Datenschutzrichtlinie für personenbezogene Daten

Datenschutzrichtlinie

Das Unternehmen Laboratoires URGO (nachfolgend „URGO“)) ist auf die Entwicklung von Produkten zur Wundbehandlung spezialisiert.

URGO ist um den Schutz personenbezogener Daten besorgt und verpflichtet sich daher, diese in Übereinstimmung mit den Datenschutzvorschriften zu schützen.

In der vorliegenden Datenschutzrichtlinie für personenbezogene Daten (nachfolgend die „Datenschutzrichtlinie“) werden die Bedingungen für die Einhaltung der Datenschutzvorschriften bei der Verarbeitung von Personenbezogenen Daten durch URGO beschrieben.

URGO, eine vereinfachte Aktiengesellschaft nach französischem Recht mit einem Aktionär und einem Grundkapital von €13,987,328, eingetragen im Handels- und Gesellschaftsregister von Dijon unter der Nummer B 433 842 044 mit Sitz in 42, rue de Longvic – 21300 Chenôve, Frankreich, ist Anbieter von HEALICO (nachstehend die „Anwendung“ oder „HEALICO“), einer Anwendung zur Unterstützung der Behandlung und Überwachung von Wunden.

Indem Sie die Datenschutzbestimmungen akzeptieren, stimmen Sie der Verarbeitung Ihrer Personenbezogenen Daten wie in diesen Bestimmungen festgelegt zu und stimmen zu, Ihre Patienten vor der Nutzung von HEALICOs Dienstleistungen zu informieren und deren Zustimmung einzuholen.

Diese Datenschutzrichtlinie gilt ausschließlich für die Nutzung der Anwendung.

Für die Zwecke der vorliegenden Datenschutzrichtlinie haben die unten aufgeführten, groß geschriebenen Begriffe die folgenden Bedeutungen, unabhängig davon, ob sie im Singular oder Plural verwendet werden:

„Verbundene Unternehmen“ bezeichnen jede Gesellschaft, die direkt oder indirekt eine Gesellschaft kontrolliert, von einer Gesellschaft kontrolliert wird oder unter gemeinsamer Kontrolle mit einer Gesellschaft steht. „Kontrolle“ bedeutet, dass ein Unternehmen direkt oder indirekt eine Mehrheit des Aktienkapitals oder der Stimmrechte eines Unternehmens hält.

„Datenschutzvorschriften“ bezeichnet jede Verordnung zu Privatsphäre und Datenschutz,  insbesondere, aber nicht ausschließlich, die Verordnung (EU) Nr. 2016/679 vom 27. April 2016 mit dem Titel „Allgemeine Datenschutzgrundverordnung“ („DSVGO“) sowie das französische Datenschutzgesetz Nr. 78-17 vom 6. Januar 1978, geändert durch das Gesetz Nr. 2018-493 vom 20. Juni 2018 mit dem Titel „Französisches Datenschutzgesetz“ und das Datenschutzgesetz 2018 des Vereinigten Königreichs.

„Angestellter Nutzer“ bezeichnet jede medizinische Fachkraft (einschließlich einer Krankenpflegekraft), die befugt ist, Verletzungen zu heilen und zu überwachen, und die Angestellte einer Einrichtung ist oder von einer Einrichtung anderweitig beschäftigt wird und die HEALICO-Anwendung nutzt, die ihr mit der Genehmigung der Einrichtung zur Verfügung gestellt wurde.

„Gesundheitsdaten“ bezeichnet die einzigen patientenbezogenen Daten, die für die von User im Rahmen seiner beruflichen Tätigkeit geleistete Pflege erforderlich sind, d. h. Persönliche Daten (einschließlich Gesundheitsdaten), die von User im Rahmen der Erbringung von Gesundheitsdienstleistungen im Rahmen der beruflichen Tätigkeit von User gesammelt wurden.

„Selbstständiger Nutzer“ bezeichnet eine medizinische Fachkraft (einschließlich einer Krankenpflegekraft), die befugt ist, im Rahmen einer selbstständigen Tätigkeit Wunden zu heilen und zu überwachen, und die HEALICO bei der Ausübung seiner Tätigkeit nutzt..

„Einrichtung“ bezeichnet jede Gesundheitseinrichtung oder jedes Gesundheitszentrum und im Allgemeinen jede Einrichtung, die die Versorgung von Patienten anbietet, unabhängig von ihrer Rechtsform, und die den Nutzer beschäftigt oder beauftragt, seine Tätigkeit im Rahmen eines Angestellten- oder Vertragsverhältnisses auszuüben und ihm HEALICO bei der Ausübung seiner Tätigkeit zur Verfügung stellt.

„Patient“ bezeichnet den Patienten, der Wundversorgungs- und Nachsorgeleistungen erhält und dessen Gesundheitsdaten vom Nutzer im Rahmen der Ausübung seiner beruflichen Tätigkeit erhoben werden.

„Pseudonymisierung“ bezeichnet die Verarbeitung personenbezogener Daten auf eine Weise, die es unmöglich macht, die Personenbezogenen Daten ohne die Verwendung zusätzlicher Informationen einem bestimmten Datensubjekt zuzuordnen, vorausgesetzt solche zusätzlichen Informationen werden getrennt aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können.

„Pseudonymisierte Daten“ bezeichnet Personenbezogene Daten, die Patienten und Nutzer nicht direkt identifizieren und die aus der Extraktion der von Nutzern in HEALICO eingegebenen Daten gewonnen und von URGO durch einen automatisierten Pseudonymisierungsprozess verarbeitet werden .

„Nutzer“ bezeichnet entweder einen Selbstständigen Nutzer oder einen Angestellten Nutzer.

„Personenbezogene Daten“, „Datenverantwortlicher“, „Verarbeiter“ und „Empfänger“ haben dieselbe Bedeutung wie in der DSVGO.

Für die Zwecke dieser Klausel bedeutet „Nutzerdaten“:

• die vom Nutzer bereitgestellten Personenbezogenen Daten, d. h. Nachname, Vorname, E-Mail-Adresse, Beruf, Identitätsdokumente sowie das Zertifikat, mit dem er seinen Status als medizinische Fachkraft nachweisen kann;
• Von URGO gesammelte oder automatisch erzeugte Daten, wenn der Nutzer HEALICO verwendet, um die Benutzererfahrung zu verbessern, Statistiken zu erstellen und den Kundensupport zu erleichtern.

Empfänger: Die Benutzerdaten können vom Benutzer an URGO oder seine verbundenen Unternehmen, d.h. folgende Unternehmen, als Folge von oder in Verbindung mit seinem Zugriff auf HEALICO weitergegeben werden:

• Verbundene Unternehmen von URGO:
  • URGO Ltd mit eingetragenem Sitz in Sullington Road Shepshed – LOUGHBOROUGH – LEICESTERSHIRE – LE12 9JG, Vereinigtes Königreich;
  • URGO GmbH mit eingetragenemen Sitz in Justus-von-Liebig-Str. 16, 66280 Sulzbach, Bundesrepublik Deutschland;
  • LABORATORIOS URGO mit eingetragenem Sitz in Barrio La Florida nº29, Hernani (Guipúzcoa), Spanien;
  • URGO MEDICAL PORTUGAL mit eingetragenem Sitz in Av. Do Forte 6, 2790- 072 Carnaxide, Portugal;

Und an:

• BAM, eine vereinfachte Aktiengesellschaft nach französischem Recht mit einem Kapital von 200.000 EUR, mit eingetragenem Sitz in 5 rue du Helder 75009 Paris, Frankreich, eingetragen im Handels- und Gesellschaftsregister von Paris unter der Nummer 808 556 567, die für die Entwicklung von HEALICO zuständig ist;
• PADOK, einem zertifizierten Anbieter für das Hosting von Gesundheitsdaten (eine Gesellschaft nach französischem Recht, eingetragen im Handels- und Gesellschaftsregister von Paris unter der Nummer 843 957 465, mit eingetragenem Sitz in 48 Boulevard des Batignolles, 75 017 Paris, Frankreich), der Hosting-Dienstleistungen an AMAZON WEB SERVICES Inc. (“AWS”) (AMAZON WEB SERVICES EMEA SARL, Niederlassung Frankreich, eingetragen im Handels- und Unternehmensregister von Nanterre unter der Nummer 831 001 334 mit eingetragenem Sitz in Tour Carpe Diem 31 Place Des Corolles, 92400 Courbevoie, Frankreich) untervergibt;
• DATALYO, ein Anbieter von  Datenanalyse-Leistungen (eine Gesellschaft nach französischem Recht, eingetragen in das Handels- und Gesellschaftsregister von Lyon unter der Nummer 805 063 286, mit eingetragenem Sitz in 8 rue Paul Montrochet – Quartier Confluence 69002 Lyon, Frankreich),
• FOREST ADMIN Inc., der Eigentümer des Tools, das von URGO für das Backoffice von HEALICO verwendet wird (Benutzerkontenverwaltung usw.)
• GOOGLE Inc. und ihre Tochtergesellschaften, aufgrund der Verwendung des Tools FIREBASE zur Authentifizierung von Nutzern durch ihre E-Mail-Adresse und/oder Google ID und/oder Apple ID;
• TWILIO Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105 and ihre verbundenen Unternehmen aufgrund der Verwendung des Tools SENDGRID für die Versendung automatischer E-Mails und Textnachrichten an die Nutzer, die einem Pflegeteam in HEALICO hinzugefügt werden;
• ZENDESK Inc. 989 Market Street, San Francisco, CA 94103, USA, für den Kundensupport
• MAILCHIMP Inc., Intuit Mailchimp 405 N Angier Ave. NE Atlanta, GA 30308 USA, für automatisierte Mailingkampagnen
• POWERBI Inc., 39 quai du Président Roosevelt, 92130 Issy les Moulineaux, für die Datenvisualisierung und -analyse
• SNOWFLAKE Inc., 88 avenue Charles de Gaulle, 92200 Neuilly-sur-Seine, für die Speicherung analytischer Daten
• AIRBYTE Inc, 32 AV Hoche, 75008 Paris, für die Datenintegration zwischen Plattformen

Als Datenverantwortlicher verpflichtet sich URGO, die Nutzerdaten, die während des Zugriffs und/oder der Verwendung von HEALICO erfasst werden, in Übereinstimmung mit den Datenschutzvorschriften zu schützen.

Zwecke: Die Verarbeitung von Nutzerdaten ist für den Zugriff und die Nutzung von HEALICO sowie für die Beantwortung von Anfragen, den Support und die Wartung von HEALICO erforderlich. Der Nutzer wird darüber informiert, dass Nutzerdaten zu statistischen Zwecken verarbeitet werden können, um HEALICO zu verbessern, oder zu Kommunikationszwecken. Die vom Nutzer bereitgestellten personenbezogenen Daten sind für andere Nutzer desselben Patientenbetreuungsteams zugänglich.

Übertragung: Die Nutzerdaten sind streng vertraulich und für die Nutzung durch URGO und ihre Verbundenen Unternehmen bestimmt. URGO verpflichtet sich, die Nutzerdaten im Rahmen der Erfüllung ihrer Aufgaben nicht an andere als die oben genannten Empfänger zu übertragen, zu vermieten oder weiterzugeben, sofern dies nicht gesetzlich oder durch einen Gerichtsbeschluss vorgeschrieben ist.

Aufbewahrungsfrist: Die Nutzerdaten werden für die Dauer der Verwendung von HEALICO aufbewahrt und auf Verlangen des Nutzers umgehend gelöscht, keinesfalls aber später als fünf (5) Jahre nach dem sich der Nutzer das letzte Mal mit HEALICO verbunden hat.

Vertraulichkeit: In Übereinstimmung mit den Datenschutzvorschriften verpflichtet sich URGO, alle angemessenen und wirtschaftlich vertretbaren technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen, die der Art der Nutzerdaten und den Risiken der Verarbeitung angemessen sind, um ihre Sicherheit und Vertraulichkeit zu wahren und insbesondere die Zerstörung, den Verlust, die Veränderung, die Weitergabe oder den unberechtigten Zugriff auf diese Daten zu verhindern.

Recht auf Zugang, Berichtigung, Einschränkung, Löschung: Der Nutzer hat das Recht:

• den Zugang zu Benutzerdaten, deren Berichtigung und Löschung, die Einschränkung der Datenverarbeitung und das Recht auf Übertragbarkeit zu verlangen;
• gegen die Verarbeitung Widerspruch zu erheben;
• seine Zustimmung jederzeit zu widerrufen, ohne die Rechtmäßigkeit der Verarbeitung auf der Grundlage der Zustimmung vor deren Widerruf zu beeinträchtigen;
• Richtlinien für das Schicksal der Benutzerdaten nach seinem Tod festzulegen (gilt nur in Frankreich)

Der Nutzer kann seine Rechte jederzeit ausüben, indem er einen Antrag an URGO an eine der folgenden Adressen stellt:

• in Frankreich: schriftlich an: Laboratoires URGO, 42, rue de Longvic – 21300 Chenôve, Frankreich oder an dpo@group.urgo.com;
• im Vereinigten Königreich: URGO Ltd :
• schriftlich: URGO Ltd, Sullington Road Shepshed – LOUGHBOROUGH – LEICESTERSHIRE – LE12 9JG oder an dpo@uk.urgo.com oder an :
  • Twitter: https://twitter.com/urgomedicaluk ; Facebook – Healico: https://facebook.com/healicouk ;
  • Facebook – UrgoMedical UK: https://en-gb.facebook.com/urgomedical/ ;
  • Linkedin: https://www.linkedin.com/company/urgo-medical-uk-ie/
• telefonisch: 0330 128 0898.
• in Spanien: schriftlich an: LABORATORIOS URGO, Barrio La Florida nº29, Hernani (Guipúzcoa), Spanien oder an dpo@group.urgo.com;
• in Deutschland: schriftlich an: URGO GmbH, Justus-von-Liebig-Str. 16, 66280 Sulzbach, Bundesrepublik Deutschland oder an dpo@group.urgo.com;
• in Portugal: schriftlich an: URGO MEDICAL PORTUGAL, Av. do Forte 6, 2790-072 Carnaxide, Portugal oder an dpo@group.urgo.com;

Wenn der Nutzer einen solchen Antrag stellt, muss er den Zweck und die betroffenen Daten genau angeben. Um den Antrag zu bearbeiten, kann der Nutzer aufgefordert werden, einen Identitätsnachweis zu erbringen. Die Anträge der Nutzer werden so schnell wie möglich mit der gebotenen Sorgfalt bearbeitet. Im Falle der Löschung von Nutzerdaten oder der Ausübung des Widerspruchsrechts erkennt der Nutzer an, dass er keinen Zugang mehr zu HEALICO hat und HEALICO nicht mehr verwenden kann.

Sollte der Nutzer einen Grund zu einer Beschwerde hinsichtlich der Verwendung von Nutzerdaten haben, hat er das Recht, diese Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen:

• • in Frankreich: https://www.cnil.fr/fr/plaintes
  • im Vereinigten Königreich: https://ico.org.uk/make-a-complaint/
  • in Deutschland: https://www.bfdi.bund.de/EN/Buerger/Inhalte/Allgemein/Datenschutz/BeschwerdeBeiDatenschutzbe hoerden.html
  • in Spanien: https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/tramitesCiudadanoMorosidad.jsf
  • in Portugal: https://www.cnpd.pt/cidadaos/participacoes

Die vom Nutzer in HEALICO erhobenen Gesundheitsdaten unterliegen einer strengen Geheimhaltungspflicht und der Nutzer verpflichtet sich, diese einzuhalten.

Im Rahmen ihrer Vertragsbeziehung verpflichten sich die Parteien, die geltenden Vorschriften zum Schutz Personenbezogener Daten einzuhalten.

Dieser Abschnitt legt die Bedingungen fest, unter denen URGO als Verarbeiter Personenbezogene Daten im Auftrag des Nutzers als Datenverantwortlichem verarbeitet, wie unten definiert.

• Allgemeine Bestimmungen zu Gesundheitsdaten, die vom Nutzer verarbeitet werden

Ein Selbstständiger Nutzer, der Gesundheitsdaten in Verbindung mit der Verwendung von HEALICO erhebt und verarbeitet, ist gemäß den Datenschutzvorschriften der Datenverantwortliche. Ist ein Nutzer jedoch von einer Einrichtung angestellt oder unter Vertrag genommen (Angestellter Nutzer), ist die Einrichtung, über die der Angestellte Nutzer auf HEALICO zugreift, gemäß den Datenschutzvorschriften der Datenverantwortliche und für die Verarbeitung der Gesundheitsdaten verantwortlich (einschließlich aller Gesundheitsdaten in elektronischen Gesundheitsdatensätzen, die von oder im Auftrag des UK National Health Service gepflegt werden). Daher liegt es in der Verantwortung der Einrichtung über ihren Angestellten Nutzer  oder des Selbstständigen Nutzers sicherzustellen, dass die Verarbeitung und Nutzung der Gesundheitsdaten durch den Nutzer in strikter Übereinstimmung mit den Datenschutzvorschriften erfolgt.

Die Einrichtung durch ihren Angestellten Nutzer oder der Selbstständige Nutzer verpflichtet sich, die schriftliche Einwilligung von Patienten vor der Verarbeitung von Gesundheitsdaten in HEALICO einzuholen. Darüber hinaus ist es für jeden weiteren Austausch mit einer externen medizinischen Fachkraft oder für die Aufnahme eines neuen Nutzers in das Behandlungsteam des Patienten erforderlich, die ausdrückliche Zustimmung des Patienten einzuholen.

Der Selbstständige Nutzer und die Einrichtung durch ihren Angestellten Nutzer verpflichten sich, den Patienten umfassend zu informieren, wenn sie die Daten erheben, die von ihnen verarbeitet werden.

Der Angestellte Nutzer verpflichtet sich insbesondere, die Einrichtung darüber in Kenntnis zu setzen, wenn ein Patient, dessen Gesundheitsdaten verarbeitet wurden, die Ausübung seiner Rechte beantragt.

Der Selbstständige Nutzer verpflichtet sich, sämtliche Anträge auf die Ausübung von Rechten seitens eines Patienten, dessen Gesundheitsdaten verarbeitet wurden, zu erfüllen.

Für Patienten im Vereinigten Königreich ist die Einrichtung auch dann der Datenverantwortliche, wenn:

• der Nutzer auf HEALICO zugreift und darin Gesundheitsdaten aus den elektronischen Krankenakten einträgt, die von oder im Auftrag des National Health Service geführt werden; und
• der Nutzer auf HEALICO zugreift und darin enthaltene Gesundheitsdaten verwendet, um die elektronischen Krankheitsakten zu aktualisieren, die vom oder im Auftrag des National Health Service geführt werden.

HEALICO verfügt über Funktionen, um insbesondere die Rechte von Patienten an ihren Personenbezogenen Daten umzusetzen, darunter das Einwilligungsformular für Patienten. Wenn der Nutzer einer Einrichtung angehört, bestätigt die Einrichtung, über die der Nutzer auf HEALICO zugreift, dass das Einwilligungsformular bereitgestellt wird, um die Datenschutzvorschriften zu erfüllen.

In keinem Fall haftet URGO, wenn die Einrichtung oder der Nutzer diese Funktionen nicht verwendet oder wenn diese Funktionen die Verpflichtungen der Einrichtung gemäß der Datenschutzvorschriften nicht erfüllen.

Im Allgemeinen haftet URGO nicht, wenn die Einrichtung oder der Selbstständige Nutzer wie jeweils zutreffend ihren bzw. seinen Pflichten als Datenverantwortlicher nicht nachkommt.

• Übermittlung von Gesundheitsdaten, die von Nutzern erhoben wurden, an andere Nutzer

Der Nutzer kann dem Patienten jederzeit die Übermittlung seiner Gesundheitsdaten an einen anderen Nutzer anbieten, um eine bessere Nachsorge und/oder ein besseres Wundmanagement des Patienten zu gewährleisten. Diese Übermittlung ist nur möglich, wenn der Nutzer zuvor die ausdrückliche Zustimmung des Patienten zur Übermittlung seiner Gesundheitsdaten an den identifizierten Nutzer erhalten hat.

In diesem Fall kann nur der in der Patienteneinwilligung identifizierte Nutzer auf die Gesundheitsdaten des Patienten zugreifen.

• Beschreibung der Datenverarbeitung

Zwecke: Die Gesundheitsdaten werden verarbeitet, um die Nachsorge des Patienten durch den Nutzer im Rahmen seiner beruflichen Tätigkeit sicherzustellen, indem der Nutzer dazu berechtigt wird, die Gesundheitsdaten in einer strukturierten und ergonomischen Schnittstelle und in einem strukturierten und sicheren Format zu erheben, zu organisieren und zu analysieren

Rechtsgrundlage für die Verarbeitung: Die Rechtsgrundlage für die Verarbeitung sind die vom Nutzer eingeholte Einwilligung des Patienten sowie der vorliegende Vertrag, der die Beziehung zwischen dem Nutzer und URGO regelt.

Betroffene Personen, deren Daten verarbeitet werden: Patienten, die von Nutzern in HEALICO registriert wurden.

Erhobene Personenbezogene Daten: Gesundheitsdaten.

• Gesundheitsdaten bei Schließung des Benutzerkontos

Bevor der Nutzer sein Konto aus welchem Grund auch immer schließt, hat er die Möglichkeit, die von ihm in HEALICO eingetragenen und nicht von ihm gelöschten  Daten in ein lesbares Format zu exportieren.

Wenn der Nutzer bei der Kontoschließung keine Maßnahmen ergreift, werden die Gesundheitsdaten spätestens sechs (6) Jahre nach der letzten Verbindung mit HEALICO gelöscht.

Darüber hinaus wird ein Patientenprofil (und die dazugehörigen Gesundheitsdaten), bei dem alle Nutzer das Pflegeteam verlassen und/oder ihr Benutzerkonto geschlossen haben, nach fünf (5) Jahren gelöscht.

Der Nutzer ist für die Extraktion der notwendigen Personenbezogenen Patientendaten verantwortlich, die für den von der Datenschutzverordnung festgelegten Zeitraum aufbewahrt werden müssen.

In diesen Fällen haftet URGO gegenüber dem Nutzer nicht in Bezug auf die Löschung der Daten.

• Zugang zu Gesundheitsdaten durch URGO

URGO hat unter keinen Umständen Zugang zu Gesundheitsdaten mit Ausnahme einer Ad-hoc-Anfrage eines Nutzers bezüglich der Wiederherstellung verlorener Gesundheitsdaten.

Wenn ein Nutzer eine Ad-hoc-Anfrage an URGO bezüglich einer Datenwiederherstellung stellt, können die entsprechenden Gesundheitsdaten von URGO ausschließlich für diesen besonderen Zweck zugänglich gemacht werden.

In diesem Fall ist URGO der Datenverantwortliche.

Pflichten von URGO

In seiner Eigenschaft als Auftragsverarbeiter des Nutzers verpflichtet sich URGO:

• die Gesundheitsdaten nur für die vereinbarten Zwecke in Übereinstimmung mit der geltenden Datenschutzrichtlinie und den Anweisungen des Nutzers zu verarbeiten;
• die Vertraulichkeit der Gesundheitsdaten zu achten;
• dem Nutzer eine Vorlage für eine Patienteneinwilligung zur Verfügung zu stellen;
• den Nutzer innerhalb der von der DSVGO vorgesehenen Frist über Anträge von Patienten auf die Ausübung ihrer Rechte auf Zugang, Berichtigung , Löschung, Widerruf und Beschränkungen der Verarbeitung von Gesundheitsdaten zu informieren;
• dem Nutzer den Namen und die Kontaktdaten des Datenschutzbeauftragten mitzuteilen:
  •  in Frankreich: schriftlich an: Laboratoires URGO, 42, rue de Longvic – 21300 Chenôve, Frankreich oder an dpo@group.urgo.com;
  • im Vereinigten Königreich:

• schriftlich an: URGO Ltd, Sullington Road Shepshed – LOUGHBOROUGH – LEICESTERSHIRE – LE12 9JG, Vereinigtes Königreich oder an dpo@group.urgo.com oder an :
  • Twitter: https://twitter.com/urgomedicaluk ;
  • Facebook – Healico: https://facebook.com/healicouk ;
  • Facebook – UrgoMedical UK: https://en-gb.facebook.com/urgomedical/ ;
  • Linkedin: https://www.linkedin.com/company/urgo-medical-uk-ie/
• telefonisch: 0330 128 0898.
• in Spanien: schriftlich an: LABORATORIOS URGO, Barrio La Florida nº29, Hernani (Guipúzcoa), Spanien, oder an dpo@group.urgo.com;
• in Deutschland: schriftlich an: URGO GmbH, Justus-von-Liebig-Str. 16, 66280 Sulzbach, Bundesrepublik Deutschland oder an dpo@group.urgo.com;
• in Portugal: schriftlich an: URGO MEDICAL PORTUGAL, Av. do Forte 6, 2790-072 Carnaxide, Portugal oder an dpo@group.urgo.com;

• ein schriftliches Verzeichnis aller Kategorien von durchgeführten Tätigkeiten der Verarbeitung zu führen, einschließlich der Informationen, die in Artikel 30 Absatz 2 der GDPR vorgesehen sind;
• dem Nutzer die notwendige Dokumentation zur Verfügung zu stellen, um die Einhaltung der Verpflichtungen nachzuweisen;
• falls zutreffend:
  • den Datenverantwortlichen bei der Durchführung von Datenschutzfolgenabschätzungen zu unterstützen;
  • den Datenverantwortlichen bei der Durchführung der Vorkonsultation mit der Aufsichtsbehörde zu unterstützen.
• angemessene und wirtschaftlich vertretbare technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit, Integrität, Verfügbarkeit und Vertraulichkeit der Gesundheitsdaten zu wahren, einschließlich:
  • die Verpflichtung des Nutzers, die Einwilligung des Patienten einzuholen;
  • die Mittel, um im Fall einer physischen oder technischen Datenschutzverletzung die Verfügbarkeit und den Zugang zu Personenbezogenen Daten innerhalb eines angemessenen Zeitraums wiederherzustellen;
  • einem Register für Datenschutzverletzungen.
• den Nutzer so schnell wie möglich nach Bekanntwerden per E-Mail über eine Verletzung von Gesundheitsdaten zu benachrichtigen;
• die zuständige Aufsichtsbehörde im Namen und im Auftrag des Nutzer über Verletzungen Personenbezogener Daten so schnell wie möglich und, wenn möglich, nicht später als 72 Stunden nach Bekanntwerden zu informieren, sofern die betreffende Verletzung wahrscheinlich nicht zu einer Gefahr für die Rechte und Freiheiten natürlicher Personen führt.

Der Nutzer verpflichtet sich, seine Patienten darüber zu informieren, dass URGO Pseudonymisierte Gesundheitsdaten verarbeiten kann, und ihre vorherige Zustimmung zu dieser Verarbeitung einzuholen, und zwar zu den folgenden Zwecken:

• um die Funktions- und Leistungsfähigkeit von HEALICO zu verbessern;
• zu statistischen Zwecken oder Kommunikationszwecken;
• für Forschung und Entwicklung (um die Dauer der Wundheilung vorherzusagen und die Merkmale der Wundheilung zu analysieren).

In Übereinstimmung mit den Datenschutzvorschrifteng ist URGO der Verantwortliche für die Verarbeitung der Gesundheitsdaten von Patienten für die oben genannten Zwecke.

Die Rechtsgrundlage für die Weiterverarbeitung der Gesundheitsdaten des Patienten für die oben genannten Zwecke ist dessen Einwilligung, die durch die Unterzeichnung der Patienteneinwilligung erfolgt. Der Nutzer verpflichtet sich, dem Patienten dieses Formular zu übergeben und dessen Unterzeichnung in HEALICO einzutragen.

Zu diesem Zweck händigt der Nutzer dem Patienten, dessen Daten von URGO weiterverarbeitet werden, die Patienteneinwilligung aus, die sämtliche, in Artikel 14 der DSVGO vorgeschriebenen Informationen enthält.

Die Pseudonymisierten Gesundheitsdaten-Dateien sind das Eigentum von URGO und dürfen daher nicht ohne die vorherige schriftliche Zustimmung von URGO an Dritte weitergegeben werden.

HEALICO wird gemäß Artikel L 1111-8 des französischen Gesundheitsgesetzbuchs von einem zertifizierten Anbieter für das Hosting von Gesundheitsdaten gehostet. PADOK (eine Gesellschaft nach französischem Recht, eingetragen im Handels- und Gesellschaftsregister von Paris, Frankreich, unter der Nummer 843 957 465 , mit Sitz in 48 Boulevard des Batignolles, 75 017 Paris, Frankreich) vergibt diese Hosting-Leistungen an AMAZON WEB SERVICES Inc. („AWS“) (AMAZON WEB SERVICES EMEA SARL, Niederlassung Frankreich, eingetragen im Handels- und Gesellschaftsregister von Nanterre unter der Nummer 831 001 334, mit eingetragenem Sitz in Tour Carpe Diem 31 Place Des Corolles, 92400 Courbevoie Frankreich) untervertraglich weiter.

Die Gesundheitsdaten sowie die Nutzerdaten werden auf Servern von AWS gespeichert und URGO werden lediglich Nutzerdaten und Pseudonymisierte Daten zur Verfügung gestellt.  PADOK agiert als Subunternehmer von URGO, gemäß einem zwischen PADOK und URGO unterzeichneten Vertrag, der PADOK die Pflichten des Auftragsverarbeiters im Sinne und in Übereinstimmung mit den Datenschutzvorschriften auferlegt und der nicht von diesem Artikel abweichen darf. Gemäß Artikel L. 1111-8 des französischen Gesundheitsgesetzbuchs, unterliegt PADOK der Geheimhaltungspflicht zu unter Bedingungen und Strafen, die in Artikel  226-13 des französischen Strafgesetzbuchs vorgesehen sind.

URGO überträgt Gesundheitsdaten oder Pseudonymisierte Daten nicht ohne die vorherige schriftliche Zustimmung des Nutzers in ein Land außerhalb des Europäischen Wirtschaftsraums. Wenn der Nutzer im Vereinigten Königreich ansässig ist, übertragt URGO Gesundheitsdaten nicht ohne die vorherige schriftliche Zustimmung des Nutzers in ein Land außerhalb des Vereinigten Königreichs.