Datenschutzrichtlinie
Das Unternehmen Laboratoires URGO (nachfolgend „URGO“)) ist auf die Entwicklung von Produkten zur Wundbehandlung spezialisiert.
URGO ist um den Schutz personenbezogener Daten besorgt und verpflichtet sich daher, diese in Übereinstimmung mit den Datenschutzvorschriften zu schützen.
In der vorliegenden Datenschutzrichtlinie für personenbezogene Daten (nachfolgend die „Datenschutzrichtlinie“) werden die Bedingungen für die Einhaltung der Datenschutzvorschriften bei der Verarbeitung von Personenbezogenen Daten durch URGO beschrieben.
URGO, eine vereinfachte Aktiengesellschaft nach französischem Recht mit einem Aktionär und einem Grundkapital von €13,987,328, eingetragen im Handels- und Gesellschaftsregister von Dijon unter der Nummer B 433 842 044 mit Sitz in 42, rue de Longvic – 21300 Chenôve, Frankreich, ist Anbieter von HEALICO (nachstehend die „Anwendung“ oder „HEALICO“), einer Anwendung zur Unterstützung der Behandlung und Überwachung von Wunden.
Indem Sie die Datenschutzbestimmungen akzeptieren, stimmen Sie der Verarbeitung Ihrer Personenbezogenen Daten wie in diesen Bestimmungen festgelegt zu und stimmen zu, Ihre Patienten vor der Nutzung von HEALICOs Dienstleistungen zu informieren und deren Zustimmung einzuholen.
Diese Datenschutzrichtlinie gilt ausschließlich für die Nutzung der Anwendung.
Für die Zwecke der vorliegenden Datenschutzrichtlinie haben die unten aufgeführten, groß geschriebenen Begriffe die folgenden Bedeutungen, unabhängig davon, ob sie im Singular oder Plural verwendet werden:
„Verbundene Unternehmen“ bezeichnen jede Gesellschaft, die direkt oder indirekt eine Gesellschaft kontrolliert, von einer Gesellschaft kontrolliert wird oder unter gemeinsamer Kontrolle mit einer Gesellschaft steht. „Kontrolle“ bedeutet, dass ein Unternehmen direkt oder indirekt eine Mehrheit des Aktienkapitals oder der Stimmrechte eines Unternehmens hält.
„Datenschutzvorschriften“ bezeichnet jede Verordnung zu Privatsphäre und Datenschutz, insbesondere, aber nicht ausschließlich, die Verordnung (EU) Nr. 2016/679 vom 27. April 2016 mit dem Titel „Allgemeine Datenschutzgrundverordnung“ („DSVGO“) sowie das französische Datenschutzgesetz Nr. 78-17 vom 6. Januar 1978, geändert durch das Gesetz Nr. 2018-493 vom 20. Juni 2018 mit dem Titel „Französisches Datenschutzgesetz“ und das Datenschutzgesetz 2018 des Vereinigten Königreichs.
„Angestellter Nutzer“ bezeichnet jede medizinische Fachkraft (einschließlich einer Krankenpflegekraft), die befugt ist, Verletzungen zu heilen und zu überwachen, und die Angestellte einer Einrichtung ist oder von einer Einrichtung anderweitig beschäftigt wird und die HEALICO-Anwendung nutzt, die ihr mit der Genehmigung der Einrichtung zur Verfügung gestellt wurde.
„Gesundheitsdaten“ bezeichnet die einzigen patientenbezogenen Daten, die für die von User im Rahmen seiner beruflichen Tätigkeit geleistete Pflege erforderlich sind, d. h. Persönliche Daten (einschließlich Gesundheitsdaten), die von User im Rahmen der Erbringung von Gesundheitsdienstleistungen im Rahmen der beruflichen Tätigkeit von User gesammelt wurden.
„Selbstständiger Nutzer“ bezeichnet eine medizinische Fachkraft (einschließlich einer Krankenpflegekraft), die befugt ist, im Rahmen einer selbstständigen Tätigkeit Wunden zu heilen und zu überwachen, und die HEALICO bei der Ausübung seiner Tätigkeit nutzt..
„Einrichtung“ bezeichnet jede Gesundheitseinrichtung oder jedes Gesundheitszentrum und im Allgemeinen jede Einrichtung, die die Versorgung von Patienten anbietet, unabhängig von ihrer Rechtsform, und die den Nutzer beschäftigt oder beauftragt, seine Tätigkeit im Rahmen eines Angestellten- oder Vertragsverhältnisses auszuüben und ihm HEALICO bei der Ausübung seiner Tätigkeit zur Verfügung stellt.
„Patient“ bezeichnet den Patienten, der Wundversorgungs- und Nachsorgeleistungen erhält und dessen Gesundheitsdaten vom Nutzer im Rahmen der Ausübung seiner beruflichen Tätigkeit erhoben werden.
„Pseudonymisierung“ bezeichnet die Verarbeitung personenbezogener Daten auf eine Weise, die es unmöglich macht, die Personenbezogenen Daten ohne die Verwendung zusätzlicher Informationen einem bestimmten Datensubjekt zuzuordnen, vorausgesetzt solche zusätzlichen Informationen werden getrennt aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können.
„Pseudonymisierte Daten“ bezeichnet Personenbezogene Daten, die Patienten und Nutzer nicht direkt identifizieren und die aus der Extraktion der von Nutzern in HEALICO eingegebenen Daten gewonnen und von URGO durch einen automatisierten Pseudonymisierungsprozess verarbeitet werden .
„Nutzer“ bezeichnet entweder einen Selbstständigen Nutzer oder einen Angestellten Nutzer.
„Personenbezogene Daten“, „Datenverantwortlicher“, „Verarbeiter“ und „Empfänger“ haben dieselbe Bedeutung wie in der DSVGO.
Für die Zwecke dieser Klausel bedeutet „Nutzerdaten“:
Empfänger: Die Benutzerdaten können vom Benutzer an URGO oder seine verbundenen Unternehmen, d.h. folgende Unternehmen, als Folge von oder in Verbindung mit seinem Zugriff auf HEALICO weitergegeben werden:
Und an:
Als Datenverantwortlicher verpflichtet sich URGO, die Nutzerdaten, die während des Zugriffs und/oder der Verwendung von HEALICO erfasst werden, in Übereinstimmung mit den Datenschutzvorschriften zu schützen.
Zwecke: Die Verarbeitung von Nutzerdaten ist für den Zugriff und die Nutzung von HEALICO sowie für die Beantwortung von Anfragen, den Support und die Wartung von HEALICO erforderlich. Der Nutzer wird darüber informiert, dass Nutzerdaten zu statistischen Zwecken verarbeitet werden können, um HEALICO zu verbessern, oder zu Kommunikationszwecken. Die vom Nutzer bereitgestellten personenbezogenen Daten sind für andere Nutzer desselben Patientenbetreuungsteams zugänglich.
Übertragung: Die Nutzerdaten sind streng vertraulich und für die Nutzung durch URGO und ihre Verbundenen Unternehmen bestimmt. URGO verpflichtet sich, die Nutzerdaten im Rahmen der Erfüllung ihrer Aufgaben nicht an andere als die oben genannten Empfänger zu übertragen, zu vermieten oder weiterzugeben, sofern dies nicht gesetzlich oder durch einen Gerichtsbeschluss vorgeschrieben ist.
Aufbewahrungsfrist: Die Nutzerdaten werden für die Dauer der Verwendung von HEALICO aufbewahrt und auf Verlangen des Nutzers umgehend gelöscht, keinesfalls aber später als fünf (5) Jahre nach dem sich der Nutzer das letzte Mal mit HEALICO verbunden hat.
Vertraulichkeit: In Übereinstimmung mit den Datenschutzvorschriften verpflichtet sich URGO, alle angemessenen und wirtschaftlich vertretbaren technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen, die der Art der Nutzerdaten und den Risiken der Verarbeitung angemessen sind, um ihre Sicherheit und Vertraulichkeit zu wahren und insbesondere die Zerstörung, den Verlust, die Veränderung, die Weitergabe oder den unberechtigten Zugriff auf diese Daten zu verhindern.
Recht auf Zugang, Berichtigung, Einschränkung, Löschung: Der Nutzer hat das Recht:
Der Nutzer kann seine Rechte jederzeit ausüben, indem er einen Antrag an URGO an eine der folgenden Adressen stellt:
Wenn der Nutzer einen solchen Antrag stellt, muss er den Zweck und die betroffenen Daten genau angeben. Um den Antrag zu bearbeiten, kann der Nutzer aufgefordert werden, einen Identitätsnachweis zu erbringen. Die Anträge der Nutzer werden so schnell wie möglich mit der gebotenen Sorgfalt bearbeitet. Im Falle der Löschung von Nutzerdaten oder der Ausübung des Widerspruchsrechts erkennt der Nutzer an, dass er keinen Zugang mehr zu HEALICO hat und HEALICO nicht mehr verwenden kann.
Sollte der Nutzer einen Grund zu einer Beschwerde hinsichtlich der Verwendung von Nutzerdaten haben, hat er das Recht, diese Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen:
Die vom Nutzer in HEALICO erhobenen Gesundheitsdaten unterliegen einer strengen Geheimhaltungspflicht und der Nutzer verpflichtet sich, diese einzuhalten.
Im Rahmen ihrer Vertragsbeziehung verpflichten sich die Parteien, die geltenden Vorschriften zum Schutz Personenbezogener Daten einzuhalten.
Dieser Abschnitt legt die Bedingungen fest, unter denen URGO als Verarbeiter Personenbezogene Daten im Auftrag des Nutzers als Datenverantwortlichem verarbeitet, wie unten definiert.
Ein Selbstständiger Nutzer, der Gesundheitsdaten in Verbindung mit der Verwendung von HEALICO erhebt und verarbeitet, ist gemäß den Datenschutzvorschriften der Datenverantwortliche. Ist ein Nutzer jedoch von einer Einrichtung angestellt oder unter Vertrag genommen (Angestellter Nutzer), ist die Einrichtung, über die der Angestellte Nutzer auf HEALICO zugreift, gemäß den Datenschutzvorschriften der Datenverantwortliche und für die Verarbeitung der Gesundheitsdaten verantwortlich (einschließlich aller Gesundheitsdaten in elektronischen Gesundheitsdatensätzen, die von oder im Auftrag des UK National Health Service gepflegt werden). Daher liegt es in der Verantwortung der Einrichtung über ihren Angestellten Nutzer oder des Selbstständigen Nutzers sicherzustellen, dass die Verarbeitung und Nutzung der Gesundheitsdaten durch den Nutzer in strikter Übereinstimmung mit den Datenschutzvorschriften erfolgt.
Die Einrichtung durch ihren Angestellten Nutzer oder der Selbstständige Nutzer verpflichtet sich, die schriftliche Einwilligung von Patienten vor der Verarbeitung von Gesundheitsdaten in HEALICO einzuholen. Darüber hinaus ist es für jeden weiteren Austausch mit einer externen medizinischen Fachkraft oder für die Aufnahme eines neuen Nutzers in das Behandlungsteam des Patienten erforderlich, die ausdrückliche Zustimmung des Patienten einzuholen.
Der Selbstständige Nutzer und die Einrichtung durch ihren Angestellten Nutzer verpflichten sich, den Patienten umfassend zu informieren, wenn sie die Daten erheben, die von ihnen verarbeitet werden.
Der Angestellte Nutzer verpflichtet sich insbesondere, die Einrichtung darüber in Kenntnis zu setzen, wenn ein Patient, dessen Gesundheitsdaten verarbeitet wurden, die Ausübung seiner Rechte beantragt.
Der Selbstständige Nutzer verpflichtet sich, sämtliche Anträge auf die Ausübung von Rechten seitens eines Patienten, dessen Gesundheitsdaten verarbeitet wurden, zu erfüllen.
Für Patienten im Vereinigten Königreich ist die Einrichtung auch dann der Datenverantwortliche, wenn:
HEALICO verfügt über Funktionen, um insbesondere die Rechte von Patienten an ihren Personenbezogenen Daten umzusetzen, darunter das Einwilligungsformular für Patienten. Wenn der Nutzer einer Einrichtung angehört, bestätigt die Einrichtung, über die der Nutzer auf HEALICO zugreift, dass das Einwilligungsformular bereitgestellt wird, um die Datenschutzvorschriften zu erfüllen.
In keinem Fall haftet URGO, wenn die Einrichtung oder der Nutzer diese Funktionen nicht verwendet oder wenn diese Funktionen die Verpflichtungen der Einrichtung gemäß der Datenschutzvorschriften nicht erfüllen.
Im Allgemeinen haftet URGO nicht, wenn die Einrichtung oder der Selbstständige Nutzer wie jeweils zutreffend ihren bzw. seinen Pflichten als Datenverantwortlicher nicht nachkommt.
Der Nutzer kann dem Patienten jederzeit die Übermittlung seiner Gesundheitsdaten an einen anderen Nutzer anbieten, um eine bessere Nachsorge und/oder ein besseres Wundmanagement des Patienten zu gewährleisten. Diese Übermittlung ist nur möglich, wenn der Nutzer zuvor die ausdrückliche Zustimmung des Patienten zur Übermittlung seiner Gesundheitsdaten an den identifizierten Nutzer erhalten hat.
In diesem Fall kann nur der in der Patienteneinwilligung identifizierte Nutzer auf die Gesundheitsdaten des Patienten zugreifen.
Zwecke: Die Gesundheitsdaten werden verarbeitet, um die Nachsorge des Patienten durch den Nutzer im Rahmen seiner beruflichen Tätigkeit sicherzustellen, indem der Nutzer dazu berechtigt wird, die Gesundheitsdaten in einer strukturierten und ergonomischen Schnittstelle und in einem strukturierten und sicheren Format zu erheben, zu organisieren und zu analysieren
Rechtsgrundlage für die Verarbeitung: Die Rechtsgrundlage für die Verarbeitung sind die vom Nutzer eingeholte Einwilligung des Patienten sowie der vorliegende Vertrag, der die Beziehung zwischen dem Nutzer und URGO regelt.
Betroffene Personen, deren Daten verarbeitet werden: Patienten, die von Nutzern in HEALICO registriert wurden.
Erhobene Personenbezogene Daten: Gesundheitsdaten.
Bevor der Nutzer sein Konto aus welchem Grund auch immer schließt, hat er die Möglichkeit, die von ihm in HEALICO eingetragenen und nicht von ihm gelöschten Daten in ein lesbares Format zu exportieren.
Wenn der Nutzer bei der Kontoschließung keine Maßnahmen ergreift, werden die Gesundheitsdaten spätestens sechs (6) Jahre nach der letzten Verbindung mit HEALICO gelöscht.
Darüber hinaus wird ein Patientenprofil (und die dazugehörigen Gesundheitsdaten), bei dem alle Nutzer das Pflegeteam verlassen und/oder ihr Benutzerkonto geschlossen haben, nach fünf (5) Jahren gelöscht.
Der Nutzer ist für die Extraktion der notwendigen Personenbezogenen Patientendaten verantwortlich, die für den von der Datenschutzverordnung festgelegten Zeitraum aufbewahrt werden müssen.
In diesen Fällen haftet URGO gegenüber dem Nutzer nicht in Bezug auf die Löschung der Daten.
URGO hat unter keinen Umständen Zugang zu Gesundheitsdaten mit Ausnahme einer Ad-hoc-Anfrage eines Nutzers bezüglich der Wiederherstellung verlorener Gesundheitsdaten.
Wenn ein Nutzer eine Ad-hoc-Anfrage an URGO bezüglich einer Datenwiederherstellung stellt, können die entsprechenden Gesundheitsdaten von URGO ausschließlich für diesen besonderen Zweck zugänglich gemacht werden.
In diesem Fall ist URGO der Datenverantwortliche.
Pflichten von URGO
In seiner Eigenschaft als Auftragsverarbeiter des Nutzers verpflichtet sich URGO:
Der Nutzer verpflichtet sich, seine Patienten darüber zu informieren, dass URGO Pseudonymisierte Gesundheitsdaten verarbeiten kann, und ihre vorherige Zustimmung zu dieser Verarbeitung einzuholen, und zwar zu den folgenden Zwecken:
In Übereinstimmung mit den Datenschutzvorschrifteng ist URGO der Verantwortliche für die Verarbeitung der Gesundheitsdaten von Patienten für die oben genannten Zwecke.
Die Rechtsgrundlage für die Weiterverarbeitung der Gesundheitsdaten des Patienten für die oben genannten Zwecke ist dessen Einwilligung, die durch die Unterzeichnung der Patienteneinwilligung erfolgt. Der Nutzer verpflichtet sich, dem Patienten dieses Formular zu übergeben und dessen Unterzeichnung in HEALICO einzutragen.
Zu diesem Zweck händigt der Nutzer dem Patienten, dessen Daten von URGO weiterverarbeitet werden, die Patienteneinwilligung aus, die sämtliche, in Artikel 14 der DSVGO vorgeschriebenen Informationen enthält.
Die Pseudonymisierten Gesundheitsdaten-Dateien sind das Eigentum von URGO und dürfen daher nicht ohne die vorherige schriftliche Zustimmung von URGO an Dritte weitergegeben werden.
HEALICO wird gemäß Artikel L 1111-8 des französischen Gesundheitsgesetzbuchs von einem zertifizierten Anbieter für das Hosting von Gesundheitsdaten gehostet. PADOK (eine Gesellschaft nach französischem Recht, eingetragen im Handels- und Gesellschaftsregister von Paris, Frankreich, unter der Nummer 843 957 465 , mit Sitz in 48 Boulevard des Batignolles, 75 017 Paris, Frankreich) vergibt diese Hosting-Leistungen an AMAZON WEB SERVICES Inc. („AWS“) (AMAZON WEB SERVICES EMEA SARL, Niederlassung Frankreich, eingetragen im Handels- und Gesellschaftsregister von Nanterre unter der Nummer 831 001 334, mit eingetragenem Sitz in Tour Carpe Diem 31 Place Des Corolles, 92400 Courbevoie Frankreich) untervertraglich weiter.
Die Gesundheitsdaten sowie die Nutzerdaten werden auf Servern von AWS gespeichert und URGO werden lediglich Nutzerdaten und Pseudonymisierte Daten zur Verfügung gestellt. PADOK agiert als Subunternehmer von URGO, gemäß einem zwischen PADOK und URGO unterzeichneten Vertrag, der PADOK die Pflichten des Auftragsverarbeiters im Sinne und in Übereinstimmung mit den Datenschutzvorschriften auferlegt und der nicht von diesem Artikel abweichen darf. Gemäß Artikel L. 1111-8 des französischen Gesundheitsgesetzbuchs, unterliegt PADOK der Geheimhaltungspflicht zu unter Bedingungen und Strafen, die in Artikel 226-13 des französischen Strafgesetzbuchs vorgesehen sind.
URGO überträgt Gesundheitsdaten oder Pseudonymisierte Daten nicht ohne die vorherige schriftliche Zustimmung des Nutzers in ein Land außerhalb des Europäischen Wirtschaftsraums. Wenn der Nutzer im Vereinigten Königreich ansässig ist, übertragt URGO Gesundheitsdaten nicht ohne die vorherige schriftliche Zustimmung des Nutzers in ein Land außerhalb des Vereinigten Königreichs.