Personopplysninger som vi kan behandle
Sist oppdatert 15.10.2019
Denne personvernerklæring forklarer hvordan Boehringer Ingelheim Norway KS og/eller tilknyttede selskaper i Boehringer Ingelheim-konsert som opptrer som behandlingsansvarlige (heretter "Boehringer Ingelheim", "vi", "oss"; behandler dine personopplysninger til hvilke formål. I alle tilfeller vil innhenting og behandling av personopplysninger kun finne sted i samsvar med gjeldende lovgivning (blant annet EUs personvernforordning, General Data Protection Regulation, "GDPR").
Vi trenger personopplysninger som navn, kontaktinformasjon og den registrertes funksjoner for å kunne kommunisere, gi opplysninger og yte tjenester samt for formål knyttet til vårt forhold.
1 Personopplysninger som vi kan behandle
Vi kan innhente og behandle følgende kategorier av personopplysninger:
a. Identifikasjonsopplysninger, for eksempel navn, kjønn, fødselsdato og -sted (besøkende), personnummer (lastebilsjåfører), bilder (til navneskilt), CCTV (ved besøk av overvåkede områder), bruker-ID (ved bruk av virksomhetsapplikasjoner).
b. Adresser og kontaktopplysninger, for eksempel postadresse, e-postadresse, telefonnumre, organisasjonsopplysninger som selskap/organisasjon, avdeling, funksjon.
c. Tillatelser og bruk av disse, for eksempel IP-adresser or Brukerkonto for WiFi (Gjestenett), webtjenester eller benyttede virksomhetsapplikasjoner.
d. Tid og tilstedeværelse, for eksempel det å være på selskapets områder eller for å yte tjenester.
e. Aktiviteter, oppgaver og drift, for eksempel for prosjekter.
2 Formål
Personopplysninger om enkeltpersoner kan generelt sett bli brukt til:
-
Kommunikasjon, for eksempel for å avklare spørsmål, informasjonsutveksling eller avtaler
-
Dokumentasjon av aktiviteter, for eksempel møter, begivenheter og kontrakter
-
Klagebehandling og tvisteløsning, utøve eller forsvare rettslige krav
I tilknytning til forretningsforbindelser, for eksempel leverandører, kunder eller tjenesteleverandører, kan de også benyttes til:
-
Transaksjonsoppgjør, for eksempel betaling, fakturering og kontraktsforvaltning
-
Logistikk, for eksempel transport
-
Tillatelser og identitetsadministrasjon for elektroniske tjenester, herunder teknisk support og feilsøking
-
Administrativ kommunikasjon, for eksempel salgsfremstøt og produktutvikling
-
Overvåkning, for eksempel for at vi skal kunne oppfylle våre rettslige forpliktelser, som forpliktelser knyttet til kontroll av forretningsforbindelser
-
Inspeksjon og ettersyn
I tilknytning til mediarepresentanter, interesserte personer og besøkende, kan de brukes til:
-
Identifisering og tillatelser
-
Å gi informasjon og tilby etterspurte tjenester, for eksempel nyhetsbrev
-
Overvåkning, sikkerhetskontroller
Behandling av dine personopplysninger er nødvendige for de ovennevnte formål. Det rettslige grunnlaget for behandlingen, dersom ikke annet er angitt, er Artikkel 6 (1) b) i GDPR (oppfyllelse av kontrakt), Artikkel 6 (1) f) i GDPR (rettmessige interesser) eller Artikkel 6 a) i GDPR i tilfeller der du har gitt ditt samtykke.
3 Overvåkning og undersøkelser
Ulike metoder benyttes for å verne personopplysninger og vår datasikkerhet mot ulike trusler (skadelig programvare, hackerangrep, spam, spionasje og tyveri av immaterielle rettigheter), for eksempel ved at utvekslede opplysninger blir kontrollert for virus og at tilkoblingsdata blir analysert for abnormaliteter. I mistenkelige tilfeller kan aktuelle dokumenter og tilkoblingsdata bli analysert.
For å oppfylle eksisterer eksport- og betalingsbegrensninger – for eksempel at selskaper og personer står på forskjellige offentlige lister – kan opplysninger om forretningsforbindelser bli kontrollert mot disse listene.
I mistenkelige tilfeller som har blitt rapportert via varslingskanalen for etterlevelse i forbindelse med offentlig granskning og forsvar mot krav, kan det i tillegg være nødvendig med en undersøkelse og, dersom dette er hensiktsmessig, innhenting av opplysninger og dokumenter knyttet til den aktuelle saken og involverte personer.
I alle tilfeller vil interne regler, rettslige krav og den registrertes rettigheter bli respektert.
4 Behandlingsprinsipper
Det er innført rimelige tekniske og organisatoriske tiltak for informasjonssikkerhet gjennom interne regler og – dersom data behandles av en ekstern tjenesteleverandør – ved hensiktsmessige kontraktsbestemmelser, for eksempel ved bruk av EUs standardavtaler for databehandling utenfor Den europeiske union.
5 Overføring/utlevering av data
I samsvar med rettslige krave og gjeldende interne regler kan opplysninger som er nødvendige for de respektive formålene overføres til andre interne og eksterne enheter i følgende tilfeller:
1. Plikter til å rapportere til regulatoriske myndigheter og håndheving av rettigheter
I kraft av å være et farmasøytisk selskap er vi underlagt særskilte rettslige krav, for eksempel farmasøytisk aktsomhet. Noen av disse lovene krever at vi sender rapporter til lovgivningsmyndighetene eller andre myndigheter rundt i verden (herunder land som kan ha et annet nivå på personvern enn EU). Vi gir kun personopplysninger til slike myndigheter dersom vi har en rettslig plikt til å gjøre det.
For å verne våre rettigheter eller tredjeparters rettigheter, kan vi også utlevere data til rettighetshavere, konsulenter og myndigheter i samsvar med rettslige bestemmelser.
2. Tjenesteleverandører
Vi benytter tjenesteleverandører for behandling av dine personopplysninger for formålene som er beskrevet i denne personvernerklæringen. Disse tjenesteleverandørene behandler kun data på vegne av oss, i samsvar med våre instrukser og under vår kontroll i henhold til denne personvernerklæringen.
3. Boehringer Ingelheim-selskaper
Som del av et global konsern vil vi engasjere andre Boehringer Ingelheim-selskaper som bistår oss med behandling av personopplysninger. Disse selskapene behandler opplysninger utelukkende for de formål som er angitt i denne personvernerklæringen.
4. Overføring av personopplysninger til mottakere utenfor EU
Noen av disse tjenesteleverandørene og Boehringer Ingelheim-selskapene behandler personopplysninger utenfor EU. I slike tilfeller garanterer vi et tilstrekkelig beskyttelsesnivå for personvern for å oppfylle europeisk lovgivning (normal ved bruk av EUs standardavtaler utgitt av EU-kommisjonen).
6 Oppbevaring av personopplysningene
Personopplysninger vil kun bli oppbevart så lenge det er nødvendig for oppfyllelse av de respektive formålene og for etterlevelse av regulatoriske krav, som regel så lenge det aktuelle avtaleforholdet løper, herunder i henhold til en mulig lovbestemt oppbevaringstid.
For forretningsforbindelser vil sletting normal skje 10 år etter siste kontrakt, mens det for andre personer, for eksempel besøkende eller abonnenter på informasjonsbrev/nyhetsbrev, vil skje etter 5 år etter siste kontakt eller på forespørsel.
Sletting av data utføres innenfor det rammeverket for slettingsrutiner som innført av de behandlingsansvarlige.
7 Dine rettigheter
Du kan be om å få vite hvilke personopplysninger vi oppbevarer. Dersom du har gitt personopplysninger basert på en kontrakt eller samtykke, har du rett til å motta disse opplysningene i et alminnelig og maskinlesbart format.
I begrunnede tilfeller kan du også kreve sletting, retting eller begrensning av behandlingen av dine personopplysninger. Dersom dine personopplysninger overføres til et land utenfor EU som ikke gir tilfredsstillende sikkerhet, kan du be om kopi av kontrakten som gir tilfredsstillende sikkerhet for personopplysninger.
I de tilfeller der du har gitt samtykke til bruk av personopplysninger, kan du trekke dette tilbake når som helst med virkning for fremtiden.
Dersom vi benytter dine personopplysninger på grunnlag av en interesseavveining, kan du protestere mot slik bruk av dine personopplysninger. I slikt tilfelle vil vi ikke lenger bruke dine opplysninger forutsatt at våre interesser ikke må tillegges mer vekt. Du kan protestere mot bruk av dine personopplysninger i direkte markedsføring, for eksempel mottak av e-post, når som helst uten nærmere overveielse.
8 Kontakt
Dersom du har spørsmål om vår bruk av personopplysninger, denne personvernerklæringen eller du ønsker å utøve dine rettigheter, kan du når som helst kontakte oss på eller du kan kontakte vår lokale personvernkontakt:
Boehring Ingelheim Norway KS
Postboks 405
1373 Asker, Norge
t2c.osl@boehringer-ingelheim.com
Dersom du har spørsmål eller andre forhold du ønsker å ta opp, så kan du også ta kontakt med den ansvarlige personvernmyndigheten som holder oppsyn med oss:
Datatilsynet
P.O. Box 8177 Dep., 0152 Oslo
+ 22 39 69 00
postkasse@datatilsynet.no
www.datatilsynet.no
Denne personvernerklæringen kan bli oppdatert fra tid til annen ettersom vi finner det hensiktsmessig.