Oświadczenie dotyczące przekazywania danych osobowych osób z Europy do Stanów Zjednoczonych

  1. Zobowiązanie firmy Arthrex do bezpiecznych transferów danych osobowych

Arthrex zapewnia, że wszystkie transfery danych osobowych do naszej firmy są w pełni zgodne z odpowiednimi przepisami o ochronie danych. Ochrona danych osobowych użytkowników jest dla nas priorytetem i zobowiązujemy się do przestrzegania standardów określonych przez Ramy prywatności danych po między UE a USA.

W naszych produktach, systemach i procesach firma Arthrex wdraża niezbędne zabezpieczenia, aby zagwarantować, że wszelkie dalsze przekazywanie danych osobowych jest chronione zgodnie z najwyższymi standardami.

Aby przekazać użytkownikowi/klientowi informacje na temat ochrony jego danych osobowych w trakcie ich przetwarzania, należy zapoznać się z Umową o przetwarzaniu danych, którą podpisujemy z użytkownikiem/klientem, Informacją o ochronie prywatności przez firmę Arthrex lub konkretną informacją o ochronie prywatności przekazaną użytkownikowi/klientowi w kontekście produktu i usługi, z których korzysta.

  1. W jaki sposób firma Arthrex przestrzega przepisów związanych z przekazywaniem danych osobowych do Stanów Zjednoczonych?

Firma Arthrex przestrzega Ram ochrony prywatności danych UE–USA (DPF UE–USA), rozszerzenia przez Wielką Brytanię zasad DPF UE–USA oraz Ram ochrony prywatności danych Szwajcaria–USA (DPF Szwajcaria–USA) określonych przez Departament Handlu Stanów Zjednoczonych.  Firma Arthrex oświadczyła Departamentowi Handlu Stanów Zjednoczonych, że przestrzega zasad Ram ochrony prywatności danych UE–USA (zasad DPF UE–USA) w odniesieniu do przetwarzania danych osobowych otrzymanych z Unii Europejskiej oraz z Wielkiej Brytanii w oparciu o DPF UE–USA i rozszerzenia przez Wielką Brytanię zasad DPF UE–USA.  Firma Arthrex oświadczyła Departamentowi Handlu Stanów Zjednoczonych, że przestrzega zasad Ram ochrony prywatności danych Szwajcaria–USA (zasad DPF Szwajcaria–USA) w odniesieniu do przetwarzania danych osobowych otrzymanych ze Szwajcarii w oparciu o zasady DPF Szwajcaria–USA.  W przypadku konfliktu pomiędzy warunkami niniejszej polityki prywatności a postanowieniami zasad Ram ochrony prywatności danych UE–USA i/lub zasad Ram ochrony prywatności danych Szwajcaria–USA zasady Ram ochrony prywatności danych mają pierwszeństwo.  Aby dowiedzieć się więcej na temat programu Ram ochrony prywatności danych (DPF) i wyświetlić certyfikacje firmy Arthrex, należy odwiedzić stronę https://www.dataprivacyframework.gov/.

Następujące podmioty Arthrex w USA lub spółki zależne Arthrex w USA przestrzegają zasad DPF UE–USA, w tym mające zastosowanie w ramach rozszerzenia przez Wielką Brytanię zasad DPF UE–USA i zasad DPF Szwajcaria–USA, i są objęte zgłoszeniem DPF firmy Arthrex:

  • Arthrex Inc., 1370 Creekside Blvd., Naples, Florida 34108, USA
  • Arthrex Manufacturing Inc., 6875 Arthrex Commerce Dr., Ave Maria, FL 34142, USA
  • Arthrex California Technology, Inc., 460 Ward Drive, Santa Barbara, California 93111, USA

Zgodnie z DPF UE–USA, rozszerzeniem przez Wielką Brytanię DPF UE–USA i zasadami DPF Szwajcaria–USA firma Arthrex zobowiązuje się do kierowania nierozwiązanych skarg dotyczących postępowania z danymi osobowymi otrzymanymi na podstawie DPF UE–USA, rozszerzenia przez Wielką Brytanię DPF UE–USA i zasadami DPF Szwajcaria–USA do ICDR-AAA DPF IRM Service, alternatywnego dostawcy usług rozstrzygania sporów z siedzibą w Stanach Zjednoczonych.  Jeśli nie otrzymasz od nas w odpowiednim czasie potwierdzenia dotyczącego Twojej skargi związanej z zasadami DPF lub jeśli nie rozpatrzyliśmy Twojej skargi związanej z zasadami DPF w sposób satysfakcjonujący, odwiedź stronę https://go.adr.org/dpf_irm.html, aby uzyskać więcej informacji lub złożyć skargę.  Usługi ICDR-AAA są świadczone bezpłatnie.

Zgodnie z zasadami DPF UE–USA, rozszerzeniem przez Wielką Brytanię zasad DPF UE–USA DPF i zasadami DPF Szwajcaria–USA firma Arthrex zobowiązuje się do rozpatrywania skarg związanych z zasadami DPF, dotyczących gromadzenia i wykorzystywania przez nas Twoich danych osobowych. Osoby z UE i Wielkiej Brytanii oraz osoby ze Szwajcarii, które mają zapytania lub skargi dotyczące przetwarzania przez nas danych osobowych otrzymanych w oparciu o przepisy DPF UE–USA, rozszerzenie przez Wielką Brytanię DPF UE–USA i DPF Szwajcaria–USA, powinny najpierw skontaktować się z firmą Arthrex pod adresem: privacy@arthrex.com.

W odniesieniu do przesyłania danych osobowych do Stanów Zjednoczonych i uczestnictwo w Ramach ochrony prywatności danych (DPF) firma Arthrex będzie rozstrzygała roszczenia i przestrzegała warunków określonych w Załączniku I do DPF (https://www.dataprivacyframework.gov/framework-article/ANNEX-I-introduction).

Firma Arthrex podlega uprawnieniom dochodzeniowym i egzekucyjnym Federalnej Komisji Handlu (FTC – Federal Trade Commission). Firma Arthrex może być zobowiązana do ujawnienia danych osobowych, które przetwarzamy zgodnie z Ramami Prywatności Danych, w odpowiedzi na zgodne z prawem wnioski organów publicznych, w tym w celu spełnienia wymogów bezpieczeństwa narodowego lub egzekwowania prawa.

Informacje na temat rodzaju lub tożsamości osób trzecich oraz celów, dla których firma Arthrex ujawnia dane osobowe, można znaleźć na stronie https://privacy.arthrex.com/index.html#Sharing-of-Personal-Data. Firma Arthrex ponosi odpowiedzialność za dalsze przekazywanie danych osobowych.

Informacje na temat praw osób fizycznych do dostępu do swoich danych osobowych oraz do ograniczenia wykorzystywania i ujawniania danych osobowych można znaleźć na stronie https://privacy.arthrex.com/index.html#What-Are-Your-Rights, a dotyczące firmy Arthrex Informacje o ochronie prywatności danych osobowych w regionie EMEA są zamieszczone na stronie https://privacy.arthrex.com/our-commitment-to-privacy/european-economic-area-emea.html.

  1. Ocena władz Stanów Zjednoczonych przekazywaniem danych osobowych przez firmę Arthrex

Oprócz decyzji UE-USA w sprawie adekwatności ram DPF, przeprowadziliśmy szeroko zakrojoną ocenę ryzyka związanego z przekazywaniem danych osobowych przez firmę Arthrex, biorąc pod uwagę następujące czynniki: cel(e), dla których dane osobowe są przekazywane i przetwarzane (np. marketing, HR, przechowywanie danych, wsparcie IT, badania kliniczne)    

  • rodzaje podmiotów zaangażowanych w przetwarzanie (np. publiczne/prywatne; administrator/podmiot przetwarzający)
  • sektor, w którym następuje transfer danych (np. medyczny, telekomunikacyjny, finansowy itp.)
  • kategorie przekazywanych danych osobowych (np. dane osobowe odnoszące się do dzieci mogą wchodzić w zakres określonych przepisów w kraju trzecim)
  • czy dane osobowe będą przechowywane w kraju trzecim, czy też istnieje jedynie zdalny dostęp do danych osobowych przechowywanych w EOG
  • format przekazywanych danych osobowych (np. w postaci zwykłego tekstu, pseudonimizowane lub zaszyfrowane)
  • możliwość, że dane osobowe mogą podlegać dalszemu przekazywaniu z kraju trzeciego do innego (lub w obrębie tego samego) kraju trzeciego.

Czynniki te, a w szczególności charakter przekazywanych danych osobowych, przemawiają za argumentem, że jest mało prawdopodobne, aby rząd USA starał się pozyskać przekazane informacje. Jako producent wyrobów medycznych, firma Arthrex nie jest zaangażowana w branżę o podwyższonych obawach dotyczących bezpieczeństwa narodowego (np. kontrakty obronne, wsparcie społeczności wywiadowczej, kontrakty rządowe lub dostarczanie infrastruktury krytycznej). Zamiast tego, przekazywane przez firmę informacje zazwyczaj obejmują dane osobowe personelu, bezpieczeństwo systemu danych, dane uwierzytelniające uczestników szkoleń online i informacje o koncie, a także dokumentację medyczną, która może zawierać dane osobowe. Ta dokumentacja medyczna jest wykorzystywana przede wszystkim do opracowywania konkretnych narzędzi i planów chirurgicznych, monitorowania powrotu pacjenta do zdrowia i postępów w określonych okolicznościach pooperacyjnych oraz, w ograniczonych przypadkach, do zapewnienia wsparcia technicznego dla procesów nagrywania wideo zabiegów chirurgicznych. Arthrex otrzymuje dane osobowe od swojej spółki zależnej w UE w celu wspierania rutynowych działań biznesowych, które nie są wrażliwe pod względem bezpieczeństwa narodowego lub względów kontrwywiadowczych. Dane osobowe nie są przesyłane ze Stanów Zjednoczonych do innych krajów, a w przypadku przesłania ich do Stanów Zjednoczonych są one przesyłane w zaszyfrowanym formacie lub są bezpiecznie dostępne zdalnie ze Stanów Zjednoczonych. Firma Arthrex nie otrzymała i prawdopodobnie nie otrzyma żadnego wniosku rządu USA dotyczącego danych osobowych przetwarzanych przez Arthrex. W związku z tym nie można racjonalnie oczekiwać, że jakiekolwiek dane osobowe, przetwarzane przez Arthrex, będą mieć szczególne znaczenie dla bezpieczeństwa narodowego.

  1. Dodatkowe kwestie

W stosownych przypadkach Arthrex będzie przechowywać i przetwarzać dane osobowe osób wyłącznie w Unii Europejskiej. W takich przypadkach, dane osobowe nie są przechowywane w Stanach Zjednoczonych, a wszelki dostęp do takich danych ze Stanów Zjednoczonych opiera się na wymogu niezbędnej wiedzy, takim jak spełnianie żądań obsługi klienta, zapewnianie określonej pomocy w zakresie bezpieczeństwa lub przeprowadzanie rozwiązywania problemów technicznych.

Przekazywanie danych osobowych do Stanów Zjednoczonych odbywa się wyłącznie na zasadzie „need-to-know/need-to-have” (ograniczenie do osób, którym dane informacje są potrzebne do wykonywania zadań), zgodnie z umowami o przetwarzaniu danych określającymi środki organizacyjne i techniczne stosowane przez firmę Arthrex w celu ochrony danych osobowych osób, których dane dotyczą w Europie.

Firma Arthrex przyjmuje do wiadomości, że w przypadku nakazu udostępnienia danych osobowych władzom USA, firma Arthrex będzie zobowiązana do informowania o tym klientów, umożliwiając im rozwiązanie umowy i wstrzymanie przekazywania danych osobowych do firmy Arthrex. Należy zauważyć, że firma Arthrex nigdy nie musiała wydawać takiego powiadomienia, a w oparciu o powyższą ocenę jest wysoce nieprawdopodobne, aby taka okoliczność wystąpiła w przyszłości.

  1. Wnioski

W oparciu o przedstawioną powyżej kompleksową analizę z całą pewnością stwierdzamy, że ryzyko wyrządzenia szkody osobom, których dane dotyczą, jest minimalne. Wniosek ten opiera się na rygorystycznych środkach ochronnych i zabezpieczeniach wdrożonych przez firmę Arthrex, a także na wysoce nieprawdopodobnym prawdopodobieństwie żądania dostępu do danych osobowych przez władze USA w związku z naszymi produktami i usługami. Dlatego, biorąc pod uwagę te czynniki i zgodnie z odpowiednimi zobowiązaniami prawnymi, potwierdzamy, że ryzyko szkody dla osób, których dane dotyczą, jest uważane za nieistotne.

Niezależnie od niskiego ryzyka związanego z przekazywaniem danych osobowych mieszkańców Europy do USA, firma Arthrex jest w pełni zaangażowana w utrzymanie zgodności z zasadami i zabezpieczeniami określonymi w Ramach Prywatności Danych UE-USA i wszystkimi odpowiednimi przepisami, a także najlepszymi praktykami w zakresie ochrony danych. Przestrzegając wymienionych standardów, zapewniamy bezpieczny i zgodny z prawem transfer danych osobowych, wykazując przy tym nasze niezachwiane zaangażowanie w ochronę prywatności naszych klientów.