GEHC:n tietosuojakäytäntö Yhdysvaltojen ja Sveitsin sekä Yhdysvaltojen ja EU:n välisen Privacy Shield -järjestelyn osalta

Voimaantulopäivä: 7.1.2020

GE Medical Systems, Ultrasound & Primary Care Diagnostics LLC ja seuraavat GEHC-konsernin yhdysvaltalaiset yhtiöt (Datex-Ohmeda, Inc., GE Medical Systems Information Technologies, Inc., GE Medical Systems LLC, GE Precision Healthcare LLC, OEC Medical Systems, Inc., GE Healthcare International LLC, yhdessä ”GEHC”) noudattavat EU:n ja Yhdysvaltojen sekä Sveitsin ja Yhdysvaltojen välisen Privacy Shield -järjestelyn periaatteita sellaisten GEHC:n asiakkaiden lähettämien henkilötietojen osalta, joihin sovelletaan Privacy Shield -järjestelyä, kun palvelun tarjoajana on jokin seuraavista GEHC:n liiketoimintayksiköistä: Molecular Imaging & CT (MICT), Detection & Guidance Solutions (DGS), Life Care Solutions (LCS), Ultrasound (US), Magnetic Resonance (MR), Global Services ja Surgery.

GEHC noudattaa Yhdysvaltain kauppaministeriön asettamia Privacy Shield -periaatteita, jotka koskevat Euroopan talousalueelta tai Sveitsistä Yhdysvaltoihin siirtyvien henkilötietojen keräämistä, käyttöä ja säilyttämistä. GEHC on ilmoittanut kauppaministeriölle noudattavansa Privacy Shield -järjestelyn periaatteita. Jos tämän tietosuojakäytännön ehdot ja Privacy Shield -järjestelyn periaatteet ovat ristiriidassa, noudatetaan Privacy Shield -järjestelyn periaatteita. Lisätietoja Privacy Shield -ohjelmasta sekä sertifikaatti siitä, että osallistumme Privacy Shield -järjestelyyn, on osoitteessa https://www.privacyshield.gov/.

Tässä käytännössä kuvataan yleisellä tasolla yleisiä käytäntöjämme ja toimintatapojamme Privacy Shield -ohjelmien osalta.

Seuraavilla ilmaisuilla tarkoitetaan tässä käytännössä seuraavaa:

”Henkilöllä” tarkoitetaan ketä tahansa Euroopan talousalueella (ETA) tai Sveitsissä olevaa luonnollista henkilöä – ei kuitenkaan henkilöä, jonka henkilötiedot GEHC tai jokin sen kumppaniyhtiöistä on saanut työsuhteeseen palkkaamisen yhteydessä tai muussa GEHC:n tai kumppaniyhtiön kanssa toteutuneessa työhön liittyvässä suhteessa.

”Asiakas” tarkoittaa tahoa, joka saa tuotteita tai palveluja GEHC:ltä sellaisiin liiketoimintaprosesseihin liittyen, joiden osalta GEHC on ilmoittautunut Privacy Shield -ohjelmiin.

”ETA” tarkoittaa Euroopan talousaluetta.

”Henkilötieto” tarkoittaa mitä tahansa tietoa, myös arkaluonteista henkilötietoa, (i) joka siirretään Euroopan talousalueelta (ETA) tai Sveitsistä Yhdysvalloissa sijaitsevalle GEHC:lle Privacy Shield -ohjelman mukaisesti, (ii) joka tallennetaan jossakin muodossa, (iii) joka liittyy tunnettuun tai tunnistettavissa olevaan henkilöön ja (iv) joka voidaan yhdistää kyseiseen henkilöön.

”Arkaluonteinen henkilötieto” tarkoittaa henkilötietoa henkilön rodusta tai etnisestä alkuperästä, poliittisista mielipiteistä, uskonnollisesta tai poliittisesta vakaumuksesta, ammattiliiton jäsenyydestä, terveys- tai potilastiedoista, sukupuolielämästä tai rikosrekisteristä.

”Privacy Shield” tarkoittaa Yhdysvaltojen ja EU:n välistä Privacy Shield -järjestelyä sekä Yhdysvaltojen ja Sveitsin välistä Privacy Shield -järjestelyä.

”Tietosuojajärjestely” on yhteisnimitys, jolla viitataan Yhdysvaltojen ja EU:n väliseen Privacy Shield -järjestelyyn sekä Yhdysvaltojen ja Sveitsin väliseen Privacy Shield -järjestelyyn.

GEHC:n käsittelemät henkilötiedot

GE Healthcare käsittelee tietoja, joita asiakkaat lähettävät palveluihimme tai joita asiakkaat pyytävät käsittelemään puolestaan. Koska GE Healthcaren asiakkaat päättävät, mitä tietoja lähetetään, tiedot sisältävät tyypillisesti tietoa heidän asiakkaistaan, työntekijöistään ja liikekumppaneistaan.

Miksi GEHC käsittelee henkilötietoja?

Kyseessä olevan tietosuojajärjestelyn tietosuojaperiaatteiden mukaisesti Yhdysvalloissa oleva GEHC:n henkilöstö saa Euroopan talousalueella (ETA) tai Sveitsissä olevien henkilöiden henkilötietoja tai henkilöstöllä on pääsy kyseisiin tietoihin GEHC:n asiakkaiden puolesta seuraavien syiden vuoksi: (1) asiakkaan palvelu- tai tukipyyntöihin vastaaminen ja pyyntöjen hallinta (2) yhteydenpito asiakaspalvelutapahtumiin ja ongelmien eskalointiin liittyen (3) mukautettujen protokollien kehittäminen ja käyttöönotto asiakkaita varten (4) etäpalvelujen tarjoaminen ja tiettyjen laitteiden ja välineiden vianmääritys (5) teknisen tuen tarjoaminen merkittäviin järjestelmiin ja tietokantoihin (6) toimitilojen ulkopuolisten korjausten, kunnostusten sekä vikaantuneiden osien ja laitteiden hävittämisen hallinnointi (7) asiakkaan tilaamien laajennettujen tai lisäpalvelujen tarjoaminen (esimerkiksi tietojen analysointi ja kehityssuunnat) (8) muu GEHC:n asiakkaiden tuki GEHC:n tuotteisiin ja palveluihin liittyen. GEHC tarjoaa asiaankuuluvia isännöinti- ja infrastruktuuripalveluja sekä muita aiheeseen liittyviä teknologiapalveluja Yhdysvalloissa edellä kohdissa (1)–(8) kuvattujen toimintojen tukemiseksi. Edellä kuvattuihin toimintoihin liittyen GEHC toimii palveluntarjoajana asiakkailleen heiltä saamiensa toimeksiantojen mukaisesti.

Ilmoitus

Tässä tietosuojakäytännössä GEHC kuvaa henkilötietoja koskevia käytäntöjään ja kertoo, miksi GEHC kerää ja käyttää henkilötietoja. Koska GEHC toimii palveluntarjoajana asiakkailleen sellaisiin liiketoimintaprosesseihin liittyen, joiden osalta GEHC:lla on vastaavan tietosuojajärjestelyn sertifikaatti, GEHC:n asiakkaat ovat velvollisia huolehtimaan asianmukaisista ilmoituksista henkilöille, joiden henkilötiedot siirtyvät Yhdysvaltoihin, ja tarvittaessa varmistamaan, että kyseiset henkilöt antavat tähän luvan.

Valinta

Koska asiakkaidensa palveluntarjoajana GEHC saa haltuunsa tai ylläpitää sellaisten henkilöiden henkilötietoja, joiden kanssa se ei ole suorassa yhteydessä, GEHC:n asiakkaiden vastuulla on tarjota kyseisille henkilöille tietyt valintamahdollisuudet sen osalta, kuinka asiakas käyttää tai luovuttaa heidän henkilötietojaan.

GEHC voi luovuttaa henkilötietoja (i) palveluntarjoajille, jotka se on määrittänyt suorittamaan palveluja puolestaan, (ii) muille GE-konsernin yhtiöille, jotka suorittavat palveluja sen puolesta, (iii) lainsäädännön tai oikeuskäsittelyn niin vaatiessa, (iv) lainvalvontaviranomaisille tai muille valtion viranomaisille lainmukaisten viranomaispyyntöjen vuoksi tai kansalliseen turvallisuuteen tai lainvalvontaan liittyvien vaatimusten täyttämiseksi tai (v) kun GEHC katsoo, että tietojen luovuttaminen on välttämätöntä fyysisten vahinkojen tai taloudellisten tappioiden estämiseksi tai jos luovuttaminen liittyy epäillyn tai todetun laittoman toiminnan tutkintaan. Lisäksi GEHC pidättää oikeuden siirtää henkilötietoja tilanteessa, jossa se myy tai siirtää liiketoimintaansa tai omaisuuttaan osittain tai kokonaan (esimerkiksi uudelleenjärjestelyn, selvitystilan tai lakkauttamisen yhteydessä).

Henkilötietojen siirtäminen eteenpäin

GEHC käyttää joitakin kolmansien osapuolten palveluntarjoajia apunaan palvelujensa tarjoamisessa asiakkaille. Nämä kolmansien osapuolten palveluntarjoajat tarjoavat asiakkaille teknistä tukea ja tekevät korjaustöitä ja varaosien vaihtoa asiakkaiden laitteisiin GE Healthcaren puolesta. Palveluja tarjotessaan kyseisillä kolmansilla osapuolilla voi olla pääsy henkilötietoihin ja he voivat käsitellä tai tallentaa henkilötietoja. GEHC on tehnyt sopimukset kyseisten kolmansien osapuolten kanssa, ja sopimuksissa rajoitetaan kolmansien osapuolten pääsyä henkilötietoihin sekä tietojen käyttöä ja luovuttamista Privacy Shield -velvoitteiden mukaisesti. Sopimusten nojalla kolmannet osapuolet sitoutuvat järjestämään henkilötiedoille vähintään samantasoisen tietosuojan kuin mitä kyseessä oleva tietosuojajärjestely vaatii. GEHC on vastuussa siitä, että palveluntarjoajat noudattavat näitä velvoitteita, ja se on vastuussa myös mahdollisista palveluntarjoajien laiminlyönneistä.

Tietoihin pääsy

Koska asiakkaidensa palveluntarjoajana GEHC saa haltuunsa tai ylläpitää sellaisten henkilöiden henkilötietoja, joiden kanssa se ei ole suorassa yhteydessä, GEHC:n asiakkaiden vastuulla on tarjota henkilöille pääsy kyseisiin henkilötietoihin ja henkilöillä on oikeus korjata, muuttaa tai poistaa tietoja, jotka eivät ole paikkansapitäviä. Henkilöiden tulee osoittaa kysymyksensä kyseessä olevalle asiakkaalle. Jos henkilö ei pysty olemaan yhteydessä kyseiseen asiakkaaseen tai ei saa vastausta asiakkaalta, GEHC antaa kohtuullista tukea henkilön pyynnön välittämisessä asiakkaalle.

Tietoturva

GEHC varmistaa kohtuullisin toimin, että henkilötiedot ovat turvassa menetykseltä, väärinkäytöltä, luvattomalta käytöltä, paljastumiselta, muutoksilta ja tuhoutumiselta.

Tietojen yhtenäisyys

GEHC varmistaa kohtuullisin toimin, että yhtiön käsittelemät henkilötiedot ovat (i) merkityksellisiä niihin tarkoituksiin, joihin niitä käytetään, (ii) käyttötarkoitukseensa nähden luotettavia ja (iii) paikkansapitäviä, täydellisiä ja ajantasaisia. Koska asiakkaidensa palveluntarjoajana GEHC saa haltuunsa tai ylläpitää sellaisten henkilöiden henkilötietoja, joiden kanssa se ei ole suorassa yhteydessä, GEHC luottaa siihen, että sen asiakkaat päivittävät ja korjaavat henkilötietoja siinä määrin kuin se on tarpeen niihin tarkoituksiin, joihin tietoja on kerätty, tai joihin kyseiset henkilöt ovat antaneet luvan. Asiakas voi olla yhteydessä GEHC:hen jäljempänä ilmoitetulla tavalla ja pyytää GEHC:tä päivittämään tai korjaamaan henkilötietoja, joita GEHC on saanut tai joita se ylläpitää asiakkaan puolesta.

Täytäntöönpano ja valvonta

GEHC on ottanut käyttöön menettelyt, joiden avulla se varmistaa säännöllisesti tietosuojajärjestelyn periaatteiden täytäntöönpanon ja noudattamisen. GEHC suorittaa vuosittain itsearvioinnin henkilötietoja koskevista käytännöistä varmistaakseen, että niistä annetut kuvaukset pitävät paikkansa ja että tietosuojakäytännöt on pantu täytäntöön sellaisina kuin ne on esitetty.

Koska asiakkaidensa palveluntarjoajana GEHC saa haltuunsa tai ylläpitää sellaisten henkilöiden henkilötietoja, joiden kanssa se ei ole suorassa yhteydessä, henkilöt voivat lähettää henkilötietojensa käsittelyä koskevat valitukset kyseiselle asiakkaalle asiakkaan kiistojenratkaisumenettelyn mukaisesti. GEHC osallistuu tähän prosessiin kyseessä olevan asiakkaan tai henkilön pyynnöstä.

Jos henkilö jättää GE Healthcarelle valituksen, siihen vastataan 45 vuorokauden kuluessa. Jos valituksen ratkaiseminen GEHC:n sisäisessä menettelyssä ei ole mahdollista, GEHC toimii yhteistyössä JAMSin kanssa JAMSin kansainvälisten sovittelusääntöjen mukaisesti. Säännöt ovat JAMSin sivustossa osoitteessa https://www.jamsadr.com/eu-us-privacy-shield. Sovittelija tai kyseessä oleva henkilö voi myös antaa asian Yhdysvaltain liittovaltion kauppakomission ratkaistavaksi. Kauppakomissiolla on Privacy Shield -järjestelyn täytäntöönpanoon liittyvä toimivalta GEHC:hen nähden. Jos JAMS ei pysty ratkaisemaan valitusta tyydyttävällä tavalla, tietyissä Privacy Shield -sivustossa kuvatun mukaisissa tilanteissa kiista voidaan viedä riippumattomaan Privacy Shield -paneelin välimiesmenettelyyn.

GEHC ryhtyy toimenpiteisiin kaikkien sellaisten kysymysten ratkaisemiseksi, jotka liittyvät kyseessä olevan tietosuojajärjestelyn periaatteiden noudattamatta jättämiseen. Yhtiön henkilötietokäytäntöihin liittyvät valitukset pyydetään osoittamaan GEHC:lle seuraavassa määriteltyjä yhteydenottotapoja käyttäen.

Yhteydenotto GEHC:hen

Tähän tietosuojakäytäntöön tai GEHC:n henkilötietokäytäntöihin liittyvissä huolenaiheissa voi olla yhteydessä GEHC:hen seuraavasti:

Kirjallisesti seuraaviin osoitteisiin:

GE Healthcare
Attention: Chief Privacy Counsel
Research Park
9900 Innovation Drive
Wauwatosa, WI 53226
USA

Sähköposti: gehcprivacy@ge.com

Tarkistettu viimeksi: 7.1.2020