Tietosuojakäytäntö

Suhtautumisemme tietosuojaan

Kliininen lääketutkimus ja lääketieteellinen tutkimus edellyttävät yksilöiden kaikkein luottamuksellisimpien tietojen keräämistä ja analysointia. Yksilöt jakavat arkaluonteisia tietojaan vain, jos olemassa on luottamuksen kulttuuri ja jos sidosryhmät ovat ottaneet käyttöön turvalliset tietojen käsittelykäytännöt. Tällaisessa ympäristössä toimivana yrityksenä Synexus Clinical Research Limited (osakkuus- ja tytäryhtiöineen yhteisesti “Synexus,” “yhtiö,” “us,” tai “me“) tiedostaa, että yksilöjä koskevien tietojen käsittelyn tulee tapahtua vastuullisesti, yksityisyydensuoja huomioon ottaen ja tietosuojaa ja luottamuksellisuutta koskevien lakien mukaisesti. Tässä yleisessä tietosuojakäytännössä (“käytäntö“) kuvataan keskeisimmät maailmanlaajuisen organisaatiomme käsittelemien henkilötietojen tyypit, näiden tietojen käyttäminen ja luovuttaminen sekä sitoumuksemme yksilöille, joiden tietoja käsittelemme. Käytännössä kuvataan yleisellä tasolla, kuinka pyrimme noudattamaan tietosuojaa koskevia lakeja ja asetuksia, mukaan lukien Euroopan unionin (EU) yleisen tietosuoja-asetuksen 2016/679 (“GDPR-asetus“), toimeenpanevat kansalliset lait, Yhdysvaltojen vuonna 1996 voimaanastunut Health Insurance Portability and Accountability Act -laki (“HIPAA-laki“), Yhdysvaltojen osavaltioiden tietoturvaloukkauksia koskevat lait, muilla lainsäädäntöalueilla käyttöön otettu tietosuojaa koskeva lainsäädäntö sekä ICH:n hyvää kliinistä tutkimustapaa koskevaan käytäntöön (Good Clinical Practice, GCP) sisältyvät tietosuojaa ja luottamuksellisuutta koskevat vaatimukset.   Jos olet Kalifornian osavaltion asukas, tämä käytäntö sisältää myös Kalifornian asukkaille tarkoitetun tietosuojailmoituksemme , joka sisältää Kalifornian lain vaatimat lisätiedot.  

Synexus on ottanut käyttöön sisäisiä käytäntöjä, menettelyjä ja koulutusohjelmia, jotka on suunniteltu tukemaan näiden lakien ja tämän käytännön noudattamista. Käytäntömme, menettelymme ja koulutusohjelmamme tarkistetaan säännöllisesti, ja niitä valvoo yhtiön ylempään johtoon kuuluvan johtajan alaisuudessa toimiva tietosuoja-alan ammattilaisista koostuva tiimi.

 

Mitä henkilötietoja Synexus käsittelee, ja mitä tarkoituksia varten näitä tietoja käsitellään?

Kliiniset ja lääketieteelliset tiedot

Synexus tarjoaa maailmanlaajuisena tutkimuspalveluyrityksenä tutkimuspaikkoja kliinisiä tutkimuksia suorittaville asiakkailleen. Keräämme, isännöimme ja analysoimme siksi huomattavia määriä tutkittaviin liittyviä terveystietoja ja biolääketieteellisiä näytteitä. Synexus katsoo toimivansa GDPR-asetuksen määritelmän mukaisena rekisterinpitäjänä yhdessä toimeksiantajan/asiakkaan kanssa määrittäessään, kuinka ja miksi se käsittelee kliinisiä ja lääketieteellisiä tietoja tutkimuspalveluyrityksen ominaisuudessa toimiessaan. Tietosuojan parantamiseksi Synexus-yhtiön asiakkaiden tutkimustarkoituksiin käyttämiin tietoihin tai näytteisiin ei liitetä tutkittavien nimiä tai muita sellaisia tietoja, joiden avulla tutkittavien henkilöllisyys voitaisiin tunnistaa. Tämä on GCP-käytännön mukaista.

Kliinisten tutkimusten rekrytointitiedot

Keräämme ja ylläpidämme myös kliinisiin tutkimuksiin osallistumisesta kiinnostuneiden yksilöiden henkilökohtaisia yhteystietoja, heidän terveydentilaansa ja sairauksiansa koskevia tietoja ja heitä kiinnostavien lääketieteellisen tutkimuksen osa-alueiden tietoja, jotta voimme yhdistää nämä yksilöt heille mahdollisesti soveltuviin kliinisiin tutkimuksiin. Käytämme näitä tietojen kliinisiin tutkimuksiin osallistuvien yksilöiden rekrytoimiseen ja potilasrekrytointia tukevan yleisen tilastollisen analyysiin suorittamiseen.

Seulontatiedot

Synexus tarjoaa joissakin tapauksissa paikallisille yhteisöille terveyspalveluja tiettyihin patologioihin/sairauksiin liittyvän seulontatoiminnan muodossa. Keräämme tällaisen toiminnan aikana osallistujien nimiä, yhteystietoja ja lääketieteellisiä tietoja. Kun seulontatutkimus on suoritettu, lisäämme osallistujan suostumuksella hänen tietonsa tietokantaamme, jotta osallistujaan voidaan ottaa myöhemmin yhteyttä häneen sairauteensa liittyviin jatkotutkimuksiin tai kliinisiä tutkimuksia koskeviin mahdollisuuksiin liittyen. Jos osallistuja päättää olla antamatta suostumustaan, Synexus jakaa tutkimustulokset ainoastaan osallistujan lääkärin kanssa.

Alan ammattilaisten tiedot

Synexus on liiketoimintaa harjoittaessaan yhteydessä kliinistä lääketutkimusta ja lääketieteellistä tutkimusta harjoittavien asiakkaiden palkkaamiin tai käyttämiin työntekijöihin, konsultteihin, urakoitsijoihin ja muihin kolmansiin osapuoliin. Synexus tallentaa ja käyttää näiden yksilöiden nimiä, yhteystietoja ja muita ammatillisia tietoja oikeutettuja liiketoiminnallisia tarkoituksia, kuten projektinhallintaa ja taloushallintoa, varten. Saatamme käyttää hankkimiamme tietoja, kuten sähköpostiosoitteita, Synexus-yhtiön palveluja koskevien olennaisten tietojen tarjoamiseen asiakkaillemme.

Työntekijöiden ja henkilöstöhallinnon tiedot

Synexus kerää yhtiöstä töitä hakevien työnhakijoiden henkilötietoja, kuten yksityisiä yhteystietoja ja koulutukseen ja työhistoriaan liittyviä tietoja, työntekijöiden palkkaamista koskevien päätösten tukemiseksi. Synexus suorittaa erityyppisiä hakijoiden taustaa koskevia tarkastuksia, mukaan lukien rikostaustaan ja ammatinharjoittamista koskeviin kieltoihin liittyvät selvitykset, jos laki tämän sallii. Synexus kerää palkatun henkilöstön tietoja henkilöstöhallintoon, työsuoritusten arviointiin, palkanlaskentaan ja verotukseen liittyviä tarkoituksia varten. Synexus kerää ja tallentaa työntekijätason tietoja useisiin eri yhtiön järjestelmiin normaalien liiketoimintaan liittyvien käytäntöjen mukaisesti. Synexus käsittelee vastaavalla tavalla myös konsulttien, urakoitsijoiden ja muiden yhtiölle tuotteita ja palveluja tarjoavien kolmansien osapuolten tietoja.

Verkkosivustojen kävijät

Synexus kerää yhtiön verkkosivustoilla kävijöiden vapaaehtoisesti luovuttamia tietoja näiden kävijöiden tekemien pyyntöjen täyttämiseksi esimerkiksi silloin, kun asiakas pyytää yhtiön tarjoamia palveluja koskevia tietoja, terveydenhuollon ammattilainen on kiinnostunut kliiniseen tutkimukseen osallistumisesta tai työnhakija haluaa hakea yhtiössä avoinna olevaa työpaikkaa. Synexus saattaa kerätä yhtiön verkkosivustoilla vieraileville kävijöille määrättyihin virtuaali-identiteetteihin liittyviä tietoja evästepohjaisia teknologioita käyttämällä. Näitä tietoja käytetään eri tarkoituksiin, mukaan lukien sivustojen analytiikka ja ensimmäisen osapuolen markkinointi (katso alla oleva kohta Verkkosivustoja koskevia huomautuksia). Virtuaaliset identiteetit linkitetään joissakin tapauksissa kävijöiden todellisiin identiteetteihin, kun kävijät antavat nimensä yllä kuvattuja tietoja luovuttaessaan. Tämä tarjoaa Synexus-yhtiölle mahdollisuuden lähettää näille kävijöille räätälöityjä markkinointiviestejä, jotka sisältävät heitä todennäköisesti kiinnostavaa tietoa.

Puhelinpalvelukeskus

Synexus käyttää puhelinpalvelukeskuksia yhteyden ottamiseen yksilöihin, jotka ovat ilmaisseet mielenkiintonsa kliinisiin tutkimuksiin osallistumista kohtaan. Näiden yksilöiden henkilötietoja kerätään ainoastaan heidän pyyntönsä käsittelemiseen ja sen määrittämiseen, soveltuvatko he kutsuttaviksi Synexus-yhtiön tiloissa järjestettävälle seulontakäynnille. Puhelinpalvelukeskuksemme eivät ota yhteyttä yksilöihin, jotka eivät ole luovuttaneet aiemmin yhteystietojaan Synexus-yhtiölle. Puhelut saatetaan nauhoittaa laadunvalvontatarkoituksia varten. Puhelujen soittajille ja vastaanottajille ilmoitetaan, jos heidän puhelunsa nauhoitetaan.

Muut tiedot

Henkilötietojen luovuttaminen sisäisille ja ulkoisille osapuolille

Henkilötietojen jakaminen Synexus-yhtiön sisällä ja sen osakkuusyhtiöiden ja kolmansien osapuolten, kuten edustajien ja palveluntarjoajien, kanssa tapahtuu tarpeen vaatiessa silloin, kun se on ilmoitettujen oikeutettujen liiketoiminnallisten tarkoitusten kannalta välttämätöntä. Pääsy henkilötietoja sisältäviin tietokantoihin ja kansioihin on rajoitettu asianmukaiseen henkilöstöön. Synexus ei kauppaa tai myy henkilötietoja. Poliisiviranomaiset tai tuomioistuimet saattavat vaatia joissakin olosuhteissa Synexus-yhtiötä luovuttamaan tiettyjä henkilötietoja tutkinta- tai oikeuskäsittelytarkoituksia varten. Synexus saattaa luovuttaa henkilötietoja ostajalle tai muulle seuraajalle fuusion, liiketoimintayksiköiden myynnin, uudelleenjärjestelyn, uudelleenorganisoinnin tai yhtiön toiminnan lopettamisen yhteydessä tai jos Synexus tai osa tai kaikki sen omaisuudesta myydään tai siirretään muulla tavoin. Synexus-yhtiön palveluntarjoajina toimivien yritysten on allekirjoitettava tietojen käsittelijän sopimus ja/tai luottamuksellisuussopimus, joissa ne sitoutuvat käsittelemään henkilötietoja ainoastaan sopimuksissa määriteltyihin tarkoituksiin ja toteuttamaan asianmukaiset organisatoriset ja tekniset toimenpiteet.

Henkilötietojen siirtäminen maan rajojen ulkopuolelle

Synexus on maailmanlaajuisesti toimiva yhtiö, joka palvelee alaa, jonka lähestymistapa kliiniseen tutkimukseen on muuttumassa entistäkin kansainvälisemmäksi. Henkilötietoja jaetaan maiden rajojen ylitse, kun maailmanlaajuisten projektien toteuttaminen niin edellyttää. Synexus isännöi henkilötietoja tietokannoissa, jotka sijaitsevat eri puolilla maailmaa, mukaan lukien Yhdysvalloissa. Synexus-yhtiön ja sen asiakkaiden henkilötietoja isännöidään tietyissä olosuhteissa Internet-pilvessä sijaitsevilla palveluntarjoajien alustoilla. Synexus tiedostaa, että monissa maissa eri puolilla maailmaa on voimassa säädöksiä, jotka rajoittavat henkilötietojen siirtoa kansainvälisten rajojen ylitse. Synexus on ottanut käyttöön toimenpiteet, jotka varmistavat, että tiedot suojataan asianmukaisesti, kun lainsäädäntö sitä edellyttää. Synexus on esimerkiksi ottanut käyttöön tietosuojaa koskevat vakiolausekkeet (“SDPC-lausekkeet”), joita käytetään, kun tiettyjä henkilötietoja siirretään Euroopan talousalueen ulkopuolelle. EU-maiden asukkaat, joiden henkilötietoja käsitellään SDPC-lausekkeiden puitteissa, voivat pyytää sopimuksen kopion Synexus-yhtiöltä alla olevia yhteystietoja käyttämällä. Jos tietosuojaan liittyvät riskit ovat erittäin alhaiset, kuten esimerkiksi avainkoodattuja tietoja jaettaessa, Synexus saattaa siirtää tietoja lainsäädäntöalueille, joiden tietosuojaa koskevat vaatimukset ovat heikommat, yksinomaan yksilöiden tietoisen suostumuksen perusteella.

Ilmoitus ja suostumus

Synexus tarjoaa yksilöille tietojen keräämisen yhteydessä helppotajuisella ja selkeällä kielellä annetun ilmoituksen, jossa kuvataan, kuinka heidän tietojaan käytetään, luovutetaan ja siirretään, millaisia valintoja yksilöt voivat tehdä tietojensa käsittelyyn liittyen, millaisia tietoihin liittyviä oikeuksia yksilöillä on tietosuojalainsäädännön ja tämän käytännön nojalla ja keneen yksilöt voivat ottaa yhteyttä, jos heillä on kysyttävää tai valituksia. Nämä tietosuojailmoitukset on räätälöity tiettyihin tietojen keruutilanteisiin. Synexus täyttää tällaisen ilmoituksen antaessaan moniin tietosuojalakeihin sisältyvät läpinäkyvyyttä ja yksilöiden oikeudenmukaista kohtelua koskevat velvollisuudet. Ilmoitus voidaan antaa henkilökohtaisesti, sähköpostitse, postitse, puhelimitse tai julkaisemalla se verkkosivustollamme. Synexus pyytää yksilön suostumusta sovellettavan tietosuojailmoituksen mukaiseen tietojen keräämiseen, käyttämiseen ja luovuttamiseen monissa tilanteissa, mukaan lukien tietosuojalainsäädännön niin vaatiessa ja silloin, kun se on hyvien käytäntöjen mukaista. Synexus käsittelee kuitenkin joissakin tapauksissa lain sallimissa puitteissa henkilötietoja ilman suostumusta erityisesti silloin, jos suostumuksen hankkiminen vaatisi suhteetonta vaivaa, tietojen käsitteleminen on Synexus-yhtiön tai sen asiakkaiden oikeutetun edun mukaista ja tietosuojaan liittyvät riskit ovat vähäiset. Synexus käyttää ja luovuttaa lisäksi henkilötietoja ilman suostumusta silloin, jos laki tai tuomioistuimen määräys sitä edellyttää. Synexus kerää GCP-käytännön, luottamuksellisuutta koskevien lakien ja asetusten mukaisesti tutkittavilta kaikki tarvittavat tietoiset suostumukset asiakkaidensa puolesta.

Tietojen laatu ja säilyttäminen

Tietojen laatu ja tarkkuus ovat Synexus-yhtiölle ehdottoman tärkeitä. Tutkittaviin liittyvien tietojen tarkkuus on kliinisen tutkimuksen luotettavuuden kannalta ensiarvoisen tärkeää erityisesti, kun tiedot liittyvät biolääketieteellisiin näytteisiin. Synexus-yhtiöllä on lakisääteisten vaatimusten mukainen pätevä laadunvarmistusosasto. Tietosuojailmoituksemme tarjoavat yleensä yksilöille helpon tavan tarkistaa, korjata ja päivittää tietonsa. Synexus säilyttää henkilötietoja sopimusehtojen sekä laeissa ja asetuksissa määriteltyjen vaatimusten mukaisesti.

Tietoihin liittyvät oikeudet

Jos lainsäädäntöalueella voimassa olevat tietosuojalait tai sopimusehdot niin vaativat, Synexus varmistaa, että yksilöt voivat harjoittaa kaikkia yhtiön käsittelemiin henkilötietoihinsa liittyviä oikeuksiaan, mukaan lukien oikeudet tietoihin pääsyyn ja niiden oikaisemiseen, suostumuksen peruuttamiseen milloin tahansa, tietojen käsittelyn vastustamiseen, tietojen poistamisen pyytämiseen, tietojen käsittelyn rajoittamiseen, suoramarkkinoinnin estämiseen ja henkilötietojen siirtämiseen itselleen tai toiselle organisaatiolle yleisessä käytössä olevassa digitaalisessa muodossa (esim. pdf). Synexus pyrkii tarjoamaan osana hyviä käytäntöjä seuraavat tämän käytännön tarjoamat tietoihin liittyvät oikeudet aina, kun mikään etu ei syrjäytä niitä:
  • pääsyn tarjoaminen henkilötietojen kopioihin kohtuullisessa ajassa
  • virheellisten henkilötietojen oikaiseminen ja
  • aiemmin annetun henkilötietojen käsittelyä koskevan suostumuksen peruuttaminen.
Synexus-yhtiön asiakkaiden järjestämiin kliinisiin tutkimuksiin osallistuvien tutkittavien tulee ottaa yhteyttä Synexus-tutkimuspaikkansa tutkijaan, joka kykenee linkittämään tutkittavan henkilöllisyyden.

Tietoturva

Yhtiöllä on kattava tietoturvakäytäntö, jonka tarkoituksena on ylläpitää teknisiä ja organisatorisia toimenpiteitä, jotka suojaavat henkilötietoja, ja erityisesti arkaluonteisia kliinisiä tietoja, luvattomalta pääsyltä ja katoamiselta. Synexus-yhtiössä on lisäksi käytössä lakisääteisten vaatimusten, ja erityisesti Yhdysvaltojen osavaltioiden lakien ja GDPR-asetuksen, vaatima yksityiskohtainen tietoturvarikkomuskäytäntö, jossa on kuvattu henkilötietoja koskevan tietoturvarikkomuksen sattuessa noudatettava menettely, mukaan lukien ilmoituksen tekeminen yksilöille tai valtion viranomaisille.

Verkkosivustoja koskevia huomautuksia

Synexus-yhtiön verkkosivut saattavat sisältää linkkejä yhtiön ulkopuolisille verkkosivustoille. Linkitetyt verkkosivustot eivät ole Synexus-yhtiön hallinnassa tai suosittelemia. Tämä käytäntö ei koske Synexus-yhtiön organisaation ulkopuolisia linkitettyjä verkkosivustoja. Suosittelemme, että kävijät tutustuvat jokaisen linkitetyn verkkosivuston omaan tietosuojakäytäntöön. Verkkosivustomme käyttävät lisäksi evästeitä. Eväste on tiedosto, jonka verkkosivuston tarjoaja asettaa sivustolla vierailevan kävijän kiintolevylle. Synexus ja sen kanssa toimivat kolmannet osapuolet voivat asettaa Synexus-yhtiön verkkosivustoilla vierailevien kävijöiden tietokoneille evästeitä, joita käytetään seuraavien toimintojen suorittamiseen: kävijän pyytämän palvelun tarjoaminen, palaavien kävijöiden muistaminen, sivuston käyttäjäkokemuksen parantaminen, sivuston analytiikan suorittaminen sekä yhtiön verkkosivustoilla ja muualla Internetissä saatavilla olevien yhtiön markkinointiviestien räätälöiminen kävijän selaushistorian perusteella. Voit hallita Synexus-yhtiön verkkosivustoja käyttämällä useimmissa verkkoselaimissa käytettävissä olevia asetuksia. Emme vastaa tällä hetkellä “älä jäljitä (do not track)” -signaaleihin. Useimmat selaimet tarjoavat kuitenkin käyttäjälle mahdollisuuden valita laitteelle asetettavissa olevat evästeet, poistaa tallennetut evästeet ja poistaa evästeet käytöstä. Huomaa, että evästeiden poistaminen käytöstä saattaa estää käyttäjää käyttämästä tiettyjä Synexus-yhtiön verkkosivustojen ominaisuuksia. Katso lisätietoa evästekäytännöstämme .

Lasten tietosuoja verkossa

Synexus ei kerää verkkosivustojensa kautta tietoja yksilöiltä, joiden tiedetään olevan alle 13-vuotiaita, eivätkä mitkään verkossa tarjoamamme sisällöt ole alle 13-vuotiaille suunnattuja.

Kysymykset, valitukset ja oikeuksien harjoittamiseen liittyvät pyynnöt

Yhteydenotot, kyselyt, henkilötietoja koskevien oikeuksien harjoittamiseen liittyvät pyynnöt (esim. pääsy tietoihin) tai valitukset voidaan lähettää tietosuojavastaavalle seuraavaan osoitteeseen: Data Protection Officer, Privacy Department, Granta Park Cambridge, CB21 6GQ, United Kingdom Synexus Polska Sp. z o.o. toimii Synexus-yhtiön tietosuoja-asioista vastaavana EU:n alueella toimivana osakkuusyhtiönä GDPR-asetuksen mukaisena rekisterinpitäjänä, ja sillä on ensisijainen vastuu EU:n alueella toimiviin yrityksiimme vaikuttavissa tietosuoja-asioissa. GDPR-asetuksen noudattamiseen liittyvissä asioissa on mahdollista ottaa yhteyttä myös tietosuojavastaavaan, jonka yhteystiedot on ilmoitettu yllä. Yksilöillä on EU:n alueella lakisääteinen oikeus valittaa tietojensa käsittelystä GDPR-asetuksen noudattamisesta vastaavalle valvontaviranomaiselle. Luettelo kaikista EU:n alueen valvontaviranomaisista on saatavilla Euroopan komission verkkosivustolla osoitteessa http://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm.

Käytännön lakisääteinen asema ja käytäntöön tehtävät muutokset

Tämä käytäntö ei ole sopimus, eikä se muodosta mitään lakisääteisiä oikeuksia tai velvollisuuksia. Synexus pidättää oikeuden muokata tai korjata tätä käytäntöä. Käytäntöä saattaa olla tarpeen muuttaa esimerkiksi silloin, jos voimaan astuu uusia lakeja tai olemassa oleviin lakeihin tehdään muutoksia. Päivitetty käytäntö julkaistaan osoitteessa https://www.synexus.com. Päivitetty viimeksi: 1. tammikuuta 2020