1. Informacje ogólne

„Polityka Prywatności” PEX Sp. z o.o. (dalej „PEX” lub „Administrator”) ma na celu określenie metod, wg których PEX przetwarza, gromadzi, przechowuje, wykorzystuje i ujawnia dane osobowe. PEX dokłada wszelkiej staranności, aby niniejsza „Polityka Prywatności” i obowiązujące w PEX polityki, praktyki i procedury zapewniały zgodność ze wszystkimi europejskimi oraz polskimi przepisami prawa. „Polityka Prywatności” dotyczy wszystkich danych osobowych otrzymanych w formie elektronicznej lub papierowej, w tym danych osobowych pracowników i współpracowników PEX, kandydatów do pracy, pracowników służby zdrowia, pacjentów, respondentów badań marketingowych, klientów, dostawców, usługodawców, kontaktów i partnerów biznesowych.

2. Dane Administratora danych osobowych oraz Inspektora Ochrony Danych

Administratorem danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) jest PEX Sp. z o.o. z siedzibą w Warszawie: ul. Migdałowa 4d/46, 02-796.

W sprawach związanych z przetwarzaniem danych oraz realizacją praw przysługujących osobom, których dane dotyczą można kontaktować się z powołanym przez Administratora Inspektorem Ochrony Danych, kierując korespondencję na adres poczty email: [email protected] bądź pisemnie na adres siedziby Administratora wskazany powyżej. Więcej informacji o przysługujących prawach: www.pexps.pl/obowiązekinformacyjnyRODO.

3. Sposoby pozyskania danych

a) Dane osobowe uzyskane bezpośrednio od osób fizycznych. PEX każdorazowo określa: cele, informacje o dalszych odbiorcach danych osobowych lub kategoriach odbiorców, okres przez który dane osobowe będą przechowywane oraz prawa przysługujące osobie, której dane dotyczą.

b) Dane osobowe uzyskane jako usługodawca klientów. Klienci ponoszą odpowiedzialność za przekazanie osobom fizycznym niezbędnych informacji oraz gwarantują uzyskanie stosownych zgód.

4. Kategorie gromadzonych danych

a) Informacje związane z badaniami marketingowymi (dalej „Badania”). W przypadku osób fizycznych (pacjentów, opiekunów, konsultantów, wykonawców) biorących udział w Badaniach realizowanych na zlecenie klientów dane osobowe mogą być wykorzystywane wyłącznie w celu przeprowadzenia Badania oraz prowadzenia innych niezbędnych czynności związanych z Badaniem oraz nadzorem nad bezpieczeństwem farmakoterapii.

b) Pracownicy służby zdrowia. PEX przetwarza dane pracowników służby zdrowia uzyskane bezpośrednio od pracowników służby zdrowia i od partnerów biznesowych. Dane osobowe mogą być wykorzystywane wyłącznie w celu przeprowadzenia Badania oraz prowadzenia innych niezbędnych czynności związanych z Badaniem oraz nadzorem nad bezpieczeństwem farmakoterapii.

c) Informacje dotyczące zasobów ludzkich. W odniesieniu do pracowników i współpracowników, kandydatów na stanowiska – dane osobowe przetwarzane są w celu realizacji procesów związanych z zasobami ludzkimi, w tym między innymi do: rekrutacji i oceny adekwatności do aplikowanego stanowiska, dostarczania świadczeń wynikających ze współpracy, administrowania i zarządzania pracownikami i współpracownikami – ich wynagrodzeniami, premiami, świadczeniami ZUS, a także do czynności administracyjnych dotyczących działalności firmy.

d) Kontakty biznesowe. PEX przetwarza dane osobowe, takie jak dane kontaktowe, stanowisko, nazwa miejsca pracy. Dane te mogą być wykorzystywane w wynikających z możliwości współpracy, które mogą obejmować działania marketingowe ukierunkowane na sprzedaż i promocję produktów i usług PEX oraz inne działania biznesowe.

e) Nadawcy korespondencji: PEX przechowuje zapisy korespondencji z osobami fizycznymi obejmujące m.in. rodzaj korespondencji, czy dane nadawcy.

f) Użytkownicy strony internetowej i serwisów webowych PEX. Systemy i oprogramowanie serwisów uzyskują podczas użytkowania dane, których przekazywanie jest niezbędne podczas protokołów komunikacji webowej. Administrator nie ma na celu identyfikacji osób fizycznych, jednak gromadzone informacje w powiązaniu z danymi posiadanymi przez podmioty trzecie umożliwiałby poniekąd identyfikację użytkowania. Są to m.in.: pliki cookies, adres IP, nazwa domeny używanego urządzenia, czas żądania, kod numeryczny wskazujący na status odpowiedzi serwera.

5. Cele, podstawy prawne i przechowywanie danych

Wskazany okres przechowywania to okres niezbędny do zrealizowania celu przetwarzania danych.

Cel 1. Prowadzenie strony internetowej PEX

– dostarczanie treści zawartych na stronie www.pexps.pl i jej zakładkach, administrowanie stroną, w tym wypełnienie obowiązków przewidzianych prawem

– zapewnienie bezpieczeństwa strony, zasobów IT i danych osobowych oraz cyberbezpieczeństwa, w tym bezpieczeństwa komunikatów przesyłanych pośrednictwem strony

monitorowanie poprawnego funkcjonowania strony, uzyskiwanie anonimowych lub zagregowanych statystyk dotyczących korzystania ze strony m.in. w celu poprawy jej funkcjonowania, czy analizy ruchu na stronie

– zarządzanie incydentem bezpieczeństwa w razie podejrzenia popełnienia przestępstwa z wykorzystaniem strony

Podstawa prawna: uzasadniony interes Administratora (art. 6 ust. 1 lit. f) RODO) lub wyrażona zgoda na pliki cookies (art.6 ust. 1, lit a) RODO), wykonanie umowy (art. 6 ust. 1, lit. b) RODO) oraz obowiązek prawny ciążący na Administratorze (art.6, ust. 1 lit c) RODO) 

Okres przechowywania: dane zawarte w plikach cookie, przechowywane są przez okres przechowywania tych plików na urządzeniu użytkownika do czasu ich wygaśnięcia lub usunięcia przez użytkownika

Cel 2. Kontakt bezpośredni i marketing

– komunikacja w kontekście bezpośrednim lub zdalnymi kanałami komunikacji, obejmująca również telekonferencje za pośrednictwem zdalnych platform komunikacji jak MS Teams – zależnie od udzielonej zgody

– prowadzenie marketingu bezpośredniego produktów i usług własnych Administratora, w tym między innymi przedstawianie ofert drogą elektroniczną

Podstawa prawna: uzasadniony interes Administratora (art. 6 ust. 1 lit. f) RODO) lub wyrażona zgoda (art.6 ust. 1, lit a) RODO)

Okres przechowywania: przez okres wymagany przepisami prawa lub do czasu wniesienia sprzeciwu lub cofnięcia wyrażonej zgody

Cel 3. Wykonanie ciążących na Administratorze obowiązków prawnych

– wykonanie ciążących na Administratorze obowiązków prawnych, określonych w szczególności w prawie farmaceutycznym, podatkowym i rachunkowym, konsumenckim,  ustawodawstwie polskim i europejskim dotyczącym ochrony danych osobowych, m.in.:

monitorowanie bezpieczeństwa produktów leczniczych, w stosownych przypadkach zbieranie informacji, przekazywanie zgłoszeń niepożądanego działania produktu leczniczego lub wyrobu medycznego lub innych informacji, dotyczących bezpieczeństwa produktu leczniczego.

– zawarcie i wykonanie umowy, w tym czynności poprzedzające zawarcie umowy, wypłata wynagrodzenia oraz wykonanie ciążących na Administratorze obowiązków prawnych, w tym podatkowo-rachunkowych, controlingu czy audytów.

Podstawa prawna: obowiązek prawny ciążący na Administratorze (art.6, ust. 1 lit c) RODO), niezbędność przetwarzania ze względów związanych z zapewnieniem wysokich standardów jakości i bezpieczeństwa produktów leczniczych lub wyrobów medycznych (art. 9, ust. 2, lit. i) RODO) oraz polskie przepisy prawa, w tym prawa farmaceutycznego, podatkowego, rachunkowego, konsumenckiego, ochrony danych osobowych, oraz wytyczne organów regulacyjnych i nadzorczych. Niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią (art. 6 ust. 1 lit. f) RODO)        

Okres przechowywania: do czasu wniesienia sprzeciwu lub cofnięcia wyrażonej zgody, przez czas wymagany przepisami prawa, w okresie obowiązywania pozwolenia na dopuszczenie do obrotu produktu leczniczego, którego zgłoszona informacja dotyczy oraz przez 10 lat po wygaśnięciu tego pozwolenia.

6. Anonimowość i bezpieczeństwo danych osobowych

PEX dokłada najwyższej staranności aby stosować adekwatne techniczne, administracyjne i fizyczne zabezpieczenia przetwarzanych danych osobowych przed ich utratą, niewłaściwym wykorzystaniem i nieuprawnionym dostępem, ujawnieniem, modyfikacją i zniszczeniem. W tym celu PEX zaimplementował standardowe polityki i procedury adekwatne do rodzaju danych osobowych oraz rodzaju potencjalnych zagrożeń. Dostęp do danych osobowych jest każdorazowo ograniczony do osób, dla których jest on niezbędny aby zrealizować cel przetwarzania. Wszystkie osoby i podmioty upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania poufności.

PEX stosuje techniki zabezpieczenia i anonimizacji  danych osobowych w celu ich ochrony a także szyfrowanie danych, w szczególności dotyczy komputerów, nośników danych oraz krytycznych dla bezpieczeństwa danych osobowych systemów i aplikacji. Dotyczy zarówno danych w formie fizycznej, jak i cyfrowej.