GEHCs retningslinjer for personvern for US-Swiss og USEU Privacy Shield

Ikrafttredelsesdato: 7. januar 2020

GE Medical Systems, Ultrasound & Primary Care Diagnostics LLC og de følgende amerikanske enhetene i GEHC-selskapsgruppen (Datex-Ohmeda, Inc., GE Medical Systems Information Technologies, Inc., GE Medical Systems LLC, GE Precision Healthcare LLC, OEC Medical Systems, Inc., GE Healthcare International LLC, samlet kalt "GEHC") etterlever prinsippene i EU-U.S. og Swiss-U.S. Privacy Shield-rammeverk med hensyn til personopplysninger som sendes inn av GEHCs kunder i henhold til Privacy Shield-rammeverkene forbundet med tjenester levert av de følgende GEHC-forretningsenhetene: Molecular Imaging & CT (MICT)-, Detection & Guidance Solutions (DGS)-, Life Care Solutions (LCS)-, Ultrasound (US)-, Magnetic Resonance (MR)-, Global Services- og Surgery-divisjoner.

GEHC etterlever det respektive Privacy Shield-rammeverket som angitt av U.S. Department of Commerce med hensyn til innsamling, bruk og bevaring av personopplysninger som overføres fra EØS eller Sveits til USA. GEHC har sertifisert til Department of Commerce at det etterlever Privacy Shield-prinsippene. Hvis det er en konflikt mellom begrepene i disse retningslinjene for personvern og Privacy Shield-prinsippene, skal Privacy Shield-prinsippene være gjeldende. Hvis du vil lære mer om Privacy Shield-programmet og se sertifiseringen vår, kan du gå til https://www.privacyshield.gov/.

Disse retningslinjene angir våre generelle retningslinjer og praksiser for Privacy Shield-programmene som beskrevet nedenfor.

I forbindelse med disse retningslinjene:

"Enkeltperson" betyr enhver naturlig person som befinner seg i EØS eller Sveits, men utelukker enhver person hvis personopplysninger innhentes av GEHC eller noen av dets tilknyttede selskaper i forbindelse med en ansettelse eller annet arbeidsforhold hos GEHC eller noen av dets tilknyttede selskaper.

"Kunde" betyr enhver enhet som får produkter eller tjenester fra GEHC knyttet til forretningsprosessene som GEHC er sertifisert for i henhold til Privacy Shield-programmene.

"EØS" betyr Det europeiske økonomiske samarbeidsområdet.

"Personopplysninger" betyr all informasjon, inkludert sensitive personopplysninger, som (i) overføres til GEHC i USA fra EØS eller Sveits underlagt Privacy Shield-programmene, (ii) tas opp i noen form, (iii) er relatert til en identifisert eller identifiserbar enkeltperson, og (iv) kan knyttes til den enkeltpersonen.

"Sensitive personopplysninger" betyr personopplysninger om rase eller etnisk opprinnelse, politiske holdninger, religiøs eller politisk tro, fagforeningsmedlemskap, helse- eller sykejournaler, sexliv eller kriminelt rulleblad.

"Privacy Shield" betyr US-EU Privacy Shield-rammeverket og US-Swiss Privacy Shield-rammeverket

"Personvernrammeverk" henviser samlet til US-EU og US-Swiss Privacy Shield-rammeverkene.

Personopplysninger behandlet av GEHC

GE Healthcare behandler data som kunder sender inn til tjenestene våre eller som de ber oss om å behandle på deres vegne. GE Healthcares kunder bestemmer selvsagt hva slags data de vil sende inn, men de omfatter som regel informasjon om kundene deres, ansatte og forretningspartnere

Formålene med GEHCs behandling av personopplysninger

I samsvar med personvernprinsippene i det relevante personvernrammeverket vil GEHC-personell i USA innhente eller få tilgang til personopplysninger om enkeltpersoner som befinner seg i EØS eller Sveits på vegne av GEHCs kunder for følgende formål: (1) administrere og svare på kundeforespørsler om service eller støtte, (2) håndtere kundeservicehendelser og eskalering av anliggender, (3) utvikle og implementere tilpassede protokoller for kunder, (4) levere eksterne tjenester og feilsøke visse enheter og utstyr, (5) gi teknisk støtte for relevante systemer og databaser, (6) administrere reparasjon, overhaling og kassering utenfor bruksstedet av defekte komponenter og enheter, (7) forsyne ulike avanserte eller tilleggstjenester som en kunde har abonnert på (for eksempel dataanalyse og trending) og (8) ellers støtte GEHC-kundenes bruk av GEHCs produkter og tjenester. GEHC sørger for relevante verts- og infrastrukturtjenester og annen relatert teknologi i USA for å støtte aktivitetene beskrevet i (1) til (8) ovenfor. I forbindelse med aktivitetene beskrevet ovenfor opptrer GEHC som en tjenesteleverandør overfor kundene sine og i henhold til deres instruksjoner.

Merknad

I disse retningslinjene for personvern gir GEHC informasjon om selskapets håndtering av personopplysninger, inkludert til hvilke formål GEHC samler inn og bruker personopplysninger. Siden GEHC opptrer som en tjenesteleverandør overfor kundene sine i forbindelse med forretningsprosessene som GEHC har sertifisert i henhold til det respektive personvernrammeverket, er GEHCs kunder ansvarlige for å gi riktig beskjed til enkeltpersoner som får sine personopplysninger overført til USA, og for å innhente riktig samtykke om nødvendig.

Valg

Siden GEHC innhentet eller bevarer personopplysninger om enkeltpersoner som GEHC ikke har et direkte forhold til som tjenesteleverandør for sine kunder, er GEHCs kunder ansvarlige for å gi de aktuelle personene visse valg med hensyn til kundenes bruk eller overføring av enkeltpersonenes personopplysninger.

GEHC kan overføre personopplysninger (i) til tjenesteleverandører som selskapet har engasjert til å utføre tjenester på dets vegne, (ii) til andre selskaper i GE-gruppen som utfører tjenester på dets vegne, (iii) hvis det er pålagt å gjøre det i henhold til loven eller en juridisk prosess, (iv) til politimyndigheter eller andre myndigheter som svar på lovlige forespørsler fra offentlige myndigheter, inkludert for å oppfylle nasjonale sikkerhetskrav eller krav fra politimyndigheter, eller (v) når GEHC mener at overføring er nødvendig for å unngå fysisk skade eller økonomisk tap, eller i forbindelse med en undersøkelse av mistenkt eller faktisk kriminell aktivitet. GEHC forbeholder seg også retten til å overføre personopplysninger i tilfelle det selger eller overfører hele eller en del av virksomheten eller eiendelene (inkludert i tilfelle omorganisering, oppløsning eller avvikling).

Videreformidling av personopplysninger

GEHC bruker et begrenset antall tredjepartsleverandører som hjelper selskapet med å levere tjenester til kundene. Disse tredjepartsleverandørene tilbyr teknisk støtte til kundene våre og støtter GE Healthcare med reparasjoner og reservedeler for kundeutstyr. Disse tredjepartene kan muligens få tilgang til, behandle eller lagre personopplysninger i løpet av forsyningen av tjenestene. GEHC har kontrakter med disse tredjepartene som begrenser deres tilgang, bruk og overføring av personopplysninger i samsvar med Privacy Shield-forpliktelsene, og disse tredjepartene samtykker kontraktsmessig i å gi minst samme nivå av beskyttelse for personopplysninger som det som er påkrevd av de relevante personvernrammeverkprinsippene. GEHC er ansvarlig for at disse tredjepartene oppfyller disse forpliktelsene, og for eventuell mangelfull utførelse av forpliktelsene.

Tilgang

Siden GEHC har innhentet eller bevarer personopplysninger om enkeltpersoner som GEHC ikke har et direkte forhold til som tjenesteleverandør for sine kunder, er GEHCs kunder ansvarlige for å gi de aktuelle personene tilgang til personopplysningene og retten til å korrigere, endre eller slette informasjonen hvis den er unøyaktig. Enkeltpersoner skal rette spørsmålene sine til den aktuelle kunden. Når en enkeltperson ikke klarer å få kontakt med den aktuelle kunden, eller ikke får svar fra kunden, vil GEHC gi rimelig assistanse med å videresende enkeltpersonens forespørsel til kunden.

Sikkerhet

GEHC tar rimelige forholdsregler for å beskytte personopplysninger mot tap, misbruk og uautorisert tilgang, overføring, endring og ødeleggelse.

Dataintegritet

GEHC tar rimelige trinn for å sikre at personopplysningene som selskapet behandler, er (i) relevante for formålene de skal brukes til, (ii) pålitelige for deres tiltenkte bruk, og (iii) nøyaktige, fullstendige og oppdaterte. Siden GEHC har innhentet eller bevarer personopplysninger om enkeltpersoner som GEHC ikke har et direkte forhold til som tjenesteleverandør for sine kunder, er GEHC avhengig av at kundene deres oppdaterer og korrigerer personopplysninger i den utstrekning det er nødvendig for formålene som informasjonen ble innsamlet for eller som senere godkjent av de relevante enkeltpersonene. Kundene kan kontakte GEHC som angitt nedenfor for å be om at GEHC oppdaterer eller korrigerer personopplysninger som GEHC har innhentet eller bevarer på deres vegne, som aktuelt.

Håndhevelse og tilsyn

GEHC har etablert prosedyrer for periodisk verifisering av implementering og overholdelse av personvernrammeverkets prinsipper. GEHC utfører en årlig egenvurdering av sin håndtering av personopplysninger for å verifisere at attester og påstander fra selskapet angående sin personvernpraksis er sanne og at selskapets personvernpraksis er implementert slik det er representert.

Siden GEHC har innhentet eller bevarer personopplysninger om enkeltpersoner som GEHC ikke har et direkte forhold til som tjenesteleverandør for sine kunder, kan enkeltpersoner sende inn klager angående behandlingen av personopplysningene deres til den relevante kunden, i henhold til kundens prosess for tvisteløsning. GEHC vil delta i denne prosessen på forespørsel fra kunden eller enkeltpersonen.

Hvis GE Healthcare mottar en klage fra en enkeltperson, vil et svar bli gitt innen 45 dager. Hvis klagen ikke kan løses gjennom GEHCs interne prosesser, vil GEHC samarbeide med JAMS i henhold til JAMS internasjonale meklingsregler, som er tilgjengelig på JAMS-nettstedet https://www.jamsadr.com/eu-us-privacy-shield. Megleren eller enkeltpersonen kan også ta opp saken hos U.S. Federal Trade Commission, som har jurisdiksjon på håndhevelse av Privacy Shield over GEHC. Hvis JAMS ikke kan gi en tilfredsstillende løsning på klagen, kan det under visse omstendigheter, som beskrevet på Privacy Shield-nettstedet, være mulig å ta klagen gjennom uavhengig bindende voldgift via Privacy Shield-panelet.

GEHC vil ta trinn for å løse eventuelle problemer som stammer fra manglende etterlevelse av det relevante personvernrammeverkets prinsipper. Kontakt GEHC som angitt nedenfor for å ta opp eventuelle klager angående selskapets håndtering av personopplysninger.

Slik kontakter du GEHC

Du kan kontakte GEHC hvis du har spørsmål eller bekymringer om disse retningslinjene for personvern eller GEHCs praksis vedrørende personopplysninger:

Skriv til:

GE Healthcare
Attention: Chief Privacy Counsel
Research Park
9900 Innovation Drive
Wauwatosa, WI 53226
USA

E-post: gehcprivacy@ge.com

Sist revidert: 7. januar 2020