Adatkezelési tájékoztató

A Teva Gyógyszergyár Zrt. általános ügyfél adatkezelési tájékoztatója

A Teva Gyógyszergyár Zártkörűen Működő Részvénytársaság (a továbbiakban: az „Adatkezelő”, „Teva” vagy a „Társaság”) működéséhez elengedhetetlenül szükséges ügyfelei személyes adatainak a kezelése. Az ilyen személyes adatok kezelésrére elsősorban az Önnel kötött szerződések és bizonyos jogszabályi kötelezettségek teljesítése miatt kerül sor. Figyelemmel arra, hogy a Teva Gyógyszergyár Zrt. széles körű üzleti és vállalatirányítási tevékenységet folytat, valamint a társaság egy nemzetközi vállalatcsoport része, ezért az adatkezelési műveleteket számos célból folytatja. E tevékenységei keretében jelentős számú érintett személyes adatát kezeli, és indokolt esetben azokat továbbítja hatóságok, a Teva csoport más tagvállalatai, külső szolgálatók és tanácsadók, valamint egyéb harmadik személyek részére.

A Teva nemzetközi vállalatcsoport részeként a személyes adatokat továbbíthatja a csoport más tagvállalatai részére is, akik a Teva Csoport számára rendszeres csoportszintű szolgáltatásokat nyújtanak, valamint a csoport irányításában vesznek részt. Ennek keretében egyes személyes adatok harmadik országokba, köztük Izrael Államba, illetve az Amerikai Egyesült Államokba is továbbításra kerülhetnek. Az ilyen adattovábbítások során a Teva az adatvédelmi szabályok betartása felől minden esetben gondoskodik.

Az ilyen adatkezelési tevékenységek érintettjei elsősorban a Adatkezelő ügyfelei, ügyfeleinek képviselői és kapcsolattartói, de egyes esetekben a Adatkezelővel kapcsolatban álló üzleti partnerek, azok képviselői és kapcsolattartói is érintettek lehetnek.

A jelen adatkezelési tájékoztató (az „Adatkezelési Tájékoztató”) célja, hogy Ön, mint az adatkezelési művelet érintettje, a személyes adatainak kezelésével kapcsolatos tájékoztatást kapjon az Európai Parlament és a Tanács 2016/679 rendeletének (a „GDPR”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (az „Infotv.”) rendelkezéseivel összhangban.

1. AZ ADATKEZELÉSI TÁJÉKOZTATÓ ÉS A SPECIÁLIS TÁJÉKOZTATÓK KAPCSOLATA

Az Adatkezelő számos adatkezelési tevékenységet folytat, amelyek mind egyedi jellemzőkkel bírnak. A jelen Adatkezelési Tájékoztatóban az Adatkezelő által folytatott valamennyi adatkezelési tevékenységére vonatkozó közös szabályok találhatóak meg. A konkrét adatkezelési tevékenységek jellemzőit, különösen az adatkezelés célját, a kezelt személyes adatok körét, a személyes adatok megőrzésének az idejét, valamint a művelet egyéb jellemzőit az ún. speciális tájékoztatók tartalmazzák (a „Speciális Tájékoztatók”). A Speciális Tájékoztatók bármilyen formában megadásra kerülhetnek az Ön részére. A Speciális Tájékoztatók a Teva erre rendszeresített felületén kerül közzétételre, illetve egyes esetekben azok más módon kerülnek Önnel közlésre. Az adott adatkezelési tevékenységre a fentiek alapján elsősorban a Speciális Tájékoztatók vonatkoznak, az ott nem szabályozott kérdésekben pedig a jelen Adatkezelési Tájékoztató rendelkezéseit kell alkalmazni.

2. AZ ADATKEZELŐ SZEMÉLYE, ADATVÉDELMI TISZTVISELŐ ÉS ELÉRHETŐSÉGEK

A személyes adatok kezelője a Teva Gyógyszergyár Zártkörűen Működő Részvénytársaság (cégjegyzékszáma: 09-10-000016; székhelye: 4042 Debrecen, Pallagi út 13.). Az Adatkezelő kijelölt adatvédelmi tisztviselője (az „Adatvédelmi Tisztviselő”) elérhetősége: e-mail címe euprivacy@tevaeu.com. Ön bármely kérdésével, illetve az információs önrendelkezési jogai gyakorlásával kapcsolatban, választása szerint közvetlenül az Adatkezelőhöz, illetve az Adatvédelmi Tisztviselőhöz is fordulhat.

3. INFORMÁCIÓS ÖNRENDELKEZÉSI JOGOK ÉS JOGORVOSLATI LEHETŐSÉGEK

A személyes adatai kezelésével kapcsolatos bármely észrevétel, kérdés, és panasz esetén kérjük, közvetlenül az Adatkezelőhöz forduljon, aki a kérelmére haladéktalanul, de legkésőbb a kérelme beérkezéstől számított egy hónapon belül érdemi választ ad. Ha a kérelme összetettsége, vagy kérelmeinek száma ezt indokolja, úgy a válaszadási határidő további két hónappal meghosszabbítható, amelyről az eredeti határidőn belül az Adatkezelő értesíti.
A személyes adatai kezelésével kapcsolatban Önt különböző jogok illetik meg (információs önrendelkezési jogok), amelyet alapvetően az adatkezelés jogalapja határoz meg. A Speciális Tájékoztatóban külön jelzésre kerül, hogy az adott adatkezelési jogalappal összefüggésben milyen jogok illethetik meg. Felhívjuk a figyelmét arra, hogy egy jog gyakorlásával kapcsolatban a GDPR további feltételeket állapíthat meg, amelyek adott esetben a jog gyakorlását kizárhatják vagy korlátozhatják. Kérjük ezért, hogy az információs önrendelkezési jogai gyakorlása előtt figyelmesen tanulmányozza a jelen Adatkezelési Tájékoztatót, a vonatkozó Speciális Tájékoztatót, valamint a jog részletes tartalmával kapcsolatban a GDPR rendelkezéseit.

  1. Hozzájárulás visszavonása (GDPR 7. cikk (3) bek.) Ön jogosult arra, hogy az adatkezeléshez adott hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
  2. Hozzáférés (GDPR 15. cikk) Ha él ezzel a jogával, akkor a Társaság tájékoztatja arról, hogy a kérése időpontjában milyen személyes adatait kezeli és azokat kinek továbbította. Ez nem csupán egy általános felsorolás, hanem a konkrét személyes adatokat is tartalmazza. Így Ön is meggyőződhet arról, hogy a Társaság kezelésében lévő adatai helyesek és naprakészek, valamint arról, hogy úgy kezeli a Társaság a személyes adatait, ahogy arról előzetesen tájékoztatta. Nem adhatja ki a Társaság az Ön részére más személyekre vonatkozó személyes adatokat, vagy olyan személyes adatokat, amelyek Önnel szemben folyamatban lévő igényérvényesítéshez kapcsolódnak.
  3. Helyesbítés (GDPR 16. cikk) Ha észleli, hogy valamely személyes adatát pontatlanul vagy hiányosan tartja nyilván a Társaság, akkor kérheti annak a kijavítását vagy kiegészítését. Ha a Társaság meggyőződött arról, hogy a személyes adat eltér a valóságtól vagy hiányos, javítja azt. Vannak olyan esetek, amikor a helyesbítést kizárja az adatkezelés természete. Ilyenek például a Társaság tevékenysége során készített képfelvételek, az Önnel kötött szerződés egyes tartalmi elemei vagy az egyes igényérvényesítési eljárásokban bizonyítékként felhasznált okiratok és egyéb bizonyítási eszközök.
  4. Törlés („az elfeledtetéshez való jog”) (GDPR 17. cikk) Ön jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje az Önre vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az Önre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a 17. cikkben meghatározott indokok valamelyike fennáll, többek között akkor, ha az adatok kezelése már nem szükséges, a korábban adott hozzájárulását visszavonja, tiltakozik az adatkelés ellen és nincs olyan ok, ami miatt az adatkezelés megengedhető, az adatok jogellenes kezelése merül fel vagy jogszabály írja elő azok törlését.
  5. Adatkezelés korlátozása (GDPR 18. cikk) Ön jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha a 18. cikkben foglalt indok teljesül. Kérheti az adatkezelési műveletek ideiglenes szünetelését, ha felmerül a lehetősége annak, hogy valamely személyes adatát pontatlanul tartja nyilván a Társaság; felmerül az adatkezelés jogellenessége, de nem szeretné, hogy törölje a Társaság az ezzel érintett adatokat; a Társaságnak már nincs szüksége az adatokra, de Önnek igen; vagy tiltakozott az adatkezelés ellen. Ilyenkor az adatokat tovább tárolja a Társaság, de más műveletet nem végez vele, kivéve, ha hozzájárul a kezeléshez vagy az jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekéből szükséges.
    Ha egyszer az adatkezelést korlátozta a Társaság, akkor azt kizárólag az Ön hozzájárulásával, a saját vagy harmadik személy jogos érdekéből, vagy megfelelő közérdek alapján oldhatja fel.
  6. Adathordozhatóság (GDPR 20. cikk) Ön jogosult arra, hogy az Adatkezelő rendelkezésére bocsátott személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az Adatkezelő, ha: az adatkezelés a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és az adatkezelés automatizált módon történik. Az adatok hordozhatóságához való jog gyakorlása során Ön jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
  7. Tiltakozás (GDPR 21. cikk) Jogos érdeken alapuló adatkezelések esetén: Ön jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen, ideértve az említett rendelkezésen alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az Adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Közvetlen üzletszerzés érdekében folytatott adatkezelések esetén: Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, Ön jogosult arra, hogy bármikor tiltakozzon az Önre vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha Ön tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezeljük tovább.
4. JOGORVOSLAT

A személyes adatok kezeléséhez fűződő jogainak megsértése esetén Ön az alábbi jogorvoslati lehetőségekkel élhet:

  1. Közvetlenül az Adatkezelőhöz, vagy az Adatvédelmi Tisztviselőhöz fordulhat
    A 2. pontban írt elérhetőségen.
  2. Panaszt nyújthat be a felügyeleti hatósághoz:
    Nemzeti Adatvédelmi és Információszabadság Hatóság (székhelye: 1055 Budapest, Falk Miksa utca 9-11; postai cím: 1363 Budapest, Pf.: 9.; e-mail: ugyfelszolgalat@naih.hu; telefon: +36 (1) 391-1400; web: www.naih.hu)
  3. Keresetet nyújthat be az Adatkezelő ellen.
    Ön jogosult bírósághoz fordulni adatai jogellenes kezelése esetén. A bíróság illetékességéről és elérhetőségeiről az alábbi honlapon tájékozódhat: www.birosag.hu
5. ALKALMAZOTT ADATBIZTONSÁGI INTÉZKEDÉSEK

A jelen pont az Adatkezelő által alkalmazott általános adatbiztonsági intézkedéseket tartalmazza. Ha egy adott adatkezelési tevékenységgel kapcsolatban az Adatkezelő ettől eltérő adatbiztonsági intézkedéseket alkalmaz, úgy azokat a Speciális Tájékoztató tartalmazza. A személyes adatok védelme érdekében a Adatkezelő a nemzetközi információvédelmi gyakorlatnak megfelelő biztonsági intézkedéseket vezetett be. Ezen intézkedések között találhatóak technológiai, adminisztratív, technikai, fizikai és eljárási lépések, amelyek arra hivatottak, hogy megvédjék a személyes adatokat a jogosulatlan használattól, hozzáféréstől vagy nyilvánosságra hozataltól, valamint azok elvesztésétől, módosításától vagy megsemmisítésétől.

Alapelvek
Az adatbiztonság kiterjed a fizikai és logikai eszközökre, ezek használatára és kezelésére, valamint a biztonsággal kapcsolatos szabályozásra és eljárásokra. Az adatbiztonságért a vállalatvezetés, az IT szervezet, az információ tulajdonosok és a végfelhasználók felelősek.

Jogosultságok és felelősségi körök
Minden, Adatkezelő által használt alkalmazási rendszernek van Rendszergazdája. A Rendszergazdák felelősek a rendszerüzemeltetésért, információvédelemért, beleértve az információk jogosulatlan nyilvánosságra hozását megakadályozó hozzáférési rendszer kialakítását, valamint a kritikus adatvesztést megakadályozó mentések létrehozását. Az informatikai rendszerek és eszközök csak Adatkezelő üzleti tevékenységekhez használhatók. A felhasználóknak ismerniük kell az Informatikai Biztonsági Szabályzat előírásait, és azoknak megfelelően kell tevékenykedniük. Kötelesek jelenteni a szabályzat bármilyen gyanús, vagy tényleges megsértését a megfelelő alkalmazás rendszergazdájának. Az Adatkezelő információs vagyonának megőrzése érdekében a felhasználóknak tilos önállón hardvert vagy szoftvert telepíteniük. Ezt a tevékenységet kizárólag az IT Operation osztály, illetve az általa megbízott személyek és partnerek végezhetik. Minden felhasználó felelős a számítógépes erőforrások használatáért, és felelős a számítógépes adatbiztonsággal kapcsolatos tevékenységéért.

Rendszer hozzáférés
Minden, Adatkezelő által használt számítógépes rendszerben jóváhagyott, jelszó alapú hozzáférést használunk. Minden információhoz és szolgáltatáshoz csak az arra jogosultságot kapott felhasználó férhet hozzá.

  • Jelszavak. Nehezen kitalálható jelszavak: Felhasználói jelszó előírások alapján a jelszó kitalálásának megnehezítése érdekében, amennyiben technikailag megvalósítható a rendszerben, a jelszónak legalább nyolc karakter hosszúnak kell lennie, és tartalmaznia kell legalább 3-at a következők közül: kisbetű, nagybetű, szám, speciális karakter. A felhasználókkal szembeni minimális jelszókövetelmények betartatását, valamint a szabályozott időközönként jelszó cserék kikényszerítését a programok végzik. A jelszót 180 naponként, vagy ennél gyakrabban cserélni kell. A rendszer tulajdonosok felelőssége annak biztosítása, hogy legalább évente egyszer a felhasználók hozzáférési jogai felül legyenek vizsgálva.
  • Külső hozzáférések. Minden olyan kapcsolatot, amelyik az Adatkezelő számítógépes hálózatába kívülről csatlakozik be, a Global IT Security által jóváhagyott erős hitelesítési és titkosítási rendszerrel védjük. Az Adatkezelő számítógépes rendszeréhez minden típusú külső hozzáférés csak Adatkezelő által jóváhagyott szoftverrel és hálózati technológiával engedélyezett. Minden távoli hozzáférés adatforgalmát titkosítjuk. Az Adatkezelő rendszerében lévő tűzfalakat központilag a Global IT Security Operations menedzseli.
  • Wi-Fi (Vezeték nélküli hálózatok). Csak az Adatkezelő WiFi szabványoknak és titkosítási előírásoknak megfelelő vezeték nélküli hálózatot használunk az Adatkezelő telephelyein belül. Minden vezeték nélküli hálózaton továbbított adatot titkosítunk. Egyéb vezetéknélküli hálózatok csatlakozását Adatkezelő belső hálózatába nem engedélyezzük, ezeket folyamatosan monitorozzuk.
  • Számítógépes vírusok elleni védelem. A számítógépek és hálózatok folyamatos, megszakítás nélküli biztonságos működése érdekében az összes számítógépet, beleértve a munkaállomásokat, szervereket, levelezési átjárókat és mobil eszközöket, az Adatkezelő által jóváhagyott vírusirtó program frissített legújabb verziójával védjük. Hordozható adattároló (pendrive, CD, DVD) eszközök csatlakoztatása nincs engedélyezve és nem is lehetséges. A hordozható eszközökön (laptop, okostelefon) tárolt, bizalmas információkat programmal titkosítjuk.
  • IT eszközök. Az IT eszközöket a teljes életciklusuk alatt monitorozzuk és ellenőrizzük, csak az IT által jóváhagyott IT eszközök használhatók az Adatkezelő hálózatában és telephelyein. Csak jogtiszta és megfelelő licenccel rendelkező szoftverek használhatók az Adatkezelő informatikai rendszereiben. Az IT osztály ellenőrzi a megfelelő licenc használatot. A hardverekre, érvényes karbantartási szerződéssel rendelkezünk a gyártóval vagy annak valamely feljogosított partnerével. Az Adatkezelő telephelyéről és tulajdonából kikerülő számítógépekről a telephely elhagyása előtt törlünk minden Adatkezelő információt.
  • Biztonsági monitorozás. A biztonsági monitorozás segít annak megerősítésében, hogy a telephelyen az adatbiztonságra vonatkozó szabályzatoknak és előírásoknak megfeleljünk. Ezeket a tevékenységeket a rendszer gondnokainak, alkalmazás- és rendszergazdáinak és az IT Operation alkalmazottaknak kell elvégeznie. A biztonsági naplókat a kockázat mértékének megfelelő gyakorisággal vizsgáljuk, hogy a rossz működés és a sérülékenységek felismerhetők és javíthatók legyenek. A Global IT Security rendszeresen végez biztonsági auditot. Rendszeresen, a kockázattól függően elvégezzük a biztonsági beállításokat, javításokat, ellenőrizzük a szervizcsomagok és verziófrissítések állapotát az összes fontos rendszeren. Az informatikai biztonság vizsgálatára szolgáló IT eszközöket és szoftvereket kizárólag az IT Operation szakemberek használják, egyéb személy általi felhasználás nem lehetséges.

Mentés
A Teva információk védelme érdekében minden IT rendszerhez adatmentési eljárást alkalmazunk. A mentési adatokat olyan biztonságos és olyan távoli helyen tároljuk, amely nem fenyegeti az éles rendszert. A helyi saját számítógépen vagy szerveren lévő mentés nem elegendő. A rendszeres mentést felhasználva minden rendszeren visszaállítási gyakorlatot és adattároló rotációt végzünk. A mentési szalagokat tűz- és betörésbiztos helyen tároljuk.

Fizikai védelem

  • Számítógéptermek
    Számítógéptermekbe belépés csak az arra jogosult és minimálisan szükséges számú személy számára engedélyezett, a belépéseket naplózzuk és rendszeresen felülvizsgáljuk. Rendszeres belépés csak az Adatkezelő szervereket adminisztráló és szervizelő informatikusok részére engedélyezett. Adatkezelő géptermekre vonatkozó előírások:
    • Automatikus tűzvédelmi rendszer, amely tűz- és füstérzékelőt, valamint automatikus tűzoltó mechanizmust (sprinkler) tartalmaz.
    • Vízbetörésjelző és azt megakadályozó mechanizmus.
    • Légkondicionáló berendezés, amely biztosítja a számítógépek számára az optimális hőmérséklet és páratartalom tartományt.
    • Szünetmentes áramforrás (UPS) és generátor.
    • Behatolásjelző és riasztó rendszer.
    • Kamerás megfigyelő rendszer.
  • Hordozható IT eszközök.
    Hordozható informatikai eszközök (laptop, notebook, okostelefon, ipad) fizikai jellegű (lopás, törés elleni) védelme az eszközt használó alkalmazott felelőssége. A fizikai védelem független az eszközökön lévő szoftveres védelemtől.

Előírások megszegése, visszaélések.
Minden Adatkezelő alkalmazott, aki megszegi a szabályzatot, az az eset körülményeitől függően munkaviszonyára vonatkozó lényeges kötelezettségszegést, szabálysértést, illetve bűncselekményt követ el. A szabályzat megszegése esetén az Adatkezelő a megfelelő időben és módon megteszi a szükséges lépéseket a kár csökkentése, a törvényi és külső hatósági előírások betartása, illetve az újbóli előfordulás megelőzése érdekében. A fent nem szabályozott intézkedéseket, az Adatkezelő globális informatikai biztonsági szabályzata tartalmazza.

6. ADATKEZELÉSI MEGFELELŐSÉGGEL KAPCSOLATOS ADATKEZELÉS

Az Adatkezelő feladata, hogy valamennyi általa folytatott adatkezelési tevékenység jogszerűségét biztosítsa, és ennek részeként képesnek kell lennie a jogi megfelelőség bizonyítására is. Ennek megfelelően az Adatkezelő, általános jelleggel az 1. számú melléklet szerint kezeli a jogi megfelelőség bizonyításához szükséges dokumentumokat és az azokban található személyes adatokat.
Ilyen megfelelőségi dokumentumok lehetnek különösen, az érintett által adott hozzájárulások (név, aláírás, dátum), az online felületen adott hozzájárulás esetén, a hozzájárulás megadását rögzítő naplók; a jogos érdek tesztek (név, pozíció, aláírás, dátum), az adatvédelmi tájékoztatók (név, pozíció, aláírás, dátum), adatkezelési tevékenység nyilvántartása (név, pozíció, aláírás, dátum); adatvédelmi hatásvizsgálatok (név, pozíció, aláírás, dátum); belső szabályzatok (név, pozíció, aláírás, dátum); szerződések (név, pozíció, aláírás, dátum); társasági jogi dokumentumok (határozat tartalma, név, pozíció, aláírás, dátum); valamennyi az adatkezelési műveletek megfelelőségével kapcsolatban keletkezett egyéb levelezés és dokumentum (és az azokban foglalt személyes adatok). Az ilyen személyes adatokat az Adatkezelő, az adott adatkezelési művelet megszűnésétől számított 5 (öt) évig kezeli.

SPECIÁLIS TÁJÉKOZTATÓK