.

6. Dodatkowe kwestie

W stosownych przypadkach Arthrex będzie przechowywać i przetwarzać dane osobowe osób wyłącznie w Unii Europejskiej. W takich przypadkach dane osobowe nie są przechowywane w Stanach Zjednoczonych, a wszelki dostęp do takich danych ze Stanów Zjednoczonych opiera się na wymogu niezbędnej wiedzy, takim jak spełnianie żądań obsługi klienta, zapewnianie określonej pomocy w zakresie bezpieczeństwa lub przeprowadzanie rozwiązywania problemów technicznych.

Przekazywanie danych osobowych do Stanów Zjednoczonych odbywa się wyłącznie na zasadzie „need-to-know/need-to-have” (ograniczenie do osób, którym dane informacje są potrzebne do wykonywania zadań), zgodnie z umowami o przetwarzaniu danych określającymi środki organizacyjne i techniczne stosowane przez firmę Arthrex w celu ochrony danych osobowych osób, których dane dotyczą w Europie.

Firma Arthrex przyjmuje do wiadomości, że w przypadku nakazu udostępnienia danych osobowych władzom USA będzie ona zobowiązana do informowania o tym klientów, umożliwiając im rozwiązanie umowy i wstrzymanie przekazywania danych osobowych do firmy Arthrex. Należy zauważyć, że firma Arthrex nigdy nie musiała wydawać takiego powiadomienia, a w oparciu o powyższą ocenę jest wysoce nieprawdopodobne, aby taka okoliczność wystąpiła w przyszłości.

7. Wnioski

W oparciu o przedstawioną powyżej kompleksową analizę z całą pewnością stwierdzamy, że ryzyko wyrządzenia szkody osobom, których dane dotyczą, jest minimalne. Wniosek ten opiera się na rygorystycznych środkach ochronnych i zabezpieczeniach wdrożonych przez firmę Arthrex, a także na wysoce nieprawdopodobnym prawdopodobieństwie żądania dostępu do danych osobowych przez władze USA w związku z naszymi produktami i usługami. Dlatego, biorąc pod uwagę te czynniki i zgodnie z odpowiednimi zobowiązaniami prawnymi, potwierdzamy, że ryzyko szkody dla osób, których dane dotyczą, jest uważane za nieistotne.

Niezależnie od niskiego ryzyka związanego z przekazywaniem danych osobowych mieszkańców Europy do USA, firma Arthrex jest w pełni zaangażowana w utrzymanie zgodności z zasadami i zabezpieczeniami określonymi w Ramach Ochrony Danych UE-USA i wszystkimi odpowiednimi przepisami, a także najlepszymi praktykami w zakresie ochrony danych. Przestrzegając wymienionych standardów, zapewniamy bezpieczny i zgodny z prawem transfer danych osobowych, wykazując przy tym nasze niezachwiane zaangażowanie w ochronę prywatności naszych klientów.