Polityka prywatności

Polityka prywatności 

Clinical Trial Media, Inc. („CTM”) 

Polityka prywatności 

Data wejścia w życie: 22 stycznia 2021 r. 

WPROWADZENIE   

CTM zobowiązuje się szanować i chronić prywatność użytkowników. 

Niniejsza polityka prywatności określa, w jaki sposób dbamy o dane osobowe użytkowników, w jaki sposób będziemy wykorzystywać dane osobowe użytkowników oraz informuje użytkowników o przysługujących im prawach dotyczących prywatności oraz o tym, w jaki sposób prawo ich chroni. 

Niniejsza polityka prywatności określa nasze podejście do ochrony danych osobowych na całym świecie i zdajemy sobie sprawę, że będzie ona funkcjonować w różnych jurysdykcjach i systemach prawnych: 

1. W Stanach Zjednoczonych Federalna Komisja Handlu jest odpowiedzialna za przestrzeganie przez nas przepisów dotyczących danych osobowych. Jeśli użytkownik nie wyraża zgody na warunki niniejszej polityki prywatności, nie należy uzyskiwać dostępu do żadnej strony internetowej ani usługi CTM. 
2. W pozostałych częściach świata obowiązują różne przepisy prawne, a w szczególności będziemy wykorzystywać i chronić dane osobowe w sposób zgodny z zasadami obowiązującymi w Europejskim Obszarze Gospodarczym („EOG”), które przyjęły Ogólne rozporządzenie o ochronie danych („RODO”) oraz w Wielkiej Brytanii („UK”), która przyjęła własną wersję RODO. W EOG lub Wielkiej Brytanii odpowiedni krajowy organ nadzorczy będzie miał jurysdykcję nad zgodnością z przepisami obowiązującymi w danym kraju. Jeśli użytkownik nie wyraża zgody na warunki niniejszej polityki prywatności, proszę nie odwiedzać ani nie korzystać z żadnej strony internetowej ani usługi CTM. 

SPIS TREŚCI 

1. CEL 
2. DANE, KTÓRE GROMADZIMY NA TEMAT UŻYTKOWNIKA 
3. W JAKI SPOSÓB GROMADZONE SĄ DANE OSOBOWE UŻYTKOWNIKA 
4. W JAKI SPOSÓB WYKORZYSTUJEMY i UJAWNIAMY DANE OSOBOWE UŻYTKOWNIKA 
5. MIĘDZYNARODOWY TRANSFER DANYCH 
6. BEZPIECZEŃSTWO DANYCH 
7. PRZECHOWYWANIE DANYCH 
8. PRAWA UŻYTKOWNIKA DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH NA MOCY ROZPORZĄDZENIA RODO I PRZEPISÓW DOTYCZĄCYCH OCHRONY PRYWATNOŚCI W WIELKIEJ BRYTANII 
9. PRAWA UŻYTKOWNIKA DO PRYWATNOŚCI W STANIE KALIFORNIA 
10. DEFINICJE 

1. CEL   

Niniejsza polityka prywatności opisuje, w jaki sposób CTM gromadzi, wykorzystuje, przetwarza i chroni dane osobowe użytkownika oraz informuje o możliwościach wyboru i zarządzania jego danymi osobowymi. 

Ważne jest, aby użytkownik zapoznał się z niniejszą polityką prywatności wraz z innymi politykami prywatności lub informacjami dotyczącymi uczciwego przetwarzania danych, które możemy przekazywać w określonych przypadkach, gdy gromadzimy lub przetwarzamy dane osobowe użytkownika, aby był on w pełni świadomi, w jaki sposób i dlaczego wykorzystujemy jego dane. Niniejsza polityka prywatności stanowi uzupełnienie innych powiadomień i nie ma na celu ich zastąpienia. 

1.1 ADMINISTRATOR DANYCH   

Niniejsza polityka prywatności jest wydawana w imieniu CTM, więc gdy „my”, „nas” lub „nasza” jest wymieniona w niniejszej polityce prywatności, jesteśmy odpowiedzialni za przetwarzanie danych użytkownika. 

Wyznaczyliśmy inspektora ds. ochrony danych, który jest odpowiedzialny za zadawanie pytań związanych z niniejszą polityką prywatności. W razie jakichkolwiek pytań dotyczących niniejszej polityki prywatności, w tym wszelkich wniosków o skorzystanie z przysługujących praw, proszę skontaktować się z inspektorem ochrony danych, korzystając z danych podanych poniżej. 

1.2 DANE KONTAKTOWE   

Nasze dane kontaktowe dotyczące wniosków o prawa do prywatności oraz informacje na temat naszych praktyk w zakresie prywatności to:
Imię i nazwisko osoby prawnej: Clinical Trial Media, Inc.
Imię i nazwisko lub stanowisko inspektora ochrony danych: Henry Shinn
Adres e-mail: privacy@clinicaltrialmedia.com
Numer telefonu: 516-470-0720
Adres pocztowy: 100 Motor Parkway, Suite 528, Hauppauge, NY 11788, Stany Zjednoczone
Adres URL: https://clinicaltrialmedia.com/request-form/ 

1.3 SKARGI 

Użytkownikowi przysługuje prawo do złożenia skargi do właściwego krajowego organu nadzorczego w kraju zamieszkania. Aby dowiedzieć się więcej na temat tego prawa i zlokalizować właściwe organy ds. ochrony danych, należy wejść na stronę Komisji Europejskiej (https://ec.europa.eu/info/policies/justice-and-fundamental-rights_en), natomiast mieszkańcy Wielkiej Brytanii, powinni odwiedzić stronę internetową Biura Rzecznika Informacji („ICO”) (www.ico.org.uk). Jeśli użytkownik mieszka w Stanach Zjednoczonych, może skontaktować się z Federalną Komisją Handlu USA w sprawie swoich wątpliwości. Więcej informacji można znaleźć na stronie https://www.ftc.gov/faq/consumer-protection/submit-consumer-complaint-ftc. 

Będziemy jednak wdzięczni, jeśli będziemy mogli odpowiedzieć na wątpliwości użytkownika przed skontaktowaniem się z jednym z krajowych organów nadzorczych, prosimy więc o kontakt w pierwszej kolejności. 

1.4 ZMIANY W POLITYCE PRYWATNOŚCI I PANA/PANI OBOWIĄZEK INFORMOWANIA NAS O ZMIANACH W PANA/PANI DANYCH OSOBOWYCH   

Zastrzegamy sobie prawo do zmiany niniejszej polityki prywatności i będziemy informować użytkownika o takich zmianach poprzez aktualizację niniejszej polityki, dlatego prosimy o sprawdzanie jej od czasu do czasu, zwłaszcza jeśli użytkownik nadal ma z nami kontakt. Ważne jest, aby przechowywane przez nas dane osobowe były dokładne i aktualne. Prosimy na bieżąco informować nas, jeśli dane osobowe użytkownika ulegną zmianie w trakcie trwania relacji użytkownika z nami. 

1.5 ŁĄCZA OSÓB TRZECICH   

Ta strona internetowa może zawierać łącza do stron internetowych, wtyczek i aplikacji osób trzecich. Kliknięcie tych łączy lub umożliwienie im połączenia może umożliwić osobom trzecim gromadzenie lub udostępnianie danych na temat użytkownika. Nie kontrolujemy tych stron internetowych podmiotów zewnętrznych i nie ponosimy odpowiedzialności za ich oświadczenia dotyczące prywatności. Po opuszczeniu naszej strony internetowej zachęcamy do zapoznania się z polityką prywatności każdej odwiedzanej strony internetowej 

 2. DANE, KTÓRE GROMADZIMY NA PANA/PANI TEMAT   

Termin „dane osobowe” lub „informacje osobowe” oznacza wszelkie informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Nie obejmuje to jednak danych, z których zostały usunięte informacje dotyczące tożsamości (dane zanonimizowane). 

Możemy gromadzić, wykorzystywać, przechowywać i przekazywać różne kategorie danych osobowych na temat użytkownika, które zostały połączone w jedną z następujących grup: 

• Dane określające tożsamość obejmują imię, nazwisko panieńskie, nazwisko, nazwę użytkownika lub podobny identyfikator, datę urodzenia i płeć. 
• Dane kontaktowe obejmują adres rozliczeniowy, adres dostawy, adres e-mail i numery telefonów. 
• Dane finansowe obejmują dane bankowe klientów, dostawców i agentów na potrzeby dokonywania płatności przez nas i nas w związku ze świadczonymi przez nas usługami. 
• Dane transakcji obejmują szczegóły dotyczące produktów i usług, które użytkownik otrzymał lub zakupił od nas i/lub podmiotów stowarzyszonych. 
• Dane techniczne obejmują adres protokołu internetowego („IP”), dane logowania, typ i wersję przeglądarki, ustawienie strefy czasowej i lokalizację, typy i wersje wtyczki przeglądarki, system operacyjny i platformę oraz inne technologie na urządzeniach, z których korzystasz do uzyskania dostępu do tej strony internetowej. 
• Dane profilowe obejmują nazwę użytkownika i hasło, zakupy lub zamówienia dokonane przez użytkownika, jego zainteresowania, preferencje, informacje zwrotne oraz odpowiedzi udzielone w ankiecie/kwestionariuszu. 
• Dane o użytkowaniu obejmują informacje o tym, w jaki sposób użytkownik korzysta z naszej strony internetowej, produktów i usług. 
• Dane marketingowe i komunikacyjne obejmują preferencje użytkownika w zakresie otrzymywania informacji marketingowych od nas i/lub podmiotów stowarzyszonych. 
• Dane zdrowotne obejmują informacje dotyczące dowolnego aspektu zdrowia użytkownika i/lub konsekwencji udziału w jakichkolwiek badaniach klinicznych organizowanych przez naszych klientów.

Możemy również gromadzić, wykorzystywać i udostępniać dane zbiorcze, takie jak ogólne dane statystyczne lub demograficzne, w dowolnym celu. Zbiorcze dane mogą pochodzić z danych osobowych użytkownika, ale nie są uznawane za dane osobowe zgodnie z prawem, ponieważ dane te nie ujawniają bezpośrednio ani pośrednio tożsamości użytkownika. Możemy na przykład łączyć Dane dotyczące wykorzystania w celu obliczenia odsetka użytkowników uzyskujących dostęp do określonej funkcji strony internetowej. Jeżeli jednak połączymy lub połączymy dane zbiorcze z danymi osobowymi użytkownika, aby umożliwić bezpośrednią lub pośrednią identyfikację użytkownika, traktujemy połączone dane jako dane osobowe, które będą wykorzystywane zgodnie z niniejszą polityką prywatności.   

Oprócz danych dotyczących zdrowia oraz ankiety (ankiet) lub kwestionariusza (kwestionariuszy), w których mamy obowiązek wziąć udział, zwykle nie gromadzimy żadnych szczególnych kategorii danych osobowych na temat użytkownika (w tym szczegółowych informacji na temat rasy lub pochodzenia etnicznego, przekonań religijnych lub filozoficznych, życia seksualnego, orientacji seksualnej, opinii politycznych i członkostwa w związkach zawodowych).   

2.1 W PRZYPADKU NIEPODANIA DANYCH OSOBOWYCH   

W przypadku gdy musimy gromadzić dane osobowe zgodnie z prawem lub zgodnie z warunkami umowy, którą zawieramy z użytkownikiem, a użytkownik nie przekaże tych danych na żądanie, możemy nie być w stanie zrealizować umowy, którą zawarliśmy lub staramy się zawrzeć z użytkownikiem (na przykład w celu świadczenia mu naszych usług). W takim przypadku możemy być zmuszeni anulować produkt lub usługę, którą użytkownik u nas posiada u nas, ale powiadomimy go o tym w stosowanym czasie, jeśli tak się stanie. 

3. W JAKI SPOSÓB GROMADZONE SĄ DANE OSOBOWE UŻYTKOWNIKA

Stosujemy różne metody gromadzenia kategorii danych opisanych powyżej od użytkownika i na temat użytkownika, w tym poprzez:   

• Bezpośrednie interakcje. Użytkownik może przekazać nam swoje dane osobowe, wypełniając formularze lub kontaktując się z nami pocztą tradycyjną, telefonicznie i pocztą elektroniczną lub w inny sposób. Obejmuje to dane osobowe podawane, gdy użytkownik: 
  • stara się uzyskać dostęp do naszych usług lub produktów online; 
  • zawiera umowę o świadczenie naszych usług; lub 
  • prosi o przesłanie materiałów marketingowych. 
• Zautomatyzowane technologie lub interakcje. Podczas korzystania z naszej strony internetowej możemy automatycznie gromadzić Dane techniczne dotyczące sprzętu użytkownika, czynności związanych z przeglądaniem i wzorców przeglądania. Gromadzimy te dane osobowe za pomocą plików cookie, plików dziennika i innych podobnych technologii. Możemy również otrzymywać dane techniczne na temat użytkownika, jeśli odwiedza on inne strony internetowe wykorzystujące nasze pliki cookie. Te zbiorcze dane dostarczają „makrowidoku” wzorca ruchu osób odwiedzających stronę i informacji na temat tego, które części strony internetowej są najczęściej odwiedzane. Wykorzystujemy te informacje, aby określić, jaki rodzaj technologii jest dostępny na komputerach osób odwiedzających stronę internetową, dzięki czemu możemy ich lepiej obsługiwać, wykorzystując bardziej zaawansowane technologie (np. Macromedia Flash). Żadne z tych informacji nie są powiązane z żadnymi Danymi osobowymi. 
  • Pasywnie gromadzimy i rejestrujemy następujące informacje od osób odwiedzających naszą witrynę: 
    • typ przeglądarki; 
    • adres IP; 
    • nazwa domeny; 
    • godzina dostępu; 
    • system operacyjny. 

• Osoby trzecie lub publicznie dostępne źródła. Możemy otrzymywać dane osobowe użytkowników od różnych osób trzecich i ze źródeł publicznych, jak określono poniżej: 
  • Możemy otrzymywać Dane techniczne od następujących podmiotów: 
    • dostawcy usług analitycznych, takich jak Google; 
    • sieci reklamowe; 
    • dostawcy informacji dotyczących wyszukiwania; 
    • portale. 
  • Dane kontaktowe i transakcyjne od dostawców usług technicznych, usług płatności i dostaw. 
  • Dane identyfikacyjne i kontaktowe od brokerów danych lub agregatorów danych. 

4 W JAKI SPOSÓB WYKORZYSTUJEMY i UJAWNIAMY DANE OSOBOWE UŻYTKOWNIKA   

Będziemy wykorzystywać dane osobowe użytkownika tylko wtedy, gdy zezwala na to prawo. Najczęściej będziemy wykorzystywać dane osobowe użytkownika w następujących okolicznościach: 

• w przypadku, gdy musimy zrealizować umowę, którą zamierzamy zawrzeć lub którą zawarliśmy z użytkownikiem, lub w celu wypełnienia innych zobowiązań prawnych; 
• gdy jest to konieczne ze względu na nasze uzasadnione interesy (lub interesy osób trzecich), a interesy i podstawowe prawa użytkownika nie mają charakteru nadrzędnego wobec tych interesów (dotyczy to EOG i Wielkiej Brytanii); 
• gdy musimy przestrzegać zobowiązań prawnych lub regulacyjnych. 

W EOG, w odniesieniu do wysyłania wiadomości marketingowych do użytkownika za pośrednictwem poczty elektronicznej lub wiadomości tekstowej, będziemy to robić tylko wtedy, gdy (i) uzyskamy wyraźną zgodę użytkownika lub (ii) jest on istniejącym klientem. Użytkownik ma prawo wycofać zgodę na marketing w dowolnym momencie, kontaktując się z nami. 

4.1 CELE, DLA KTÓRYCH BĘDZIEMY WYKORZYSTYWAĆ DANE OSOBOWE UŻYTKOWNIKA   

Poniżej, w formie tabeli, przedstawiamy opis sposobu, w jaki zamierzamy wykorzystywać dane osobowe użytkownika oraz podstawę prawną, z której korzystamy. W stosownych przypadkach określiliśmy również nasze uzasadnione interesy. 

Należy pamiętać, że możemy przetwarzać dane osobowe użytkownika w więcej niż jednej zgodnej z prawem podstawie, w zależności od konkretnego celu, w jakim wykorzystujemy dane użytkownika. Prosimy o kontakt w celu uzyskania szczegółowych informacji na temat konkretnej podstawy prawnej, z której korzystamy w celu przetwarzania danych osobowych użytkownika, jeżeli w poniższej tabeli określono więcej niż jedną podstawę. 

4.2 UJAWNIANIE INFORMACJI OSOBOM TRZECIM   

Zasadniczo nie udostępniamy danych klinicznych użytkownika żadnej firmie spoza CTM, z wyjątkiem naszych zaufanych klientów i usługodawców, jeśli jest to konieczne do prowadzenia testów i badań klinicznych. 

Możemy być zmuszeni udostępnić dane osobowe użytkownika osobom wymienionym poniżej w celach określonych w tabeli w punkcie 4.1 powyżej. 

• Podwykonawcy zewnętrzni, którzy świadczą usługi dla nas i/lub pomagają w świadczeniu usług na rzecz użytkownika. W przypadku, gdy korzystamy z usług podwykonawców posiadających dostęp do danych osobowych użytkownika, zapewniamy, że istnieją ścisłe warunki umowne mające na celu zapewnienie, że będą oni przetwarzać dane osobowe wyłącznie w zakresie, w jakim przekażemy im takie instrukcje na piśmie, a we wszystkich takich umowach znajdują się odpowiednio sformułowane klauzule dotyczące poufności i ochrony danych. 
• Osoby trzecie, którym możemy sprzedać części naszej działalności lub naszych aktywów lub na które możemy je przenieść lub z którymi możemy je połączyć. Ewentualnie możemy dążyć do przejęcia innych firm lub ich połączenia. Jeśli w związku z naszą działalnością dojdzie do zmiany kontroli, nowi właściciele mogą wykorzystywać dane osobowe użytkownika w taki sam sposób, jak określono w niniejszej polityce prywatności. 
• Możemy ujawniać dane osobowe organom ścigania, organom rządowym lub innym podmiotom w odpowiedzi na wezwania sądowe lub proces wymagany przez obowiązujące przepisy prawa lub w okolicznościach, w których może dojść do szkody fizycznej lub finansowej, oszustwa lub przestępstwa. 

Od wszystkich osób trzecich wymagamy poszanowania bezpieczeństwa danych osobowych użytkownika i traktowania ich zgodnie z prawem. Nie zezwalamy naszym zewnętrznym usługodawcom na wykorzystywanie danych osobowych użytkownika do ich własnych celów i zezwalamy im na przetwarzanie danych osobowych użytkownika wyłącznie w określonych celach i zgodnie z naszymi instrukcjami. 

Nie sprzedajemy danych osobowych użytkownika żadnej osobie trzeciej. Wykorzystywanie i ujawnianie przez nas informacji zdrowotnych umożliwiających ustalenie tożsamości (Personal Identifiable Health Information, „PIHI”) ogranicza się do minimalnej ilości danych osobowych niezbędnych do osiągnięcia zamierzonego celu konkretnego testu lub badania klinicznego i jest wykorzystywane w związku z czynnościami wykonywanymi przed badaniami przesiewowymi dla takich projektów badań klinicznych. Obejmuje to korzystanie z kwestionariuszy badania, które obejmują wyłącznie pytania dotyczące zdrowia i kwestii medycznych bezpośrednio związanych z odpowiednim badaniem klinicznym, jak zostało to określone w zatwierdzonych protokołach. 

PIHI nie będą zazwyczaj wykorzystywane przez nas ani ujawniane przez nas osobom trzecim, chyba że uzyskamy na to wyraźną zgodę. 

W wyjątkowych przypadkach informacje poufne mogą zostać przez nas ujawnione, jeśli wymagają tego stosowne przepisy prawa lub regulacje. W szczególności obejmuje to między innymi sytuacje, w których jesteśmy zobowiązani do ujawnienia takich Informacji zdrowotnych w związku z wnioskami władz publicznych w celu spełnienia wymogów bezpieczeństwa narodowego lub egzekwowania prawa. Obejmuje to wykorzystanie i/lub ujawnienie w celu: 

• zapobiegania lub kontrolowania choroby, urazu lub niepełnosprawności; 
• zgłaszania choroby, urazu lub niepełnosprawności; 
• pomocy w nadzorowaniu zdrowia publicznego, dochodzeniach lub interwencjach; 
• zgłaszania przemocy wobec dzieci lub zaniedbania dzieci lub przemocy domowej; 
• uniknięcia poważnego zagrożenia dla osoby (osób) lub zdrowia lub bezpieczeństwa publicznego; 
• przekazania informacji koronerom i/lub lekarzom lub w celu przekazania tkanki; 
• podjęcia odpowiednich kroków w związku z postępowaniem sądowym i odpowiednimi nakazami sądowymi lub wezwaniem sądowym; 
• związanym ze specjalistycznymi funkcjami rządowymi i wynagrodzeniem pracowniczym; 
• związanym z członkami personelu, którzy są sygnalistami lub ofiarami przestępstwa; 
• lub gdy w dobrej wierze uważamy, że ujawnienie jest konieczne w celu ochrony naszych praw lub bezpieczeństwa użytkownika, bezpieczeństwa innych osób lub dochodzenia w sprawie oszustwa. 

4.3 REZYGNACJA   

Użytkownik może poprosić nas lub osoby trzecie o zaprzestanie wysyłania informacji/wiadomości przypominających w dowolnym momencie, kontaktując się z nami. 

W przypadku rezygnacji z otrzymywania tych informacji/przypomnień, nie będzie to dotyczyć danych osobowych przekazanych nam w wyniku zakupu produktu/usługi, rejestracji gwarancyjnej, doświadczenia produktowego/usługowego lub innych transakcji. 

4.4 PLIKI COOKIE   

Używamy plików cookie wyłącznie do rejestrowania informacji dotyczących konkretnego użytkownika na temat stron, do których użytkownik uzyskuje dostęp lub które odwiedza, rejestrowania aktywności w przeszłości oraz zarządzania sesjami i personalizacji. Korzystanie z plików cookie umożliwia użytkownikom lepszą obsługę po powrocie do witryny internetowej. 

Możesz ustawić przeglądarkę tak, aby odrzucała wszystkie lub niektóre pliki cookie przeglądarki lub ostrzegała użytkownika, kiedy strony internetowe ustawiają pliki cookie lub uzyskują do nich dostęp. W przypadku wyłączenia lub odrzucenia plików cookie należy pamiętać, że niektóre części strony internetowej mogą stać się niedostępne lub mogą nie działać prawidłowo. 

4.4.1 Kontrola plików cookie. W interaktywnym oświadczeniu CTM dotyczącym plików cookie wyraźnie zaznaczono, w jaki sposób użytkownik śledzi swoje zachowanie i oferuje łatwe w użyciu mechanizmy kontrolne umożliwiające udzielenie i wycofanie zgody. Użytkownik ma kontrolę, aby zapobiec umieszczaniu plików cookie na swoim komputerze do momentu uzyskania zgody poprzez działanie potwierdzające. 

4.5 ZMIANA CELU   

Będziemy wykorzystywać dane osobowe użytkowników wyłącznie w celach, w których je zgromadziliśmy, chyba że zasadnie uznamy, że musimy je wykorzystać z innego powodu, a powód ten jest zgodny z pierwotnym celem.   

Jeśli będziemy musieli wykorzystać dane osobowe użytkownika do celów niezwiązanych, powiadomimy o tym użytkownika i wyjaśnimy podstawę prawną, która nam na to pozwala. 

Prosimy pamiętać, że możemy przetwarzać dane osobowe użytkownika bez jego wiedzy lub zgody, zgodnie z powyższymi zasadami, jeśli jest to wymagane lub dozwolone przez prawo. 

4.6 WYKORZYSTANIE DANYCH ZDROWOTNYCH W STANACH ZJEDNOCZONYCH 

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. („HIPAA”) oraz późniejsze przepisy opublikowane przez Departament Zdrowia i Opieki Społecznej („DHHS”) nakładają ograniczenia na inne organizacje (podmioty objęte zakresem ustawy HIPAA) w odniesieniu do relacji użytkownika z CTM. CTM może, zapewniając usługi telefonicznego centrum obsługi uczestników dla jednej z tych organizacji, być zobowiązana do przestrzegania określonych aspektów HIPAA w zakresie prowadzenia przez nią czynności badawczych z udziałem ludzi. 

Chociaż CTM nie jest podmiotem objętym ustawą HIPAA, nasze polityki i procedury, które regulują prawa do prywatności uczestników badania zawarte w niniejszej polityce prywatności, są zgodne z wymogami ustawy HIPAA dla podmiotów objętych ustawą i staną się standardem w odniesieniu do działań badawczych obejmujących PIHI. 

Wszystkie dane PIHI zebrane przez CTM w związku z rekrutacją uczestników do klinicznego badania naukowego są rejestrowane elektronicznie i przesyłane za pośrednictwem bezpiecznego połączenia sieciowego do bezpiecznej bazy danych. Polityki bezpieczeństwa danych CTM są zgodne ze standardami Dobrej Praktyki Klinicznej, HIPAA i RODO. CTM prowadzi oddzielne Polityki bezpieczeństwa dotyczące bezpieczeństwa fizycznego, bezpieczeństwa sieci i bezpieczeństwa aplikacji. 

5. MIĘDZYNARODOWY TRANSFER DANYCH   

Niektóre dane osobowe mogą być przechowywane na serwerach w USA. Będzie to obejmować przekazywanie danych użytkownika poza Europejski Obszar Gospodarczy („EOG”) lub Wielką Brytanię. Ponadto korzystamy z usług osób trzecich, które mają serwery IT zlokalizowane w Stanach Zjednoczonych, które przechowują dane osobowe użytkownika. Użytkownik wyraża zgodę na przekazywanie jego danych osobowych do Stanów Zjednoczonych. 

Za każdym razem, gdy przesyłamy i/lub przetwarzamy dane osobowe użytkownika poza terytorium EOG lub Wielkiej Brytanii, zapewniamy podobny stopień ochrony, korzystając z konkretnych umów zatwierdzonych przez Komisję Europejską (lub ICO w Wielkiej Brytanii), które zapewniają taką samą ochronę danych osobowych, jak w Europie. 

6. BEZPIECZEŃSTWO DANYCH   

Wraz z naszymi zewnętrznymi partnerami hostingowymi wdrożyliśmy odpowiednie środki bezpieczeństwa, aby zapobiec przypadkowej utracie, wykorzystaniu lub uzyskaniu dostępu do danych osobowych użytkownika w nieupoważniony sposób, ich zmianie lub ujawnieniu. Ponadto ograniczamy dostęp do danych osobowych użytkownika wyłącznie do tych pracowników, agentów, wykonawców i innych osób trzecich, które muszą go mieć. Będą oni przetwarzać dane osobowe użytkownika wyłącznie zgodnie z naszymi instrukcjami i podlegają zobowiązaniu do zachowania poufności. 

Wdrożyliśmy procedury postępowania w przypadku podejrzewanego naruszenia ochrony danych osobowych i powiadomimy użytkownika oraz wszelkie stosowne organy regulacyjne o takim naruszeniu, jeśli jesteśmy do tego prawnie zobowiązani. 

7. PRZECHOWYWANIE DANYCH   

Będziemy przechowywać dane osobowe użytkownika wyłącznie tak długo, jak będzie to konieczne do realizacji celów, do których je zebraliśmy, w tym w celu spełnienia wszelkich wymogów prawnych, księgowych lub sprawozdawczych.   

Aby określić odpowiedni okres przechowywania danych osobowych, bierzemy pod uwagę ilość, charakter i wrażliwość danych osobowych, potencjalne ryzyko szkód wynikających z nieupoważnionego wykorzystania lub ujawnienia danych osobowych użytkownika, cele, dla których przetwarzamy dane osobowe użytkownika oraz to, czy możemy osiągnąć te cele za pomocą innych środków i obowiązujących wymogów prawnych.  

W niektórych okolicznościach na terenie EOG i Wielkiej Brytanii użytkownik może poprosić nas o usunięcie swoich danych: więcej informacji na ten temat można znaleźć w punkcie zatytułowanym „Prawa użytkownika dotyczące prywatności na mocy RODO i brytyjskiego prawa dotyczącego prywatności”. 

Możemy również zanonimizować dane osobowe użytkownika (aby nie mogły być już powiązane z użytkownikiem) w celach badawczych lub statystycznych, w którym to przypadku możemy wykorzystywać te informacje bez uprzedzenia bez dalszego powiadamiania użytkownika. 

8. PRAWA UŻYTKOWNIKA DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH NA MOCY RODO I PRZEPISÓW DOTYCZĄCYCH OCHRONY PRYWATNOŚCI W WIELKIEJ BRYTANII

W pewnych okolicznościach w EOG i Wielkiej Brytanii użytkownikowi przysługują następujące prawa wynikające z przepisów o ochronie danych w odniesieniu do Pana/Pani jego danych osobowych: 

Żądanie dostępu do danych osobowych użytkownika (często określana jako „wniosek o dostęp do danych”). Umożliwia to otrzymanie kopii danych osobowych, które przechowujemy na temat użytkownika oraz sprawdzenie, czy przetwarzamy je zgodnie z prawem. 

Żądanie sprostowania przechowywanych przez nas danych osobowych na temat użytkownika. Umożliwia to sprostowanie wszelkich niekompletnych lub niedokładnych danych, które przechowujemy na temat użytkownika, jednak może być konieczne sprawdzenie dokładności nowych danych, które nam podaje użytkownik. 

Żądanie usunięcia swoich danych osobowych. Umożliwia to użytkownikowi poproszenie nas o usunięcie lub usunięcie danych osobowych, jeśli nie ma ku temu uzasadnionego powodu. Użytkownik ma również prawo zażądać od nas wykasowania lub usunięcia jego danych osobowych w przypadku, gdy z powodzeniem skorzystał on ze swojego prawa do wyrażenia sprzeciwu wobec przetwarzania (patrz poniżej), gdy mogliśmy przetwarzać jego dane bezprawnie lub gdy jesteśmy zobowiązani do usunięcia jego danych osobowych w celu zachowania zgodności z lokalnym prawem. Należy jednak pamiętać, że nie zawsze będziemy w stanie spełnić żądanie usunięcia danych z określonych powodów prawnych, o których użytkownik zostanie poinformowany, w stosownych przypadkach, w momencie złożenia wniosku.  

Wyrażenie sprzeciwu wobec przetwarzania danych osobowych użytkownika, jeśli polegamy na uzasadnionym interesie (lub interesie osoby trzeciej) i istnieje coś w sytuacji użytkownika, co sprawia, że chce on sprzeciwić się przetwarzaniu na tej podstawie, ponieważ użytkownik uważa, że ma to wpływ na jego podstawowe prawa i wolności. Użytkownik ma również prawo sprzeciwić się przetwarzaniu przez nas jego danych osobowych do celów marketingu bezpośredniego. W niektórych przypadkach możemy wykazać, że mamy przekonujące uzasadnione podstawy do przetwarzania danych użytkownika, które mają charakter nadrzędny wobec jego praw i wolności. 

Żądanie ograniczenia przetwarzania danych osobowych użytkownika. Umożliwia to wnioskowanie o zawieszenie przetwarzania danych osobowych użytkownika w następujących sytuacjach: (a) jeśli użytkownik chce, abyśmy mogli ustalić dokładność danych; (b) gdy wykorzystywanie danych przez nas jest niezgodne z prawem, ale użytkownik nie chce, abyśmy je usunęli; (c) gdy potrzebujemy, abyśmy przechowywali dane, nawet jeśli nie będziemy ich już potrzebować, aby ustalić, wyegzekwować lub bronić roszczeń prawnych; lub (d) gdy potrzebujemy, aby wykorzystać dane do tego celu. 

Żądanie przekazania danych osobowych użytkownika użytkownikowi lub osobie trzeciej. Dostarczymy użytkownikowi lub wybranej przez niego osobie trzeciej jego dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Należy pamiętać, że to prawo dotyczy wyłącznie zautomatyzowanych informacji, na których wykorzystywanie użytkownik początkowo wyraził zgodę lub w przypadku, gdy wykorzystaliśmy te informacje do realizacji umowy z użytkownikiem. 

Wycofanie zgody w dowolnym momencie, gdy korzystamy ze zgody na przetwarzanie danych osobowych użytkownika. Nie wpłynie to jednak na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody przez użytkownika. Jeśli użytkownik wycofa swoją zgodę, możemy nie być w stanie dostarczyć mu pewnych produktów lub usług. Poinformujemy użytkownika, jeśli tak się stanie w momencie wycofania przez niego zgody. 

Jeśli użytkownik chce skorzystać z któregokolwiek z praw określonych powyżej, proszę skontaktować się z nami. 

Na terenie EOG użytkownik ma prawo złożyć skargę do odpowiedniego krajowego organu nadzorczego w dowolnym momencie. Na przykład w Wielkiej Brytanii byłoby to Biuro Komisarza ds. Informacji (Information Commissioner’s Office, „ICO”), brytyjski organ nadzorczy ds. ochrony danych (www.ico.org.uk). Będziemy jednak wdzięczni, jeśli będziemy mogli odpowiedzieć na wątpliwości użytkownika przed skontaktowaniem się z jednym z krajowych organów nadzorczych, prosimy więc o kontakt w pierwszej kolejności.  

Lista organów nadzorczych jest dostępna tutaj: http://ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm. 

8.1 ZAZWYCZAJ NIE JEST WYMAGANA OPŁATA   

Użytkownik nie będzie musiał płacić za dostęp do swoich danych osobowych ani za korzystanie z jakichkolwiek innych praw. 

8.2 CZEGO MOŻEMY POTRZEBOWAĆ OD UŻYTKOWNIKA   

Być może będziemy musieli poprosić użytkownika o udzielenie szczegółowych informacji, aby pomóc nam potwierdzić tożsamość użytkownika i zapewnić mu prawo dostępu do danych osobowych (lub skorzystania z innych praw). Jest to środek bezpieczeństwa mający na celu zapewnienie, że dane osobowe nie zostaną ujawnione żadnej osobie, która nie ma prawa do ich otrzymania. Możemy również skontaktować się z użytkownikiem, aby poprosić o dodatkowe informacje związane z jego prośbą o przyspieszenie naszej odpowiedzi. 

8.3 OGRANICZENIE CZASOWE ODPOWIEDZI   

 Staramy się odpowiadać na wszystkie uzasadnione wnioski w ciągu 30 dni roboczych. Czasami rozpatrzenie wniosku może potrwać dłużej niż 30 dni roboczych, jeśli jest on szczególnie złożony lub złożono szereg wniosków. W takim przypadku powiadomimy o tym użytkownika i będziemy mu przekazywać stosowne informacje na bieżąco. 

9. PRAWA UŻYTKOWNIKA DO PRYWATNOŚCI W STANIE KALIFORNIA

Jeśli użytkownik jest mieszkańcem stanu Kalifornia, ma następujące prawa w odniesieniu do jego Danych osobowych 

• Prawo do informacji o tym, jakie Dane osobowe na temat użytkownika zgromadziliśmy, wykorzystaliśmy, ujawniliśmy i sprzedaliśmy. Aby przesłać wniosek o udzielenie informacji, prosimy o kontakt. Użytkownik może również wyznaczyć upoważnionego przedstawiciela do złożenia wniosku o dostęp w jego imieniu. 
• Prawo do zażądania usunięcia wszelkich danych osobowych zgromadzonych przez nas na temat użytkownika. Aby przesłać wniosek o usunięcie danych, prosimy o kontakt. Użytkownik może również wyznaczyć upoważnionego przedstawiciela do złożenia wniosku o usunięcie danych w jego imieniu. 

Gdy użytkownik skorzysta z tych praw i prześle nam odpowiedni wniosek, zweryfikujemy jego tożsamość, prosząc go o podanie informacji identyfikujących, takich jak adres e-mail, numer telefonu i/lub informacje o jego koncie. Możemy również korzystać z usług zewnętrznego dostawcy weryfikacji w celu weryfikacji tożsamości użytkownika. Należy pamiętać, że jesteśmy zobowiązani do uszanowania takich wniosków tylko dwa razy w okresie 12 miesięcy.  

Korzystanie z tych praw nie będzie miało negatywnego wpływu na cenę i jakość naszych towarów lub usług. 

Przez okres 12 miesięcy przed datą niniejszej Polityki prywatności CTM nie sprzedała żadnych zgromadzonych na temat danych osobowych użytkownika; ani nie planuje tego w przyszłości. 

10. DEFINICJE

EOG i Wielka Brytania 

Uzasadniony interes oznacza, w EOG lub Wielkiej Brytanii, interes naszej firmy w zakresie prowadzenia i zarządzania naszą działalnością, aby umożliwić nam zapewnienie najlepszej usługi/produktu oraz najlepszego i najbezpieczniejszego doświadczenia. Przed rozpoczęciem przetwarzania danych osobowych w naszym prawnie uzasadnionym interesie musimy pamiętać o wzięciu pod uwagę i zrównoważeniu ewentualnego wpływu na użytkownika (zarówno pozytywnego, jak i negatywnego) oraz jego praw. Nie wykorzystujemy danych osobowych użytkownika do działań, w przypadku których nasze interesy są nadrzędne w związku z jego wpływem na użytkownika (chyba że mamy jego zgodę lub w inny sposób jest to wymagane lub dozwolone przez prawo). Użytkownik może uzyskać więcej informacji na temat tego, jak oceniamy nasze uzasadnione interesy w odniesieniu do jakiegokolwiek potencjalnego wpływu na użytkownika w odniesieniu do konkretnych działań, kontaktując się z nami.   

Realizacja umowy oznacza przetwarzanie danych użytkownika, gdy jest to konieczne do realizacji umowy, której jest on stroną, lub podjęcie kroków na żądanie użytkownika przed zawarciem takiej umowy. 

Przestrzeganie obowiązku prawnego lub regulacyjnego oznacza przetwarzanie danych osobowych użytkownika w przypadkach, gdy jest to konieczne do spełnienia obowiązku prawnego lub regulacyjnego, któremu podlegamy.  

RODO to Ogólne rozporządzenie Unii Europejskiej o ochronie danych. 

STANY ZJEDNOCZONE 

Podmiot objęty ustawą oznacza instytucję, organizację lub inny podmiot, który podlega zasadom ustawy z 1996 r. o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych („HIPAA”). Podmioty objęte ustawą obejmują: (i) plan opieki zdrowotnej, (ii) zakład rozliczeniowy opieki zdrowotnej oraz (iii) świadczeniodawcę usług medycznych, który przekazuje wszelkie informacje zdrowotne umożliwiające ustalenie tożsamości w formie elektronicznej w związku z transakcją objętą ustawą HIPAA. 

Informacje zdrowotne umożliwiające ustalenie tożsamości („PIHI”) oznaczają wszelkie informacje, w tym dane demograficzne zebrane od osoby fizycznej, które:  

1. dotyczą (a) zdrowia fizycznego lub psychicznego lub stanu zdrowia osoby fizycznej w przeszłości, obecnie lub w przyszłości; (b) zapewnienia opieki zdrowotnej danej osobie; lub (c) uprzednich, obecnych lub przyszłych płatności za zapewnienie opieki zdrowotnej danej osobie; oraz 
2. umożliwiają ustalenie tożsamości danej osoby lub istnieje uzasadniona podstawa, aby sądzić, że mogą one zostać wykorzystana do ustalenia tożsamości osoby; oraz
3. Informacje zdrowotne umożliwiające ustalenie tożsamości osób nie obejmują dokumentacji edukacyjnej ani dokumentacji medycznej objętej Ustawą o prawach do edukacji rodzinnej i ochronie prywatności ani dokumentacji dotyczącej zatrudnienia przechowywanej przez CTM jako pracodawcę.

KALIFORNIA 

Dane osobowe oznaczają wszelkie informacje, które umożliwiają ustalenie tożsamości, dotyczą, opisują, mogą być w uzasadniony sposób powiązane, bezpośrednio lub pośrednio, z konkretnym konsumentem lub gospodarstwem domowym. 

DLA DOWOLNEJ JURYSDYKCJI 

 Osoby trzecie oznaczają:   

• usługodawców działających w charakterze podmiotów przetwarzających dane i świadczących usługi na naszą rzecz; 
• profesjonalnych doradców występujących w charakterze podmiotów przetwarzających dane lub współadministratorów danych, w tym prawników, bankierów, audytorów i ubezpieczycieli, którzy świadczą nam usługi konsultacyjne, bankowe, prawne, ubezpieczeniowe i księgowe; 
• organów regulacyjnych i innych organów państwowych działających jako podmioty przetwarzające dane lub współadministratorzy danych w jakiejkolwiek jurysdykcji, w której prowadzimy działalność i które wymagają zgłaszania działań związanych z przetwarzaniem danych w określonych okolicznościach.