INTEGRITETSMEDDELANDE

Detta integritetsmeddelande tillhandahålls av Chiesi Pharma AB i enlighet med tillämpliga integritetsbestämmelser och syftar till att informera om hur vi behandlar uppgifter i rapporter.
 

Om du bor i Europeiska unionen, eller om du rapporterar en regelöverträdelse avseende ett företag inom Chiesi Group med säte i Europeiska unionen, kommer dina uppgifter att behandlas i enlighet med förordning (EU) 679/2016 (”GDPR”). Den oberoende personuppgiftsansvarige för din rapport är det företag inom Chiesi Group som du väljer när du skickar in din rapport. Rapporter kommer att tas emot och utvärderas på lokal nivå (såvida de inte specifikt eskaleras till moderbolaget i Italien eller om det inte finns något lokalt dotterbolag) och endast kvalificerade personer kommer att ha tillgång till och ansvara för de rapporterade uppgifterna, baserat på principen om behovet av att känna till.
 

”Personuppgifter” är all information som rör en identifierad eller identifierbar levande person. Det berör också olika typer av information som tillsammans kan leda till att en person identifieras.
 

”Behandling av Personuppgifter” omfattar ett brett spektrum av åtgärder som utförs på personuppgifter, inklusive manuella eller automatiserade metoder. Det inkluderar insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, utlämnande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstöring av personuppgifter.
 

”Användare” är den person som lämnar in en rapport via plattformen (hädanefter kallad ”SpeakUp&BeHeard” eller ”Plattformen”).

(1) ALLMÄN INFORMATION

SYFTEN:

Plattformen SpeakUp&BeHeard är ett webbaserat och telefonbaserat system som gör det möjligt för alla individer, inklusive men inte begränsat till Chiesis anställda, entreprenörer och leverantörer, att rapportera misstänkta överträdelser eller farhågor gällande brott mot lagar, förordningar och interna policyer. Rapporter kan omfatta beteenden som påstås strida mot koncernens uppförandekod, policyer mot mutor, mutlagstiftning, straffrättsliga lagar och andra brott som kan påverka företagets verksamhet och finansiella integritet (t.ex. korruption, intressekonflikter, orättvist beteende, bedrägerier, insiderhandel, redovisningsfrågor), miljösäkerhet eller djurskydd.

Chiesi Group kommer endast att behandla dina Personuppgifter för följande ändamål:

• Aktivera och hantera visselblåsarplattformen och relaterade rapporter,
• Hantera rapportens livscykel, genomföra undersökningar med relevanta intressenter, inklusive offentliga myndigheter,
• Förebygga och agera mot olagligt beteende och vid behov vidta disciplinära åtgärder,
• Tillvarata företagets intressen samt de anställdas och tredje-parts rättigheter.
  
  

KATEGORIER AV PERSONUPPGIFTER:

Tillhandahållande av Personuppgifter är frivilligt. Det anonyma rapporteringsalternativet på SpeakUp&BeHeard gör att du kan lämna in en rapport utan att uppge några Personuppgifter (observera att vissa rapporter kan kräva att dina Personuppgifter lämnas ut enligt lokal lagstiftning).

Om Användaren frivilligt bestämmer sig för att lämna ut sina personuppgifter kan följande kategorier av uppgifter behandlas av relevant Personuppgiftsansvarig:

• Användarens identifikationsuppgifter: namn, efternamn och e-postadress,
• Personuppgifter för den rapporterade personen eller andra parter som nämns i rapporten eller som inhämtats av den personuppgiftsansvarige under utredningarna,
• Information om den rapporterade överträdelsen.
  
  

Tänk på att informationen i vissa rapporter kan innehålla särskilda kategorier av personuppgifter. Enligt artikel 9 i GDPR betraktas ”särskilda uppgifter” som uppgifter som kan avslöja ras eller etniskt ursprung, religiös eller filosofisk övertygelse, politiska åsikter, medlemskap i partier eller fackföreningar, uppgifter om hälsa och sexualliv.

RÄTTSLIG GRUND FÖR BEHANDLINGEN:

Rättslig skyldighet: för att följa tillämpliga lagar och förordningar och svara på förfrågningar från behöriga myndigheter.

Berättigat intresse: vi kommer också att lagra dina Personuppgifter baserat på Chiesi Groups berättigade intresse (särskilt av relevanta Personuppgiftsansvariga) för att förhindra och utreda påstådda överträdelser som beskrivs i avsnittet SYFTEN samt försvara rättigheter (eller agera) i ett rättsligt förfarande i enlighet därmed

 (2) SÅ HÄR BEHANDLAR VI DINA PERSONUPPGIFTER
 

Din rapport behandlas endast av särskild utsedd intern och extern personal, baserat på principen om att de behöver känna till den.
 

Personuppgifterna kan också delas med eller nås av andra företag eller individer, inklusive plattformens tjänsteleverantör. Leverantören kommer endast att få tillgång till uppgifterna för systemunderhåll eller för att tillhandahålla teknisk support till användaren.
 

Chiesi säkerställer skyddet av dina Personuppgifter och legitimiteten av sådan behandling genom att utse relevanta parter som personuppgiftsbiträden genom lämpliga personuppgiftsbiträdesavtal. Alla våra personuppgiftsbiträden måste följa gällande sekretesslagar och vidta lämpliga säkerhetsåtgärder.
 

Under vissa omständigheter kan vi behöva dela informationen i din rapport, inklusive dina Personuppgifter, till offentliga myndigheter och domstolar som kräver utlämnande för att utreda eller besluta om fallet samt till juridiska rådgivare som ger stöd till Chiesi vid hanteringen av rapporten.
 

Tänk på att användarens identitet, som agerar som rapporterande person, endast kommer att avslöjas om det finns en rättslig förpliktelse, begäran om utlämnande som nämnts tidigare eller för att garantera den rapporterade personens rätt till försvar (denna bestämmelse kan variera beroende på specifik lagstiftning i olika länder). 
 

Så här skyddar vi dina Personuppgifter

Chiesi vidtar lämpliga säkerhetsåtgärder för att skydda dina Personuppgifter mot obehörig åtkomst, avslöjande eller förlust, inklusive:
 

• Rimliga åtgärder för att säkerställa att Personuppgifterna samlas in i enlighet med principerna för minimering och begränsning av ändamål. Vi sparar dina Personuppgifter under en begränsad tid och i enlighet med vad som anges i följande avsnitt (3), såvida inte en förlängning av lagringstiden krävs eller tillåts enligt lag,
• En rad tekniska lösningar för att säkerställa sekretessen för Personuppgifter vilket handlar om allt från kryptering, starka lösenord och tvåfaktorsautentisering till brandväggar och dedikerad programvara som skyddar servrar från externa attacker,
• Val av våra affärspartners och tjänsteleverantörer baseras på strikta kvalifikationskriterier och skyldigheter att följa våra dataskyddsstandarder som säkerställs genom specifika avtalsenliga bestämmelser. Dessutom utför vi revisioner och andra utvärderingar för att verifiera att de uppfyller ovanstående krav,
• Utbildningstester om integritet och dataskydd för att verifiera kunskap och andra aktiviteter för att förbättra medvetenheten om integritet hos anställda och entreprenörer.
  
  

Internationell dataöverföring

Dina Personuppgifter som nämns i avsnitt (1) lagras på Plattformsleverantörens server (specifikt utsedd som personuppgiftsbiträde) i Italien eller inom EU. Baserat på de specifika funktionerna och innehållet i din rapport kan dina Personuppgifter överföras till andra länder, inklusive länder utanför EU. Chiesi Group har utvärderat effekterna av internationella överföringar som omfattas av rapporter och implementerat lämpliga garantier, inklusive undertecknandet av standardavtalsklausuler med relevanta intressenter. Chiesi Groups företag ingick också ett koncerninternt avtal om överföringar mellan amerikanska och europeiska dotterbolag.

Kina: i enlighet med lokala bestämmelser kommer dina Personuppgifter att överföras till Kina efter ditt uttryckliga samtycke. Observera att när du skickar in din rapport (genom att klicka på knappen ”skicka”) ger du ditt samtycke till att dina personuppgifter överförs.

Specifik personal hos Chiesi Farmaceutici S.p.A., moderföretaget baserat i Italien, kan ha tillgång till rapporter för att samordna sin hantering inom Chiesi Group.

(3) LAGRINGSTID FÖR DINA PERSONUPPGIFTER

Vi lagrar dina Personuppgifter under den tid som krävs och i enlighet med de behov som kan uppstå under hanteringen av din rapport (t.ex. vid en rättsprocess eller förfarande hos offentliga myndigheter), i enlighet med minimeringsprinciper, ändamålsbegränsning och i enlighet med de landspecifika bestämmelser som kan gälla för varje dotterbolag.

Rapporter som utvärderas/avslutas anonymiseras genom att personuppgifter ersätts med specifika nyckelord senast två (2) månader efter utredningen avslutats.

Om de interna kontrollerna av rapporten inte ger anledning till oro (ogrundad rapport) kommer dina uppgifter att raderas omedelbart.

Dina Personuppgifter kommer att behandlas enligt villkoren ovan eller under en kortare period om du beslutar dig för att utöva någon av de rättigheter som anges i följande avsnitt (4). När avtalsperioden löper ut kommer dina Personuppgifter att raderas eller anonymiseras i enlighet med våra interna rutiner, såvida inte annat krävs enligt lag eller om dina Personuppgifter är nödvändiga för att skydda våra rättigheter inför en rättslig myndighet eller annan relevant myndighet.

Observera att om du ber om att få dina Personuppgifter raderade kan det hända att vi inte kan behandla din rapport eller avsluta utredningen.

(4) REGISTRERADES RÄTTIGHETER

Åtkomst, rättelse, annullering, dataportabilitet, begränsning av behandling, invändning mot behandling och återkallande av samtycke.

Du kan kontakta Chiesi för att upprätthålla din rätt att få tillgång till, ändra, invända mot eller begränsa behandlingen av dina Personuppgifter, begära att de annulleras, portabilitet (om tillämpligt), eller återkalla ditt samtycke i situationer som anges i GDPR eller andra relevanta bestämmelser. 

Du är välkommen att kontakta dataskyddsombud (DPO) för att få ytterligare information och för att kräva att dina rättigheter respekteras på infonordic@chiesi.com. 

Om du anser att Chiesi inte behandlar dina Personuppgifter i enlighet med de principer som anges i detta meddelande eller i enlighet med gällande lagstiftning, har du rätt att lämna in ett klagomål till en dataskyddsmyndighet.

(5) INFORMATION OM AUTOMATISERAT BESLUTSFATTANDE OCH UPPDATERINGAR AV DETTA MEDDELANDE

Dina Personuppgifter omfattas inte av den automatiserade beslutsprocessen (inklusive profilering).

Detta meddelande kan uppdateras från tid till annan. Alla uppdateringar av detta meddelande träder i kraft när de publiceras på Plattformen.