Den här webbplatsen använder cookies för att kartlägga hur våra besökare använder webbplatsen. Genom att fortsätta accepterar du att vi använder cookies.

Acceptera

Sekretesspolicy Sverige

A. SYFTE

Enligt normal praxis inom verksamheten får Baxalta Sweden AB (”Baxalta”) personlig information genom kontakt och kommunikation med patienter, hälso- och sjukvårdspersonal, anställda och andra. Baxalta erkänner och respekterar individers rätt till integritetsskydd när det gäller sådan personlig information. Som ett bevis på åtagandet om integritetsskydd har Baxaltas ledning infört denna policy och Baxaltas globala integritetsskyddsprogram i syfte att säkerställa att skyddet av den personliga integriteten är en del av Baxaltas företagskultur och verksamhet.

Denna sekretesspolicy är utformad i syfte att nå följande mål:

  • Öka medvetenheten om de gällande lagarna för hantering och skydd av personlig information i Sverige.

  • Sammanställa en tydlig och heltäckande policy för hantering av personlig information.

  • Införa ansvarsskyldighet för alla personer som hanterar personlig information

  • Se till att Baxalta kan uppfylla sina affärsmässiga skyldigheter samt ansvar för att följa lagar och bestämmelser i anslutning till personlig information.

Den svenska policyn är i linje med Baxaltas globala sekretesspolicy liksom Personuppgiftslagen (1998). http://www.baxalta.com/global-privacy-policy.page?

B. OMFATTNING OCH TILLÄMPNINGSOMRÅDE

Denna policy sätter upp minimikraven för insamling, användning och skydd av personlig information inom Baxalta. Den omfattar all personlig information som samlas in, lagras, behandlas eller överförs i elektroniskt format eller pappersformat i anslutning till Baxaltas affärsverksamhet, som exempelvis information från patienter, hälso- och sjukvårdspersonal (t.ex. läkare, farmaceuter och sjuksköterskor), anställda eller tredjepart-samarbetspartner. Policyn måste införas och följas inom alla Baxaltas verksamheter och funktioner i Sverige.

Personlig information får inte överföras till ett land utanför EES såvida inte det aktuella landet garanterar en tillräcklig skyddsnivå eller man har fått ett uttryckligt medgivande från den person som den personliga informationen handlar om. Personlig information om svenska patienter, hälso- och sjukvårdspersonal, anställda eller tredjepart-samarbetspartner får överföras till Baxaltas affärsenheter och dotterbolag i USA, eftersom åtgärder för att skydda överförd personlig information har vidtagits. Personlig information får också överföras till Schweiz, eftersom det landet ger ett tillfredsställande skydd enligt lokala lagar. Personlig information får överföras till Baxalta Bioscience India Private Limited och denna organisation är enligt avtal skyldig att vidta tillräckliga säkerhetsåtgärder i syfte att skydda enskilda personers privatliv och grundläggande fri- och rättigheter. Den information som får överföras till Baxalta Bioscience India Private Limited om anställda, sökande, tidigare anställda, förmånstagare, anhöriga, nödkontakter och visstidsanställda innefattar namn, jobbtitel, affärsenhet, företagsadress, företagstelefonnummer, företagsepostadress, uppgifter om lön och ersättningar, uppgifter om aktieoptioner, förmåner och information i anslutning till det (men ingen medicinsk information), information om utvärdering och arbetsprestation. De personuppgifter som överförs omfattar inga särskilda eller känsliga uppgiftskategorier.

Baxaltas affärsenheter i USA måste alltid följa safe harbor-principerna om integritetsskydd, som kan vara mer detaljerade än motsvarande bestämmelser i denna policy, vid hantering av personlig information som överförs från Storbritannien till USA. Utöver det ska Baxaltas affärsenheter i USA följa den globala sekretesspolicyn. Det är möjligt att personuppgifter överförs till ytterligare länder när det en gång har fastställts att de tillhandahåller ett tillräckligt bra skydd. Om så är fallet kommer denna policy att uppdateras.

Denna policy ska inte endast följas internt utan även av alla Baxaltas ombud, tillfällig personal, underleverantörer, tjänsteleverantörer och konsulter då de hanterar och bearbetar personlig information för Baxaltas räkning. Tredje part som får tillgång till personlig information är ansvarig för att se till att lämplig utbildning i policyn genomförs. All personlig information måste hanteras och skyddas enligt de krav som anges i denna policy med undantag av de omständigheter som beskrivs under Undantag (avsnitt Q) i denna policy (och eftersom denna policy kan uppdateras och ändras med jämna mellanrum).

C. DEFINITIONER

TERM DEFINITION

Baxaltas globala integritetsskyddsprogram

Det globala programmet för efterlevnad av integritetsskyddet som godkänts av Baxaltas Corporate Responsibility Office.

Konfidentialitet

Att se till att information endast är tillgänglig för dem som är behöriga att få tillgång till den.

Country General Management

Det högsta ledarskapet inom Baxalta i respektive land/organisation.

Datasekretess

De lagliga rättigheterna och förväntningarna på individer att kontrollera hur deras personliga information samlas in och används.

Personuppgiftslagen (PUL)

Personuppgiftslagen (1998) sätter upp ett ramverk av rättigheter och skyldigheter som har fastställts i syfte att skydda personuppgifter. Den utgör en implementering av kraven i dataskyddsdirektivet (direktiv 95/46/EG).

Dataskyddsmyndighet

Statlig myndighet som är ansvarig för att tillämpa och tolka lokala lagar och bestämmelser om integritetsskydd. I Sverige är det Datainspektionen som har den uppgiften.

Uppgifternas kvalitet

Om informationen är korrekt, fullständig och relevant.

Uttryckligt medgivande

Medgivande av en enskild person som visas genom att bekräfta eller göra ett uttryckligt val, oavsett om det är skriftligen, muntligen eller på annat sätt.

Global Information Security Officer (GISO)

IT-chef ansvarig för strategin och aktiviteterna inom informationssäkerhet i hela Baxaltas globala organisation.

Global policy

En uppsättning regler som gäller för alla verksamheter, regionala och funktionella enheter eller domäner som alla som ansvarar inför dessa domäner måste följa. Specifika policyer kan anpassas för att möjliggöra skalbarhet och flexibilitet.

Global Privacy Officer (GPO)

Företagsjurist ansvarig för strategin och aktiviteterna inom datasekretess i hela Baxaltas globala organisation.

Underförstått medgivande

En individs medgivande som framgår indirekt av sammanhanget eller genom att individen underlåtit att agera.

Information Commissioner’s Office (ICO)

En svensk oberoende myndighet som inrättats för att upprätthålla informationsrättigheter i allmänhetens intresse, främja öppenhet hos offentliga myndigheter och datasekretess för individer.

Informationssäkerhet

Metod för att säkerställa att data och/eller information är skyddad från korruption (integritet), förstöring (tillgänglighet) och/eller avslöjande (konfidentialitet).

Local Privacy Owner (LPO)

Enskilda anställda på Baxalta som är ansvariga för implementeringen av och den fortlöpande efterlevnaden av denna policy inom sitt verksamhetsområde eller sin affärsenhet. De fungerar även som kontaktpunkt för frågor och problem i anslutning till sekretess.

Personlig information

Personuppgifter är alla uppgifter om en identifierad eller identifierbar enskild person.

Bearbetning

En aktivitet eller uppsättning aktiviteter som utförs på personlig information.

Känslig personlig information

Personuppgifter som består av information om

  • en persons ras eller etniska ursprung,

  • politiska åsikter, religiös eller filosofisk övertygelse eller annan liknande övertygelse,

  • medlemskap i fackförening,

  • Fysisk eller psykisk hälsa eller sjukdom,

  • sexliv,

  • begångna brott eller påstådda brott eller,

  • pågående processer i anslutning till begångna eller påstådda brott, hantering av sådana processer eller domstols dom i sådana processer.

  • Administrativa sanktioner

  • Statliga säkerhetsåtgärder, ID-nummer utfärdade av staten.

  • Biometriska data, genetiska data, uppgifter om geografisk plats och personlighetsprofilering.

Standard

En särskild uppsättning regler som härrör ur ramverk över allmänt vedertagna branschstandarder som har som syfte att strukturera och ge vägledning i införandet av policyer och därmed se till att en organisation fungerar enhetligt och effektivt; en uppsättning reviderbara minimikrav som stödjer målen i policyn.

Tredje part

En enhet som är oberoende av och rättsligt åtskild från Baxalta och dess verksamheter och dotterbolag.

D. POLICY

1.0 Ledning

I syfte att införa ett omfattande integritetsskyddsprogram har Baxalta antagit internationellt erkända principer om sund informationspraxis till grund för denna policy. Dessa principer är i linje med koncepten och kraven i EU:s direktiv om skydd av personuppgifter (95/46/EG) och Förenta staternas handelsministeriums (U.S. Department of Commerce) internationella safe harbor-principer om integritetsskydd. De följer också ramverket i American Institute of Certified Public Accountants (AICPA) allmänt vedertagna sekretessprinciper (Generally Accepted Privacy Principles, GAPP) och följer specifikt den svenska personuppgiftslagen från 1998.

2.0 Meddelande

Baxalta måste meddela enskilda personer om i vilka syften företaget samlar in, bearbetar, lagrar och/eller avslöjar information om dem. Meddelandet måste kommuniceras på ett tydligt och lättförståeligt sätt.

Som minimum måste meddelandet innehålla följande (såvida det inte är uppenbart av sammanhanget):

  • Typen av information som samlas in.

  • I vilket syfte informationen samlas in.

  • Om vi är skyldiga enligt lag att samla in informationen och i så fall att ange detta faktum.

  • Om informationen samlas in av eller avslöjas för tredje part ska detta anges liksom syftet med att detta görs.

  • Hur individer kan få tillgång till sin information och korrigera eller ta bort den om den är felaktig.

  • Hur de kan kontakta Baxalta med frågor, korrigeringar, klagomål och tvister.

3.0 Val och medgivande

Baxalta måste få enskilda personers medgivande när det behövs och är lämpligt. Baxalta måste också tydligt meddela personen om att sådana val är möjliga när personlig information samlas in eller används av tredje part eller avslöjas av Baxalta till tredje part. När det gäller känsliga personuppgifter måste den enskilda personen, såvida inte undantag gäller, ges möjlighet att genom att bekräfta eller göra ett uttryckligt val (opt-in) ange om uppgifterna får lämnas ut till en tredje part eller användas för ett annat ändamål än det för vilket de ursprungligen samlades in eller den enskilda personen i efterhand har gett sitt tillstånd till genom att välja (opt in).

Mer specifikt måste Baxalta när medgivande krävs eller är lämpligt:

  • begära den enskilda personens medgivande genom den typ av medgivande (opt-out eller opt-in) som krävs eller är lämpligt

  • se till att de val som en enskild person får är kompletta och tydliga (t.ex. hur man gör om man inte vill ge sitt medgivande, opt-out)

  • informera enskilda personer om konsekvenserna av att inte ge sitt medgivande eller av att dela med sig av information

  • informera enskilda personer om hur de kan ändra sitt beslut om medgivande om det är möjligt

  • kontrollera att Baxaltas användning av enskildas personliga information är i linje med medgivandet som erhållits

  • skaffa ett nytt medgivande om personlig information ska användas för ett annat syfte än det som ursprungligen angavs till personen.

Man måste få personens medgivande enligt personuppgiftslagen och i linje med vägledning från Information Commissioner’s Office

4.0 Insamling

Baxalta får endast samla in och erhålla personlig information på ett korrekt och lagligt sätt.

Mer specifikt måste Baxalta:

  • endast samla in så mycket personlig information som krävs enligt lag eller som behövs för de syften som personen har informerats om

  • samla in information på ett korrekt och icke-bedrägligt sätt

  • tydligt ange för enskilda personer vilken typ av personlig information som krävs och vilken som är frivillig vid tidpunkten för insamlingen

  • samla in personlig information från enskilda personer i enlighet med PUL

  • samla in personlig information direkt från den enskilda personen om möjligt

  • verifiera att personlig information som samlas in från tredje part är tillförlitlig och har erhållits på ett lagligt sätt.

Baxalta får endast använda, bearbeta, lagra och/eller behålla personlig information för legitima affärssyften eller enligt den enskilda personens tillstånd.

Mer specifikt kommer Baxalta att använda, lagra och/eller bearbeta personlig information i enlighet med:

  • de syften som angavs vid insamlingen av informationen

  • medgivandet från den enskilda personen

  • avtal, bestämmelser och svenska lagar och krav.

Personlig information måste erhållas och förstöras i enlighet med Baxaltas gällande policyer och rutiner för datalagring.

6.0 Tillgång

Baxalta måste ge enskilda personer som företaget bearbetar personlig information om möjligheten att få tillgång till och korrigera sina uppgifter.

Mer specifikt måste Baxalta ge:

  • svar på förfrågningar om tillgång till personlig information inom rimlig tid i ett format som är praktiskt både för Baxalta och den enskilda personen

  • en möjlighet för den enskilda personen att granska sin personliga information, ange om den är korrekt och få den korrigerad, ändrad eller borttagen.

Baxalta måste styrka enskilda personers identitet innan de ger dem tillgång till personlig information eller överlämnar personlig information till dem. Tillgång till personlig information kan nekas om en orimlig begäran görs (t.ex. en begäran som inte görs enligt det förfarande som anges i integritetsmeddelandet eller en begäran som skulle innebär att personlig information lämnas ut om andra (än den person som kommer in med begäran). Baxalta måste emellertid, i de fall då personer nekas tillgång, ge den enskilda personen en anledning till nekandet och en kontaktpunkt för ytterligare förfrågningar.

7.0 Avslöjande och vidare överföring

Baxalta kan dela med sig av en enskild persons personliga information med tredje part enligt det som krävs för normal affärsverksamhet, inbegripet tillhandahållande av tjänster och produkter till patienter, hälso- och sjukvårdspersonal (t.ex. läkare, farmaceuter och sjuksköterskor) samt anställda.

När information lämnas ut:

  • får Baxalta endast lämna ut personlig information till tredje part i de syften som anges i meddelandet till den enskilda personen

  • måste Baxalta verifiera att Baxaltas agerande är i linje med det medgivande som den enskilda personen gett, utöver eventuella lagliga krav och/eller bestämmelser

  • måste Baxalta verifiera att Baxaltas agerande är i linje med det medgivande som den enskilda personen gett, utöver eventuella lagliga krav och/eller bestämmelser

  • måste Baxalta kräva att tredje part genom avtalsklausuler och/eller skriftliga avtal följer grundläggande kontroller av sekretessen och informationssäkerheten – enligt godkännande av respektive juridiskt team

  • måste Baxalta kräva att tredje part bearbetar personlig information i enlighet med den enskilda personens val och medgivande.

Den chef, medarbetare eller underleverantör på Baxalta som är ansvarig för varje tredje parts relation är ansvarig för att säkerställa efterlevnaden av denna policy av aktuell tredje part.

8.0 Säkerhet

Baxalta vidtar rimliga åtgärder, inbegripet administrativa, tekniska, personalrelaterade och fysiska åtgärder för att skydda den personliga informationen mot förlust, missbruk och otillåten åtkomst, avslöjande, ändring, förstöring och stöld.

9.0 Dataintegritet och datakvalitet

Baxalta måste tillämpa rimliga processer för att hålla den personliga informationen korrekt, fullständig och uppdaterad för de syften de samlades in för.

Mer specifikt måste Baxalta:

  • införa rutiner för att hålla den personliga informationen korrekt, fullständig och uppdaterad enligt behov

  • i den utsträckning det är möjligt tillåta och uppmuntra enskilda personer att hålla sin personliga information korrekt, komplett och uppdaterad.

10.0 Övervakning och åtgärder

Baxalta åtar sig att övervaka och säkerställa kontinuerlig efterlevnad av denna policy och av gällande sekretesslagar, -bestämmelser och -skyldigheter. Global Privacy Officer är ansvarig för att arbeta med Baxaltas juridiska personal för att säkerställa efterlevnad.

Mer specifikt måste Baxalta

  • informera anställda, kunder eller patienter med frågor eller klagomål om Baxaltas praxis när det gäller hur de kan kontakta Baxalta i frågor som gäller sekretess. 
Enskilda personer kan:

  • komma in med en fråga eller ett klagomål via Baxaltas hjälplinje för etik och efterlevnad på: www.Baxalta.com/compliance; eller

  • skicka in en förfrågan eller kontakta Baxaltas Global Privacy Officer via e-post: Global.Privacy.Office@baxalta.com

  • Process för hantering av klagomål

  • Baxalta respekterar din integritet och om du har skickat in ett klagomål till Baxalta har din förfrågan skickats vidare till vår process för hantering av klagomål, vars syfte är att undersöka och gå vidare med klagomålet för att nå en lösning.

  • Följande steg är en sammanfattning av hur vår process fungerar

  • Steg 1: Skicka in detaljerna om klagomålet via e-post eller vår hjälplinje för etik och efterlevnad.

  • Steg 2: Du får ett meddelande från Baxalta om att vi mottagit ditt klagomål.

  • Steg 3: Du får ett meddelande från en medarbetare på Baxalta som fått till uppgift att undersöka ditt klagomål inom fem (5) vardagar från och med den dag du får meddelandet från Baxalta om att ditt klagomål har tagits emot.

  • Steg 4: Baxalta kommer att göra en utredning av klagomålet. Under denna process kan du få ytterligare meddelanden från Baxaltas utredare.

  • Steg 5: utredaren kommer att kontakta dig inom femton (15) vardagar från det datum som han eller hon kontaktade dig för första gången med ett förslag på lösning av ditt klagomål. Om du godtar den föreslagna lösningen kommer du och utredaren att arbeta tillsammans för att avsluta ärendet. Om du inte godtar lösningen kommer ärendet att föras vidare till Baxaltas Global Privacy Officer.

  • Steg 6: Om du och utredaren inte kan lösa problemet vidtar Baxaltas Global Privacy Officer åtgärder för att lösa ärendet. Inom tio (10) arbetsdagar från att ärendet gått vidare kommer Baxaltas Global Privacy Officer att kontakta dig för att föreslå en lösning.

  • Steg 7: Om du godtar lösningen kommer du att arbeta tillsammans med Baxaltas Global Privacy Officer för att lösa ärendet.

  • Steg 8: Om du och Baxaltas Global Privacy Officer inte är överens om en lösning kommer vi att erbjuda dig möjligheten att ta ärendet vidare till en oberoende tredje part för lösning.

Den information som du delger kommer endast att användas för att utreda och svara på din sekretessförfrågan.

Vi medger emellertid att det kan finnas fall då det inte är möjligt att finna en lösning via våra interna förfaranden eller då de som kommer in med klagomålen hellre vill förlita sig på alternativa förfaranden för att lösa tvisten. Baxalta har gått med på att delta i ett förfarande för lösning av konflikter rörande sekretess som tillhandahålls av TRUSTe.

Du kan lämna in ditt klagomål

11.0 Konsekvenser av bristande efterlevnad

Alla chefer, anställda, ombud och underleverantörer på Baxalta förväntas till fullo följa denna policy. Överträdelser mot denna policy kommer att utredas och åtgärdas. Underlåtenhet att iaktta denna policy kan leda till disciplinära åtgärder, inbegripet uppsägning eller upphävande av avtal.

Global Privacy Officer måste godkänna undantag från efterlevnaden av vissa bestämmelser i denna policy. Undantag från denna policy beaktas endast om det på grund av särskilda omständigheter är omöjligt att praktiskt tillämpa ett krav, om en svensk eller europeisk lag eller bestämmelse stödjer det begärda undantaget och om det finns andra kontroller som ersätter bestämmelsen som mildrar risken.

12.0 Undantag

Under vissa begränsade eller exceptionella omständigheter kan Baxalta, inom ramen för vad som är tillåtet eller det som krävs enligt tillämpliga lagar och skyldigheter, bearbeta personlig information utan att meddela detta eller be om medgivande. Exempel på sådana omständigheter innefattar utredningar av särskilda anklagelser om felaktigt agerande eller brottslig verksamhet, att man vill skydda anställda, allmänheten eller Baxalta från skada eller felaktigt agerande, samarbete med brottsbekämpande myndigheter, revision av finansiella resultat eller efterlevnad, för att svara på lagstadgade krav eller processer, för att uppfylla försäkringskrav eller försvara rättsliga anspråk eller intressen, för att uppfylla arbetslagstiftning eller -avtal eller andra skyldigheter enligt lag, indrivning av fordringar, i syfte att skydda Baxaltas informationstillgångar, i nödsituationer, när enskilda personers grundläggande intressen, som liv och hälsa, står på spel, successionsplanering, omorganisation av verksamheten och i fall då det är nödvändigt av affärsmässiga skäl.

Vidare kan Baxalta, inom ramen för vad som är tillåtet eller det som krävs enligt tillämpliga lagar och skyldigheter, bearbeta personlig information utan att ge tillgång till den, som under de omständigheter som beskrivs ovan, när andras intressen i fråga om sekretess skulle äventyras eller om arbetet eller kostnaden för denna tillgång inte står i proportion till risken för den enskilda personens personliga integritet.

13.0 Ägarskap och ansvar

Baxalta Operating Committee är ytterst ansvarig för att genomföra kontroller i hela organisationen, i enlighet med Baxaltas uppförandekod. Baxalta Operating Committee erkänner och stödjer datasekretessens strategiska betydelse inom Baxalta. Operating Committee erkänner också hur viktigt det är att ha ett effektivt program för datasekretess inom Baxalta för företagets framgång.

Global Privacy Officer (GPO) och Global Information Security Officer (GISO) har ansvaret för att inrätta och hantera en funktion för informationssekretess och -säkerhet och ser via strukturer för företagsstyrning till att de föreskrivna globala policyerna, principerna och standarderna följs.

Global Privacy Officer (GPO) är ansvarig för att se till att riktlinjerna, programmen, förfarandena, utbildningen rörande sekretess och andra åtgärder som är nödvändiga för att införa denna policy utvecklas och omsätts i praktiken.

Baxalta Country General Management är ansvarig för att sammanställa den lokala sekretesspolicyn samt för dess innehåll.

LPO i Sverige är ansvarig för att införa och informera om den lokala landspecifika sekretesspolicyn samt för den fortlöpande efterlevnaden av den. LPO är också lokal kontaktpunkt för frågor rörande policyn, som kommer att utredas i samarbete med företagsjuristen.