Oświadczenie dotyczące przekazywania danych osobowych osób z Europy do Stanów Zjednoczonych

 

1. Zobowiązanie firmy Arthrex do bezpiecznych transferów danych

 

Arthrex zapewnia, że wszystkie transfery danych osobowych do naszej firmy są w pełni zgodne z odpowiednimi przepisami o ochronie danych. Ochrona danych osobowych użytkowników jest dla nas priorytetem i zobowiązujemy się do przestrzegania standardów określonych przez Ramy prywatności danych po między UE a USA.

W naszych produktach, systemach i procesach firma Arthrex wdraża niezbędne zabezpieczenia, aby zagwarantować, że wszelkie dalsze przekazywanie danych osobowych jest chronione zgodnie z najwyższymi standardami.

Aby przekazać użytkownikowi/klientowi informacje na temat ochrony jego danych osobowych w trakcie ich przetwarzania, należy zapoznać się z Umową o przetwarzaniu danych, którą podpisujemy z użytkownikiem/klientem, Informacją o ochronie prywatności przez firmę Arthrex lub konkretną informacją o ochronie prywatności przekazaną użytkownikowi/klientowi w kontekście produktu i usługi, z których korzysta.

 

2. Zapewnienie bezpiecznego transatlantyckiego przepływu danych dzięki ramom prywatności danych UE-USA

 

Arthrex przestrzega ram ochrony prywatności danych UE-USA (EU-U.S. DPF), brytyjskiego rozszerzenia ram ochrony prywatności danych UE-USA (UK Extension to the EU-U.S. DPF) oraz szwajcarsko-amerykańskich ram ochrony prywatności danych (Swiss-U.S. DPF) określonych przez Departament Handlu USA. Firma Arthrex zaświadczyła Departamentowi Handlu USA, że przestrzega zasad ramowych ochrony prywatności danych UE-USA (zasady DPF UE-USA) w odniesieniu do przetwarzania danych osobowych otrzymanych z Unii Europejskiej w oparciu o DPF UE-USA oraz z Wielkiej Brytanii (i Gibraltaru) w oparciu o brytyjskie rozszerzenie ram prywatności DPF UE-USA. Firma Arthrex zaświadczyła Departamentowi Handlu USA, że przestrzega zasad szwajcarsko-amerykańskich ram ochrony prywatności danych (zasady szwajcarsko-amerykańskie DPF) w odniesieniu do przetwarzania danych osobowych otrzymanych ze Szwajcarii w oparciu o szwajcarsko-amerykańskie ramy DPF. W przypadku sprzeczności między warunkami niniejszej polityki prywatności a Zasadami DPF UE-USA i/lub Zasadami DPF Szwajcaria-USA, priorytet obowiązywania uzyskują te zasady. Aby zobaczyć nasze certyfikaty, należy wejść na stronę https://www.dataprivacyframework.gov/.

W przypadku jakichkolwiek pytań lub skarg dotyczących przetwarzania przez firmę Arthrex danych osobowych użytkownika/klienta zgodnie z ramami prywatności danych lub ogólnie naszych praktyk w zakresie prywatności, prosimy o kontakt pod adresem: privacy@arthrex.com. Odpowiemy niezwłocznie na przedstawione zapytanie. W przypadku nierozwianych wątpliwości, dotyczących prywatności lub wykorzystywania danych, które nie zostały przez nas w zadowalający sposób wyjaśnione, należy się skontaktować z naszym zewnętrznym rzecznikiem ds. rozstrzygania sporów z siedzibą w USA (bezpłatnie) pod adresem https://www.adr.org/. Jeśli ani Arthrex, ani nasz zewnętrzny rzecznik ds. rozstrzygania sporów nie rozwiąże skargi użytkownika/klienta, użytkownik/klient może skorzystać z wiążącego arbitrażu za pośrednictwem panelu Data Privacy Framework. Aby dowiedzieć się więcej o panelu Data Privacy Framework, należy kliknąć visit tutaj.

Możesz zapoznać się z rejestracją w Arthrex Data Privacy Framework tutaj. Arthrex podlega uprawnieniom dochodzeniowym i egzekucyjnym Federalnej Komisji Handlu (FTC - Federal Trade Commission). Firma Arthrex może być zobowiązana do ujawnienia danych osobowych, które przetwarzamy zgodnie z Ramami Prywatności Danych, w odpowiedzi na zgodne z prawem wnioski organów publicznych, w tym w celu spełnienia wymogów bezpieczeństwa narodowego lub egzekwowania prawa.

 

3. Ocena władz Stanów Zjednoczonych przekazywaniem danych osobowych przez firmę Arthrex

Oprócz decyzji UE-USA w sprawie adekwatności ram DPF, przeprowadziliśmy szeroko zakrojoną ocenę ryzyka związanego z przekazywaniem danych osobowych przez firmę Arthrex, biorąc pod uwagę następujące czynniki: cel(e), dla których dane osobowe są przekazywane i przetwarzane (np. marketing, HR, przechowywanie danych, wsparcie IT, badania kliniczne)    

• rodzaje podmiotów zaangażowanych w przetwarzanie (np. publiczne/prywatne; administrator/podmiot przetwarzający)
• sektor, w którym następuje transfer danych (np. medyczny, telekomunikacyjny, finansowy itp.)
• kategorie przekazywanych danych osobowych (np. dane osobowe odnoszące się do dzieci mogą wchodzić w zakres określonych przepisów w kraju trzecim)
• czy dane osobowe będą przechowywane w kraju trzecim, czy też istnieje jedynie zdalny dostęp do danych osobowych przechowywanych w EOG
• format przekazywanych danych osobowych (np. w postaci zwykłego tekstu, pseudonimizowane lub zaszyfrowane)
• możliwość, że dane osobowe mogą podlegać dalszemu przekazywaniu z kraju trzeciego do innego (lub w obrębie tego samego) kraju trzeciego.

Czynniki te, a w szczególności charakter przekazywanych danych osobowych, przemawiają za argumentem, że jest mało prawdopodobne, aby rząd USA starał się pozyskać przekazane informacje. Jako producent wyrobów medycznych, firma Arthrex nie jest zaangażowana w branżę o podwyższonych obawach dotyczących bezpieczeństwa narodowego (np. kontrakty obronne, wsparcie społeczności wywiadowczej, kontrakty rządowe lub dostarczanie infrastruktury krytycznej). Zamiast tego, przekazywane przez firmę informacje zazwyczaj obejmują dane osobowe personelu, bezpieczeństwo systemu danych, dane uwierzytelniające uczestników szkoleń online i informacje o koncie, a także dokumentację medyczną, która może zawierać dane osobowe. Ta dokumentacja medyczna jest wykorzystywana przede wszystkim do opracowywania konkretnych narzędzi i planów chirurgicznych, monitorowania powrotu pacjenta do zdrowia i postępów w określonych okolicznościach pooperacyjnych oraz, w ograniczonych przypadkach, do zapewnienia wsparcia technicznego dla procesów nagrywania wideo zabiegów chirurgicznych. Arthrex otrzymuje dane osobowe od swojej spółki zależnej w UE w celu wspierania rutynowych działań biznesowych, które nie są wrażliwe pod względem bezpieczeństwa narodowego lub względów kontrwywiadowczych. Dane osobowe nie są przesyłane ze Stanów Zjednoczonych do innych krajów, a w przypadku przesłania ich do Stanów Zjednoczonych są one przesyłane w zaszyfrowanym formacie lub są bezpiecznie dostępne zdalnie ze Stanów Zjednoczonych. Firma Arthrex nie otrzymała i prawdopodobnie nie otrzyma żadnego wniosku rządu USA dotyczącego danych osobowych przetwarzanych przez Arthrex. W związku z tym nie można racjonalnie oczekiwać, że jakiekolwiek dane osobowe, przetwarzane przez Arthrex, będą mieć szczególne znaczenie dla bezpieczeństwa narodowego.

 

4. Środki dodatkowe

Firma Arthrex wdrożyła dodatkowe środki w celu zapewnienia odpowiedniej ochrony danych osobowych, nawet w przypadkach, gdy system prawny kraju docelowego stwarza niskie lub żadne istotne ryzyko. Te dodatkowe środki są podzielone na trzy kategorie: (i) zabezpieczenia umowne, (ii) zabezpieczenia organizacyjne oraz (iii) zabezpieczenia techniczne.

 

    a) Umowne

Jak wyjaśniono powyżej, Arthrex zawrze umowę określającą zabezpieczenia dotyczące przekazywania danych osobowych do Stanów Zjednoczonych.

Kiedy przetwarzanie danych osobowych osób w Europie, jest wymagane na mocy umowy, firma Arthrex:

   (i) wyrazi zgodę na bezpośrednie związanie się umowami o przetwarzaniu danych określającymi środki organizacyjne i techniczne stosowane przez Arthrex w celu ochrony danych osobowych europejskich osób, których dane dotyczą

   (ii) zawrze odpowiednie umowy SCC pomiędzy podmiotami przetwarzającymi z każdym podwykonawcą przetwarzania danych, zlokalizowanym w kraju trzecim bez odpowiedniej ochrony, w przypadku gdy podwykonanie przetwarzania danych prowadzi do dalszego przekazywania danych do kraju trzeciego.

 

    b) Organizacyjne

Wątpliwości podniesione przez TSUE w odniesieniu do przekazywania danych osobowych do Stanów Zjednoczonych koncentrowały się przede wszystkim na praktykach gromadzenia danych przez rząd Stanów Zjednoczonych, jak określono w amerykańskim rozporządzeniu wykonawczym 12333 („EO 12333”) i sekcji 702 ustawy o nadzorze nad wywiadem zagranicznym („FISA § 702”), w szczególności w odniesieniu do nadzoru „upstream” na podstawie FISA § 702. Ryzyko, związane z tymi konkretnymi przepisami prawa, nie ma jednak zastosowania do przetwarzania danych osobowych przez Arthrex lub może być skutecznie ograniczone poprzez wdrożenie odpowiednich zabezpieczeń organizacyjnych oferowanych przez Arthrex. Ponadto firma Arthrex zamierza wykorzystać dostępne mechanizmy prawne, aby zakwestionować żądania dostępu do danych osobowych przez władze USA.

Należy tu podkreślić, że firma Arthrex ani nie pomaga, ani nie może być zmuszana do pomocy władzom amerykańskim w ich wysiłkach na rzecz gromadzenia informacji zgodnie z rozporządzeniem wykonawczym 12333. Arthrex nie angażuje się i nie będzie udzielać żadnej formy pomocy władzom amerykańskim zaangażowanym w działania inwigilacyjne na mocy rozporządzenia wykonawczego EO (Executive Order) 12333. Rozporządzenie EO 12333 nie przyznaje rządowi USA uprawnień do zmuszania firm do udzielania pomocy w takich działaniach, a firma Arthrex nie będzie się angażować w dobrowolną współpracę w tym zakresie. W związku z tym, firma Arthrex nie uczestniczy i nie można jej zmusić do podejmowania jakichkolwiek działań ułatwiających masową inwigilację w ramach rozporządzenia EO 12333, która została uznana za problematyczną.

Arthrex nie kwalifikuje się do otrzymywania zleceń „upstream” lub masowej inwigilacji na podstawie § 702 FISA, ponieważ nie świadczy usług mogących stanowić przedmiot tego rodzaju postępowań. Interpretacja i zastosowanie § 702 FISA przez rząd USA potwierdzają, że Arthrex nie kwalifikuje się do otrzymania konkretnego nakazu. Jest bardzo mało prawdopodobne, aby przetwarzane dane osobowe klientów firmy Arthrex były istotne dla zagranicznych działań wywiadowczych regulowanych przez § 702 FISA. Gdyby takie dane były istotne, rząd prawdopodobnie skorzystałby z alternatywnych ścieżek prawnych, takich jak uzyskanie nakazu przeszukania, ponieważ jest to szybszy i prostszy proces niż wydawanie dyrektyw na podstawie § 702 FISA.

 

    C) Techniczne

Arthrex wdraża środki techniczne, które skutecznie łagodzą główne obawy, a mianowicie masową inwigilację zgodnie z § 702 FISA i masowe przechwytywanie zgodnie z EO 12333.

Arthrex szyfruje wszystkie dane osobowe przechowywane w swoim systemie i przesyłane za pomocą szyfrowania zgodnego z najnowocześniejszymi wymogami RODO. Środki szyfrowania wdrożone przez Arthrex służą zapobieganiu nieuprawnionemu dostępowi do danych osobowych w zrozumiałym formacie i zabezpieczeniu przed nieuprawnionym podsłuchem lub manipulacją podczas przesyłania danych osobowych między dwoma punktami końcowymi.

Arthrex stosuje rygorystyczne protokoły administracyjne, techniczne i fizyczne w celu ochrony danych osobowych przechowywanych na swoich serwerach. Dostęp do danych osobowych jest ograniczony poprzez użycie danych logowania, ograniczonych wyłącznie do pracowników, którzy potrzebują takiego dostępu do wykonywania swoich obowiązków służbowych. Arthrex wykorzystuje kontrole dostępu, takie jak uwierzytelnianie wieloskładnikowe, ograniczony dostęp do kont administracyjnych, pojedyncze logowanie, zasada najmniejszych uprawnień i solidna kontrola haseł. Ponadto Arthrex wdraża metody minimalizacji danych w celu ograniczenia przekazywania danych osobowych z UE do jurysdykcji krajów trzecich. W stosownych przypadkach może to obejmować pseudonimizację lub deidentyfikację danych osobowych.

 

5. Dodatkowe kwestie

W stosownych przypadkach Arthrex będzie przechowywać i przetwarzać dane osobowe osób wyłącznie w Unii Europejskiej. W takich przypadkach, dane osobowe nie są przechowywane w Stanach Zjednoczonych, a wszelki dostęp do takich danych ze Stanów Zjednoczonych opiera się na wymogu niezbędnej wiedzy, takim jak spełnianie żądań obsługi klienta, zapewnianie określonej pomocy w zakresie bezpieczeństwa lub przeprowadzanie rozwiązywania problemów technicznych.

Przekazywanie danych osobowych do Stanów Zjednoczonych odbywa się wyłącznie na zasadzie „need-to-know/need-to-have” (ograniczenie do osób, którym dane informacje są potrzebne do wykonywania zadań), zgodnie z umowami o przetwarzaniu danych określającymi środki organizacyjne i techniczne stosowane przez firmę Arthrex w celu ochrony danych osobowych osób, których dane dotyczą w Europie.

Firma Arthrex przyjmuje do wiadomości, że w przypadku nakazu udostępnienia danych osobowych władzom USA, firma Arthrex będzie zobowiązana do informowania o tym klientów, umożliwiając im rozwiązanie umowy i wstrzymanie przekazywania danych osobowych do firmy Arthrex. Należy zauważyć, że firma Arthrex nigdy nie musiała wydawać takiego powiadomienia, a w oparciu o powyższą ocenę jest wysoce nieprawdopodobne, aby taka okoliczność wystąpiła w przyszłości.

 

6. Wnioski

W oparciu o przedstawioną powyżej kompleksową analizę z całą pewnością stwierdzamy, że ryzyko wyrządzenia szkody osobom, których dane dotyczą, jest minimalne. Wniosek ten opiera się na rygorystycznych środkach ochronnych i zabezpieczeniach wdrożonych przez firmę Arthrex, a także na wysoce nieprawdopodobnym prawdopodobieństwie żądania dostępu do danych osobowych przez władze USA w związku z naszymi produktami i usługami. Dlatego, biorąc pod uwagę te czynniki i zgodnie z odpowiednimi zobowiązaniami prawnymi, potwierdzamy, że ryzyko szkody dla osób, których dane dotyczą, jest uważane za nieistotne.

Niezależnie od niskiego ryzyka związanego z przekazywaniem danych osobowych mieszkańców Europy do USA, firma Arthrex jest w pełni zaangażowana w utrzymanie zgodności z zasadami i zabezpieczeniami określonymi w Ramach Prywatności Danych UE-USA i wszystkimi odpowiednimi przepisami, a także najlepszymi praktykami w zakresie ochrony danych. Przestrzegając wymienionych standardów, zapewniamy bezpieczny i zgodny z prawem transfer danych osobowych, wykazując przy tym nasze niezachwiane zaangażowanie w ochronę prywatności naszych klientów.