alert DIESE WEBSITE VERWENDET COOKIES
Diese Website verwendet Cookies, um Informationen auf Ihrem Computer zu speichern. Manche dieser Cookies sind für die Funktion der Website erforderlich, andere helfen uns, die Benutzererfahrung zu verbessern. Durch die Nutzung dieser Website erklären Sie sich mit der Speicherung dieser Cookies einverstanden. Sie können Ihre Cookie-Einstellungen jederzeit ändern.  close
alert Wie es scheint, rufen Sie die Site außerhalb Ihres bevorzugten Standorts auf. Um diesen zu Ihrem bevorzugten Standort zu machen, markieren Sie das nachstehende Kästchen. close

Richtlinie zur Verarbeitung und Übertragung von Daten aus der Europäischen Union

Richtlinie zur Verarbeitung und Übertragung von Daten aus der Europäischen Union

Datum des Inkrafttretens der Änderung: 11. August 2016

Zusammenfassung der Änderung: Angesichts des kürzlich verabschiedeten EU-US-Datenschutzschildes wurde diese Richtlinie überarbeitet und spiegelt die Bereitschaft von SJM wider, die Grundsätze des Datenschutzschildes einzuhalten, die geltenden Vorschriften zu befolgen und personenbezogene Daten zu schützen. Zudem werden die Vorgehensweisen von SJM bei der Erfassung, Verarbeitung und Weitergabe von Daten aus der Europäischen Union an die USA abgebildet.

Geltungsbereich

St. Jude Medical (SJM) achtet und schützt die personenbezogenen Daten, die es verarbeitet. Als Teil unserer Verpflichtung zu Datenschutz und -sicherheit gewährleistet SJM, dass sämtliche Datenübertragungen aus der Europäischen Union („EU“) in die Vereinigten Staaten von Amerika („USA“) angemessen sind und den geltenden Gesetzen, Bestimmungen, Zertifizierungen, vertraglichen Vereinbarungen und Einverständniserklärungen entsprechen.

Diese Richtlinie beschreibt die von SJM befolgten Grundsätze in Hinblick auf die Übertragung personenbezogener Daten von Mitarbeitern, an klinischen Studien teilnehmenden Patienten sowie von Kunden und Patienten, die im Merlin.net™ Patient Care Network („Merlin.net“) registriert sind, in elektronischer, mündlicher oder gedruckter Form, zwischen der EU und den USA.

Übertragung von Daten aus der Europäischen Union

St. Jude Medical verpflichtet sich hinsichtlich personenbezogener Daten, die wir verarbeiten, zur Einhaltung aller geltenden Gesetze und Vorschriften sowie des Regelwerks des EU-US-Datenschutzschildes, jenem Datentransfermechanismus, der die Übertragung personenbezogener Daten aus der Europäischen Union in die USA ermöglicht. St. Jude Medical befolgt die Grundsätze des Datenschutzschildes gemäß der Beschreibung in dieser Richtlinie. Zusätzlich unterhält SJM, wie schon bisher, vertragliche Vereinbarungen mit unseren Kunden und den europäischen Organisationen von SJM sowie Einverständniserklärungen mit Patienten, die an klinischen Studien teilnehmen oder auf Merlin.net registriert sind. Außerdem wird SJM, wie schon bisher, weiterhin mit den zuständigen Datenschutzbehörden in der EU zusammenarbeiten und die geltenden Gesetze einhalten.

Definitionen

Vertreter – Jede Drittpartei, die personenbezogene Daten nach den Anweisungen von und ausschließlich für SJM verarbeitet oder die von SJM personenbezogene Daten zur Verwendung im Auftrag von SJM erhält.

Kunde – Eine Klinik oder eine Praxis, die Behandlungen mit Produkten von SJM und mit Merlin.net bereitstellt, und/oder einzelne medizinische Mitarbeiter (d. h. Ärzte, Pfleger und Krankenschwestern), die Merlin.net verwenden.

Datenverantwortlicher – Die juristische Person, die für die Festlegung der Mittel und des Zwecks der Verarbeitung personenbezogener Daten und sensibler personenbezogener Daten verantwortlich ist. Kunden von SJM sind Datenverantwortliche für Daten in Bezug auf Kunden und Patienten von SJM, die an klinischen Studien teilnehmen und/oder auf Merlin.net registriert sind. SJM ist der Datenverantwortliche für Daten in Bezug auf Mitarbeiter von SJM.

Datenverarbeiter – Die juristische Person, die personenbezogene Daten oder sensible personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet. SJM ist ein Datenverarbeiter in dem Sinne, dass wir Informationen im Auftrag unserer Kunden verarbeiten.

Mitarbeiter – Eine Person, die von einer in der EU befindlichen Niederlassung von SJM beschäftigt wird.

Patient – Eine Person in der EU, die an einer von St. Jude Medical oder von einer seiner Tochtergesellschaften gesponserten klinischen Studie teilnimmt, oder eine Person oder ein Kunde, der vom behandelnden Arzt oder dessen Praxis auf Merlin.net registriert wurde.

Personenbezogene Daten – Jegliche Informationen, die zur Identifizierung eines Mitarbeiters, eines an einer klinischen Studie teilnehmenden Patienten oder eines auf Merlin.net registrierten Patienten oder Kunden durch oder im Auftrag von SJM dienen oder dazu verwendet werden können. Nicht zu personenbezogenen Daten zählen Daten, die verschlüsselt oder anonymisiert sind und keine Re-Identifizierung ermöglichen, sowie öffentlich zugängliche Daten, sofern diese nicht mit personenbezogenen Daten, die nicht öffentlich zugänglich sind, kombiniert wurden.

Verarbeitung (und alle entsprechenden Ableitungen) – Abruf, Erfassung, Einsicht, Verwendung, Verwaltung, Übertragung, Offenlegung, Aufbewahrung, Bearbeitung, Änderung, Korrektur, Entsorgung oder Vernichtung von personenbezogenen Daten.

Sensible personenbezogene Daten – Personenbezogene Daten, die auf der Grundlage verschiedener Gesetze von Ländern, in denen St. Jude Medical tätig ist, rechtlich verstärkt geschützt sind; hierzu gehören u. a. folgende Daten: Abstammung, ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen, Mitgliedschaft in Gewerkschaften oder Informationen in Bezug auf Gesundheit oder sexuelle Orientierung.

St. Jude Medical oder SJM – St. Jude Medical, Inc. In Bezug auf Mitarbeiterdaten umfasst SJM St. Jude Medical, Inc. (Corporate) und St. Jude Medical Cardiology Division, Inc., in den USA und ihren Territorien. In Bezug auf Patientendaten aus in der EU durchgeführten klinischen Studien umfasst SJM St. Jude Medical, Inc. (Corporate), St. Jude Medical Cardiology Division Inc., Pacesetter, Inc., St. Jude Medical Atrial Fibrillation Division, Inc., Irvine Biomedical, Inc. und Advanced Neuromodulation Systems, Inc. sowie CardioMEMS, LLC. In Bezug auf in der EU erfasste und durch Merlin.net verarbeitete Patientendaten umfasst SJM St. Jude Medical, Inc. (Corporate) und Pacesetter, Inc. sowie CardioMEMS, LLC.

Datenschutzgrundsätze

SJM befolgt bei der Übertragung von Daten aus der EU in die USA die folgenden Datenschutzgrundsätze. Diese Datenschutzgrundsätze wurden aus dem EU-US-Datenschutzschild übernommen und in die Regelungen von SJM zum Datenschutz eingebaut. Die Regelungen basieren auf der Norm ISO/IEC 29100:2011. ISO-Normen werden von der Internationalen Organisation für Normung herausgegeben und sind als Prüfgrundsätze auf Basis einer Risikoanalyse international anerkannt. SJM befolgt diese Datenschutzgrundsätze als Teil unserer Verpflichtung, bei der Übertragung, Verarbeitung und dem Schutz von Daten auf bewährte Vorgehensweisen zu setzen.

Weitere Informationen zum Rahmen des Datenschutzschilds finden Sie unter <a href="http://www.privacyshield.gov/" target="_blank" title="Dieser Link wird in einem neuen Browser-Fenster geöffnet.">www.privacyshield.gov/.

Informationspflicht

Wenn SJM personenbezogene Daten von Mitarbeitern, Kunden oder an klinischen Studien teilnehmenden Patienten direkt erfasst, informieren wir diese über die Art der erfassten Daten, über die Zwecke der Verarbeitung ihrer personenbezogenen Daten, über die Art nicht beauftragter Dritter, gegenüber denen SJM unter Umständen diese Informationen offenlegt, sowie, sofern vorhanden, über die Entscheidungen und Mittel, die SJM Personen zur Beschränkung der Verarbeitung und Offenlegung ihrer personenbezogenen Daten bietet. Die Benachrichtigung erfolgt in klarer und leicht verständlicher Sprache zum Zeitpunkt der Erfassung oder so bald wie möglich danach, in jedem Fall aber, bevor SJM die Informationen für einen anderen als den ursprünglich angedachten Zweck verwendet. Personenbezogene Daten über Patienten, die an klinischen Studien teilnehmen, können auf eine Weise genutzt werden, die mit dem allgemeinen Forschungszweck, zu dem die Daten ursprünglich erhoben wurden, übereinstimmt. Dies erstreckt sich auch auf zukünftige medizinische und pharmazeutische Forschungsaktivitäten, die zum Zeitpunkt der ursprünglichen Datenerhebung noch nicht feststanden. Wenn SJM als Datenverarbeiter für Merlin.net agiert, informieren wir den Datenverantwortlichen (den Kunden) darüber, wie das System personenbezogene Daten verarbeitet, und der Datenverantwortliche trägt dafür Verantwortung, seine Patienten und Mitarbeiter über die Art der Verarbeitung in Kenntnis zu setzen, und holt als Teil des Registrierungsvorgangs für Merlin.net die Zustimmung der Patienten und, falls erforderlich, Mitarbeiter ein. Personenbezogene Daten von Personen, die auf Merlin.net registriert sind, können auf eine Weise verwendet werden, die mit der zum Zeitpunkt der Registrierung vom Kunden erteilten Zustimmung bzw. erbrachten Information vereinbar sind.

Wahl

Wenn SJM personenbezogene Daten direkt von Mitarbeitern oder Patienten, die an klinischen Studien teilnehmen, in der EU erfasst, bieten wir ihnen die Möglichkeit, auszuwählen („„opt out““), ob ihre personenbezogenen Daten (a) gegenüber nicht beauftragten Dritten offengelegt werden sollen oder (b) für einen anderen als den ursprünglichen oder den nachträglich von der betreffenden Person genehmigten Erhebungszweck verwendet werden sollen. SJM stellt den Personen angemessene Möglichkeiten bereit, damit sie ihre Entscheidung treffen können. Wenn SJM personenbezogene Daten als Datenverarbeiter für Merlin.net erhält, arbeitet SJM mit dem Datenverantwortlichen zusammen, um Personen angemessene Möglichkeiten bereitzustellen, damit sie ihre Entscheidungen treffen und die Daten wie vom Datenverantwortlichen angeordnet verarbeitet werden können.

Bei sensiblen personenbezogenen Daten gibt SJM Mitarbeitern oder Patienten, die an klinischen Studien teilnehmen, die Möglichkeit, der Offenlegung ihrer Daten an nicht beauftragte Dritte oder der Verwendung der Daten für einen anderen als den ursprünglichen oder den nachträglich von dem Mitarbeiter oder Patienten genehmigten Erhebungszweck explizit zuzustimmen („opt in“). Wenn SJM der Datenverarbeiter für Merlin.net ist, verarbeitet SJM die Daten gemäß den Anweisungen des Datenverantwortlichen.

Verantwortung bezüglich der Weiterübertragung an Dritte

SJM ist für in unserem Besitz befindliche oder von uns aufbewahrte personenbezogene Daten verantwortlich; dies gilt auch für personenbezogene Daten, die wir möglicherweise für die Bearbeitung (einschließlich Speicherung) an Dritte übertragen. In Verbindung mit den oben im Abschnitt “Informationspflicht” beschriebenen Zwecken kann SJM Ihre personenbezogenen Daten an andere Unternehmen innerhalb der St. Jude Medical Unternehmensgruppe oder an Dritte wie z. B. externe Dienstleistungsanbieter übertragen. Im Falle von Weiterübertragungen an Dritte beschränkt SJM die mitgeteilten personenbezogenen Daten auf das erforderliche Mindestmaß und holt Zusicherungen der externen Geschäftspartner (Vertreter) ein, wonach diese die personenbezogenen Daten in Übereinstimmung mit unseren Richtlinien schützen. Beispiele für angemessene Zusicherungen, die von externen Geschäftspartnern eingeholt werden können, sind etwa: ein Vertrag, der den Dritten zur Bereitstellung mindestens des gleichen Maßes an Schutz verpflichtet, wie von geltenden Gesetzen und Vorschriften verlangt, darunter die Richtlinie 95/46/EG (Datenschutzrichtlinie der EU); von der Europäischen Kommission genehmigte Standardvertragsklauseln; Zertifizierungen gemäß EU-US-Datenschutzschild oder Entsprechung einer anderen von der Europäischen Kommission beschlossenen Angemessenheitsfeststellung. Wenn SJM Kenntnis darüber erlangt, dass ein externer Geschäftspartner personenbezogene Daten auf eine Weise nutzt oder offenlegt, die der Unternehmensrichtlinie widerspricht, unternimmt SJM angemessene Maßnahmen, um die Verwendung bzw. Offenlegung zu verhindern oder zu beenden. Wenn ein externer Geschäftspartner personenbezogene Daten auf eine Weise nutzt oder offenlegt, die den Grundsätzen des Datenschutzschilds widerspricht, bleibt SJM verantwortlich und haftbar gemäß den Grundsätzen des Datenschutzschilds, es sei denn, SJM kann beweisen, dass es für das Ereignis, das zum Schaden führte, nicht verantwortlich ist.

Sicherheit

SJM trifft angemessene Vorkehrungen, um die in seinem Besitz befindlichen personenbezogenen Daten vor Verlust, Missbrauch und nicht autorisierter Verarbeitung zu schützen.

Datenintegrität

SJM verwendet personenbezogene Daten ausschließlich auf eine Weise, die mit den ursprünglichen oder nachträglich von dem Mitarbeiter oder dem Patienten, der an einer klinischen Studie teilnimmt, genehmigten Erhebungszwecken vereinbar sind. Wenn SJM ein Datenverarbeiter für Patienten- oder Kundendaten auf Merlin.net ist, verarbeitet SJM diese Daten in Übereinstimmung mit den Anweisungen des Datenverantwortlichen. SJM unternimmt angemessene Maßnahmen, damit diese personenbezogenen Daten für den vorgesehenen Zweck hinreichend genau, vollständig, aktuell und relevant sind.

Auskunftsrecht

Auf Nachfrage gewährt SJM Mitarbeitern oder Patienten, die an einer klinischen Studie teilnehmen, angemessenen Zugang zu den personenbezogenen Daten, die es über sie verwahrt. Zusätzlich ergreift SJM angemessene Maßnahmen, um Personen die Korrektur, Ergänzung oder Löschung von nachweislich ungenauen oder unvollständigen Informationen zu gestatten. Wenn SJM ein Datenverarbeiter für Merlin.net ist, handelt SJM gemäß den Anweisungen des Datenverantwortlichen.

Überprüfung

SJM verwendet einen Ansatz der Selbstkontrolle und führt Konformitätsprüfungen seiner geltenden Datenschutzpraktiken durch, um die Einhaltung seiner Richtlinie zu überprüfen. Mitarbeiter von St. Jude Medical erhalten eine jährliche Schulung zu den Datenschutzgrundsätzen und -praktiken von SJM.

Rechtsdurchsetzung und Streitschlichtung

In Übereinstimmung mit den Grundsätzen des Datenschutzschilds verpflichtet sich SJM dazu, Beschwerden über die Erfassung oder Verwendung von personenbezogenen Daten durch uns zu klären. Personen in der Europäischen Union mit Anfragen oder Beschwerden bezüglich unserer Datenschutzrichtlinie sind dazu angehalten, sich zunächst an St. Jude Medical, Inc. zu wenden und die Anfrage bzw. Beschwerde an folgende Stelle zu senden:

Rolando Galvez
Chief Privacy Officer
St. Jude Medical, Inc.
One St. Jude Medical Drive
St. Paul, MN 55117 USA
privacy@sjm.com

SJM antwortet innerhalb von 45 Tagen nach Erhalt einer Beschwerde. Alle Beschwerden oder Bedenken, die nicht intern geklärt werden können, werden an das JAMS Privacy Shield Program weitergeleitet, einer alternativen Schlichtungsstelle mit Sitz in den USA. Wenn Sie von uns keine zeitnahe Bestätigung des Eingangs Ihrer Beschwerde erhalten oder wir Ihre Beschwerde nicht zu Ihrer Zufriedenheit bearbeitet haben, wenden Sie sich bitte an das JAMS Privacy Shield Program oder besuchen Sie <a href="http://www.jamsadr.com/eu-us-privacy-shield" target="_blank" title="Dieser Link wird in einem neuen Browser-Fenster geöffnet.">http://www.jamsadr.com/eu-us-privacy-shield, um weitere Informationen zu erlangen oder eine Beschwerde einzureichen. Die Dienste des JAMS Privacy Shield Program stehen Ihnen kostenfrei zur Verfügung.

Sämtliche Beschwerden oder Anliegen zu Personaldaten, die aus der EU übertragen werden und im Zusammenhang mit dem Beschäftigungsverhältnis zwischen SJM und unseren in der EU befindlichen Mitarbeitern stehen und nicht intern beigelegt werden können, werden an die zuständigen EU-Datenschutzbehörden weitergeleitet. Diese bearbeiten die Beschwerden und bieten angemessene Abhilfemöglichkeiten, ohne dass der einreichenden Person dafür Kosten entstehen. SJM verpflichtet sich, sich an die Entscheidungen und Empfehlungen dieser Behörden zu halten. Unter bestimmten Umständen kann sich eine Person dazu entscheiden, ein bindendes Schiedsgerichtsverfahren zur Beilegung von Streitfragen einzuleiten, die anderweitig nicht beigelegt werden konnten.

SJM hält die Grundsätze des Datenschutzschildes ein und unterliegt den Untersuchungs- und Vollstreckungsbefugnissen der Federal Trade Commission (FTC).

Gegen jeden Mitarbeiter, bei dem SJM eine Verletzung dieser Richtlinie feststellt, wird ein Disziplinarverfahren eingeleitet, das bis zu einer Beendigung des Beschäftigungsverhältnisses führen kann.

Beschränkung des Geltungsbereichs der Grundsätze

Die Einhaltung dieser Richtlinie durch SJM kann dadurch begrenzt sein, dass gesetzliche, behördliche oder nationale Sicherheitsverpflichtungen erfüllt werden müssen; dazu gehört auch die notwendige Zusammenarbeit mit Ermittlungsbehörden.

Änderungen an dieser Richtlinie

Diese Richtlinie kann in Übereinstimmung mit den Erfordernissen geltender Gesetze und Vorschriften von Zeit zu Zeit angepasst werden. Die Änderungen treten am angegebenen Veröffentlichungsdatum der jeweiligen Richtlinie in Kraft. Die Änderungszusammenfassung am Anfang dieser Richtlinie enthält alle wesentlichen Änderungen an der Richtlinie.

Kontaktdaten

Beschwerden, Fragen, Kommentare oder Anliegen bezüglich dieser Datenschutzrichtlinie oder der Datenerfassungs- bzw. Datenverarbeitungspraxis sind an folgende Stelle zu richten:

Rolando Galvez
Chief Privacy Officer
St. Jude Medical, Inc.
One St. Jude Medical Drive
St. Paul, MN 55117 USA
+1 (651) 7 56 20 00
+1-800 3 28 96 34
Privacy@sjm.com