Οδηγία της ROCHE σχετικά με την Προστασία Προσωπικών Δεδομένων
Η ROCHE, λειτουργώντας ως Όμιλος παγκοσμίως, χρησιμοποιεί συστήματα σε όλους τους τομείς, για την επεξεργασία δεδομένων και την ανταλλαγή αυτών μεταξύ των μονάδων του Ομίλου καθώς και με τρίτους. Οι αυξανόμενες οικονομικές και επιστημονικές συνεργασίες καθώς και η αμοιβαία πρόβλεψη για τις υπηρεσίες επεξεργασίας δεδομένων έχουν ως επακόλουθο την ανταλλαγή προσωπικών δεδομένων, μία τάση που ενισχύεται από την ολοένα αυξανόμενη χρήση σύγχρονων τηλεπικοινωνιακών μέσων.
Για τους λόγους αυτούς, είναι απαραίτητο η επεξεργασία των δεδομένων να γίνεται με προσοχή. Η Ευρωπαϊκή Ένωση (Ε.Ε.) απαγορεύει την μεταβίβαση προσωπικών δεδομένων εκτός της Ευρωπαϊκής Ένωσης, παρά μόνο εφόσον υπάρχει επαρκής προστασία από πλευρά του αποδέκτη των προσωπικών δεδομένων.
Η ROCHE δηλώνει ότι η συμμόρφωση με τις αρχές που διέπουν την προστασία των δεδομένων για την επεξεργασία αυτών (π.χ. δεδομένα πελατών, προμηθευτών και υπαλλήλων) αποτελεί εταιρικό σκοπό της. Έτσι, η ROCHE έχει δεσμευθεί να σέβεται τα ατομικά δικαιώματα και την ιδιωτική ζωή των ατόμων αυτών. Ως Όμιλος που δραστηριοποιείται στον χώρο της υγείας, η ROCHE χειρίζεται τα προσωπικά ιατρικά δεδομένα (όπως δεδομένα που συλλέγονται κατά τη διάρκεια κλινικών μελετών) με ειδική μέριμνα και πάντοτε σύμφωνα με την ισχύουσα νομοθεσία και μετά τη λήψη των σχετικών αδειών.
Η ROCHE επιτυγχάνει τρεις στόχους υιοθετώντας την παρούσα Οδηγία του Ομίλου ROCHE για την Προστασία των Προσωπικών Δεδομένων («Οδηγία»). Πρώτον, η Οδηγία θέτει ένα ενιαίο κατώτατο σημείο που θα αποτελεί βάση για όλες τις εταιρείες του Ομίλου ROCHE κατά την επεξεργασία προσωπικών δεδομένων αλλά και για τις συμφωνίες με τρίτα μέρη. Δεύτερον, η Οδηγία διασφαλίζει προληπτικά την παραβίαση των προσωπικών και ατομικών δικαιωμάτων λόγω μη αρμόζουσας επεξεργασίας προσωπικών δεδομένων. Τρίτον, η Οδηγία διασφαλίζει ένα επαρκές επίπεδο προστασίας των προσωπικών δεδομένων σύμφωνα με τις απαιτήσεις της Ευρωπαϊκής Ένωσης.
Για τους σκοπούς της παρούσας Οδηγίας θα έχουν εφαρμογή οι ακόλουθοι ορισμοί:
Υποκείμενο Δεδομένων: κάθε φυσικό πρόσωπο του οποίου τα προσωπικά δεδομένα αποτελούν αντικείμενο επεξεργασίας από ή για λογαριασμό της ROCHE.
Προσωπικά Δεδομένα: κάθε πληροφορία σε σχέση με ένα προσδιορισμένο ή προσδιορίσιμο φυσικό πρόσωπο η οποία αφορά στην φυσική, φυσιολογική, ψυχολογική, συναισθηματική ή οικονομική κατάσταση, την πολιτιστική ή κοινωνική του ταυτότητα.
Επεξεργασία: επεξεργασία δεδομένων προσωπικού χαρακτήρα (“επεξεργασία”), κάθε εργασία ή σειρά εργασιών που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως ενδεικτικά η συλλογή, η καταχώριση, η αποθήκευση, η τροποποίηση, η ανάλυση, η χρήση, η συσχέτιση, η δέσμευση (κλείδωμα), η διαγραφή ή η καταστροφή.
Η παρούσα Οδηγία έχει εφαρμογή σε όλες τις εταιρείες του Ομίλου ROCHE και στους υπαλλήλους τους. Όπου η ROCHE επεξεργάζεται προσωπικά δεδομένα για λογαριασμό τρίτων, θα λαμβάνονται τα απαραίτητα μέτρα ώστε να εξασφαλισθεί η συμμόρφωση των τρίτων μερών με τις αρχές που αναφέρονται στην παρούσα οδηγία.
Εθνική Νομοθεσία προβλέπουσα εκτενέστερη προστασία των προσωπικών δεδομένων θα τηρείται σε κάθε συγκεκριμένη περίπτωση όπου θα έχει εφαρμογή.
Ως γενική αρχή, τα δεδομένα που αφορούν τη φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και την υγεία ή σεξουαλική προτίμηση του υποκειμένου, θεωρούνται ιδιαιτέρως ευαίσθητα. Όλα τα προσωπικά δεδομένα θα πρέπει να γίνονται αντικείμενο επεξεργασίας σύμφωνα με το νόμο. Συγκεκριμένα, ισχύουν οι ακόλουθες αρχές:
1. Κριτήρια νομιμότητας
Τα προσωπικά δεδομένα μπορεί να γίνουν αντικείμενο επεξεργασίας εφόσον τουλάχιστον ένα από τα παρακάτω ισχύει:
- το υποκείμενο έχει δώσει την συγκατάθεσή του
- η επεξεργασία είναι απαραίτητη για την εκτέλεση συμβάσεως στην οποία το υποκείμενο είναι συμβαλλόμενο μέρος
- η επεξεργασία είναι απαραίτητη για τη συμμόρφωση σε νομική υποχρέωση
- η ROCHE επιδιώκει κάποιο νόμιμο σκοπό, με εξαίρεση την περίπτωση που το συμφέρον του υποκειμένου των δεδομένων που εμπλέκεται είναι υπέρτερο του σκοπού αυτού
2. Αρχές που εφαρμόζονται κατά την επεξεργασία
Τα προσωπικά δεδομένα θα πρέπει να γίνονται αντικείμενο επεξεργασίας κατά τρόπο συμβατό με τον σκοπό για τον οποίο έχουν συλλεχθεί.
Η αρχή της αναλογικότητας εφαρμόζεται κατά την επεξεργασία των προσωπικών δεδομένων. Μεταξύ άλλων, δημιουργεί την υποχρέωση να μην συλλέγονται προσωπικά δεδομένα χωρίς λόγο.
Τα προσωπικά δεδομένα που χρησιμοποιούνται θα πρέπει να είναι ακριβή και ενημερωμένα.
Τα προσωπικά δεδομένα που χρησιμοποιούνται και τα οποία δεν είναι πλέον ακριβή και πλήρη, θα πρέπει να διορθώνονται ή να διαγράφονται.
Με εξαίρεση τις περιπτώσεις όπου βάσει νόμου υπάρχει υποχρέωση διατήρησής τους για μεγαλύτερο χρονικό διάστημα, τα προσωπικά δεδομένα δεν θα πρέπει να φυλάσσονται για μεγαλύτερο χρονικό διάστημα από όσο είναι απαραίτητο για τους σκοπούς για τους οποίους συλλέγησαν ή έγιναν αντικείμενο επεξεργασίας.
Η επεξεργασία των προσωπικών δεδομένων θα πρέπει να γίνεται σύμφωνα με τις αρχές της καλής πίστης. Αυτό σημαίνει ότι τα υποκείμενα των δεδομένων μπορούν να βασίζονται ότι οι εκτελούντες την επεξεργασία θα δείξουν την πρέπουσα φροντίδα σε όλα τα θέματα επεξεργασίας δεδομένων.
Τα άτομα των οποίων τα προσωπικά δεδομένα έχουν γίνει αντικείμενο επεξεργασίας θα πρέπει να ενημερώνονται αναλόγως εφόσον το ζητήσουν. Συγκεκριμένα, έχουν το δικαίωμα να πληροφορηθούν για τους σκοπούς για τους οποίους γίνονται αντικείμενο επεξεργασίας τα δεδομένα τους, το είδος των δεδομένων που αφορούν, καθώς και την ταυτότητα των παραληπτών των δεδομένων. Όπου κρίνεται απαραίτητο, τα υποκείμενα των δεδομένων έχουν επίσης το δικαίωμα να ζητήσουν την διόρθωση, μη διαβίβαση ή διαγραφή των δεδομένων τους.
Τα ανωτέρω δικαιώματα μπορεί να περιορισθούν μόνο εφόσον ο περιορισμός αυτός προβλέπεται από το νόμο. Αυτό ισχύει, συγκεκριμένα, κατά την διενέργεια επιστημονικής έρευνας.
Οι εταιρείες του Ομίλου ROCHE είναι υπεύθυνες για την λήψη τεχνικών και οργανωτικών μέτρων για την διασφάλιση της προστασίας των προσωπικών δεδομένων.
Ειδικότερα, τα προσωπικά δεδομένα προστατεύονται ενάντια σε μη εξουσιοδοτημένη κοινοποίηση και σε οποιαδήποτε παράνομη επεξεργασία τους. Τα μέτρα που τέθηκαν σε εφαρμογή θα πρέπει να διασφαλίζουν ένα επίπεδο ασφάλειας ανάλογο με την φύση των δεδομένων που πρέπει να προστατευθούν και τους κινδύνους που μπορεί να προκύψουν από την επεξεργασία τους.
Η συμμόρφωση με την Πολιτική Ασφάλειας της Τεχνολογίας της Πληροφορικής (ΙΤ) και άλλων συναφών εσωτερικών προβλέψεων ασφαλείας είναι υποχρεωτική.
Κάθε εταιρεία της ROCHE ξεχωριστά είναι υπεύθυνη για την εφαρμογή και συμμόρφωση με την παρούσα Οδηγία. Οι υπάλληλοι της ROCHE που ασχολούνται με την επεξεργασία προσωπικών δεδομένων θα πρέπει να είναι ανάλογα ενημερωμένοι. Οι διαδικασίες για την επεξεργασία προσωπικών δεδομένων τρίτων μερών κατόπιν συμφωνίας, θα πρέπει να ορίζονται γραπτώς. Η αρμόδια εταιρεία της ROCHE θα εξασφαλίσει ότι το συμβαλλόμενο τρίτο μέρος επεξεργάζεται με το σωστό τρόπο τα προσωπικά δεδομένα και ότι βρίσκεται σε συμμόρφωση με τις αρχές που τίθενται με την παρούσα Οδηγία. Σε περίπτωση που το τρίτο μέρος κριθεί ότι δεν μπορεί να εξασφαλίσει ικανοποιητικό επίπεδο ασφάλειας των προσωπικών δεδομένων, η ROCHE θα τερματίζει την συνεργασία.
Η παρούσα Οδηγία υιοθετήθηκε από την Εταιρική Εκτελεστική Επιτροπή την 11η Σεπτεμβρίου 2000, και ισχύει από την ημερομηνία αυτή.