Globalna polityka prywatności
A. INFORMACJE OGÓLNE
Sonova AG jest zarejestrowana zgodnie z prawem Szwajcarii, jako administrator danych, z siedzibą pod adresem Laubisrütistrasse 28, 8712 Stäfa, Szwajcaria i działa ze swoimi podmiotami stowarzyszonymi zlokalizowanymi na całym świecie (łącznie zwaną „Spółką“lub „my“ lub „nasz“).
Ponieważ Spółka przetwarza dane osobowe w swojej codziennej działalności, niniejsza Globalna Polityka Prywatności („Polityka“) została opracowana i wdrożona w celu opisania praktyk Spółki dotyczących wykorzystywania Danych Osobowych dotyczących jej klientów, kontrahentów i partnerów („Osoby, których dane dotyczą“). Firma zwraca szczególną uwagę na poszanowanie prywatności i danych osobowych i zobowiązuje się do przestrzegania niniejszej Polityki, zgodnie z obowiązującymi przepisami lokalnymi.
Przez „Dane osobowe“ rozumiemy wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Przez „przetwarzanie“ rozumiemy każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, takich jak gromadzenie, utrwalanie, organizacja, strukturyzowanie, przechowywanie, adaptacja lub zmiana, pobieranie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
B. POLITYKA OBOWIĄZUJĄCEGO PRAWA
Spółka zobowiązuje się do przestrzegania obowiązujących przepisów o ochronie danych („Obowiązujące prawo“). W związku z tym, w zależności od krajów, w których Spółka ma siedzibę, przetwarzanie danych osobowych będzie podlegać lokalnemu obowiązującemu prawu. Chociaż niektóre wymagania mogą się różnić w zależności od kraju, Spółka przywiązuje szczególną wagę do prywatności osób, których dane dotyczą, a niniejsza Polityka stanowi globalną wytyczną, do której Firma jest zobowiązana.
W szczególności Spółka zobowiązuje się do przestrzegania następujących przepisów prawa, w stosownych przypadkach:
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO“). RODO ma na celu harmonizację i określenie ram zasad dotyczących przetwarzania danych osobowych na terytorium Unii Europejskiej w celu zapewnienia jednolitych ram prawnych dla profesjonalistów i ma na celu wzmocnienie kontroli obywateli nad wykorzystaniem danych osobowych ich dotyczących. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych obywateli lub rezydentów UE oraz do działalności administratora lub podmiotu przetwarzającego na terytorium UE.
• Szwajcarska ustawa federalna o ochronie danych z dnia 19 czerwca 1992 r. („FADP“), zmodyfikowana w 2020 r. w celu dostosowania do aktualnej technologii i dostosowania do RODO i innych najnowszych przepisów europejskich.
• Kalifornijska ustawa o ochronie prywatności konsumentów z 2018 r. („CCPA“), która ma na celu zapewnienie większej przejrzystości i zagwarantowanie większych praw konsumentom zamieszkałym w Kalifornii, których dane osobowe są przetwarzane przez firmy.
• Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. („HIPAA“), która określa amerykańskie przepisy dotyczące elektronicznego przetwarzania danych zdrowotnych przez podmioty działające na rzecz zdrowia i partnerów biznesowych.
C. GROMADZONE DANE OSOBOWE
Spółka może przetwarzać następujące dane osobowe:
• Dane dotyczące tożsamości: nazwisko, imię, narodowość i data urodzenia
• Dane kontaktowe: adres pocztowy, prywatny numer telefonu, prywatny adres e-mail i kontakt w nagłych wypadkach
• Numer referencyjny ubezpieczenia społecznego i firma ubezpieczeniowa
• Dane finansowe: środki płatnicze, instytucja finansowa, IBAN
• Dane dotyczące zdrowia użytkownika: waga, wzrost, problemy medyczne, recepta lekarska, słuch, śledzenie aktywności fizycznej (liczba kroków, intensywność ćwiczeń, minuty ćwiczeń), dane dotyczące kondycji (tętno, wydatek energetyczny, ciśnienie krwi)
• Dane dotyczące zachowania użytkownika na stronie internetowej
• Dane dotyczące zakupionego przez klienta produktu: model, numer seryjny, dane użytkowe
• Dane dotyczące świadczonej usługi
• Dane dotyczące informacji zwrotnych przekazywane przez klienta na temat naszych produktów i usług: komentarze i uwagi
Ponadto, ponieważ nasza działalność koncentruje się głównie na produkcji innowacyjnych rozwiązań dla aparatów słuchowych, możemy być zobowiązani do gromadzenia wrażliwych danych osobowych, a dokładniej danych dotyczących zdrowia. W zależności od kraju, w którym przebywa osoba, której dane dotyczą, te wrażliwe dane osobowe mogą korzystać ze szczególnej ochrony, w szczególności w zakresie wdrożonych środków bezpieczeństwa i poufności.
D. CELE PRZETWARZANIA DANYCH OSOBOWYCH
Poniższe podstawy prawne stanowią fundament, na którym Spółka opiera się przy przetwarzaniu danych osobowych. Inne podstawy prawne mogą być stosowane w zależności od miejsca zamieszkania osoby, której dane dotyczą i odpowiedniego prawa właściwego.
Po pierwsze, niektóre czynności przetwarzania danych osobowych mogą odbywać się na podstawie zgody osób, których dane dotyczą. Przetwarzanie danych osobowych w tym celu może obejmować:
• Cele marketingowe, takie jak wysyłanie newsletterów oraz informacji o produktach i usługach oferowanych przez Spółkę
• Poprawę wydajność naszej strony internetowej
• Pomoc i współpracę w celu utworzenia konta, skontaktowania się z nami za pośrednictwem formularza kontaktowego, udzielenia odpowiedzi użytkownikom przez Sonova, przeprowadzenia testu słuchu online
Ponadto przetwarzanie danych osobowych, które przeprowadza Spółka, może również opierać się na wykonaniu umowy lub czynnościach przedumownych z osobami, których dane dotyczą. Przetwarzanie danych osobowych w tym celu może obejmować:
• Wypełnienie naszych zobowiązań umownych wobec osób, których dane dotyczą
• Świadczenie usług posprzedażnych po zakupie produktu przez klienta
• Ubezpieczenia społeczne / obsługa ubezpieczeń
• Zarządzanie roszczeniami
Spółka może również przetwarzać dane osobowe w oparciu o swój uzasadniony interes, w szczególności w celu ulepszania naszych produktów i usług, obsługi klienta i procesów wewnętrznych. Przetwarzanie danych osobowych w tym celu może obejmować:
• Przeprowadzanie analiz statystycznych/użytkowych
• Wykonywanie wewnętrznych funkcji administracyjnych
• Przetwarzanie żądań klientów
• Zapobieganie nieuczciwym działaniom i poprawę bezpieczeństwa
• Zarządzanie relacjami z osobami, których dane dotyczą
• Ocenę adekwatności naszych produktów i usług
Spółka może również przetwarzać dane osobowe w celu spełnienia wymogów prawnych. Przetwarzanie w oparciu o wymogi prawne zależy od obowiązującego prawa.
E. PRZECHOWYWANIE DANYCH OSOBOWYCH
Dane osobowe nie będą przechowywane dłużej niż jest to konieczne do wyżej wymienionych celów. Oznacza to, że dane osobowe zostaną usunięte, gdy tylko cel przetwarzania danych osobowych zostanie osiągnięty. Spółka może jednak przechowywać dane osobowe dłużej, jeśli jest to konieczne do zachowania zgodności z obowiązującym prawem lub jeśli jest to konieczne do ochrony lub wykonywania naszych praw, w zakresie dozwolonym przez obowiązujące prawo o ochronie danych.
Po zakończeniu okresu przechowywania może zaistnieć potrzeba zarchiwizowania danych osobowych, przez ograniczony czas i z ograniczonym dostępem, aby zachować zgodność z obowiązującym prawem.
Te okresy przechowywania mogą się różnić w zależności od kraju, w którym przebywają osoby, których dane dotyczą, i zgodnie z obowiązującym prawem.
F. UJAWNIANIE DANYCH OSOBOWYCH
Spółka może udostępniać dane osobowe, za Twoją zgodą lub inną odpowiednią podstawą prawną, następującym stronom trzecim:
• Innym spółkom z naszej grupy, takie jak spółki zależne i stowarzyszone
• Zaufanym partnerom biznesowym świadczącym usługi w naszym imieniu, np. w zakresie wsparcia technicznego, celów marketingowych lub innych rodzajów usług
• Organom rządowym i publicznym, o ile jest to konieczne do świadczenia jakichkolwiek usług, o które wnioskowano lub autoryzowano, w celu ochrony praw klientów, wykonawców i partnerów lub praw naszych lub innych osób, własności lub bezpieczeństwa, w celu utrzymania bezpieczeństwa naszych usług lub jeśli jesteśmy do tego zobowiązani ze względu na obowiązujące prawo, sąd lub inne przepisy rządowe, lub jeśli takie ujawnienie jest w inny sposób konieczne w celu wsparcia jakiegokolwiek dochodzenia prawnego lub karnego lub postępowania sądowego
W zależności od obowiązującego prawa zawieramy umowy z niektórymi stronami trzecimi, aby zapewnić, że dane osobowe są przetwarzane na podstawie naszych instrukcji i zgodnie z niniejszą Polityką oraz wszelkimi innymi odpowiednimi środkami poufności i bezpieczeństwa.
G. PRZEKAZYWANIE DANYCH OSOBOWYCH
Wyżej wymienione strony trzecie, takie jak podmioty stowarzyszone i zależne, a także partnerzy biznesowi, organy publiczne, którym możemy ujawniać dane osobowe, mogą znajdować się poza krajem zamieszkania osoby, której dane dotyczą, potencjalnie w tym w krajach, w których przepisy o ochronie danych mogą różnić się od przepisów w kraju, w którym znajdują się osoby, których dane dotyczą.
Jeśli dane osobowe są przetwarzane w Unii Europejskiej/Europejskim Obszarze Gospodarczym, a w przypadku ujawnienia danych osobowych stronom trzecim w kraju, który według Komisji Europejskiej nie jest uważany za zapewniający odpowiedni poziom ochrony, Spółka zapewni:
• Wdrożenie odpowiednich procedur w celu zapewnienia zgodności z obowiązującym prawem, w szczególności gdy konieczny jest wniosek o udzielenie zezwolenia od właściwego organu nadzorczego
• Wdrożenie odpowiednich zabezpieczeń organizacyjnych, technicznych i prawnych regulujących wspomniane przekazanie oraz w celu zapewnienia niezbędnego i odpowiedniego poziomu ochrony na mocy obowiązującego prawa.
• W razie potrzeby wdrożenie standardowych klauzul umownych przyjętych przez Komisję Europejską
• W razie potrzeby podjęcie dodatkowych środków, jakich jak przeprowadzenie oceny adekwatności transferu danych, jeżeli po dokonaniu oceny okoliczności transferu i po dokonaniu oceny ustawodawstwa państwa trzeciego jest to konieczne do ochrony przekazywanych danych osobowych.
Jeśli dane osobowe nie są przetwarzane w Unii Europejskiej/Europejskim Obszarze Gospodarczym, a także w przypadku ujawnienia danych osobowych stronom trzecim znajdującym się poza jurysdykcją osoby, której dane dotyczą, Spółka zapewni odpowiednie zabezpieczenia w celu ochrony danych osobowych poprzez wdrożenie odpowiednich mechanizmów prawnych. Mechanizmy te mogą się różnić w zależności od kraju i odpowiedniego prawa właściwego.
H. BEZPIECZEŃSTWO DANYCH OSOBOWYCH
Spółka wdraża różne środki bezpieczeństwa, zgodnie z obowiązującym prawem, w celu ochrony danych osobowych przed incydentami bezpieczeństwa lub nieautoryzowanym ujawnieniem, a tym samym przed naruszeniem danych osobowych. Te środki bezpieczeństwa są uznawane za odpowiednie standardy bezpieczeństwa w branży i obejmują między innymi kontrolę dostępu, hasło, szyfrowanie i regularne oceny bezpieczeństwa.
W przypadku naruszenia danych osobowych, a w szczególności w przypadku naruszenia bezpieczeństwa skutkującego, przypadkowo lub niezgodnie z prawem, zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, Spółka podejmie odpowiednie środki, takie jak:
• Badanie i analizowanie w celu ustalenia konsekwencji naruszenia ochrony danych osobowych, a w szczególności tego, czy może ono stwarzać ryzyko dla praw i wolności osób, których to dotyczy.
• Jeśli analiza wykaże, że istnieje ryzyko naruszenia praw i wolności osób, których to dotyczy, powiadomienie właściwego organu, a w przypadku wysokiego ryzyka poinformowanie o tym osób których to dotyczy.
• Jak najszybsze wdrożenie środków niezbędnych do naprawienia i złagodzenia naruszenia danych osobowych
• Dokumentowanie naruszenia ochrony danych osobowych w celu zapewnienia ich identyfikowalności
Odpowiednie środki i procedury w przypadku naruszenia ochrony danych osobowych mogą się różnić w zależności od kraju, w którym do niego doszło, rodzaju naruszenia i w zależności od odpowiedniego prawa właściwego.
I. PRAWA DO PRYWATNOŚCI ZWIĄZANE Z DANYMI OSOBOWYMI
W zależności od odpowiedniego obowiązującego prawa, osoby, których dane dotyczą, mają prawa związane z ich danymi osobowymi, takie jak prawo do żądania dostępu, sprostowania, usunięcia swoich danych osobowych, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, żądania przenoszenia danych, uzyskania informacji i wycofania zgody na przetwarzanie danych osobowych. Osoby, których dane dotyczą, mogą również sprzeciwić się zautomatyzowanemu podejmowaniu decyzji indywidualnych, jeśli takie przetwarzanie ich dotyczy.
Ponadto w niektórych jurysdykcjach możesz przekazać instrukcje dotyczące przechowywania, komunikowania i usuwania Twoich danych osobowych pośmiertnie
Korzystanie z tych praw nie ma charakteru bezwzględnego i podlega ograniczeniom przewidzianym przez obowiązujące prawo.
Osoby, których dane dotyczą, mogą mieć prawo do złożenia skargi do lokalnego organu nadzorczego lub właściwego organu regulacyjnego, jeśli uznają, że przetwarzanie ich danych osobowych narusza obowiązujące prawo.
Aby skorzystać z tych praw do prywatności, osoby, których dane dotyczą, mogą kontaktować się z nami w sposób opisany w sekcji „Jak się z nami skontaktować“ poniżej. Możemy poprosić o dowód tożsamości, aby odpowiedzieć na żądanie. Jeśli nie będziemy w stanie spełnić Twojej prośby (odmowy lub ograniczenia), uzasadnimy naszą decyzję na piśmie.
J. AKTUALIZACJE NINIEJSZEJ POLITYKI
W razie potrzeby możemy od czasu do czasu aktualizować niniejszą Politykę w celu odzwierciedlenia nowych lub innych praktyk w zakresie prywatności. W takim przypadku opublikujemy zaktualizowane wersje niniejszej Polityki na tej stronie. Zmieniona Polityka będzie miała zastosowanie wyłącznie do danych zebranych po dacie jej wejścia w życie. Zachęcamy do okresowego przeglądania tej strony w celu uzyskania najnowszych informacji na temat naszych praktyk w zakresie prywatności.
K. JAK SIĘ Z NAMI SKONTAKTOWAĆ
W przypadku jakichkolwiek pytań, komentarzy lub wątpliwości dotyczących niniejszej Polityki lub w celu skorzystania z praw do prywatności dozwolonych przez obowiązujące prawo związane z danymi osobowymi, prosimy o kontakt z naszym inspektorem ochrony danych pod następującym adresem: Sonova AG, Laubisruetistrasse 28, 8712 Stäfa, Szwajcaria lub wysyłając e-mail na adres: privacy@sonova.com