Polityka prywatności – Synexus

Globalna polityka prywatności Synexus

Nasze podejście do prywatności

Badania kliniczne i medyczne bazują na zbieraniu i analizie najpoufniejszych informacji osobowych.  Ludzie są skłonni dzielić się wrażliwymi informacjami jedynie, jeżeli zbudowano kulturę opartą na zaufaniu i jeżeli interesariusze stosują bezpieczne praktyki w zakresie przetwarzania danych. Działając w tym środowisku, firma Synexus Clinical Research Limited (wraz z podmiotami powiązanymi i zależnymi zwana „Synexus”) zdaje sobie sprawę, że jeśli przetwarzamy wrażliwe informacje osobowe, musimy robić to odpowiedzialnie, z właściwą dbałością o ochronę prywatności, zgodnie z obowiązującymi prawami w zakresie prywatności i poufności danych.

Niniejsza globalna polityka prywatności („Polityka”) opisuje główne rodzaje informacji osobowych, które przetwarzamy na przestrzeni naszej globalnej organizacji, sposoby wykorzystywania i ujawniania informacji oraz nasze zobowiązania wobec osób, których dane przetwarzamy. Niniejsza polityka opisuje ogólne warunki, które pozwalają nam zapewnić zgodność z przepisami o ochronie prywatności danych, włączając w szczególności krajowe przepisy wykonawcze do następującego ustawodawstwa: (a) dyrektywa o ochronie danych 95/46/WE („Dyrektywa”) Unii Europejskiej („UE”); (b) która to z dniem 25 maja 2018 r. zostanie zastąpiona przez ogólne rozporządzenie o ochronie danych 2016/679 („Rozporządzenie”); (c) amerykańska ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. (Health Insurance Portability and Accountability Act, „HIPAA”) oraz stanowe przepisy o naruszeniu bezpieczeństwa obowiązujące w Stanach Zjednoczonych, przepisy w zakresie ochrony danych przyjmowane przez coraz więcej lokalnych jurysdykcji na całym świecie oraz wymogi w zakresie prywatności i poufności określone przez ICH w ramach Dobrych Praktyk Klinicznych (DPK). Firma Synexus ustanowiła wewnętrzne procedury, polityki i programy szkoleniowe stworzone z myślą o zapewnieniu zgodności z wyżej wspomnianymi przepisami i niniejszą polityką. Nasze polityki, procedury i programy szkoleniowe podlegają regularnym przeglądom i są monitorowane przez zespół specjalistów w zakresie prywatności pod przewodnictwem starszego członka kierownictwa.

Jakiego rodzaju informacje osobowe przetwarza firma Synexus i w jakich celach

Informacje kliniczne i medyczne 

Jako organizacja zarządzająca ośrodkami na całym świecie, firma Synexus zapewnia swoim klientom dostęp do ośrodków badawczych w celu prowadzenia badań klinicznych. W związku z powyższym, zbieramy, przechowujemy i analizujemy duże ilości danych medycznych i próbek biomedycznych uczestników badań. Zgodnie z warunkami Dyrektywy i Rozporządzenia, firma Synexus uważa się wraz ze sponsorem/klientem za współ-administratora danych, odpowiedzialnego za określenie, w jaki sposób i dlaczego dane kliniczne i medyczne mają być przetwarzane, pełniąc rolę organizacji zarządzającej ośrodkami badawczymi.

Aby zapewnić lepszą ochronę prywatności, zgodnie z DPK, nazwiska uczestników i inne dane bezpośrednio ich identyfikujące nie są powiązane z dokumentacją ani próbkami wykorzystywanymi przez klientów Synexus w celach badawczych.

W naszej bazie danych przechowujemy informacje, włączając dane medyczne, dotyczące osób, które wyraziły zainteresowanie uczestnictwem w badaniach klinicznych, dzięki czemu jesteśmy w stanie wskazać właściwe dla nich badanie kliniczne, kiedy takowe się pojawi. W celach związanych z naborem pacjentów wykonujemy ogólne analizy statystyczne.

W niektórych przypadkach firma Synexus świadczy także usługi zdrowotne na rzecz lokalnych społeczności w formie badań przesiewowych prowadzonych pod kątem niektórych zaburzeń/chorób. W ramach takich działań przetwarzamy dane medyczne uczestników opatrzone ich nazwiskiem. Po wykonaniu badania, za zgodą danej osoby, dodajemy jej dane medyczne do naszej bazy, żeby móc się z nią skontaktować w związku z przyszłymi badaniami przesiewowymi lub klinicznymi, na podstawie konkretnych, występujących u niej schorzeń. Jeżeli dana osoba nie wyrazi takiej zgody, firma Synexus przekazuje wyniki badań jedynie jej lekarzowi pierwszego kontaktu i zachowuje dokumentację papierową tak długo, jak wymaga tego prawo.

Informacje o pracownikach medycznych

W ramach swojej działalności, firma Synexus wchodzi w kontakt z pracownikami, konsultantami, wykonawcami i innymi osobami trzecimi zatrudnianymi lub zaangażowanymi w prace przez naszych klientów prowadzących badania kliniczne i medyczne. Firma Synexus zbiera i wykorzystuje nazwiska, dane kontaktowe i inne informacje związane z pracą takich osób w prawnie uzasadnionych celach związanych z prowadzeniem działalności, włączając zarządzanie projektami i finansami. Możemy wykorzystywać zebrane informacje, włączając adresy e-mail, do przekazywania stosownych informacji na temat usług Synexus naszym klientom.

Dane na temat pracowników i zasobów ludzkich

Synexus zbiera dane osobowe kandydatów ubiegających się o zatrudnienie w firmie, włączając prywatne dane kontaktowe, kwalifikacje zawodowe i informacje o uprzednim zatrudnieniu w celu podejmowania decyzji o zatrudnieniu. Synexus wykonuje różne kontrole względem kandydatów, włączając, jeśli jest to dopuszczone prawnie, sprawdza informacje o ich karalności i dane dotyczące pozbawienia prawa wykonywania zawodu. Po zatrudnieniu pracownika, Synexus zbiera informacje na jego temat w celach związanych z zarządzaniem zasobami ludzkimi, wydajnością, płacami i podatkami. Synexus zbiera i zapisuje informacje o pracownikach w różnych systemach firmy, zgodnie ze standardowymi praktykami biznesowymi. Synexus przetwarza także podobne informacje dotyczące konsultantów, wykonawców i innych osób trzecich zaangażowanych przez firmę w dostawy produktów lub usług na jej rzecz.

Odwiedzający stronę internetową

Synexus zbiera określone dane imienne dotyczące osób odwiedzających strony internetowe firmy, jeśli dane takie są dobrowolnie przekazywane przez odwiedzających na ich prośbę, na przykład w sytuacji, gdy osoba kontaktowa z przedsiębiorstwa klienta prosi o informacje o usługach firmy, pracownik medyczny jest zainteresowany udziałem w badaniu klinicznym lub jeśli ktoś chce ubiegać się o wolny etat w firmie.  Poprzez wykorzystanie technologii cookies, Synexus może zbierać różne dane połączone z wirtualnymi tożsamościami przypisanymi osobom odwiedzającym stronę. Dane takie są wykorzystywane w różnych celach, włączając analizy wykonywane dla strony oraz marketing własnych usług (patrz: „Kwestie związane z Internetem” poniżej). W niektórych przypadkach, takie wirtualne tożsamości są połączone z realnymi tożsamościami odwiedzających, którzy przekazali swoje dane imienne jak opisano powyżej.  Pozwala to firmie Synexus na dostosowanie informacji marketingowych do takich osób, włączając informacje, które mogą być prawdopodobnie dla nich interesujące.

Contact Center

Synexus ustanawia biura contact center w ramach współpracujących z nim ośrodków badawczych w celu kontaktowania się z osobami, które wyraziły zainteresowanie uczestnictwem w badaniach klinicznych. Dane osobowe osób, z którymi biura contact center się kontaktują, są zbierane jedynie w celu rozpatrzenia ich prośby i ocenienia, czy dana osoba kwalifikuje się do uczestnictwa w badaniu przesiewowym w ośrodkach Synexus. Nasze biura contact center nie kontaktują się z osobami, które nie przekazały uprzednio swoich danych kontaktowych firmie Synexus. Rozmowy telefoniczne mogą być nagrywane w celu zapewnienia jakości. Rozmówcy (wykonujący i odbierający połączenie) są informowani o nagrywaniu połączenia.

Wewnętrzne i zewnętrzne ujawnienie danych osobowych

Dane osobowe będą przekazywane wewnątrz organizacji Synexus, a także spółkom powiązanym, takim jak PPD i Acurian oraz osobom trzecim jedynie w zakresie, w jakim jest to wymagane do realizacji określonych, zgodnych z prawem celów statutowych. Dostęp do baz danych i folderów zawierających dane osobowe jest ograniczony wyłącznie do właściwych pracowników. Synexus nie sprzedaje ani nie wymienia się informacjami osobowymi. W niektórych okolicznościach, organy sądowe lub organy ścigania mogą żądać od firmy Synexus ujawnienia pewnych informacji osobowych w ramach prowadzonych dochodzeń lub postępowań prawnych. Synexus może także ujawniać dane osobowe nabywcom lub ich następcom w przypadku fuzji, zbycia, restrukturyzacji, reorganizacji, rozwiązania lub innej sprzedaży lub przeniesienia własności firmy Synexus albo wszystkich lub części jej aktywów.

Spółki pełniące rolę dostawców usług na rzecz Synexus są zobowiązane do podpisania umowy dla podmiotów przetwarzających dane i/lub umowy o poufności, na mocy której zobowiązują się do przetwarzania danych osobowych jedynie zgodnie z celami umownymi i do stosowania właściwych technicznych i organizacyjnych środków bezpieczeństwa.

Międzynarodowy transfer danych osobowych

Synexus jest spółką globalną, działającą w branży, której struktura staje się coraz bardziej międzynarodowa jeśli chodzi o podejście do badań klinicznych. Informacje osobowe są przekazywane poza granice państw zgodnie z wymogami prowadzonych ogólnoświatowych projektów. Synexus przechowuje dane osobowe w bazach danych znajdujących się w różnych lokalizacjach na całym świecie, w tym w Stanach Zjednoczonych. W niektórych okolicznościach informacje osobowe firmy Synexus i klienta są przechowywane na platformach dostawców usług, znajdujących się w chmurze internetowej. Synexus zdaje sobie sprawę, że w wielu krajach na całym świecie obowiązują przepisy ograniczające przepływ danych osobowych przez granice. Firma Synexus wdrożyła środki mające na celu zapewnienie właściwej ochrony takich danych tam, gdzie jest to prawnie wymagane. Na przykład, firma Synexus wprowadziła standardowe klauzule o ochronie danych („SDPC”) w celach związanych z transferem pewnych informacji osobowych z Europejskiego Obszaru Gospodarczego. Mieszkańcy państw UE, których dane osobowe są przetwarzane zgodnie z postanowieniami SDPC, mogą żądać od Synexus przedstawienia kopii umowy, korzystając z danych kontaktowych podanych poniżej. Jeżeli ryzyko dla prywatności jest bardzo niskie, na przykład w zakresie przekazywania danych zakodowanych z użyciem klucza, Synexus może polegać na formularzach świadomej zgody na przekazywanie danych osobowych zgodnie z obowiązującymi systemami prawnymi, korzystając z mniej surowych zabezpieczeń w zakresie prywatności danych.

Powiadomienie i zgoda

W momencie zbierania danych, Synexus powiadamia daną osobę, używając zrozumiałego i jasnego języka, o tym, w jaki sposób jej dane będą wykorzystywane, ujawniane i przenoszone, o możliwościach wyboru w zakresie przetwarzania danych, o prawie do informacji wynikającym z przepisów dotyczących prywatności oraz z niniejszej polityki, jak również o tym, z kim należy się kontaktować w razie pytań lub chęci złożenia skargi. Powiadomienia o prywatności są dostosowane do konkretnych okoliczności zbierania danych.  Przekazując takie powiadomienie Synexus spełnia swój obowiązek transparentnego i uczciwego traktowania takich osób, nakładany przez wiele przepisów dotyczących prywatności danych. W zależności od nośnika, powiadomienie może być przekazane osobiście, przez e-mail, pocztowo, telefonicznie lub poprzez publikację na naszej stronie internetowej.

W wielu sytuacjach, w tym kiedy jest to wymagane przez przepisy w zakresie prywatności danych oraz jeśli tego wymagają dobre praktyki, Synexus prosi o zgodę na zbieranie, wykorzystywanie i ujawnianie danych osobowych zgodnie z treścią danego powiadomienia o prywatności. Jednakże, w niektórych przypadkach dopuszczonych prawnie, szczególnie jeśli uzyskanie zgody wymagałoby nieproporcjonalnego wysiłku, jeśli planowane przetwarzanie danych jest zgodne uzasadnionym prawnie interesem firmy Synexus lub jej klientów i jeśli ryzyko naruszenia prywatności jest niskie, Synexus może przetwarzać dane osobowe bez uzyskania zgody. Ponadto, Synexus wykorzystuje i ujawnia dane osobowe bez zgody, jeśli jest to wymagane na mocy prawa lub nakazu sądowego. Zgodnie z DPK, przepisami w zakresie poufności i prywatności danych, Synexus zbiera niezbędne świadome zgody od uczestników badań w imieniu swoich klientów.

Jakość danych i zachowanie dokumentacji

Jakość i poprawność danych są niezmiernie ważne dla Synexus. Poprawność danych dotyczących uczestników badania, szczególnie danych dołączonych do próbek biomedycznych, ma ogromne znaczenie dla integralności badania klinicznego. Zgodnie z wymogami prawa, Synexus zatrudnia profesjonalny zespół ds. zapewnienia jakości. Mówiąc ogólnie, nasze powiadomienia o prywatności stanowią dla zainteresowanych osób prosty sposób na zweryfikowanie i zaktualizowanie posiadanych informacji oraz na skorygowanie wszelkich błędów. Synexus przechowuje informacje poufne zgodnie z wymogami umownymi, prawnymi i regulacyjnymi.

Prawo do informacji

Na obszarach jurysdykcji, gdzie obowiązują przepisy o prywatności danych oraz jeśli wymagają tego postanowienia umowne, Synexus upewnia się, że osoby prywatne mogą korzystać ze wszystkich stosownych praw w zakresie swoich danych osobowych przetwarzanych przez firmę, włączając w szczególności prawo do dostępu i poprawy danych, prawo do wycofania zgody w dowolnym momencie, prawo do wyrażenia sprzeciwu na przetwarzanie danych, prawo do żądania usunięcia danych lub ograniczenia zakresu przetwarzania danych, prawo do wyrażenia niezgody na marketing bezpośredni i prawo do żądania przekazania danych osobowych w powszechnym formacie cyfrowym (np. PDF) sobie lub innej organizacji.

We wszystkich innych sytuacjach, kiedy nie występują inne nadrzędne interesy, Synexus będzie starać się zezwalać na egzekwowanie poniższych praw do informacji na mocy niniejszej polityki w ramach dobrych praktyk:

  • zapewnienie dostępu do kopii posiadanych informacji osobowych w rozsądnym terminie,
  • poprawianie informacji osobowych, jeśli nie są poprawne, i
  • wycofanie uprzednio danej zgody na przetwarzanie danych osobowych.

Uczestnicy badań klinicznych prowadzonych przez klientów Synexus muszą skontaktować się z badaczem z lokalnego ośrodka Synexus, który będzie w stanie powiązać dane z tożsamością uczestnika badania.

Bezpieczeństwo informacji

Firma prowadzi kompleksową politykę w zakresie bezpieczeństwa informacji, której celem jest stosowanie technicznych i organizacyjnych środków ochrony informacji osobowych, w szczególności wrażliwych danych klinicznych, w celu ochrony przed nieupoważnionym dostępem lub kradzieżą danych. Zgodnie z wymogami prawnymi, szczególnie z amerykańskim prawem stanowym oraz Rozporządzeniem, Synexus prowadzi także szczegółową politykę w zakresie naruszeń bezpieczeństwa, która określa jakie procedury mają być stosowane w odpowiedzi na jakiekolwiek naruszenia bezpieczeństwa informacji osobowych, włączając przesyłanie stosownych powiadomień do właściwych osób lub organów rządowych.

Kwestie związane z Internetem

Strony internetowe Synexus mogą zawierać odnośniki do stron zewnętrznych, nienależących do firmy.  Takie strony nie są pod kontrolą firmy Synexus ani nie zostały przez nią zatwierdzone. Niniejsza polityka nie ma zastosowania do stron spoza organizacji Synexus, do których mogą prowadzić takie odnośniki.  Zaleca się zapoznanie się z polityką prywatności każdej z takich odwiedzanych stron.

Plik cookie to plik z danymi, umieszczany przez operatora strony na dysku twardym osoby odwiedzającej stronę. Na komputerach osób odwiedzających stronę Synexus włączona jest obsługa plików cookies z następującymi funkcjami: umożliwianie stronie realizacji usługi pożądanej przez odwiedzającego, zapamiętywanie powracających odwiedzających, poprawa doświadczeń klienta na stronie, pozwalanie firmie na wykonywanie analizy na stronie oraz dostosowywanie komunikatów marketingowych do odwiedzających w oparciu o odwiedzane przez nich strony. Można zarządzać swoimi relacjami internetowymi z firmą Synexus poprzez korzystanie ze stosownych ustawień, dostępnych w większości przeglądarek internetowych. Na przykład, większość przeglądarek pozwala odwiedzającym na decydowanie, które pliki cookies mogą być umieszczane na ich komputerze, na usuwanie lub wyłączanie obsługi cookies oraz na stosowanie funkcji wyłączenia śledzenia. Prosimy zauważyć, że wyłączenie obsługi cookies może uniemożliwić odwiedzającemu korzystanie z pewnych funkcji na stronach Synexus.

Ochrona prywatności dzieci w Internecie

Synexus nie zbiera informacji poprzez stronę internetową od osób, o których wiadomo, że nie ukończyły 13 roku życia. Żadna część naszych publikacji internetowych nie jest dedykowana osobom w wieku poniżej 13 roku życia.

Zapytania, skargi i żądania skorzystania z praw

Wszelką komunikację, zapytania, żądania skorzystania z praw do informacji (np. z prawa dostępu do danych) oraz skargi należy kierować do wiadomości specjalisty ds. ochrony danych pod poniższym adresem: Data Protection Officer, Privacy Department, Granta Park Cambridge, CB21 6GQ, Wielka Brytania.

Zgodnie z Rozporządzeniem, Synexus Polska Sp. z o. o., jako wiodąca spółka powiązana grupy Synexus w UE („Kontroler”) w zakresie ochrony danych ponosi główną odpowiedzialność za kwestie związane z ochroną danych mające zastosowanie dla naszej europejskiej grupy spółek. W celu zapewnienia zgodności z Rozporządzeniem można kontaktować się ze specjalistą ds. ochrony danych korzystając z danych kontaktowych podanych powyżej.

W UE osoby fizyczne mają prawo do złożenia skargi dotyczącej przetwarzania ich danych do organu nadzorczego, odpowiedzialnego za zapewnienie zgodności z przepisami Rozporządzenia. Listę wszystkich organów nadzorczych w UE można znaleźć na stronie Komisji Europejskiej: http://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm.

Status prawny polityki i zmiany polityki

Nasza polityka globalna nie stanowi umowy i nie ustanawia żadnych praw ani obowiązków. Synexus zastrzega sobie prawo do modyfikowania lub zmieniania niniejszej polityki. Na przykład, polityka może wymagać zmiany w razie wprowadzenia nowych przepisów lub zmiany przepisów. Uaktualniona wersja polityki zostanie opublikowana na stronie www.synexus.com.