ÁLTALÁNOS ADATKEZELÉSI TÁJÉKOZTATÓ
For English Version Scroll down
Jelen tájékoztató a Boehringer Ingelheim RCV GmbH & Co KG Magyarországi Fióktelepe (székhelye: 1095 Budapest, Lechner Ödön fasor 10.; cégjegyzékszáma: 01- 17-000552, képviseli: Saverio Traficante, Dr. Fábián Zsolt és Martin Gaishüttner) (továbbiakban: Adatkezelő) által megvalósított egyes személyes adatok kezelését és feldolgozását szabályozza az alábbiak szerint.
Bevezető
Jelen Tájékoztatót az Adatkezelő magára nézve kötelezőnek ismeri el. Adatkezelő ezen túlmenően kötelezettséget vállal arra, hogy a személyes adatok kezelését mindenkor a hatályos jogszabályi előírások és a jelen Tájékoztatóban meghatározottak szerint végzi.
Jelen Tájékoztató az Adatkezelő által bármikor egyoldalúan módosítható és/vagy visszavonható, az Érintettek egyidejű tájékoztatásával. A tájékoztatás a honlapon történő közzététellel, illetve a változás jellegétől függően az Érintettek közvetlen értesítésével valósul meg.
Amennyiben a jelen Tájékoztatóval, vagy az adatkezeléssel kapcsolatban bármilyen kérdése vagy észrevétele lenne, kérem, forduljon bizalommal hozzánk az alábbi elérhetőségek bármelyikén: dataprotection.hu@boehringer-ingelheim.com e-mail címen vagy az Adatkezelő 1095 Budapest, Lechner Ödön fasor 10. szám alatti postacímén.
1. Alkalmazási terület, hatály
1. Személyi hatály: jelen Tájékoztató kiterjed az Adatkezelő által az alábbi természetes személyek vonatkozásában megvalósított adatkezelésekre (a továbbiakban összefoglalóan: Érintett):
az Adatkezelőhöz munkaviszony létrehozása érdekében önéletrajzot benyújtott személyek (a továbbiakban: Pályázó)
a biztonságos és gazdaságos gyógyszer- és gyógyászatisegédeszköz-ellátás, valamint a gyógyszerforgalmazás általános szabályairól szóló 2006. évi XCVIII. törvény (a továbbiakban: Gyftv.) 3. § 12. pontjában meghatározott személyek, azaz az orvos, a gyógyszerész, a gyógyszerek, gyógyászati segédeszközök kereskedelmi forgalmában részt vevő - a vonatkozó tevékenységi engedéllyel rendelkező - előállító és kereskedő természetes személyek (a továbbiakban együtt: HCP)
az állatgyógyászati tevékenység vonatkozásában: állatorvosok, állatorvosi asszisztensek, állatpraxisok munkavállalói és tulajdonosai, állattartó telepek megbízottai, alkalmazottai, tulajdonosai, vezetői (a továbbiakban együtt: Állatorvos)
az Adatkezelő természetes személy szerződéses partnerei, ideértve az egyéni vállalkozókat is (a továbbiakban: Szerződéses Partner)
az Adatkezelő nem természetes személy szerződéses partnerei által meghatározott kontaktszemélyek és egyéb kapcsolattartók (a továbbiakban együtt: Kapcsolattartó)
a bejelentett mellékhatás, nemkívánatos esemény vagy egyéb betegbiztonsággal összefüggő információ/minőségi kifogás vonatkozásában a betegek (a továbbiakban: Beteg)
a bejelentett mellékhatás, nemkívánatos esemény vagy egyéb betegbiztonsággal összefüggő információ/minőségi kifogás vonatkozásában a betegen és a HCP-n kívüli egyéb bejelentő (a továbbiakban: Bejelentő)
továbbá egyéb természetes személyek, egyedi esetek mentén.
A nem az Érintettől származó személyes adat esetében az adatot közlő felelőssége az Érintett hozzájárulásának beszerzése ahhoz, hogy az adat az Adatkezelővel közölhető legyen.
2. Időbeli hatály: Jelen Tájékoztató 2024.03.01. napján lép hatályba, és visszavonásig/módosításig marad hatályban. Jelen Tájékoztatót a hatálybalépéskor már folyamatban lévő adatkezelésekre is alkalmazni kell.
3. Területi hatály: jelen Tájékoztató hatálya az Adatkezelő által bármely (földrajzi) területen megvalósított adatkezelésre kiterjed.
4. Tárgyi hatály: jelen Tájékoztató az Érintettek vonatkozásában az Adatkezelő által megvalósított adatkezeléseket szabályozza, meghatározva azok célját és jogalapját, az alkalmazott eszközöket és módokat, továbbá a bevezetett biztonsági intézkedéseket.
Személyes adat: azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személyre („érintettre”) vonatkozó bármely információ;
Személyes adat különleges kategóriái: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. Az Adatkezelő fő szabály szerint különleges adatot (pl. egészségügyi adatot) az Érintett vonatkozásában nem kezel. Különleges adat kezelése kizárólag kifejezett előzetes hozzájárulás vagy jogszabályi felhatalmazás alapján kerülhet sor (pl. farmakovigilancia tárgyú bejelentés esetén).
Érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így különösen a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
Adatkezelő: a Boehringer Ingelheim RCV GmbH & Co KG Magyarországi Fióktelepe (székhelye: 1095 Budapest, Lechner Ödön fasor 10.; cégjegyzékszáma: 01-17-000552, képviseli: Saverio Traficante, Martin Gaishüttner és Dr. Fábián Zsolt; elérhetőségek: dataprotection.hu@boehringer-ingelheim.com, tel.: +3612998900). A jelen Tájékoztató szerinti adatkezelés szempontjából – az Adatkezelő sajátos jogi formájára tekintettel – az Adatkezelő anyavállalata, a Boehringer Ingelheim RCV GmbH & Co KG (székhely: A-1121 Wien, Dr. Boehringer Gasse 5-11., cégjegyzékszám: FN 312077 m) – a továbbiakban: Anyavállalat – nem minősül harmadik személynek, hanem az Adatkezelővel egy tekintet alá esik;
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az Érintettel, az Adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az Adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
A jelen Tájékoztatóban alkalmazott többi fogalom megfelel a hatályos jogszabályi előírások – így különösen: az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet – a továbbiakban: GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) – által meghatározott fogalmaknak.
3. Adatkezelés alapelvei
Adatkezelő az általa alkalmazott adatkezelések során a mindenkor hatályos jogszabályi előírások maradéktalan betartásával jár el. Ezen túlmenően az Adatkezelő az Érintett adatai kezelése során a következő alapelvek maradéktalan figyelembevételével jár el:
Az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”);
az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
pontosnak és szükség esetén naprakésznek kell lenniük („pontosság”);
tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);
kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
az adatkezelő felelős a fenti alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
Az Adatkezelő az eljárásrendjét a fentieknek megfelelően alakította ki, azt folyamatosan felülvizsgálja és szükség szerint módosítja. Az Adatkezelő az adatkezelés során biztosítja a beépített és alapértelmezett adatvédelmet.
4. Egyes adatkezelési célok
| Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás |
|---|---|---|---|---|
| A megpályázott pozícióra a Pályázó foglalkoztatásának megvizsgálása, kapcsolattartás | önéletrajz szerint | hozzájárulás (GDPR 6. cikk (1) a) pont) | legfeljebb a pályázat lezárásáig | - |
| A Pályázó esetleges jövőbeli foglalkoztatása, újabb állásajánlatokkal történő megkeresése érdekében sor kerül az önéletrajz tárolására is | önéletrajz szerint | hozzájárulás (GDPR 6. cikk (1) a) pont) | legfeljebb az önéletrajz benyújtásától számított egy évig | - |
A Pályázók adataihoz kizárólag HR osztály munkavállalói, illetve annak a területnek a vezetője férhet hozzá, amely területre a Pályázó pályázik.
Az önéletrajzok kezelésével kapcsolatban a Boehringer-Ingelheim cégcsoport által üzemeltetett álláskereső portálon elhelyezett adatkezelési tájékoztató nyújt bővebb felvilágosítást azon Pályázók vonatkozásában, akik ezen a portálon keresztül nyújtották be önéletrajzukat.
A hozzájárulás megadása a szerződés kötésének előfeltétele, elmaradásának lehetséges jogkövetkezményei: az Adatkezelő a hozzájárulás hiányában a Pályázót alkalmazni nem tudja, tekintettel arra, hogy önéletrajz hiányában nem tud megalapozott döntést hozni az alkalmazást illetően.
2. Humán gyógyszerekkel kapcsolatos gyógyszerismertetői tevékenység, terápiás ismertetés
Ezen fejezet alkalmazásában gyógyszerismertetési tevékenység alatt a Gyftv. 12. § (1) bekezdésében meghatározott tevékenység értendő. A gyógyszerismertetési tevékenységre a Gyftv. és az emberi felhasználásra kerülő gyógyszer, illetve gyógyászati segédeszköz ismertetésére, az ismertetői tevékenységet végző személyek nyilvántartására, és a gyógyszerrel, gyógyászati segédeszközzel kapcsolatos, fogyasztókkal szembeni kereskedelmi gyakorlatra vonatkozó részletes szabályokról szóló 3/2009. (II. 25.) EüM rendelet (a továbbiakban: EüM rendelet) irányadók.
Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás |
Adatkezelő humán gyógyszeripari termékeivel (a továbbiakban: Gyógyszerek) kapcsolatos gyógyszerismertetési tevékenység nyújtása a HCP-knek, és az ehhez kapcsolódó kiegészítő tevékenységek (ld. alább) | név, szakterület, munkahely neve, e-mail cím, munkahely címe, munkavégzési osztály és (szak)rendelés megnevezése, telefonszám, pecsétszám
| Adatkezelő jogos érdeke (GDPR 6. cikk (1) f) pont) (Adatkezelő termékeinek létét és az azzal kapcsolatos információkat jogilag szabályozott keretek között, nagyobb hatékonysággal, a gyógyszerek rendelésére és forgalmazására jogosult személyek (HCP-k) tudomására hozza) | Érintett tiltakozásáig, de legfeljebb az adatkezelési cél megvalósulásáig (amelyik a korábbi időpont). | - |
Terápiás kérdések (gyógymód, kezelés) megbeszélése a HCP-kkel | Adatkezelő jogos érdeke (GDPR 6. cikk (1) f) pont) (Adatkezelő termékei által lefedett betegségekkel kapcsolatos terápiás lehetőségekkel kapcsolatos információkat jogilag szabályozott keretek között, nagyobb hatékonysággal, a gyógyszerek rendelésére és forgalmazására jogosult személyek (HCP-k) tudomására hozza) |
Az adatkezelés céljához kapcsolódó kiegészítő tevékenységek különösen:
első bemutatkozó megkeresés
kapcsolattartás
időpont-egyeztetés
személyes vagy egyéb (digitális) platformon keresztül megvalósított megbeszélés gyógyszerismertetés / terápiával kapcsolatos megbeszélés keretében
Gyógyszerrel, terápiával kapcsolatos HCP kérdések megválaszolása.
Tájékoztatjuk, hogy a megvalósított megkeresésről (interakcióról) belső feljegyzést készítünk, mely tartalmazza röviden a látogatás időpontját, helyét, a megkeresés módját és témáját, és a felvetett kérdéseket, továbbá a gyógyszerismertető összefoglaló elemzését a megkeresés hatékonysága tárgyában, a termékekre és/vagy terápiás területekre is vonatkoztatva. Utóbbi feljegyzés célja, hogy a megkeresés hatékonysága a későbbiekben növelhető legyen, és optimalizálni tudjuk az Érintettnek legmegfelelőbb értékesítési tartalmat, kommunikációs csatornát és formát: olyan megkeresést indítsunk, mely az Érintettet jobban érdeklő témákra koncentrál. Ennek érdekében, amennyiben az Érintett részére tableten mutat információt a gyógyszerismertető, úgy a tablet tárolja azt az adatot is, hogy az Érintett részére mennyi ideig került bemutatásra az adott oldal, mellyel szemben az Érintett a gyógyszerismertetőnél kifejezheti tiltakozását. Amennyiben a megkeresés e-mail formájában kerül megküldésre, kezeljük azt az adatot, hogy az e-mail sikeres megküldésére mikor került sor, hogy az Érintett azt megnyitottae és mikor, és az e-mailben található mely linkre kattintott. Web alapú interakció esetén rögzítésre kerül a megbeszélés időtartama és az alkalmazott eszköz is. Az Érintett ez ellen tiltakozhat.
Az Érintett nem válik olyan döntés alanyává a fentiek által, mely joghatással vagy egyéb komoly hatással lenne rá.
Az adat származási helye:
IQVIA Solutions Services Korlátolt Felelősségű Társaságtól (székhelye: 1117 Budapest, Dombóvári út 9.; cégjegyzékszáma: 01-09-268070) vásárolt adatbázis,
Monocl AB-tól (székhely: Redegatan 1B, 42679 Västra Frölunda, Svédország) vásárolt adatbázis,
nyilvános forrásból gyűjtött adat,
HCP által szolgáltatott adat.
A nem a HCP-től közvetlenül származó adat és adatkezelés tekintetében az Adatkezelő az érintettet köteles legfeljebb az adat megszerzésétől számított egy hónapon belül tájékoztatni az adatkezelés tényéről, a kezelt adatok köréről, az adatkezelés céljáról és jogalapjáról, továbbá a kezelési időről, illetve a hatályos jogszabályi előírásokban meghatározott egyéb kérdésekről.
3. Állatgyógyászati termékekkel kapcsolatos termékismertetői tevékenység
Adatkezelő a jelen Tájékoztatóban meghatározott, állatgyógyászati készítménnyel kapcsolatos ismertetési- és reklámtevékenységére az állatgyógyászati termékekről szóló 128/2009. (X.6.) FVM rendelet előírásai is irányadóak.
Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás |
Adatkezelő az Adatkezelő állatgyógyászati termékeivel kapcsolatos termékismertetési tevékenység nyújtása az Állatorvosoknak, és az ehhez kapcsolódó kiegészítő tevékenységek (ld. alább) | név, beosztás, szakterület, munkahely neve, munkahely címe, e-mail cím, telefonszám | Adatkezelő jogos érdeke (GDPR 6. cikk (1) f) pont) (Adatkezelő termékeinek létét és az azzal kapcsolatos információkat jogilag szabályozott keretek között az állatgyógyászati készítményeket tevékenységük keretében felhasználó személyek (Állatorvosok) tudomására hozza) | Érintett tiltakozásáig, de legfeljebb az adatkezelési cél megvalósulásáig (amelyik a korábbi időpont). | - |
Az adatkezelés céljához kapcsolódó kiegészítő tevékenységek különösen:
első bemutatkozó megkeresés
kapcsolattartás
időpont-egyeztetés
személyes megbeszélés termékismertetés keretében
megvalósított látogatásról belső feljegyzés készítése (mely tartalmazza röviden a látogatás időpontját, helyét, a látogatás témáját és a felvetett kérdéseket)
termékkel kapcsolatos kérdések megválaszolása.
Az adat származási helye: részben nyilvános forrásból gyűjtött adat, részben pedig az Állatorvos által szolgáltatott adat. A nem az Állatorvostól közvetlenül származó adat és adatkezelés tekintetében az Adatkezelő az Érintettet köteles legfeljebb az adat megszerzésétől számított egy hónapon belül tájékoztatni az adatkezelés tényéről, a kezelt adatok köréről, az adatkezelés céljáról és jogalapjáról, továbbá a kezelési időről, illetve a hatályos jogszabályi előírásokban meghatározott egyéb kérdésekről.
4. Marketing tevékenység megvalósítása HCP-k és Állatorvosok irányában
Az adat származási helye: HCP-től, Állatorvostól közvetlenül felvett adat.
Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás | |
Marketing tevékenység (pl. termékismertetés, direkt marketing e-mail-ek, viber üzenetek, hírlevelek küldése, egyéb, szakmai és nem szakmai kommunikáció küldése egyediesített formában) a HCP-k és Állatorvosok számára | név, e-mail cím, telefonszám, illetve az adatbázisban még nem szereplő HCP-k, Állatorvosok esetében a 2., illetve 3. pontokban megjelölt adatok is | hozzájárulás (GDPR 6. cikk (1) a) pont) | A 2021.12.31 előtt megadott hozzájárulások esetén: a hozzájárulás megadásától számított 4 év, vagy a hozzájárulás visszavonása;
A 2021.12.31 előtt megadott hozzájárulások esetén: a hozzájárulás megadásától számított 4 év, vagy a hozzájárulás visszavonása; A 2022.01.01. után megadott hozzájárulások: az adatkezelési cél megvalósulásáig vagy az Érintett hozzájárulásának visszavonásáig. A hozzájárulás visszavontnak tekintendő, ha az Érintett legalább négy éven keresztül az Adatkezelőtől érkezett üzeneteket nem nyitotta meg, ezt Adatkezelő évente felülvizsgálja.
| - |
Adatkezelő a kiküldött e-maileket és viber üzeneteket nyomon követi az egyediesíthetőség és annak megállapítása érdekében, hogy az a címzetthez megérkezette, illetve, hogy a címzett megnyitotta-e azt és mikor, illetve, hogy a benne szereplő mely linkre kattintott. Az Adatkezelő a gyűjtött információk alapján profilt nem alkot, az információt a kommunikáció hatékonyságának növelése érdekében használja.
Érintett a hozzájárulását bármikor jogosult visszavonni az Adatkezelő felé intézett ilyen irányú kéréssel (ld. a VII. fejezetet is), illetve hasonló módon adatai ilyen célú kezelésével szemben tiltakozással élhet.
A hozzájárulás elmaradásának lehetséges jogkövetkezményei: az Adatkezelő a hozzájárulás megtagadásához hátrányos jogkövetkezményt nem fűz. Aki nem adja hozzájárulását az adatkezeléshez, nem értesül (legalábbis közvetlen megkeresés útján) az aktuális szakmai és nem szakmai információkról.
5. Medinfo (HCP-k és Állatorvosok részére gyógyszer-, illetve állatgyógyászati termékinformáció nyújtása, kérés alapján)
Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás |
HCP-ktől, Állatorvosoktól Adatkezelő felé az Adatkezelő által forgalmazott termékekkel kapcsolatban az ismertetés keretein kívül feltett kérdések megválaszolása | név, e-mail cím, telefonszám (amennyiben érintett megadta), feltett kérdés, kérdésre adott válasz | hozzájárulás (GDPR 6. cikk (1) a) pont) melyet az érintett a kérés Adatkezelőhöz történő intézésével fejez ki. | az Érintett hozzájárulásának visszavonásáig, de legfeljebb 5 évig, illetve az adatkezelési cél megvalósulásáig. | - |
A hozzájárulás elmaradásának lehetséges jogkövetkezményei: aki nem adja hozzájárulását az adatkezeléshez, nem tud választ kapni az általa feltett kérdésre.
6. Érintettekkel kötött szerződések, kötelmek teljesítése
Adatkezelő az Érintettekkel többféle szerződést köthet (ideértve az egyoldalú kötelezettségvállalásokat és egyéb, kötelemkeletkeztető jognyilatkozatokat is), melyek megkötése és teljesítése mindkét fél érdekét szolgálja. Jelen fejezet nem vonatkozik a Pályázókkal megkötésre kerülő munkaszerződésekre, melyre külön adatkezelési tájékoztató vonatkozik.
Adatkezelő szokásosan az alábbi típusú szerződéseket köti magánszemélyekkel/egyéni vállalkozókkal (a teljesség igénye nélkül), ideértve az egyoldalú kötelezettségvállalásokat és egyéb, kötelemkeletkeztető jognyilatkozatokat is:
tanácsadói megbízási szerződés
előadói megbízási szerződés
testületi tagsági megbízási szerződés
pályázat szakmai-tudományos rendezvényen való részvétel támogatására (pályázati kérelem és jóváhagyó határozat alapján)
felhasználói szerződés (pl. videofelvétel készítéséhez és felhasználásához)
szűrővizsgálatra történő orvosi felkérés,
egyoldalú kötelezettségvállalás szűrővizsgálat lebonyolítására orvosi felkérés alapján
megbízási szerződés szűrővizsgálati tevékenység ellátására
adományozási, minta átadási megállapodás, adomány iránti kérelem.
Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás | |
szerződéskötés iránti intézkedések (pl. ajánlatadás, kérelem benyújtása); szerződés megkötése/kötelem létrehozása, módosítása, megszüntetése | teljes neve, lakcíme, anyja neve, születési hely- és idő, személyi igazolvány száma, HCP-k esetén önéletrajz; - egyéni vállalkozók esetén ezen kívül a székhelye, adóazonosító jele, bankszámlaszáma, egyéni vállalkozói igazolvány száma; - kontaktadatok. | szerződés teljesítése (GDPR 6. cikk (1) b) pont) | általános adójogi elévülési idő (szerződés megszűnése + 8 év) | bizonyos szerződéseknél vagy kötelmeknél sor kerülhet személyes adat továbbítására harmadik személy részére. Az Adatkezelő a kifizetett díjakat és támogatási összegeket a Boehringer cégcsoport vállalatai részére hozzáférhetővé teszi annak érdekében, hogy a díjfizetéssel kapcsolatos transzparencia megvalósítható legyen, továbbá statisztikai céllal. A továbbítás során kizárólag az arra területileg illetékes személyek férhetnek hozzá az adatokhoz. Ezen kívül rendezvényen való részvétel biztosítása érdekében a fent írtak szerint sor kerülhet az adatok harmadik fél részére történő továbbítására. A Gyftv. előírásai alapján az NNGYK/NEAK részére szükségessé válhat bizonyos adatok továbbítása (egyes HCP-vel kötött szerződések vagy pályázatok, rendezvények esetén). Utazásszervezés esetén utazásszervező cégnek is továbbításra kerülhetnek adatok. Kreditpontos oktatásoknál az illetékes kamara részére is továbbításra kerülhet az adat. Amennyiben adattovábbításra kerül sor, arról az Érintett tájékoztatást kap. Az adatbiztonságról ld. az 7. fejezetet is. |
szerződéssel kapcsolatos hatósági bejelentések – jogszabályi előírás esetén | jogszabályi előírás szerint (például: bizonyítványok száma, adóazonosító jel/adószám, TAJ szám, NNGYK/NEAK azonosító) | jogi kötelezettség teljesítése (GDPR 6. cikk (1) c) pont) | általános adójogi elévülési idő (szerződés megszűnése + 8 év) ha jogszabály hosszabb megőrzési időt nem ír elő | |
díjazás megállapítása és kifizetése, költségelszámolások kezelése, közterhek megfizetése, adókedvezmények igénybevétele | díjazás összege, közterhek összege, teljesítési igazolás, bankszámlaszám, adóazonosító jel/adószám | szerződés teljesítése (GDPR 6. cikk (1) b) pont) jogi kötelezettség teljesítése – különösen: adójogi szabályok - (GDPR 6. cikk (1) c) pont) | általános adójogi elévülési idő (szerződés megszűnése + 8 év) ha jogszabály hosszabb megőrzési időt nem ír elő | |
Innovatív Gyógyszergyártók Egyesülete transzparencia követelményeinek való megfelelés honlapon történő közzététellel | név, cím, díjazás összege és jogcíme | hozzájárulás (GDPR 6. cikk (1) a) pont) | közzétételt követő 4 év | |
Rendezvényen való részvételhez benyújtott pályázat megalapozottságának megvizsgálása és eldöntése | név, munkahely neve, munkahely címe, telefonszám, pecsétszám, e-mail cím, szakmai végzettség (helye, ideje), szakvizsga (kelte, jellege), egészségügyi tevékenység helye, jellege, nyelvismeret, kapott-e korábban az Adatkezelőtől pályázati támogatást és ha igen, milyen célból, rendezvény adatai (helyszín, időpont), kedvezményre jogosító tagság (ha van) | szerződés teljesítése (GDPR 6. cikk (1) b) pont)
| elbírálást követő 1 év (sikeres pályázat esetén ld. a következő pontot) | |
Rendezvényen való részvétel biztosítása sikeres pályázat esetén | útlevél vagy egyéb, utazásra feljogosító igazolvány száma és érvényessége. Ezen adatok rendezvény- és/vagy utazásszervezőnek történő átadására is szükség lehet (ld. a 7. fejezetet is). | szerződés teljesítése (GDPR 6. cikk (1) b) pont)
| elbírálástól számított 15 év | |
Érintett oktatása szerződés teljesítéséhez | vizsgaeredmény (kreditpontos oktatás esetén továbbítható az illetékes kamarának) | szerződés teljesítése (GDPR 6. cikk (1) b) pont)
| általános polgári jogi elévülési idő (szerződés megszűnése +5 év) | |
Fénykép- és/vagy videofelvétel készítése | képmás, hangmás | hozzájárulás (GDPR 6. cikk (1) a) pont) | Hozzájárulás visszavonása |
Az adat szolgáltatása bizonyos esetekben a szerződés kötésének előfeltétele. Az adatszolgáltatás elmaradásának lehetséges jogkövetkezményei: az Adatkezelő az adatszolgáltatás hiányában nem tudja a szerződést megkötni, vagy szerződéses kötelezettségeit teljesíteni.
7. Farmakovigilancia
Gyógyszeripari vállalatként az Adatkezelőnek kötelessége felderíteni, értékelni, megérteni és megelőzni a mellékhatásokat vagy az egyéb, a gyógyszerekkel kapcsolatos problémákat, azaz eleget kell tennie az úgynevezett farmakovigilanciai kötelezettségeknek. Ezért a nemkívánatos eseményről vagy egyéb betegbiztonsággal kapcsolatos információról való tájékoztatás fontos a Boehringer Ingelheim RCV GmbH & Co KG Magyarországi Fióktelepe számára humán és/vagy állategészségügyi szempontból. Ezeket az adatokat Adatkezelő kizárólag farmakovigilanciai célokra használja fel és osztja meg.
A farmakovigilanciai kötelezettségek előírják olyan információk feldolgozását, amelyek lehetővé teszik az egyén, azaz a beteg és/vagy a mellékhatást, nemkívánatos eseményt vagy egyéb betegbiztonsággal kapcsolatos információt bejelentő személy közvetlen vagy közvetett azonosítását (személyes adatok).
Adatkezelő a termékeivel kapcsolatos mellékhatásokról, nemkívánatos eseményekről és egyéb betegbiztonsággal kapcsolatos információról a következő módokon értesülhet:
HCP-től/Állatorvostól kapott bejelentés
Betegtől/Állattulajdonostól érkező bejelentés
harmadik személytől érkező bejelentés
nyilvános forrás (pl. szakmai cikk)
egyéb forrásból.
Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adattovábbítás |
Adatkezelőnek mint emberi- és állatgyógyászati célra szánt termékek forgalmazásával foglalkozó gazdálkodó szervezetnek, jogszabályi kötelezettsége eljárni a tudomására jutott mellékhatásokkal, nemkívánatos eseményekkel és egyéb betegbiztonsággal kapcsolatos információval kapcsolatban. A kapcsolattartási adatok ahhoz szükségesek, hogy a bejelentővel fel lehessen venni a kapcsolatot utánkövetési céllal, és minőségi illetve teljes körű információt lehessen szerezni a nemkívánatos eseményre vonatkozóan. A személyes adatok feldolgozásának célja ezen kívül a nemkívánatos eseményre vonatkozó információk összehasonlító elemzése más, a világ minden tájáról származó nemkívánatos eseményekkel kapcsolatos adatokkal, amelyekről az Adatkezelő tudomást szerzett a saját, Boehringer Ingelheim International GmbH által üzemeltetett globális farmakovigilanciai adatbázisán keresztül, illetve a farmakovigilancia szempontjából releváns információk jelentése az egészségügyi hatóságok felé világszerte. Amennyiben a bejelentő nem kívánja megadni elérhetőségeit az Adatkezelőnek vagy a hatóságoknak, a bejelentő személy nevének mezőjébe a „Visszatartva” vagy „Megtagadva” jelölés kerül. | Bejelentővel kapcsolatos adatok humán gyógyászatban: Teljes név, monogram és kapcsolattartási adatok (beleértve a lakcímet, e-mail címet és telefonszámot), foglalkozás (pl. orvos, gyógyszerész). Beteggel kapcsolatos adatok humán gyógyászatban: • Monogram (amennyiben rendelkezésre áll), soha nem a beteg neve; nem; életkor/ születési idő/korcsoport; Bejelentővel kapcsolatos adatok állatgyógyászatban: A bejelentő személyét illetően a jelentés tartalmazza az ügyben betöltött szerepet (pl. állatorvos, gyógyszerész, állattulajdonos, forgalmazó, nagykereskedő, az Adatkezelő alkalmazottja), a bejelentő nevét, címét, e-mail címét és telefonszámát. A beteggel kapcsolatos adatok állatgyógyászatban: Ha egy emberen észlelt esetet jelentenek, a jelentés csak a monogramot, életkort, nemet, várandósságra vonatkozó információt, foglalkozást (ha releváns), a készítménynek való kitettség típusát, hosszát és következményeit, de semmiképp sem az érintett személy nevét, tartalmazza. | A személyes adatok - beleértve a személyes adatok különleges kategóriáit is - kezelésének jogalapja az állatgyógyászati termékekről szóló 128/2009. (X.6.) FVM rendelet 4. §-a és 79- 83. §§-ai, az emberi alkalmazásra kerülő gyógyszerek farmakovigilanciájáról szóló 15/2012. (VIII. 22.) EMMI rendelet 2. § a) pontja, valamint a GDPR 6. cikk (1) c) pontja. Mellékhatásnak az emberi alkalmazásra kerülő gyógyszerek farmakovigilanciájáról szóló 15/2012. (VIII. 22.) EMMI rendelet 2. § a) pontjában, illetve az állatgyógyászati termékekről szóló 128/2009. (X. 6.) FVM rendelet 4. §-ában meghatározott fogalmak tekintendők. A megadott személyes adatok felhasználása kizárólag a jelen táblázatban felsorolt célok érdekében történik. | Mivel a nemkívánatos eseményekről szóló jelentések közegészségügyi okokból fontosak, a nemkívánatos eseményekről szóló jelentéseket legalább 10 évig meg kell őrizni a termék forgalomból való kivonása után abban az országban, ahol a terméket utoljára forgalomba hozzák. A tárolási időszakot az 520/2012/EU bizottsági végrehajtási rendelet határozza meg. Amennyiben uniós vagy nemzeti jog előírja, a bejelentés adatait hosszabb ideig meg kell őrizni. | 1.Mivel az Adatkezelő egy globális vállalatcsoport része, más Boehringer Ingelheim-vállalatokat is bevon az adatfeldolgozási folyamatba (pl. a farmakovigilanciai kötelezettségek részeként a bejelentett nemkívánatos esemény elemzésébe és feldolgozásába). A vállalatcsoporthoz tartozó cégek az adatokat kizárólag a jelen adatkezelési tájékoztatóban megnevezett célok érdekében kezelik, mint közös adatkezelők a GDPR 26. cikke szerint. 2.Ezen kívül adattovábbításra kerülhet sor a NÉBIH és az NNGYK illetve a NEAK felé is. 3.A jog szerinti jelentési kötelezettségeknek való megfelelés, valamint az Adatkezelő és/vagy harmadik felek jogainak védelme érdekében az Adatkezelő felfedheti és megoszthatja a személyes adatokat a jogtulajdonosokkal, tanácsadókkal, a bírósággal és az illetékes hatóságokkal (pl. kötelező bejelentés feltételezett nemkívánatos esemény esetén). 4.Az Adatkezelő külső szolgáltatókat kérhet fel a személyes adatok feldolgozására a jelen adatkezelési tájékoztatóban megnevezett célok szerint. 5. Az Adatkezelő megoszthat esetlegesen személyes adatokat is tartalmazó farmakovigilanciával kapcsolatos információkat olyan más gyógyszeripari vállalatokkal, amelyek a Boehringer Ingelheim-vállalatcsoport marketing-, értékesítési vagy egyéb licencpartnerei, amennyiben az Adatkezelő termékére vonatkozó meglévő farmakovigilanciai kötelezettségek megkövetelik a betegbiztonsággal kapcsolatos információk cseréjét. |
Humán gyógyszerek esetében szükséges továbbá megadni:
A reakciót feltételezhetően kiváltó Boehringer Ingelheim termékkel kapcsolatos információkat, mint például adagolás, gyártási szám;
A nemkívánatos eseménnyel kapcsolatos további részleteket, úgy mint az esemény lefolyása és kimenetele, kezdetének és befejeződésének dátuma, a felhasználó gyógyszerrel kapcsolatos korábbi tapasztalata (első felhasználó?), egyidejűleg alkalmazott gyógyszerei és társbetegségei; az esemény súlyossága; a beteg és/vagy a bejelentő véleménye a Boehringer Ingelheim termék és a nemkívánatos esemény közötti lehetséges ok-okozati összefüggésről.
8. Minőségbiztosítás
Adatkezelőnek mint emberi- és állatgyógyászati célra szánt termékek forgalmazásával foglalkozó gazdálkodó szervezetnek, a helyes gyógyszergyártási gyakorlat (Eudralex Volume IV. Good Manufacturing Practice (GMP)] keretében kötelezettsége eljárni a tudomására jutott minőségi kifogásokkal kapcsolatban, ideértve az esetleges gyógyszerhamisítást is.
Adatkezelő a termékeivel kapcsolatos minőségi kifogásokról a következő módokon értesülhet:
HCP-től/Állatorvostól kapott bejelentés
betegtől érkező bejelentés
harmadik személytől érkező bejelentés
nyilvános forrás (pl. szakmai cikk)
egyéb forrás.
Adatkezelőnek a kapott bejelentéseket ellenőriznie kell. Ennek keretében kötelezettsége lehet visszakérdezni, további részleteket bekérni, akár a beteggel, akár a kezelőorvossal vagy (pl. állatgyógyászati készítmény esetén) más érintettel a kapcsolatot felvenni.
Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás |
az Adatkezelő helyes gyógyszergyártási gyakorlatban és jogszabályi előírásokban foglalt kötelezettségei teljesítése az észlelt/bejelentett minőségi kifogásokkal kapcsolatban, minőségbiztosítási rendszer üzemeltetése, és a jogszabályok által előírt bejelentések teljesítése. | név, elérhetőség, minőségi probléma jellege | jogi kötelezettség teljesítése (a Bizottság 2003/94/EK irányelve az emberi felhasználásra szánt gyógyszerek és az emberi felhasználásra szánt vizsgálati gyógyszerek helyes gyártási gyakorlatára vonatkozó alapelvek és iránymutatások megállapításáról; a Bizottság 91/412/EGK irányelve az állatgyógyászati készítmények helyes gyártási gyakorlatára vonatkozó alapelvek és iránymutatások megállapításáról) - (GDPR 6. cikk (1) c) pont) | bejelentéstől számított 5 év | a validált adatok, illetve a bejelentő adatai továbbításra kerülnek a Boehringer Ingelheim cégcsoport tagvállalataihoz. Ezen kívül adattovábbításra kerülhet sor a NÉBIH és az NNGYK felé is. Az adatbiztonságról ld. az 7. fejezetet is. |
Adatkezelő a betegek tekintetében személyes adatot kizárólag a visszakövethetőség érdekében kezel, és csak a minimálisan szükséges ideig (pl. a tényállás felderítése érdekében a bejelentő beteg elérhetőségeit kezelheti az Adatkezelő, amíg a tényállás feltárása nem történik meg, ezt követően az adatok törlésre kerülnek).
A felderített tényállást követően a bejelentett minőségi kifogást Adatkezelő belső rendszereiben rögzíti, és továbbítja a Boehringer Ingelheim cégcsoport megfelelő gyártóhelyére [Boehringer Ingelheim (Ingelheim, Németország); Ridgefield (USA); Cognizant (Manila, Fülöp-szigetek és Mumbai, India)] abból a célból, hogy ezen adatokat ezen tagvállalatok a megfelelő Európai Uniós mellékhatásfigyelő- és bejelentő rendszerekbe (pl. Eudravigilance) feltöltsék, ugyanis hozzáféréssel ezen rendszerhez ezek a cégek rendelkeznek. Betegadatot a továbbított jelentés nem tartalmaz. A rögzített adat alapján az Érintett nem beazonosítható. A bejelentő személye (név, elérhetőségi adatok) a rendszerben rögzítésre kerülhet.
9. Piackutatás, szegmentáció
Adatkezelő esetileg megbízhat piackutató cégeket, hogy saját adatbázisuk alapján, saját hatáskörükben és saját felelősségükre végezzenek előzetes piackutatási tevékenységet. A piackutatási tevékenység elsődlegesen az egyes szakorvosi területek felmérésére irányul, a HCP-k egyes, a piackutatás jellegétől függő jellemzőinek meghatározásával. Adatkezelő ezen felmérések eredményeként személyes adatot sem a piackutatás lezárultát, sem pedig azt követően bármikor nem kap.
A piackutatás (anonim) eredményéhez kapcsolódóan Adatkezelő esetenként saját piackutatást is szervezhet az érintett HCP-k körében. A piackutatás lefolytatásához Adatkezelő bekéri a HCP kifejezett előzetes hozzájárulását. A hozzájárulás bekérését megelőzően Adatkezelő külön, teljeskörűen tájékoztatja a HCP-t: az adatkezelés pontos céljáról, jogalapjáról, a bekért és elemzett adatok köréről, az esetleges profilalkotásról vagy szegmentációról, az esetleges adattovábbításról, adatfeldolgozásról, az adatkezelés időtartamáról, az érintetti jogokról és a joggyakorlás módjáról, továbbá minden egyéb releváns információról, melyet a hatályos jogszabályi előírások előírnak.
10. Az Adatkezelő által folytatott ellenőrzések – beléptetés, kamerás megfigyelés
Az Adatkezelő az Érintettnek az Adatkezelő székhelyén (1095 Budapest, Lechner Ödön fasor 10. szám, 5. emelet) megvalósított tevékenységét bizonyos esetekben jogosult ellenőrizni. Az alkalmazott módszerek az Adatkezelő egyes jogos érdekeit védik (például: vagyonvédelem, üzleti titok védelme, stb.).
Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás |
kamerás megfigyelés székhelyen | képmás, mozgókép, időpont, helyszín | Adatkezelő és munkavállalói vagyonának, biztonságának, Adatkezelő üzleti titkának védelmében megnyilvánuló jogos érdeke (GDPR 6. cikk (1) f) pont) | rögzítés + 3 munkanap; felhasználás esetén a felvételek tárolása a cél eléréséhez szükséges lehető legrövidebb időtartamon keresztül történik | - |
mágneskártyás beléptető rendszer alkalmazása | név, időpont, kinyitott ajtó | Adatkezelő és munkavállalói vagyonának, biztonságának, Adatkezelő üzleti titkának védelmében megnyilvánuló jogos érdeke (GDPR 6. cikk (1) f) pont) | használat napjától számított 6 hónap; felhasználás esetén az adatok tárolása a cél eléréséhez szükséges lehető legrövidebb időtartamon keresztül történik | - |
belépés mágneskártyával nem rendelkező személyeknek – vendégnyilvántartó lap kitöltésével | név, személyi igazolvány szám, belépési- és kilépési dátum, vendéglátó neve, aláírás | Adatkezelő és munkavállalói vagyonának, biztonságának, Adatkezelő üzleti titkának védelmében megnyilvánuló jogos érdeke (GDPR 6. cikk (1) f) pont) | használat napjától számított 6 hónap; felhasználás esetén az adatok tárolása a cél eléréséhez szükséges lehető legrövidebb időtartamon keresztül történik | - |
szerverszobába történő belépés tényének rögzítése | név, személyi igazolvány szám, belépési- és kilépési dátum, vendéglátó neve | Adatkezelő és munkavállalói vagyonának, biztonságának, Adatkezelő üzleti titkának védelmében megnyilvánuló jogos érdeke (GDPR 6. cikk (1) f) pont) | használat napjától számított 6 hónap; felhasználás esetén az adatok tárolása a cél eléréséhez szükséges lehető legrövidebb időtartamon keresztül történik | - |
riasztórendszer alkalmazása | kód, név, riasztás időpontja és helye | Adatkezelő és munkavállalói vagyonának, biztonságának, Adatkezelő üzleti titkának védelmében megnyilvánuló jogos érdeke (GDPR 6. cikk (1) f) pont) | használat napjától számított 1 év; felhasználás esetén az adatok tárolása a cél eléréséhez szükséges lehető legrövidebb időtartamon keresztül történik | - |
Az Adatkezelő tájékoztatja az Érintetteket, hogy a budapesti székhelyén az irodaházban (Adatkezelő területén kívüli terület) és a mélygarázsban kamerás megfigyelés történik a vagyonvédelem és a biztonság ellenőrzése érdekében, valamint mágneskártyás beléptető rendszer alkalmazására kerül sor. Ez az Adatkezelőtől független, az ellenőrzést saját előírásai szerint az Irodaházat üzemeltető First Facility Ingatlankezelő Kft. végzi. Az adatokhoz az Adatkezelő nem fér hozzá, azokat nem kezeli.
11. Honlap használat, cookie-k
A www.boehringer-ingelheim.hu honlap (a továbbiakban: Honlap) az Adatkezelő tulajdonát képezi. A honlap használatára, az alkalmazott sütikre (cookies) vonatkozó feltételek (a továbbiakban: Használati Feltételek) a https://www.boehringer-ingelheim.hu/hasznalati-szabalyzat címen érhetők el, kérjük ezt is figyelmesen olvassa el, mivel a jelen Tájékoztatót kiegészítik.
A Honlap használata során bizonyos adatok, így a böngésző által továbbított információk (IP-cím, sütik, a hivatkozó weboldal, dátum és időpont, a megtekintett tartalom) elmentésre kerülnek. Az ilyen adatokat kizárólag a honlap használatára (ideértve a karbantartási célokat, pl. a támadások megakadályozását, honlap továbbfejlesztését) és/vagy statisztikai célokra használja fel az Adatkezelő.
Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás |
Sütik a webhely hatékonyabb működése, a webhely üzemeltetője számára üzemelési információk szolgáltatása céljából | IP cím | Adatkezelő jogos érdeke a Használati Feltételekben írtak szerint (GDPR 6. cikk (1) f) pont) | Az Érintett bármikor letilthatja és törölheti a sütiket a böngészője beállításaiban. | az Érintettről gyűjtött adatok a Boehringer Ingelheim cégcsoport tagjai számára megismerhetővé válhatnak. A cégcsoport kizárólag abban az esetben továbbít személyes adatokat harmadik személyek felé, ha ehhez az Érintett kifejezetten hozzájárult, ha erre szükség van az Érintett által használni kívánt szolgáltatások biztosításához, vagy ha az ilyen adattovábbítás a vonatkozó jogszabályok alapján egyéb okból jogszerű. |
Sütik a használó berendezésének felismerésére | IP cím | Érintett hozzájárulása (GDPR 6. cikk (1) a) pont) | Az Érintett bármikor letilthatja és törölheti a sütiket a böngészője beállításaiban. | |
Regisztráció a Honlap korlátozottan hozzáférhető részeihez (képesítéshez kötött) | IP cím, név, pecsétszám | Érintett hozzájárulása (GDPR 6. cikk (1) a) pont) | Regisztráció törléséig |
A hozzájárulás megtagadásának jogkövetkezményei: a honlap funkcionalitásának és hozzáférhetőségének csökkenése.
12. Nem magánszeméllyel megkötött szerződések esetén a kapcsolattartói adatok kezelése
Az Adatkezelő az általa megkötött szerződések teljesítése érdekében a (nem természetes személy) szerződő partner munkavállalói és egyéb megbízottai egyes személyes adatait jogosult kezelni.
Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás |
szerződött partnerrel való kapcsolattartás, szerződés teljesítése érdekében szükséges jognyilatkozatok megtétele, egyéb cselekedetek megvalósítása (pl. kiszállítás, reklamáció kezelés, átadás-átvételi eljárás, stb.). E körbe tartozik speciálisan az Adatkezelő által nyújtott termékadománnyal összefüggésben az adományozott főgyógyszerészének előzetes elfogadó nyilatkozata is, mely az NNGYK/NEAK részére továbbításra is kerül jogszabályi előírás alapján. | név, munkahely neve és címe, beosztás, e-mail cím (céges), telefonszám (céges), telefax szám (céges). | a szerződött feleknek a szerződés teljesíthetőségéhez fűződő jogos érdeke (GDPR 6. cikk (1) f) pont) | Az adatkezelésre a szerződés hatálya alatt kerül sor. A szerződés megszűnését követően az adat törlésre kerül, kivéve, ha az adat a szerződés törzsszövegében került feltüntetésre, mely esetben az adatot az Adatkezelő a hatályos jogszabályi előírások által előírt ideig kezeli (pl. általános elévülési idő, adójogi elévülési idő). Az Érintett tiltakozása esetén az adatkezelés – amennyiben a tiltakozás jogszerű volt – az Adatkezelő által megszüntetésre kerül. | Adatkezelő jogosult ezen adatokat a munkavállalói/megbízottai számára hozzáférhető adatbázisokban tárolni, és a szerződés teljesítése érdekében használni. A fenti eseteken túlmenően jogszabályi előírás alapján az adat hatóság részére történő továbbítására is sor kerülhet. |
13. Nagykereskedelmi (állatgyógyászati) forgalmi adatok elemzése
Az Adatkezelő az állatgyógyászati termékek kereskedelmi forgalmi adatainak alakulását figyelemmel kíséri annak érdekében, hogy a marketing stratégiájának és üzleti tervének teljesülését, sikerességét meg tudja állapítani, szükség szerint a terveket, stratégiákat módosítani tudja, illetve a forgalmat a tényleges szükségletekhez tudja igazítani, és ezzel működését optimalizálja.
Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás |
Adatkezelő működésének optimalizálása a fogyasztási adatok figyelemmel kísérése révén. | név, nagykereskedőtől vásárolt állatgyógyászati készítmény neve és mennyisége | Érintett hozzájárulása (GDPR 6. cikk (1) a) pont) | az adatokat a hozzájárulás visszavonásáig kezeljük, de nem tovább, mint az adat keltétől számított 4 (négy) év | az adatokat adatfeldolgozónk, a Neogrid Netherlands B.V. (Science Park 406., 1098 XH Amszterdam, Hollandia) részére továbbítjuk, továbbá a hozzájárulást a partner nagykereskedőknek átadjuk |
14. Regisztráció rendezvényekre, oktatásokra, webináriumokra
Az Adatkezelő saját szervezésű oktatásokat, rendezvényeket, webináriumokat (a továbbiakban: Esemény) tart, melyen történő részvételre az érintett HCP, Állatorvos regisztrálhat. Amennyiben az adott Eseménynek nincsen külön adatkezelési tájékoztatója, úgy a jelen tájékoztatás irányadó.
Adatkezelés célja | Érintett adatok | Jogalap | Megőrzési idő | Adat-továbbítás |
Érintett részvétele a rendezvényen, oktatáson, webináriumon | név, felhasználói név/azonosító, e-mail cím, végzettség, szakterület, pecsétszám (orvos és állatorvos esetén), elektronikus Eseménynél ezen kívül a használt berendezés típusa, operációs rendszere, meglátogatott weboldal és kattintás, letöltött anyagok, használat tartama | Érintett hozzájárulása (GDPR 6. cikk (1) a) pont) | az adatokat a hozzájárulás visszavonásáig kezeljük | Kreditpontos oktatásoknál az illetékes kamara részére továbbításra kerül az adat. |
5. Adatokhoz való hozzáférés, adatok kiadása harmadik személyeknek, az adatok tárolása
1. Általános rendelkezések
Adatkezelő gondoskodik az alapértelmezett és beépített adatvédelemről. Ennek érdekében az Adatkezelő megfelelő technikai és szervezési intézkedéseket alkalmaz annak érdekében, hogy:
az adatokhoz való hozzáférést pontosan szabályozza;
csak olyan személyeknek engedélyezze a hozzáférést, akiknek az adat az azzal való feladat elvégzése érdekében szükséges, és ekkor is csak azon adatokhoz lehessen hozzáférni, mely minimálisan szükséges a feladat ellátásához;
az általa megbízott adatfeldolgozókat körültekintően válassza ki, és megfelelő adatfeldolgozói szerződéssel gondoskodjon az adatok biztonságáról;
gondoskodjon a kezelt adatok változatlanságáról (adatintegritás), hitelességéről és védelméről.
2. Adattovábbítás, adatfeldolgozás, hozzáférés
Az Adatkezelő törekszik arra, hogy ne adjon ki harmadik személynek Érintetti adatot. Az adatkiadás azonban bizonyos esetekben nem kerülhető el. Adatkezelő elsődlegesen a következő esetekben ad ki adatot harmadik személynek:
hatóság(ok) felé történő adatátadás: a szerződések létesítésével, teljesítésével és megszüntetésével, illetve rendezvényeken történő részvétellel kapcsolatban az Adatkezelőnek jogszabályi előírásokból fakadó jelentési kötelezettsége keletkezhet. Erre tekintettel a NAV, az NEAK és az NNGyK felé történik elsődlegesen adatkiadás. Hatósági megkeresésre vagy bűncselekmény gyanújára alapítottan egyéb adatkiadásra is sor kerülhet.
adatfeldolgozók részére történő adatátadás: az Adatkezelő az Érintett adatait az adatfeldolgozóinak jogosult átadni. Az orvoslátogatói tevékenységet bizonyos esetekben nem az Adatkezelő munkavállalói, hanem az Adatkezelővel egyéb jogviszonyban álló személyek látják el. Ebben az esetben a látogatáshoz szükséges adatok ezen személyek részére kiadásra kerülnek.
Anyavállalat hozzáférési jogosultsága: az Adatkezelő működési formájára tekintettel (fióktelep) nem különül el az Anyavállalattól, hanem annak része. Erre tekintettel az Anyavállalat jogosult az Érintett adataiba betekintést nyerni, amennyiben az adat kezeléséhez a jelen Tájékoztatóban meghatározottak szerinti valamely jogalappal rendelkezik. A hozzáférés az Anyavállalat szintjén is korlátozott, a megfelelő osztályhoz tartozó egyes munkavállalókra és vezetőkre szorítkozva.
Boehringer Ingelheim cégcsoport hozzáférési jogosultsága: tekintettel arra, hogy az Adatkezelő a Boehringer Ingelheim globális cégcsoport tagja, bizonyos Érintetti adatokhoz a cégcsoport többi tagjának is lehet hozzáférése. Ilyen különös tekintettel a farmakovigilancia keretében gyűjtött adatok. Ezen hozzáférés korlátozott, és a szükséges adatokra terjed csak ki.
kontaktszemély adatok kiadása: a szerződések teljesítéséből fakadóan szükséges lehet az ügyfelekkel, partnerekkel, egyéb személyekkel való kapcsolattartás. Erre tekintettel az Adatkezelő jogosulttá válhat harmadik személyek részére az Érintett céges elérhetőségi adatait (elsődlegesen: név, céges e-mail cím, céges telefonszám, beosztás) kiadni. Ilyen esetekben az alapszerződés rendelkezik arról, hogy az adatok milyen harmadik személy részére kerülnek továbbításra.
A fentiekben meghatározott eseteken kívül is adhat ki az Adatkezelő adatot harmadik személynek, mely adatkiadás a mindenkor hatályos jogszabályi előírásokkal összhangban történhet.
3. Adatok fizikai tárolása
Az adatok egy részének kezelése és feldolgozása harmadik országbeli szerveren keresztül történik. Az e-mail levelezés tárolása a cégcsoport tulajdonát képező németországi szervereken történik.
Az Adatkezelő a személyes adatoknak harmadik országokba irányuló továbbadására vonatkozó alternatív általános feltételek bevezetéséről szóló 2001/497/EK bizottsági határozat értelmében (a „BI Group Data Transfer Agreement” rendelkezései alapján és szerint) jogosult arra, hogy a Boehringer Ingelheim cégcsoporton belül a személyes adatokat az Európai Gazdasági Térségen kívüli adatkezelőnek továbbítsa.
Amennyiben nem a cégcsoporton belüli adattovábbításról van szó, úgy harmadik országba megfelelőségi határozat, ennek hiányában megfelelő vállalati garanciák, általános adatvédelmi kikötések vagy az adott helyzetre jogszabály által biztosított eltérések, végső soron pedig az Érintett hozzájárulásával kerülhet csak sor. Amennyiben nincs olyan kielégítő mértékű adatvédelmi törvény vagy előírás abban az országban, ahová az Adatkezelő a Személyes adatokat továbbítja, az Adatkezelő maga, vagy a cégcsoport más tagján keresztül biztosítja a hatályos jogszabályokban előírt szigorúságú szerződéses biztosítékokat az adatok védelmére. Az adattovábbítás jogszerűségéért és az adatok biztonságáért az Adatkezelőt teljeskörű felelősség terheli.
Az adatvédelmi biztonsági mentés tárolása Németországban történik. A cégcsoport szervereinek karbantartása a következő cégek által történik:
Accenture cégcsoport (India, Ridgefield (USA), Szingapúr)
Capgemini cégcsoport (EU)
4. Tárolási idő
Adatkezelő az Érintetti adatokat a fentiekben, az egyes adatkezelési céloknál meghatározott ideig tárolja, ezt követően az adatok megsemmisítésre kerülnek. Az adatok tárolásának időtartamára a mindenkor hatályos jogszabályi előírások is vonatkoznak, azaz ha jogszabályi előírás az adat tárolását a fent megjelölt időtartamon túlmenően is előírja, úgy az adatot az Adatkezelő a jogszabályban meghatározott ideig jogosult tárolni.
5. Adatkezelő által az adatvédelem körében tett intézkedések
Az Adatkezelő ésszerű mértékű fizikai, műszaki és szervezeti biztonsági intézkedéseket alkalmaz az Érintetti adatok védelmére, különösen azoknak a véletlen, illetéktelen, törvénytelen megsemmisítése, elvesztése, megváltoztatása, továbbadása, felhasználása, elérése vagy feldolgozása ellen. Az Adatkezelő a személyes adatokhoz való ismert, és az érintettre nézve magas kockázattal járó illetéktelen hozzáférés vagy azok felhasználása esetén haladéktalanul értesíti az Érintettet.
Adatkezelő, amennyiben Érintetti adat továbbítása szükséges, gondoskodik a továbbított adatok megfelelő védelméről, például az adatállomány titkosításával. Az Adatkezelő a harmadik személyek által megvalósított Érintetti adatkezelésért teljeskörű felelősséggel tartozik.
Adatkezelő megfelelő és rendszeres biztonsági mentésekkel is gondoskodik arról, hogy az Érintett adatai a megsemmisüléssel vagy elvesztéssel szemben védve legyenek.
6. Az Érintett jogai
Az Érintettet az adatkezelés kapcsán az alábbi jogosultságok illetik meg:
Átlátható tájékoztatáshoz való jog: az adatkezelést megelőzően és közben is joga van az Érintettnek arra, hogy a kezelt adatokról és az adatkezelésről magáról is tájékoztatást kapjon, ennek része a jelen Tájékoztató is;
Tárolt adatokhoz való hozzáférés joga: az Érintett jogosult arra, hogy információt kérjen a róla tárolt adatokról és az adatkezelés egyes elemeiről (különösen: adatkezelés léte, célja, jogalapja, kezelt adatok köre, adatkiadás harmadik személyek részére, adattárolási idő, joggyakorlások módja, jogorvoslati lehetőségek, adatforrás, profilalkotás, automatizált döntéshozatal, garanciák, stb.);
Helyesbítéshez való jog: téves adat esetén az Érintett kezdeményezheti az adat helyesbítését;
Törléshez (elfeledtetéshez) való jog: az Érintett kérheti az adat törlését, ha:
az adatra nincs szükség abból az eredeti célból, amiért azt gyűjtötték
az Érintett az adatkezelésre vonatkozó hozzájárulását visszavonja
az Érintett tiltakozik az adatkezelés ellen és nincs más ok, jogalap az adatkezelésre
az adatkezelés jogellenes
jogi kötelezettség előírja a törlést
az adatgyűjtésre információs társadalommal összefüggő szolgáltatás kínálásával kapcsolatban került sor;
Tiltakozáshoz való jog: közérdekű vagy jogos érdeken alapuló adatkezeléssel szemben az Érintett tiltakozhat; ebben az esetben az Adatkezelő csak akkor jogosult az adatot továbbra is kezelni, ha azt olyan kényszerítő erejű jogos okok indokolják, melyek az Érintettel szemben elsőbbséget élveznek, vagy jogi igényérvényesítéshez kapcsolódnak. Közvetlen üzletszerzési célból történő adatkezeléssel szemben bármikor lehet tiltakozni, és tiltakozás esetén az adat nem kezelhető tovább;
Adatkezelés korlátozásához való jog: jogellenesen kezelt adatok esetén, illetve a jogszabály által megengedett egyéb esetekben kérhető az adatkezelés korlátozása;
Adathordozhatósághoz való jog: automatikus adatfeldolgozással kezelt, hozzájáruláson vagy szerződésen alapuló adatkezelés esetén az Érintett jogosult az általa megadott adatok kiadását kérni tagolt, széles körben használt, géppel olvasható formátumban, és az adatot tetszés szerint továbbíthatja;
visszavonás joga: az Érintett a hozzájárulását bármikor visszavonhatja.
Érintett fenti jogaival bármikor élhet. Az erre irányuló kérelmet az Érintett a dataprotection.hu@boehringer-ingelheim.com e-mail címre vagy az Adatkezelő 1095 Budapest, Lechner Ödön fasor 10. szám alatti postacímére küldheti meg írásban. Adatkezelő tájékoztatja az Érintetteket, hogy a hatályos jogszabályi előírások értelmében adatvédelmi tisztviselő kijelölésére nem köteles, de a fenti elérhetőségeken megbízott adatvédelmi koordinátor áll az Érintettek rendelkezésére.
Adatkezelő jogosult az Érintett beazonosítására a válaszadást megelőzően (annak ellenőrzése érdekében, hogy a kérés az arra jogosulttól származik-e). Az Érintett Adatkezelő által nyilvántartott e-mail címéről beérkező megkereséseket Adatkezelő úgy tekinti, hogy az az Érintettől származik. Egyéb formában beérkező kérések esetén Adatkezelő jogosult az Érintettet más módon hitelesíteni (pl. megadott telefonszámon szóban érdeklődni az írásbeli kérelem valóságtartamáról, szóbeli felkérésre írásbeli megerősítést kérni, vagy más, megfelelő beazonosítást kezdeményezni).
Az Adatkezelő a beérkezett kérelmeket megvizsgálja, és azokat haladéktalanul, de nem később, mint egy hónapon belül – kivételes esetben a jogszabály által megengedett ennél hosszabb határidőben – elintézi, vagy azt (indokolással ellátva) elutasítja. Adatkezelő a döntés eredményéről az Érintettet írásban tájékoztatja. A kérelem elintézése díjmentes, kivéve a megalapozatlan vagy túlzó kérelmeket, melyek elintézéséért az Adatkezelő az adminisztratív költségeinek megfelelő, ésszerű mértékű díjat számíthat fel.
Érintett az adatkezeléssel szemben bármikor élhet észrevétellel, panasszal az Adatkezelőnél a fent megadott elérhetőségeken (dataprotection.hu@boehringer-ingelheim.com e-mail címen, vagy a 1095 Budapest, Lechner Ödön fasor 10. levélcímen). Ezen kívül Érintett a sérelmezett adatkezeléssel szemben jogosult bírósági eljárás megindítására is az Adatkezelő székhelye vagy az Érintett lakóhelye szerinti bíróságon, mely eljárás illetékmentes, és melynek során a bíróság soron kívül jár el. A fentieken túlmenően panasszal is élhet a Nemzeti Adatvédelmi- és Információszabadság Hatóság előtt.
Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges – naprakészségét. Erre tekintettel Adatkezelő kéri az Érintetteket, hogy bármely, az Adatkezelő által rögzített személyes adatában bekövetkezett változásról az Adatkezelőt a lehető leghamarabb tájékoztatni legyenek szívesek.
GENERAL DATA PRIVACY NOTICE
This Notice controls the processing of certain personal data by the Hungarian Branch Office of Boehringer Ingelheim RCV GmbH & Co. KG (headquarters: H-1095 Budapest, Lechner Ödön fasor 10. Hungary, company registration number: 01-17-000552, represented by Saverio Traficante, Dr. Zsolt Fábián and Martin Gaishüttner) (hereinafter referred to as “Data Controller”) as follows.
Introduction
The Data Controller expresses its consent to be bound by this Notice. In addition, the Data Controller undertakes to process the personal data at all times in accordance with the legal regulations in force and as specified in this Notice.
This Notice may be modified and/or revoked at any time by the Data Controller at any time by simultaneously informing the Data Subjects. The information will be provided by publication on the website or, depending on the nature of the change, by direct communication to the Data Subjects.
If you have any questions or comments regarding this Notice or data processing, please feel free to contact us at any of the following contact details: dataprotection.hu@boehringer-ingelheim.com or at the mailing address of the Data Controller at H-1095 Budapest, Lechner Ödön fasor 10. Hungary.
1. Area of Application, Scope
1 Personal scope: This Notice extends to the data processing performed by the Data Controller in respect of the following natural persons (hereinafter collectively referred to as “Data Subject”):
persons submitting a curriculum vitae to the Data Controller (hereinafter referred to as the “Applicant”) for the purpose of creating an employment relationship,
persons specified in Point 12 of Section 3 of Act XCVIII of 2006 on the General Provisions Relating to the Reliable and Economically Feasible Supply of Medicinal Products and Medical Aids and on the Distribution of Medicinal Products, that is, physicians, pharmacists, and manufacturers and traders of medicinal products and medical aids holding the appropriate authorization and engaged in their commercial distribution (hereinafter collectively referred to as “HCP”)
in the case of veterinary activities: veterinary physicians, veterinary assistants, employees and owners of veterinary practices, agents, employees, owners and managers of livestock farms (hereinafter collectively referred to as “Vet”),
natural persons as contractual partners of the Data Controller, including the self-employed (hereinafter referred to as “Contractual Partner”)
the contact persons and other contacts determined by the non-natural persons as contractual partners of the Data Controller (hereinafter referred to as “Contact Person”)
in the case of reported side effect, adverse event or other patient safety relevant information/quality objection, the patients (hereinafter referred to as “Patient”)
for the reported side effect, adverse event or other patient safety relevant information/quality objection, a reporter other than the patient and the HCP (hereinafter referred to as “Reporter”)
as well as other natural persons, in individual cases.
For personal data not from the Data Subject, it is the responsibility of the disclosing person to obtain the consent of the Data Subject to the disclosure of the data to the Data Controller.
2 Duration: This Notice will enter into force on 01.03.2024. and will remain in effect until revocation/amendment. This Notice shall also apply to data processing that is in progress at entry into force.
3 Territorial scope: The scope of this Notice applies to data processing performed by the Data Controller in any (geographic) area.
4 Material scope: This Notice governs data processing by the Data Controller regarding the Data Subjects, specifying its purpose and legal basis, the means and methods used and the security measures introduced.
‘Personal data’ means any information relating to an identified or, directly or indirectly, identifiable natural person (‘data subject’);
‘Special categories of personal data’ means personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation. As a general rule, the Data Controller does not process sensitive data (e.g. data concerning health) for the Data Subject. The processing of sensitive data may only be performed on the basis of explicit prior consent or statutory authorization (e.g. in case of reporting pharmacovigilance).
‘Consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;
‘Processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
Data Controller: the Hungarian Branch Office of Boehringer Ingelheim RCV GmbH & Co KG (headquarters: H-1095 Budapest, Lechner Ödön fasor 10. Hungary; company registration number: 01-17-000552, represented by: Saverio Traficante, Martin Gaishüttner and Dr. Zsolt Fábián; contact details: dataprotection.hu@boehringer-ingelheim.com, phone: +3612998900). For the purposes of data processing under this Notice, with respect to the specific legal form of the Data Controller, the Data Controller’s parent company, Boehringer Ingelheim RCV GmbH & Co KG (headquarters: A-1121 Wien, Dr. Boehringer Gasse 5-11., company registration number: FN 312077 m) – hereinafter referred to as “Parent Company” – is not considered a third party but is equivalent to the Data Controller;
‘Processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;
‘Third party’ means a natural or legal person, public authority, agency or body other than the Data Subject, Controller, processor and persons who, under the direct authority of the Controller or processor, are authorised to process personal data.
The other terms used in this Notice comply with the applicable legal requirements, in particular: the concepts specified in Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), hereinafter referred to as “the GDPR”) and Act CXII of 2011 on Informational Self-determination and Freedom of Information (hereinafter referred to as “Information Act”).
3. Principles of the Data Handling
The Data Controller acts in full compliance with the applicable legal regulations in its data processing. The Data Controller is responsible for processing the data of the Data Subject in full compliance with the following principles:
Data shall be processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);
Data shall be collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes (‘purpose limitation’);
Data shall be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);
Data shall be accurate and, where necessary, kept up to date (‘accuracy’);
Data shall be kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed (‘storage limitation’);
Data shall be processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).
The controller shall be responsible for, and be able to demonstrate compliance with, the principles above (‘accountability’).
The Data Controller has established its rules of procedure in accordance with the above and continuously revises them and, if necessary, modifies them. The Data Controller shall provide data protection by design and by default during data processing.
4. Description of Purposes
1. Processing of curricula vitae
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data Transfer |
Review of the employment possibility of the Candidate for the given position, contact keeping | according to CV | consent (GDPR article 6. section (1) point a) | Closing of the hiring process | - |
possible future employment of the Candidate, contact for future job possibilities | according to CV | consent (GDPR article 6. section (1) point a) | one year from the submission of the CV | - |
Applicants’ data can only be accessed by the employees of the HR department or by the head of the area to which the Applicant applies. Scope of data processed: according to curriculum vitae.
The Privacy Notice provided on the Job Search Portal operated by the Boehringer-Ingelheim Group provides more information on the processing of CVs in respect of the Applicants who submitted their curriculum vitae via this portal.
Giving consent is a prerequisite for the conclusion of the contract. The possible legal consequences of the failure to do so: in the absence of consent, the Data Controller cannot employ the Applicant, given that in the absence of his or her CV, it cannot make a sound decision on the employment.
2. Promotion of medicinal products for human use
For the purposes of this Chapter, the term promotion of medicinal products shall mean the activity specified in Section 12 (1) of the Act on the Distribution of Medicinal Products. Promotion of medicinal products is governed by the Act on the Distribution of Medicinal Products and Decree No. 3/2009. (II. 25.) EüM of the Minister of Health on the Detailed Rules of the Promotion of Medicinal Products and Therapeutic Medical Devices for Human Use, and the Registration of Medical Sales Representatives and Commercial Practices Targeted at Consumers (hereinafter referred to as “Decree of the Minister of Health”).
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data Transfer |
Providing HCPs with drug information related to the Data Controller's human pharmaceutical products (hereinafter: Medicines) and related additional activities (see below) | name, field of expertise, workplace name, e-mail address, workplace address, name of work department and (professional) order, telephone number, stamp number | Legitimate interest of data controller (GDPR Article 6 (1) point f) (The data controller informs the persons authorized to order and distribute medicines (HCPs) within a legally regulated framework, with greater efficiency, of the existence of its products and related information) | Until the data subject objects, but at most until the data management purpose is achieved (whichever is the earlier date). | - |
Discussion of therapeutic issues (remedy, treatment) with HCPs | Legitimate interest of data controller (GDPR Article 6 (1) point f) (Information about therapeutic options related to diseases covered by the data controller's products is brought to the attention of persons authorized to order and distribute medicines (HCPs) within a legally regulated framework, more efficiently) |
|
|
The ancillary activities related to the purpose of processing are, in particular:
first introductory call
liaising
making an appointment
a personal or online meeting on drug information/therapy
answering HCP questions about medicines and therapies.
Please be advised that an internal record will be made on the interaction, which includes a brief description of the time and place of the interaction, the method and subject matter of the interaction, the questions raised and a summary analysis of the drug information in terms of the effectiveness of the interaction, related to the products and/or therapeutic areas discussed. The purpose of the latter note is to increase the effectiveness of future interactions and to optimise the most appropriate sales content, communication channel and modality for the Data Subject: to launch an interaction that focuses on the topics that are of more interest to the Data Subject. Therefore, if information is presented to the Data Subject on a tablet, the tablet will also store information about the time while the Data Subject was presented with the particular page, and the Data Subject may object to this at the person who presents drug information to him/her. If the interaction takes the form of an e-mail, we process the following data: when the e-mail was successfully sent out, whether and when the Data Subject opened it, and which link in the e-mail was clicked. In the case of a web-based interaction, both the duration of the meeting and the device used are recorded. The Data Subject shall have the right to raise objections.
Therefore, the data subject is not subject to any decision that produces legal effects on him/her or significantly affects him/her in a similar manner.
The origin of the data:
database purchased from IQVIA Solutions Services Korlátolt Felelősségű Társaság (seat: 1117 Budapest, Dombóvári út 9.; reg. nr.: 01-09-268070) ,
database purchased from Monocl AB (seat: Redegatan 1B, 42679 Västra Fröluna, Sweden),
data collected from public sources and
data provided by the HCP.
In the case of data not directly originated from the HCP and data processing, the Data Controller shall inform the data subject at the latest within one month after obtaining the personal data on the fact of the data processing, the scope of data processed, the purpose of and legal basis for data processing and the duration of processing and other matters specified in the legal regulations in force.
3. Promotion of medicinal products for veterinary use
The presentation and promotion of the veterinary medicinal products by the Data Controller set forth in this Notice is governed by the provisions of Decree 128/2009 (X. 6.) FVM of the Minister of Agriculture and Rural Development on medicinal products for veterinary use.
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data Transfer |
promotion of medicinal products for Vets related to the medicinal products for veterinary use of the Data Controller and the related ancillary activities (see below) | name, position, specialization, name and address of the workplace, e-mail address, phone number. | legitimate interest of the Data Controller (GDPR article 6. section (1) point f) (the existence of its products and related information are disclosed to persons using veterinary medicinal products in the course of their activities (Vets) within the limits laid down by the law). | until the objection of the Data Subject, but at most until the purpose of data processing is achieved. | - |
The ancillary activities related to the purpose of processing, are in particular:
first introductory request
contact
agreement on appointment
personal discussion in the context of the promotion of medicinal products
making an internal record of a visit made (which briefly includes the date and place of the visit, the topic of the visit and the questions raised, and the sales representative’s summary analysis of the efficiency of the visit, including the products; the purpose of the latter record is to increase the efficiency of the visit later, to optimally select the content, the communication channels and the type of communication best suited to the data subject. The data subject is not subject to any decision that produces legal effects on him/her or significantly affects him/her in a similar manner.)
answering the questions related to the products.
The origin of the data: partly data collected from public sources and partly data provided by the Vet. In the case of data not directly originated from the Vet and data processing, the Data Controller shall inform the Data Subject at the latest within one month after obtaining the personal data on the fact of the data processing, the scope of data processed, the purpose of and legal basis for data processing and the duration of processing and other matters specified in the legal regulations in force.
4. Performance of marketing activity for HCPs and Veterinaries
The origin of the data: data directly obtained from the HCP and the Vet.
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data Transfer |
marketing activities (e.g. product presentation, sending direct marketing e-mails, newsletters, viber notices, sending other, professional and non-professional communications in a customized form) to HCPs and Veterinaries | name, e-mail address, telephone number or in the case of HCPs and Vets not yet in the database, data indicated in points 2 and 3 respectively as well | consent (GDPR article 6. section (1) point a) | consents provided before 31.12.2021: until withdrawal of the Data Subject’s consent, but no more than 4 years from the date of consent; consents provided after 01.01.2022.: until the withdrawal of the Data Subject’s consent, or at most until the purpose of data processing is achieved. The Data Controller considers the consent withdrawn if the communications originating from it are not opened by the Data Subject for at least four years. This is reviewed yearly. | - |
Data Collector monitors sent e-mails and viber notices for customizability and to determine whether it has been received by the recipient or whether the recipient has opened it and when, and which link therein has the recipient clicked on. The Data Controller does not make a profile on the basis of the collected information; it uses the data to augment the effectiveness of the communication.
The Data Subject may withdraw his or her consent at any time through such a request addressed to the Data Controller (see also Chapter 7), or, in the same way, he or she may object to the processing of his or her of data for this purpose.
Possible legal consequences of the failure to give consent: no adverse legal consequence is attached to the denial of consent by the Data Controller. Anyone who does not give their consent to data processing will not be informed (at least by direct inquiry) of current professional and non-professional information.
5. Med info (providing HCPs and Vets with information on medicinal and veterinary products on request)
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data Transfer |
answering questions posed by the HCPs, Vets to the Data Controller outside the scope of the presentation, regarding products sold by the Data Controller | name, e-mail address, phone number (if provided by Data Subject), question asked, question answered | consent (GDPR article 6. section (1) point a) expressed by addressing the request to the Data Controller. | until the withdrawal of the Data Subject’s consent, but no more than 5 years from the date of consent, or until the purpose of data processing is achieved. | nincs |
Possible legal consequences of the failure to give consent: Anyone who does not give their consent to data processing cannot get an answer to the question posed thereby.
6. Completion of contracts and obligations with Data Subjects
The Data Controller may conclude several contracts (including unilateral commitments and other legally binding legal declarations) with the Data Subjects, the conclusion and performance of which is in the interest of both parties. This chapter does not apply to employment contracts to be concluded with Applicants for which specific rules apply.
The Data Controller normally concludes the following types of contracts with individuals/private entrepreneurs (without being exhaustive), including unilateral commitments and other legally binding legal declarations:
consultant assignment contract
speaker assignment contract
board membership assignment contract
application for support of participation in a professional-scientific event (based on an application form and approval decision)
user agreement (e.g. for video recording and use)
one-sided commitment to perform screening based on a medical request
request for screening activities from doctors
agency contract for performing screening activities
agreement on the provision of product donation, product sample, request for donation.
In some cases, the provision of data is a prerequisite for the conclusion of the contract. The possible legal consequences of the failure to provide data: in the absence of data provision, the Data Controller cannot conclude the contract or fulfil its contractual obligations.
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data Transfer |
measures taken to conclude a contract (e.g. providing a price quotation, submitting an application); conclusion, amendment or termination of a contract/obligation | full name, address, mother's name at birth, date and place of birth, ID card number, CV for HCPs; in the case of sole proprietors: principal place of business, VAT number, bank account number, sole proprietorship card number; contact details. | the performance of a contract (Article 6, paragraph (1), item b) of the GDPR) | general statute of limitations applicable to tax matters (termination of contract + 8 years) | certain contracts or obligations may involve the transfer of personal data to a third party. The Data Controller shall make available the fees and subsidies paid to the companies of the Boehringer Group so that the transparency of the payment of fees can be achieved and for statistical purposes. During the transfer, only those who are territorially competent have access to the data. In addition, in order to ensure participation in an event, data may be disclosed to third parties as described above. In accordance with the provisions of the Act on the Distribution of Medicinal Products, it may be necessary to hand over certain data to the NNGYK/NEAK (for some contracts or applications with HCP). If travel is organized, then the data may be forwarded to a travel organizer. In case of credit point based education, data may be forwarded to the competent chamber. If data is being forwarded, the data owner shall receive information in this regard. Regarding security see also Chapter 7. |
contract-related notifications to public authorities - if required by law | as required by law (e.g.: certificate number, tax identification number/VAT number, social security number, NNGYK/NEAK ID) | compliance with legal obligations (Article 6, paragraph (1), item c) of the GDPR) | general statute of limitations applicable to tax matters (termination of contract + 8 years) if no longer retention period is required by law | |
specification and payment of remuneration, cost management, payment of taxes and contributions, tax relief claims | amount of remuneration, amount of taxes and contributions, proof of payment, bank account number, tax identification number/VAT number | the performance of a contract (Article 6, paragraph (1), item b) of the GDPR), compliance with legal obligations, in particular: tax law regulations (Article 6, paragraph (1), item c) of the GDPR) | general statute of limitations applicable to tax matters (termination of contract + 8 years) if no longer retention period is required by law | |
compliance with the transparency requirements of the Association of Innovative Pharmaceutical Manufacturers through disclosure on the website | name, address, amount and title of remuneration | consent (Article 6, paragraph (1), item a) of the GDPR) | 4 years after disclosure | |
Assessment of and decision on whether an application submitted for participation in an event is substantiated | name, employer name, employer address, telephone number, stamp number, e-mail address, qualifications (place and date), professional exam (date and nature), place and nature of health care services provided, language skills, whether they have received any previous grants from the Data Controller and if so, for what purpose, event details (venue and date), membership involving a discount (if any) | the performance of a contract (Article 6, paragraph (1), item b) of the GDPR)
| 1 year after evaluation (in case of a successful application, see next item) | |
Event participation in case of a successful application | passport or other travel document number and expiry date. It may also be necessary to transmit this data to an event organizer and/or a tour operator (see also Chapter 7). | the performance of a contract (Article 6, paragraph (1), item b) of the GDPR)
| 15 years upon evaluation | |
Education of the data subject for the performance of the contract | exam result (in case of credit system education, it may be forwarded to the competent chamber) | the performance of a contract (Article 6, paragraph (1), item b) of the GDPR)
| general statute of limitations applicable to civil law matters (termination of contract +5 years) | |
Taking photos and/or video recordings | image and sound | consent (Article 6, paragraph (1), item a) of the GDPR) | Withdrawal of consent |
7. Pharmacovigilance
As a pharmaceutical company, the Data Controller is subject to certain obligations related to the detection, evaluation, understanding and prevention of adverse reactions or other drug-related problems, also known as pharmacovigilance obligations. Therefore, being informed about an adverse event or other patient safety relevant information is important for the Hungarian Branch Office of Boehringer Ingelheim RCV GmbH & Co KG in regards of human and/or veterinary health. These data are used and shared by the Data Controller exclusively for pharmacovigilance purposes.
Pharmacovigilance obligations require to process information by the Data Controller that may allow to identify, directly or indirectly, an individual, i.e. the patient and/or the person reporting the side effect, adverse event or other patient safety relevant information (personal data).
The Data Controller may be informed about the side effects, adverse events and other patient safety relevant information in relation of its products in the following ways:
patient report/ animal owner’s report
report from a third party
public source (e.g. professional article)
from other sources.
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data Transfer |
The Data Controller as a business organization dealing with the marketing of medicinal products for human and veterinary use has a statutory obligation to deal with the side effects, adverse events and other patient safety relevant information learnt thereby. The contact details are necessary to establish follow-up contact with the reporter to obtain high-quality and complete information about adverse events. Besides that, purpose of processing personal data is to compare and analyze the information about the adverse event with information about other adverse events that the Data Controller has become aware of worldwide through a global pharmacovigilance database operated by Boehringer Ingelheim International GmbH; and report pharmacovigilance-relevant information to health authorities worldwide. If the reporter does not wish to provide their contact information to the Data Controller or the authorities, the reporting person's name field will be entered as "Withheld" or "Denied". | Data about the reporter in Human pharma: Full name, initials, and contact details (which may include address, e-mail address and phone number), profession (e.g., physician, pharmacist). Data about the patient in Human pharma: Initials (as provided) never the patient’s name; gender; age / date of birth / age group. Data about the reporter in Animal health: Regarding the reporter, the report includes the role of the person in the case (e.g. veterinarian, pharmacist, pet owner, distributor, wholesaler, employee of the Data Controller) and the name, address, e-mail address and phone number of the reporter. Data about the patient in Animal health: If a case observed ina human subject is reported, the report only contains the initials, age, sex, pregnancy information, occupation (if relevant) and the type, length and consequences of exposure to the product, but in no case contains the name of the person concerned. | The legal basis for processing personal data - including special categories of personal data - is Act No. 128/2009 on veterinary medicinal products. (X.6.) FVM decree § 4 and 79-83 §§ 15/2012 on the pharmacovigilance of medicinal products for human use. (VIII. 22.) § 2 point a) of the EMMI Regulation and Article 6 (1) point c) of the GDPR. 15/2012 on the pharmacovigilance of medicines for human use as side effects. (VIII. 22.) in point a) of § 2 of the EMMI Regulation, as well as in Regulation 128/2009 on veterinary medicinal products. (X. 6.) Concepts defined in § 4 of the FVM Decree shall be considered. The personal data provided is used exclusively for the purposes listed in this table. | As adverse event reports are important for public health reasons, reports of adverse events will be kept for at least 10 years after the withdrawal of the product in the last country where the product is placed on the market. The storage period is set out in Commission Implementing Regulation (EU) No 520/2012. Where required by EU or national law, the data of the notification must be kept for a longer period of time. | 1. As being part of a global group of companies, the Data Controller involve other Boehringer Ingelheim companies in data processing (e.g. as part of the pharmacovigilance obligations to analyze and process a reported adverse event). These group companies process the data exclusively for the purposes stated in this data protection information as joint controllers in accordance with Art. 26 GDPR. 2. In addition, data may be forwarded to the National Food Chain Safety Office (Nébih/NFCSO), the National Center for Public Health and Pharmacy (NNGYK/NCPHP) and the National Health Insurance Fund of Hungary (NEAK/NHIFH). 3. In order to comply with legal reporting obligations and to protect the rights of the Data Controller and/or the rights of third parties, the Data Controller may share and disclose personal data to rights holders, advisors and courts as well as competent authorities in accordance with the law. (e.g. mandatory reporting in case of suspected adverse event). 4. The Data Controller may engage service providers to process the personal data for the purposes described in this data protection notice. 5. The Data Controller may share pharmacovigilance-related information, which may include personal information, with other pharmaceutical companies that are marketing, sales or other licensing partners of the Boehringer Ingelheim group of companies if existing pharmacovigilance obligations for a the product of the Data Controller require such an exchange of patient safety relevant information. |
In case of human pharma products, providing the following data is also necessary:
• Details related to the Boehringer Ingelheim product suspected to cause the reaction, such as administration information, batch number;
• Further details related to the adverse event: Course and outcome of the adverse event, start and end date, first-time user?, information on concomitant medications and/or diseases; seriousness of the event; view of patient and/or reporter on possible causal relationship between Boehringer Ingelheim product and adverse event.
8. Quality assurance
The Data Controller as a business organization dealing with the marketing of medicinal products for human and veterinary use has an obligation to deal with the quality complaints that it has come to know, in the framework of good manufacturing practice [(Eudralex Volume IV. Good Manufacturing Practice (GMP)], including possible counterfeiting of medicines.
The Data Controller may be informed about the quality complaints about its products in the following ways:
report from HCP/Vet
patient report
report from a third party
public source (e.g. professional article)
from other sources.
The Data Controller must check the reports received. In this context, it may be required to clarify, ask for further details, and to contact either the patient or the physician or, for example, in case of veterinary medicines, another person.
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data Transfer |
fulfilment of the Data Controller’s obligations set forth in the good manufacturing practice and in the legal regulations regarding the perceived/reported quality complaints, the operation of a quality assurance system and making the reports required by law | name, contact data, nature of quality complaint | legal obligation (GDPR article 6. section (1) point c) as per Commission Directive 2003/94/EC laying down the principles and guidelines of good manufacturing practice in respect of medicinal products for human use and investigational medicinal products for human use; Commission Directive 91/412/EEC laying down the principles and guidelines of good manufacturing practice for veterinary medicinal products. | 5 years from receipt of report | The validated data and the details of the reporter will be transferred to the member companies of the Boehringer Ingelheim Group. In addition, data may also be transferred to the National Food Chain Safety Office and the NNGYK, as well as to the NNGYK. Regarding security see also Chapter 7. |
The Data Controller will process personal data of the patients only for traceability, and only for the minimum amount of time required (e.g. to investigate the facts, the contact details of the reporting patient can be processed by the Data Controller until the investigation of the facts takes place, then the data will be deleted).
After the fact is investigated, the reported quality complaint is recorded by the Data Controller in its internal systems and transferred to the appropriate manufacturing site of the Boehringer Ingelheim Group [Boehringer Ingelheim (Ingelheim, Germany); Ridgefield (USA); Cognizant (Manila, Philippines and Mumbai, India)] so that these data are uploaded to relevant European Union adverse event monitoring and reporting systems (e.g. Eudravigilance) by these member companies, since these companies have access to this system. The transmitted report does not contain patient data. The Data Subject cannot be identified on the basis of the data recorded. The identity of the reporter (name, contact details) may be recorded in the system.
9. Market research, segmentation
The Data Controller may occasionally assign market research companies to carry out a preliminary market research activity based on their own database, within their own sphere of competence and at their own risk. Market research is primarily aimed at assessing individual specialist areas by defining the specific characteristics of HCPs depending on the type of market research. As a result of these surveys, the Data Controller does not receive personal data either at the end of the market research or at any time afterwards.
Concerning the (anonymous) results of the market research, the Data Controller may occasionally organize its own market research among the affected HCPs. In order to carry out a market research, the Data Controller requests the express prior consent of HCP. Prior to requesting consent, the Data Controller fully informs HCP of the precise purpose of and the legal basis for data processing, the scope of data requested and analyzed, possible profiling or segmentation, possible data transfer, data processing, duration of data processing, rights of the Data Subject and the way of exercising rights, as well as any other relevant information required by the applicable legal regulations.
10. Controls by the Data Controller – access control, camera surveillance
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data Transfer |
operation of CCTV cameras at the company seat | image, moving image, date, place | legitimate interest of the Data Controller (GDPR article 6. section (1) point f) (protection of the property and security of the Data Controller and its Employees, protection of the trade secrets of Data Controller) | 3 working days from recording; in case of use of the recordings due to an event, recordings will be stored for the shortest possible time necessary to achieve the purpose. | - |
Operation of a magnetic card access control system | name, date, door opened | legitimate interest of the Data Controller (GDPR article 6. section (1) point f) (protection of the property and security of the Data Controller and its Employees, protection of the trade secrets of Data Controller) | 6 months from card usage; in case of use of the data due to an event, data will be stored for the shortest possible time necessary to achieve the purpose. | - |
Entry by persons without magnetic card – use of guest registration sheet | name, personal ID card nr., date of entry-exit, name of host, signature | legitimate interest of the Data Controller (GDPR article 6. section (1) point f) (protection of the property and security of the Data Controller and its Employees, protection of the trade secrets of Data Controller) | 6 months from card usage; in case of use of the data due to an event, data will be stored for the shortest possible time necessary to achieve the purpose. | - |
Registration of entrance into the Server Room | name, personal ID card nr., date of entry-exit, name of host | legitimate interest of the Data Controller (GDPR article 6. section (1) point f) (protection of the property and security of the Data Controller and its Employees, protection of the trade secrets of Data Controller) | 6 months from card usage; in case of use of the data due to an event, data will be stored for the shortest possible time necessary to achieve the purpose. | - |
Use of alarm system | code, name, date and place of alarm | legitimate interest of the Data Controller (GDPR article 6. section (1) point f) (protection of the property and security of the Data Controller and its Employees, protection of the trade secrets of Data Controller) | 1 year from card usage; in case of use of the data due to an event, data will be stored for the shortest possible time necessary to achieve the purpose. | - |
The Data Controller is entitled to check the activity of the Data Subject at the headquarters of the Data Controller (H-1095 Budapest, Lechner Ödön fasor 10, Floor 5.) in certain cases. The methods used protect some legitimate interests of the Data Controller (for example, property protection, business secrecy, etc.).
Data Controller hereby informs the Data Subjects that the office building at the headquarters of the Data Controller in Budapest (area outside the Data Controller’s area and control) and the underground garage are monitored by cameras in order to control property protection and security and a magnetic card control system is applied. This is independent of the Data Controller; the control is carried out by the office building operator First Facility Ingatlankezelő Kft. according to its specifications. The Data Controller cannot access the data, neither does it process them.
11. Website use, cookies
The website www.boehringer-ingelheim.hu (hereinafter: Website) is the property of the Data Controller. The terms and conditions of use of the website and the cookies used (hereinafter referred to as the “Terms of Use”) are available at https://www.boehringer-ingelheim.hu/hasznalati-szabalyzat, please read those herein carefully as they supplement this Notice.
The Data Controller may, apart from the Website, operate for a definite time period or indefinitely other websites. If these other websites contain a privacy notice of their own, then that privacy notice shall be applicable to the use of those websites, otherwise the present Notice shall be applicable.
During the use of the Website, certain data, such as information transmitted by the browser (IP address, cookies, referral web site, date and time, and content viewed) will be saved. Such data will only be used by the Data Controller for the use of the website (including maintenance purposes, such as preventing attacks, website development) and/or for statistical purposes.
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data Transfer |
Cookies are used to help run the website more efficiently, to provide the operator of the website with information on the website operation | IP address | Legitimate interest of the Data Controller as described in the Terms of Use (Article 6, paragraph (1), item f) of the GDPR) | You can disable and delete cookies in your browser settings any time. | The data collected about the Data Subject may become available to members of the Boehringer Ingelheim Group. The Group will only transfer personal data to third parties if it has been expressly consented by the Data Subject, if it is required to provide the services to be used by the Data Subject or if such data transfer is legitimate for other reasons under applicable law. |
The legal consequences of refusing consent: a reduction in the functionality and accessibility of the website.
12. Processing of contact details in case of contracts concluded with non-individuals
The Data Controller is entitled to process certain personal data of the employees and other agents of the (non-natural person) contracting partner in order to fulfil the contracts concluded thereby.
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data transfer |
contact with a contracted partner, making legal declarations required to perform a contract, and performing other actions (e.g. delivery, complaint handling, transfer procedure, etc.). This includes, in particular, the prior acceptance statement of the donated major pharmacist in connection with the product donation provided by the Data Controller, which is also transmitted to NNGYK/NEAK based on regulatory requirements. | name, name and address of workplace, position, e-mail address (company), telephone number (company), fax number (company). | the legitimate interest of the contract parties in the feasibility of the contract (GDPR article 6. section (1) point f) | the data will be processed under the contract. Upon termination of the contract, the data will be deleted unless the data has been included in the body text of the contract, in which case the data will be processed by the Data Controller for the period prescribed by the applicable legal regulations (e.g., general limitation period, tax limitation period). In the case of the objection of the Data Subject, data processing will be terminated by the Data Controller provided that the objection was legitimate. | The Data Controller is entitled to store this data in databases accessible to his/her employees/agents and to use it for the performance of the contract. In addition to the above cases, the data may also be transmitted to the authority by statutory regulations. |
13. Analysis of (animal health) wholesale consumption data
The Data Controller pays attention to the consumption data of the animal health products in order to review the fulfilment and success of its marketing strategy and business plans, and to modify the plans and strategies if needed, and to adjust the circulation of the goods to the actual needs, therefore optimizing its operations.
Purpose of Data Processing | Scope of Processed Data | Legal Basis | Duration of Data Processing | Data transfer |
the optimalisation of the operation of the Data Controller by review of the consumption data | name, name and quantity of the animal health product purchased from the wholesaler | consent of the data subject (GDPR article 6. section (1) point a) | the data will be processed until necessary for the fulfilment of the purpose or revocation of the consent, but not more than 4 years from the date of the data | The data is is being forwarded to our data processor Neogrid Netherlands B.V. (Science Park 406., 1098 XH Amsterdam, The Netherlands), the consent is forwarded to the wholesaler. |
14. Event, training and webinar registrations
The HCP and/or Veterinarian concerned may register to attend trainings, events and webinars (hereinafter referred to as "Event") organised by the Data Controller. If there is no specific privacy notice for the relevant Event, this notice shall prevail.
Purpose of data processing | Data concerned | Legal basis | Retention period | Data transfer |
The Data Subject attends an event, training or webinar | name, user name/identifier, e-mail address, studies, specialisation, seal number (for doctors and veterinarians), in addition, type of device used, operating system, website visited and clicked, material downloaded, duration of use in the case of online events | Consent of the data subject (Article 6, paragraph (1), item a) of the GDPR) | data is processed until consent is withdrawn | In the case of courses eligible for credit points, the data is transferred to the relevant chamber. |
5. Access and Forwarding of Data to Third Parties, Storage of Data
1. General provisions
The Data Controller shall provide data protection by design and by default. To this end, the Data Controller shall apply appropriate technical and organizational measures to ensure that:
it regulates access to data precisely;
allows access only to persons for whom data are required for the purpose of performing the task therewith, and only access to the data that is minimally necessary to perform the task;
carefully selects the data processors entrusted thereby and ensures data security by an appropriate data processing contract;
ensures that the unchangeability (data integrity), credibility and protection of the data processed.
2. Data transfer, data processing, access
The Data Controller endeavours not to disclose the data of the Data Subject to a third party. However, data disclose cannot be avoided in some cases. The Data Controller primarily discloses data to a third party in the following cases:
Transfer of data to the authority (ies): Regarding the establishment, execution and termination of contracts, or participation in events, the Data Controller may be subject to reporting obligations arising from legal requirements. In this regard, data is primarily disclosed to the NTCA, the National Health Insurance Fund of Hungary (NEAK) and the NNGyK. Other data discloses may be based on a request from an authority or suspicion of a criminal offense.
Data transfer to processors: the Data Controller is entitled to transfer the Data Subject's data to its data processors. In some cases, the medical visit activity is performed not by the Data Controller's employees, but by persons with other legal relationships with the Data Controller. In this case, the data required for the visit will be issued to these persons.
Right of access by the parent company: In view of its operating form (branch office), the Data Controller is not separate from the Parent Company but is part of it. In this respect, the Parent Company is entitled to gain access to the data of the Data Subject if it has a legal basis as defined in this Notice for processing the data. Access is also restricted on the Parent Company level, confined to certain employees and managers belonging to the appropriate department.
Right of access by the Boehringer Ingelheim Group: Given that the Data Controller is a member of the Boehringer Ingelheim Global Group of Companies, some data of the Data Subject may also be accessed by other members of the Group. Such data are particularly the data collected under pharmacovigilance. This access is limited and covers only the necessary data.
Disclose of the contact person’s data: Due to the fulfilment of the contracts, it may be necessary to keep in touch with clients, partners and other persons. For this reason, the Data Controller may become entitled to disclose the company contact details of the Data Subject (primarily: name, company email address, corporate telephone number, position) to third parties. In such cases, the basic contract provides for the transfer of the data to a third party.
The Data Controller may also disclose data to a third party outside of the cases specified above, which disclosure of data may be realized in accordance with current legal regulations.
3. Physical storage of data
Part of the data is processed through a third-country server. E-mail correspondence is stored on the German servers owned by the group of companies.
Pursuant to Decision 2004/915/EC amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries (abased on and according to the provisions of “BI Group Data Transfer Agreement”), the Data Collector is entitled to transfer personal data to a data controller outside the European Economic Area within the Boehringer Ingelheim group.
If it is not a data transfer within the Group, data transfer to a third country is only possible with the existence of an adequacy decision, in the absence of this, subject to appropriate corporate guarantees, general data protection clauses or derogations for specific situations provided by law, and ultimately with the consent of the Data Subject. If there is no sufficient data protection law or regulation in the country to which the Data Controller transmits the Personal Data, the Data Controller itself or through another member of the group ensures the contractual safeguards provided for in the applicable law to protect the data. The Data Controller is fully responsible for the lawfulness of the data transfer and the security of the data.
Data protection backups are stored in Germany. The maintenance of the servers is performed by the following companies:b
Accenture group (India, Ridgefield (USA), Singapore)
Capgemini group (EU)
4. Storage period
The Data Controller will store the data of the Data Subject for the time specified above for each of the data processing purposes, and then the data will be destroyed. The data storage period is also subject to the applicable legal regulations at all times, so if the statutory requirement stipulates the storage of the data beyond the above-mentioned period, the Data Controller is entitled to store the data for the period specified by the law.
5. Security Measures Applied by Data Controller
The Data Controller shall take reasonable physical, technical and organizational security measures to protect the data of the Data Subject, in particular against their accidental, unauthorized, illegal destruction, loss, modification, transmission, use, access, or processing. The Data Controller shall promptly notify the Data Subject of any unauthorized access or use of personal data being known and imposing a high risk to the data subject.
If the data of the Data Subject has to be transferred, the Data Controller will ensure proper data protection, such as the encryption of the data file. The Data Controller is fully responsible for the processing of the data of the Data Subject by third parties.
The Data Controller also provides adequate and regular backups to protect the data of the Data Subject against destruction or loss.
6. Rights of the data subject
The Data Subject is entitled to the following rights in relation to data processing:
Right to transparent information: Before and during the data processing, the Data Subject has the right to receive information about the data processed and the processing of data, including this Notice;
Right to rectification: In case of inaccurate data, the Data Subject may initiate the rectification of the data;
Right to erasure (‘right to be forgotten’): The Data Subject may request the erasure of a data if:
the data is no longer necessary in relation to the purposes for which it was collected
the Data Subject withdraws consent on data processing
the Data Subject objects to the processing and there is no other reason, legal ground for the processing
data processing is unlawful
erasure is stipulated by a legal obligation
the data have been collected in relation to the offer of information society services;
Right to object: The Data Subject shall have the right to object to data processing for public or for a legitimate interest; in this case, the Data Controller shall have the right to continue to process the personal data if it is justified by compelling legitimate grounds which override the Data Subject or are connected to the exercise of legal claims. The Data Subject shall have the right to object at any time to processing of personal data for direct marketing purposes, and in case of objection, the data shall no longer be processed;
Right to restriction of processing: In the case of unlawfully processed data, and in other cases permitted by law, restriction of the processing of data may be requested;
Right to data portability: In case of automatic data processing, based on consent or contract, the Data Subject shall have the right to receive the data provided thereby in a structured, commonly used and machine-readable format and have the right to freely transmit those data;
Right of withdrawal: The Data Subject shall have the right to withdraw his or her consent at any time.
The Data Subject can exercise his or her rights above at any time. The Data Subject may send the request to this effect to the e-mail address at dataprotection.hu@boehringer-ingelheim.com or to the postal address of the Data Controller at H-1095 Budapest, Lechner Ödön fasor 10. Hungary in writing. The Data Controller informs the Data Subjects that it is not obliged to designate a Data Protection Officer under the applicable legal regulations, but a designated data protection coordinator is available on the contact details above to the Data Subjects.
The Data Controller will examine the requests received and handle them without delay, but no later than within one month, or, in exception cases, within a longer period permitted by law, or rejects them (with justification). The Data Controller will inform the Data Subject of the outcome of the decision in writing. The processing of the request is free of charge, except for unfounded or excessive requests for which the Data Controller may charge a reasonable fee corresponding to its administrative costs.
The Data Subject may make an observation or complaint against the processing any time to the Data Controller at the above mentioned contact details: (e-mail address: dataprotection.hu@boehringer-ingelheim.com, or postal address: H-1095 Budapest, Lechner Ödön fasor 10. Hungary). In addition, the Data Subject is entitled to initiate legal proceedings against the data processing complained about in the court of the Data Controller’s headquarters or the Data Subject’s place of residence, which is duty free and in which the court proceeds out of order. In addition to the above, he or she may also lodge a complaint with the National Data Protection and Information Authority.
During the data processing, the accuracy, completeness and - if necessary for the purposes of data processing - actuality of the data must be ensured. In this respect, the Data Controller asks the Data Subjects to inform the Data Controller as soon as possible of any change in their personal data recorded by the Data Controller.