Regras corporativas vinculativas

Para regular consistentemente a forma como os dados pessoais são tratados ou processados entre as empresas do grupo dos segmentos de negócios Fresenius Kabi (Fresenius Kabi AG e suas empresas afiliadas) e Fresenius Corporate, adotamos Regras Corporativas Vinculativas (BCR). Estas BCR são aprovadas pelas autoridades européias de proteção de dados.

BCR são regras internas para o tratamento de dados dentro de organizações multinacionais e, juntamente com as políticas e procedimentos de segurança associados, visam criar um nível global uniforme e adequado de proteção de dados para as empresas participantes.

O compromisso com um padrão comum para o tratamento de dados pessoais e com uma abordagem eficaz de conformidade com a proteção de dados reforça nosso compromisso de proteger sua privacidade em nível global e local

Caso esteja interessado em nossas Regras Corporativas Vinculativas, por favor, dê uma olhada no documento ou no resumo abaixo:

Fresenius Kabi Binding Corporate Rules Document

 

Resumo das Regras Corporativas Vinculativas

O resumo abaixo não substitui o documento Binding Corporate Rules (BCR). O documento BCR será, em todos os casos, o único documento que é legalmente aplicável.

 

Regras mínimas obrigatórias em todo o mundo

Um nível adequado e uniforme de proteção de dados

A Fresenius precisa seguir muitas leis de proteção de dados em todo o mundo. As Regras Corporativas Vinculativas (BCR) estabelecem um nível uniforme e adequado de proteção de dados. Isto permite o intercâmbio interno de dados pessoais entre as entidades Fresenius no escopo.

 

Aplicável ao redor do mundo

O BCR se aplica às seguintes entidades Fresenius:

  • Fresenius Kabi AG incluindo todas as filiais/filiais
  • Fresenius Digital Technology GmbH
  • Fresenius SE & Co. KgaA

 

Aplicável a certas atividades

O BCR se aplica às seguintes atividades de tratamento de dados pessoais:

  • Todas as atividades das entidades européias.
  • Atividades de entidades não européias:
    • Quando eles coletam dados pessoais em nome de uma entidade europeia Fresenius ou
    • Quando eles colaboram com uma entidade europeia Fresenius
    • Quando eles recebem dados pessoais de entidades européias
    • Quando eles coletam dados pessoais de pessoas localizadas na Europa para a oferta de bens e serviços ou relacionados ao monitoramento do comportamento.

O BCR se aplica tanto a processos baseados em papel quanto em TI.
O BCR se aplica a todos os processos que permitem a busca estruturada de dados pessoais.

BCR estabelece o nível mínimo

Se alguma lei local de proteção de dados exigir regras mais rígidas ou adicionais sobre o tratamento de dados pessoais, estas precisam ser observadas adicionalmente.

Se uma lei local contradizer o BCR, o encarregado da proteção de dados (DPO) precisa ser informado. O DPO avaliará o impacto e resolverá o conflito.

Se uma entidade receber uma ordem de uma autoridade para divulgar dados pessoais que não esteja de acordo com os requisitos do BCR, o DPO precisa ser informado. O DPO informará a autoridade de supervisão na Alemanha.

 

O BCR é vinculativo para a organização e nossos funcionários

O BCR é obrigatório e é vinculativo para:

  • Todas as entidades: elas assinam um contrato
  • Todos os funcionários: eles têm o dever de seguir políticas corporativas baseadas em seu contrato de trabalho.

Organizações e pessoas podem derivar direitos sob estas obrigações.
A aplicação do BCR e potenciais sanções por causa de violações são as mesmas que qualquer outra violação de política.

 

Fresenius criou uma organização de proteção de dados

O Grupo Fresenius estabeleceu uma organização interna de proteção de dados, e atribuiu as seguintes funções e responsabilidades:

  • O encarregado da proteção de dados (DPO) monitora, ou seja, verifica e supervisiona se os BCR, as leis, regras e processos locais são seguidos. O DPO pode realizar auditorias, revisões e investigações. O DPO é também o ponto de contato para as autoridades de proteção de dados na Europa. Os detalhes de contato são:

    Responsável pela proteção de dados:
     Else-Kröner-Str. 1
    61352 Bad Homburg v.d.H.
    Alemanha
    ou por correio:
    Para Fresenius SE e Netcare: dataprotectionofficer@fresenius.com
     Para entidades Fresenius Kabi:
    dataprotectionofficer@fresenius-kabi.com 

 

  • O Local Data Protection Advisor (LDPA) ajuda e aconselha os funcionários locais, bem como os proprietários dos processos sempre que eles têm quaisquer dúvidas ou preocupações relacionadas à proteção de dados. Quando necessário, o LDPA apóia o DPA e o DPO, por exemplo, mediante solicitação em sua função de monitoramento e contato com as autoridades de supervisão, por exemplo, devido a questões lingüísticas.

A DPA (Data Protection Advisor) fornece tarefas de apoio e consultoria para os LDPAs e é responsável pelo sistema de gerenciamento de proteção de dados. Quando necessário, o DPA apóia o DPO, mediante solicitação, em sua função de monitoramento e contato com as autoridades supervisoras, por exemplo, devido a questões lingüísticas.

 

Oito princípios de proteção de dados a seguir pelo BCR

Princípio 1: Licitude

Ter uma base legal documentada ao coletar, utilizar e tratar dados pessoais. Estas bases legais são limitativas. Exemplos disso são:

  • O tratamento é necessário para a execução de um contrato com o indivíduo, tais como contratos de empregados e contratos de vendas
  • O indivíduo deu o seu consentimento
  • Os interesses legítimos da Fresenius são maiores do que as conseqüências negativas para os indivíduos
  • A necessidade de cumprir outras obrigações legais, tais como leis tributárias, exigências de vigilância ou exigências do GxP.

Categorias especiais de dados, tais como dados de saúde, precisam de fundamentos legais adicionais.
Se as leis locais exigirem disposições adicionais ou divergentes, estas também devem ser seguidas (isto pode, por exemplo, ser relevante para os dados dos funcionários).

Princípio 2: Transparência e equidade

Manusear os dados pessoais de forma justa e transparente. Informar as pessoas antes ou no momento da coleta e uso dos dados pessoais:

  • Quem é o responsável e como podemos ser contatados
  • Quais dados são coletados
  • Como os dados são coletados
  • Por que precisamos dos dados (finalidade)
  • Com quais organizações os dados são compartilhados
  • Se for compartilhado com outros países
  • Por quanto tempo os dados serão armazenados
  • A base legal para a coleta e utilização de dados e uma explicação disso (princípio 1)
  • Se os indivíduos são perfilados
  • Se tomarmos qualquer decisão por meios automatizados
  • Se os dados devem ser fornecidos e o que acontece se isso não for feito
  • Os dados de contato do DPO e da autoridade
  • Os direitos que os indivíduos têm.

Todas estas informações devem ser fornecidas de forma abrangente e de fácil acesso, usando uma linguagem clara e clara.

Princípio 3: Limitação da finalidade

Utilizar os dados pessoais somente para os fins especificados, explícitos e legítimos para os quais são coletados. O uso adicional não é permitido, a menos que este uso adicional esteja de acordo com a finalidade original e/ou que medidas adicionais sejam tomadas.
Os propósitos de tratamento posterior que são geralmente considerados em consonância com a finalidade original são:

  • Arquivamento
  • Auditoria interna
  • Investigações.

 

A (L)DPA será capaz de fornecer orientação se uma mudança de propósito for permitida. No caso de uma mudança de propósito permitida, os indivíduos devem ser informados de tais mudanças.

Princípio 4: Minimização de dados

Somente coletar e utilizar os dados pessoais necessários para a finalidade definida, conforme comunicado ao indivíduo. Isso significa garantir que os dados pessoais sejam relevantes e não excessivos em função do objetivo.

Princípio 5: Precisão

Manter os dados pessoais precisos e atualizados. Devem ser implementados procedimentos para garantir que dados inexatos sejam apagados, corrigidos ou atualizados sem demora.

Princípio 6: Limitação de armazenamento

Não guarde dados pessoais por mais tempo conforme necessário para a finalidade para a qual foram coletados, a menos que isso seja exigido por lei. Em tal caso, o acesso aos mesmos deve ser restrito. Excluir ou tornar anônimos os dados pessoais se não houver mais nenhum motivo ou finalidade legal.

Princípio 7: Segurança, Integridade e Confidencialidade

Tomar medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra destruição, perda, alteração, divulgação ou acesso aos dados pessoais (por exemplo, através do conceito apropriado de funções e direitos, backup e restauração ou usando criptografia).
Ao implementar tais medidas, os riscos para o indivíduo devem ser considerados. A segurança dos sistemas de TI deve ser avaliada em função desses riscos ao instalar e manter sistemas de TI. 
Documentar e relatar à organização de proteção de dados
qualquer violação de segurança que possa resultar em risco para os indivíduos afetados. Dependendo da situação, tais violações também devem ser notificadas à autoridade supervisora, aos indivíduos ou outras organizações.

Princípio 8: Prestação de contas

Ser capaz de demonstrar a conformidade com o BCR. Isto é feito através da criação e manutenção de documentação apropriada, como por exemplo:

  • registros de atividades de tratamento
  • medidas técnicas e organizacionais tomadas para cumprir com os princípios de proteção de dados e para enfrentar os riscos.
  • avaliações de risco e controle de proteção de dados

 

Relacionamento com operadores

Somente contratar operadores que ofereçam garantias suficientes para implementar medidas técnicas e organizacionais apropriadas, de modo que o tratamento atenda às exigências do BCR e às leis locais de proteção de dados. Isto deve ser assegurado por um contrato de proteção de dados entre a respectiva entidade e o operador.

Transferências de dados pessoais

Implementar medidas para salvaguardar adequadamente as transferências de dados pessoais para outras organizações situadas fora da EEA, em conformidade com estes BCR. Isto poderia ser feito através de um acordo de cláusulas contratuais padrão, conforme adotadas pela Comissão Européia com a outra organização.

 

Avaliação de risco e impacto da proteçãp de dados

Avaliação de risco da proteção de dados

Para cada atividade de tratamento de dados, deve ser realizada uma avaliação de risco de proteção de dados. Esta avaliação é um processo formal para avaliar o impacto da atividade sobre os direitos e liberdade das respectivas pessoas envolvidas.

As lacunas de controle identificadas e os riscos potenciais devem ser relatados e documentados. Medidas técnicas e organizacionais mitigadoras devem ser implementadas antes do início da atividade de tratamento de dados.

 

Avaliações de impacto da proteção de dados

Se o resultado da avaliação de risco da proteção de dados for um risco elevado, será necessário realizar uma Avaliação de Impacto da Proteção de Dados (DPIA). Será solicitado o parecer do DPO.

Quando uma DPIA identifica um risco elevado de uma atividade específica de tratamento de dados, devem ser implementadas medidas adequadas para mitigar tais riscos antes do início da atividade de tratamento. Se a DPIA ainda indicar um risco elevado após a implementação das medidas, a autoridade supervisora interessada, antes de tratar os dados, deve ser consultada.

 

Direitos dos indivíduos

Os indivíduos devem estar habilitados a exercer seus direitos (direitos do sujeito dos dados):

  • Direito de acesso aos dados pessoais: O indivíduo pode solicitar acesso/receber informações sobre dados pessoais individuais processados pela Fresenius (por exemplo, a finalidade do tratamento, as categorias de dados pessoais em questão, os destinatários, os períodos de armazenamento, qualquer existência de decisão automatizada).
  • Direito de retificar dados pessoais: O indivíduo pode solicitar a correção de dados pessoais imprecisos ou incompletos.
  • Direito de apagar dados pessoais: O indivíduo pode pedir para apagar seus dados pessoais, a menos que eles devam ser mantidos, por exemplo, devido a exigências legais de retenção.
  • Direito de restringir o tratamento de dados pessoais: O indivíduo pode pedir para restringir o tratamento de seus dados pessoais se a precisão dos dados pessoais for contestada, ou se o tratamento for ilegal (não mais necessário para os fins perseguidos).
  • Direito de receber dados pessoais em um formato portátil: O indivíduo pode pedir para receber seus dados pessoais em um formato comumente usado e legível por máquina, se as seguintes condições forem atendidas:
    • Os dados pessoais foram fornecidos pelo indivíduo
    • O tratamento é baseado no consentimento do indivíduo ou em um contrato com o indivíduo
    • O tratamento é realizado por meios automatizados.
  • Direito de objeção ao tratamento de dados pessoais: O indivíduo pode, devido à sua situação pessoal, opor-se ao tratamento de seus dados pessoais com base no interesse legítimo ou público. Tal solicitação deve ser avaliada. Além disso, o indivíduo pode se opor ao marketing direto e à definição de perfis. O tratamento deve então ser interrompido.
  • Direito de não estar sujeito à tomada de decisão automatizada: O indivíduo tem o direito de não estar sujeito à tomada de decisão automatizada (incl. perfil) que poderia levar a efeitos significativos legais ou similares sobre o indivíduo, a menos que:
    • É necessário para a celebração ou execução de um contrato entre o indivíduo e a respectiva entidade
    • Ela se baseia no consentimento explícito do indivíduo.

 

 

Conformidade com BCR

Acesso ao BCR

O BCR deve estar disponível para indivíduos de maneira apropriada. O BCR será publicado na internet e na intranet.
Os indivíduos também podem acessar o BCR entrando em contato com o respectivo DPO ou com qualquer membro da organização de proteção de dados.

Tratamento de reclamações BCR

Cada indivíduo tem direito a isso:

  • Alegar violação do BCR, leis locais de proteção de dados, ordens das autoridades de supervisão, políticas e diretrizes internas ou auto-compromissos voluntários relacionados à proteção de dados
  • Abordar seus direitos individuais
  • Fazer valer qualquer outro direito do BCR.

Tais reclamações podem ser apresentadas, por exemplo, por telefone, por e-mail ou carta, oralmente, abordando o respectivo DPO, a respectiva (L)DPA ou a linha direta de conformidade.
Caso a reclamação seja considerada justificada, a entidade tomará as medidas adequadas para tratar a reclamação e informar o indivíduo, respectivamente, no prazo de um mês.

Responsabilidade e Aplicação da Lei

Os indivíduos que são afetados ou sofreram danos como resultado do tratamento de seus respectivos dados pessoais, têm o direito de fazer valer essas partes do BCR e, se aplicável, de receber uma indenização perante um tribunal competente.
No caso de violações comprovadas por partes estabelecidas fora da UE/EFA, a FSE aceita a responsabilidade e a responsabilidade por quaisquer danos para os indivíduos. A entidade, que causou os danos, deverá prestar assistência razoável à FSE para responder a tais reclamações ou solicitações em tempo hábil.

Cooperação com Autoridades de Supervisão

Cada entidade é obrigada a cooperar com as autoridades supervisoras, a cumprir as recomendações relativas à interpretação desses BCR e a aceitar ser auditada pelas autoridades supervisoras em questão.

Treinamento

Cada entidade se inscreverá e obrigará seus funcionários a participar de um treinamento sobre o BCR e a proteção de dados e a repetir regularmente tal treinamento. O treinamento geral deve ser fornecido pelo menos bianualmente a todos os funcionários relevantes. Além disso, o treinamento específico de funções (por exemplo, para departamentos de RH ou de compras) é fornecido considerando as necessidades específicas de certas funções/pessoas.

Auditoria

Todas as partes se comprometem a ser auditadas regularmente (através de auditorias planejadas ou ad hoc) para avaliar e testar a conformidade com o BCR e implementar mecanismos adequados e suficientes para remediar a não conformidade de uma entidade com o BCR. A organização de proteção de dados fará o acompanhamento de qualquer auditoria conduzida para avaliar se as ações corretivas propostas foram implementadas apropriadamente e documentará quaisquer resultados no relatório de auditoria. Cada entidade disponibilizará relatórios de auditoria às autoridades supervisoras, mediante solicitação.

Atualização do BCR

As partes revisarão as leis locais de proteção de dados e indicarão se são necessárias mudanças no BCR. A Fresenius pode alterar o BCR, se necessário. Quaisquer mudanças significativas no BCR serão prontamente comunicadas a cada entidade e à autoridade supervisora. Quaisquer outras emendas não substanciais ao BCR serão comunicadas às partes o mais rápido possível.