Datenschutzhinweise

Unser Ansatz für den Datenschutz

Die klinische und die medizinische Forschung basieren auf der Erfassung und Analyse der vertraulichsten Informationen über Menschen. Personen geben ihre sensiblen Informationen nur dann weiter, wenn es eine Kultur des Vertrauens gibt und die Interessenvertreter sichere Praktiken zur Bearbeitung der Daten anwenden. Da wir auf diesem Gebiet tätig sind, ist Synexus Clinical Research Limited (zusammenmit den Tochter- und Konzernunternehmen „Synexus“, „wir“) bewusst, dass wir beim Umgang mit Informationen über natürliche Personen verantwortungsvoll vorgehen müssen, mit der erforderlichen Sorgfalt hinsichtlich des individuellen Datenschutzes und unter Einhaltung der Gesetze über den Datenschutz und die Geheimhaltung.

Diese Globalen Datenschutzbestimmungen (die „Bestimmungen“) beschreiben die wichtigsten Arten der personenbezogenen Daten, die wir in unserer globalen Organisation verarbeiten, wie diese Daten genutzt und weitergegeben werden und unsere Verpflichtungen gegenüber den natürlichen Personen, deren Daten wir bearbeiten. Die Bestimmungen beschreiben allgemein, wie wir Datenschutzgesetze und -vorschriften einhalten wollen, einschließlich (aber nicht darauf beschränkt) der nationalen Gesetze zur Umsetzung der Datenschutzverordnung der Europäischen Union („EU“) 2016/679 („Verordnung“), des US Health Insurance Portability and Accountability Act of 1996 („HIPAA“) (US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern) und der Gesetze zur Meldepflicht bei Sicherheitsverletzungen der Bundesstaaten in den USA, der Datenschutzgesetze, die in immer mehr Ländern weltweit eingeführt werden, sowie der Datenschutz- und Geheimhaltungsanforderungen der ICH-/GCP-Richtlinien (gute klinische Praxis). Synexus hat interne Richtlinien, Verfahren und Schulungsprogramme eingeführt, die dazu dienen, die Einhaltung dieser Gesetze und der vorliegenden Bestimmungen zu unterstützen. Unsere Richtlinien, Verfahren und Schulungsprogramme werden regelmäßig überarbeitet und von einem Team von Datenschutzexperten mit Führungsverantwortung überwacht.

Wenn Sie im Staat Kalifornien ansässig sind, enthält die vorliegende Richtlinie außerdem unseren Datenschutzhinweis für in Kalifornien ansässige Personen, in dem weitere Informationen enthalten sind, wie von den kalifornischen Gesetzen gefordert.

 

Welche Arten von personenbezogenen Daten bearbeitet Synexus und zu welchen Zwecken?

Klinische und medizinische Informationen

Als globale Standortmanagement-Organisation stellt Synexus Prüfzentren für klinische Studien zur Verfügung, die von unseren Klienten durchgeführt werden. In diesem Zusammenhang erfassen, speichern und analysieren wir große Mengen an Gesundheitsdaten und biomedizinischen Proben von Studienteilnehmern. Im Sinne der in der Richtlinie verwendeten Begriffe betrachtet Synexus sich selbst in seiner Funktion als Standortmanagement-Organisation als Mit-Verantwortlichen zusammen mit dem Sponsor/Klienten, wenn es darum geht festzulegen, wie und warum klinische und medizinische Daten verarbeitet werden.

Um den Datenschutz in Übereinstimmung mit der guten klinischen Praxis zu verbessern, werden Aufzeichnungen oder Proben, welche die Klienten von Synexus für Forschungszwecke nutzen, keine Probandennamen oder sonstigen direkten Identifikatoren angefügt.

 

Rekrutierungsinformationen zu klinischen Studien

Wir erheben und pflegen außerdem persönliche Kontaktinformationen, Details zu Gesundheit und Erkrankungen und Interessensgebiete der medizinischen Forschung von Personen, die uns ihr Interesse an der Teilnahme an klinischen Studien mitgeteilt haben, damit wir sie ggf. einer geeigneten klinischen Studie zuordnen können. Wir nutzen diese Informationen zur Probandenrekrutierung bei klinischen Studien und für allgemeine statistische Analysen zur Rekrutierungsunterstützung.

 

Informationen zu Gesundheitsscreenings

Gelegentlich erbringt Synexus auch Gesundheitsdienstleistungen für örtliche Gemeinschaften in Form von Gesundheitsscreenings für bestimmte Erkrankungen. Bei derartigen Aktivitäten erheben wir Namen, Kontaktinformationen und medizinische Informationen der Teilnehmenden. Nach der Durchführung des Tests nehmen wir die medizinischen Daten mit der Zustimmung der Teilnehmer in unsere Datenbank auf, sodass sie von uns entsprechend ihrer spezifischen Erkrankung für spätere Tests oder mögliche klinische Studien kontaktiert werden können. Falls sie sich entscheiden, dem nicht zuzustimmen, gibt Synexus die Ergebnisse nur an ihren Arzt weiter.

 

Fachliche Brancheninformationen

Im Rahmen unserer Geschäftstätigkeit interagiert Synexus mit Arbeitnehmern, Beratern, Auftragnehmern und anderen Drittparteien, die von unseren Klienten in der klinischen und medizinischen Forschung eingestellt oder beauftragt werden. Synexus erfasst und nutzt die Namen, Kontaktangaben und sonstige berufliche Informationen dieser Personen für zulässige geschäftliche Zwecke, einschließlich der Projekt- und Finanzverwaltung. Wir können die Informationen, die wir erhalten, einschließlich E-Mail-Adressen, dazu nutzen unseren Klienten relevante Informationen über die Dienstleistungen von Synexus zukommen zu lassen.

 

Arbeitnehmer- und Personaldaten

Synexus erfasst personenbezogene Daten von Bewerbern bei unserem Unternehmen, einschließlich der privaten Kontaktangaben, beruflichen Qualifikationen und des beruflichen Werdegangs, um ausgehend davon Einstellungsentscheidungen zu treffen. Synexus führt verschiedene Hintergrundüberprüfungen zu den Bewerbern durch, einschließlich eventueller Vorstrafen und Berufsausschlüsse, sofern gesetzlich zulässig. Nach der Einstellung erfasst Synexus Informationen über Mitarbeiter für Personal-, Leistungs-, Gehaltsabrechnungs- und Steuerzwecke. Synexus erfasst und speichert Mitarbeiterinformationen in verschiedenen unternehmenseigenen Systemen, die den üblichen Geschäftstätigkeiten entsprechen. Synexus verarbeitet ähnliche Informationen über Berater, Auftragnehmer und andere Drittparteien, die von dem Unternehmen für die Bereitstellung von Produkten oder Dienstleistungen beauftragt werden.

 

Website-Besucher

Synexus erfasst namentliche Informationen über Besucher von Websites des Unternehmens, wenn diese freiwillig bereitgestellt werden, um einer Anfrage dieser Personen nachzukommen, zum Beispiel, wenn ein Klientenkontakt Informationen zu einer Unternehmensleistung anfordert, eine Gesundheitsfachkraft an der Teilnahme an einer klinischen Studie interessiert ist oder jemand sich für eine freie Stelle beim Unternehmen bewerben möchte. Durch die Nutzung von auf Cookies basierenden Technologien kann Synexus verschiedene Daten im Zusammenhang mit virtuellen Identitäten von Besuchern sammeln, wenn diese auf unsere Websites zugreifen. Diese Daten werden für verschiedene Zwecke genutzt, einschließlich der Seitenanalyse und des First-Party Marketing (siehe Online-Aspekte unten). In bestimmten Fällen werden diese virtuellen Identitäten mit den realen Identitäten von Besuchern verknüpft, wenn sie ihre namentlichen Informationen wie oben beschrieben zur Verfügung stellen. Das erlaubt es Synexus, Marketing-Botschaften individuell an diese Personen anzupassen und Informationen einzuschließen, die wahrscheinlich für sie interessant sind.

 

Kontaktzentrum

Synexus beauftragt Dienstleister-Kontaktzentren, um Einzelpersonen zu kontaktieren, die Interesse an der Teilnahme an klinischen Studien geäußert haben. Personenbezogene Daten von den kontaktierten Personen werden nur erfasst, um deren Anfrage zu bearbeiten und festzulegen, ob sie für einen Termin für eine Screening-Untersuchung in den Einrichtungen von Synexus in Frage kommen oder nicht. Unsere Kontaktzentren setzen sich nicht mit Personen in Verbindung, die nicht zuvor ihre Kontaktinformationen an Synexus weitergegeben haben. Anrufe können für Zwecke der Qualitätssicherung aufgezeichnet werden. Anrufer (eingehend und ausgehend) werden darüber benachrichtigt, wenn ihr Anruf aufgezeichnet wird.

 

Interne und externe Weitergabe von personenbezogenen Daten

Personenbezogene Daten werden innerhalb von Synexus und seinen verbundenen Unternehmen und mit  Dritten, darunter unsere Agenten und Dienstleister im jeweils nötigen Umfang weitergegeben, um die genannten zulässigen Geschäftszwecke zu erfüllen. Der Zugriff auf Datenbanken und Ordner, die persönliche Informationen enthalten, ist auf das zuständige Personal beschränkt. Synexus handelt nicht mit personenbezogenen Informationen und verkauft diese nicht. Unter bestimmten Umständen kann Synexus von Vollzugs- oder Justizbehörden dazu aufgefordert werden, bestimmte persönliche Informationen im Rahmen von Ermittlungen oder von Gerichtsverfahren offenzulegen. Synexus kann personenbezogene Daten im Falle einer Fusion, Veräußerung, Umstrukturierung, Neuorganisation, Auflösung oder sonstigem Verkauf oder einer Übertragung von Synexus oder aller bzw. eines Teils seiner Vermögenswerte einem Käufer oder sonstigen Nachfolger offenlegen.

Unternehmen, die als Lieferanten von Synexus tätig sind, müssen „Auftragsverarbeiter“-Vereinbarungen und/oder Geheimhaltungsvereinbarungen unterschreiben, mit denen sie sich verpflichten, personenbezogene Daten nur entsprechend den vertraglich vereinbarten Zwecken zu verarbeiten und angemessene organisatorische und technische Sicherheitsmaßnahmen anzuwenden.

 

Internationale Übertragung personenbezogener Daten

Synexus ist ein globales Unternehmen, das für eine Branche arbeitet, die eine zunehmend globalisierte Herangehensweise an die klinische Forschung verfolgt. Personenbezogene Daten werden über internationale Grenzen hinweg weitergegeben, wenn dies für globale Projekte erforderlich ist. Synexus speichert personenbezogene Daten in Datenbanken an verschiedenen Standorten in aller Welt, darunter auch in den Vereinigten Staaten. Unter bestimmten Umständen werden personenbezogene Daten von Synexus und dessen Klienten auf Dienstleisterplattformen in der Internet-Cloud gespeichert. Synexus ist sich bewusst, dass es in vielen Länder weltweit Vorschriften gibt, die den Fluss personenbezogener Daten über internationale Grenzen hinweg einschränken. Synexus hat Maßnahmen ergriffen um sicherzustellen, dass ein angemessener Schutz solcher Daten gewährleistet ist, sofern dies gesetzlich vorgeschrieben ist. Zum Beispiel hat Synexus Standard-Datenschutzklauseln („SDSK“) für die Übertragung bestimmter personenbezogener Daten aus dem europäischen Wirtschaftsraum ausgearbeitet. EU-Bürger, deren personenbezogene Daten gemäß diesen SDSK verarbeitet werden, können über die unten aufgeführten Kontaktdaten eine Kopie der Vereinbarung bei Synexus anfordern. Wenn die Datenschutzrisiken sehr gering sind, zum Beispiel bei der Weitergabe von verschlüsselten Daten, kann Synexus sich für die Übertragung von Informationen von Personen an Rechtsordnungen mit weniger strengen Datenschutzregelungen auf eine Einwilligungserklärung stützen.

 

Hinweis und Einwilligung

Zum Zeitpunkt der Datenerfassung weist Synexus die betreffenden Personen in klarer und unmissverständlicher Sprache darauf hin, wie ihre Informationen genutzt, weitergegeben und übertragen werden; welche Entscheidungsmöglichkeiten sie in Bezug auf die Bearbeitung ihrer Daten haben; welche Informationsrechte sie laut dem Datenschutzgesetz oder diesen Bestimmungen haben und an wen sie sich mit Fragen oder Beschwerden wenden können. Diese Datenschutzhinweise sind an spezifische Umstände der Datenerfassung angepasst. Durch die Bereitstellung dieser Hinweise erfüllt Synexus seine Pflicht der Transparenz und Fairness gegenüber natürlichen Personen, wie es gemäß vielen Datenschutzgesetzen erforderlich ist. Abhängig vom Medium können die Hinweise persönlich, per E-Mail, Post, Telefon oder durch Veröffentlichung auf unserer Website gegeben werden.

In vielen Situationen, zum Beispiel wo das Datenschutzgesetz dies vorschreibt und auch wo dies der guten Praxis entspricht, wird Synexus die Einwilligung der natürlichen Personen dafür einholen, ihre Daten gemäß dem entsprechenden Datenschutzhinweis zu erfassen, zu nutzen und weiterzugeben. In bestimmten Fällen jedoch, sofern das Gesetz es erlaubt, insbesondere wenn die Einholung einer Einwilligung mit unangemessenem Aufwand verbunden ist und wenn die beabsichtigte Verarbeitung der Daten im legitimen Interesse von Synexus oder unserer Klienten ist und die Datenschutzrisiken gering sind, führt Synexus die Verarbeitung personenbezogener Daten ohne Einwilligung durch. Außerdem wird Synexus personenbezogene Daten nutzen und weitergeben, falls das Gesetz oder eine gerichtliche Anordnung dies vorschreibt. In Übereinstimmung mit der guten klinischen Praxis, Gesetzen zur Geheimhaltung und Datenschutzvorschriften holt Synexus die notwendigen Einwilligungserklärungen von Studienteilnehmern im Namen seiner Klienten ein.

 

Datenqualität und Aufbewahrung von Unterlagen

Die Qualität und Richtigkeit von Daten sind für Synexus Grundsätze von wesentlicher Bedeutung. Die Richtigkeit der Daten über die Studienteilnehmer, insbesondere im Zusammenhang mit biomedizinischen Proben, ist unerlässlich für die Integrität der klinischen Forschung. In Übereinstimmung mit den behördlichen Bestimmungen verfügt Synexus über eine professionelle Qualitätssicherungsabteilung. Im Allgemeinen bieten unsere Datenschutzhinweise natürlichen Personen die einfache Möglichkeit zur Validierung und Aktualisierung ihrer Daten sowie zum Korrigieren von Fehlern. Synexus bewahrt personenbezogene Daten gemäß vertraglichen, gesetzlichen und behördlichen Anforderungen auf.

 

Informationsrechte

In Rechtsordnungen mit Datenschutzgesetzen, und wenn vertragliche Verpflichtungen dies verlangen, stellt Synexus sicher, dass natürliche Personen alle relevanten Informationsrechte in Bezug auf ihre von dem Unternehmen verarbeiteten personenbezogenen Daten geltend machen können; dies umfasst beispielsweise das Recht auf Zugang und Berichtigung, jederzeit die Einwilligung zu widerrufen, der Datenverarbeitung zu widersprechen, die Löschung der Daten zu verlangen, die Datenverarbeitung einzuschränken, das Direktmarketing zu verbieten und die Übertragung personenbezogener Daten in einem gängigen digitalen Format (z. B. PDF) an sie selbst oder eine andere Organisation zu verlangen.

Im Übrigen, sofern keine übergeordneten Interessen Vorrang haben, bemüht sich Synexus, unter diesen Bestimmungen die folgenden Informationsrechte im Rahmen der guten Praxis zu gewährleisten:

  • Zugang zu Kopien der personenbezogenen Daten innerhalb eines angemessenen Zeitraums zu ermöglichen;
  • personenbezogene Daten zu korrigieren, wenn sie nicht korrekt sind; und
  • eine zuvor gewährte Einwilligung in die Verarbeitung personenbezogener Daten zu widerrufen.

Probanden, die in von Synexus‘ Klienten durchgeführte Studien aufgenommen wurden, müssen sich an den Prüfer an ihrem Synexus-Standort wenden, der die notwendige Verbindung zur Identität der Probanden herstellen kann.

 

Informationssicherheit

Das Unternehmen unterhält eine umfassende Informationssicherheitspolitik, die dazu dient, technische und organisatorische Sicherheitsmaßnahmen anzuwenden, welche personenbezogene Daten, insbesondere sensible klinische Daten, vor unbefugtem Zugriff oder Verlust schützen. In Übereinstimmung mit den behördlichen Vorschriften, insbesondere gemäß dem Recht der US-Bundesstaaten und der Verordnung, unterhält Synexus außerdem eine detaillierte Richtlinie zu Sicherheitsverletzungen, die ein Verfahren für den Umgang mit eventuellen Verstößen gegen den Schutz personenbezogener Daten festlegt, einschließlich aller notwendigen Benachrichtigungen an natürliche Personen oder Regierungsbehörden.

 

Online-Aspekte

Die Websites von Synexus können Links zu Websites außerhalb des Unternehmens enthalten. Verlinkte Websites werden von Synexus nicht kontrolliert oder unterstützt. Die vorliegenden Bestimmungen gelten nicht für verlinkte Websites außerhalb der Organisation von Synexus. Wir empfehlen, dass Besucher die Datenschutzrichtlinie jeder verlinkten Website einzeln prüfen.

Unsere Websites verwenden außerdem Cookies. Ein Cookie ist eine Datendatei, die vom Betreiber einer Website auf der Festplatte eines Besuchers seiner Seite platziert wird. Synexus und Dritte, mit denen wir zusammenarbeiten, können Cookies mit den folgenden Funktionen auf den Computern der Besucher der Synexus-Websites platzieren: zur Ermöglichung der Dienstleistungen durch die Website, die der Besucher angefordert hat; zur Wiedererkennung früherer Besucher; zur Verbesserung der Websitebedienung; zu Zwecken der Websiteanalyse; zur Überbringung und Anpassung unserer Marketingbotschaften auf unseren Websites und an anderen Orten im Internet auf Grundlage der vorherigen Browsing-Aktivitäten des Benutzers.

Ihre Online-Beziehung zu Synexus kann anhand von Einstellungen verwaltet werden, die in den meisten Internetbrowsern zur Verfügung stehen. Aktuell reagieren wir nicht auf „Do-not-track“-Signale („nicht verfolgen“); die meisten Browser ermöglichen jedoch eine Auswahl, welche Cookies platziert werden, und eine Löschung oder Deaktivierung von Cookies. Wir weisen darauf hin, dass die Deaktivierung von Cookies dazu führen kann, dass bestimmte Funktionen auf den Synexus-Websites nicht genutzt werden können. Weitere Informationen erhalten Sie in unserer Cookie-Richtlinie.

 

Online-Datenschutz von Kindern

Synexus erfasst über seine Websites keine Informationen von Personen, die bekanntermaßen unter 13 Jahre alt sind und kein Teil unserer Onlinepräsenz ist auf Personen unter 13 Jahren ausgerichtet.

 

Anfragen, Beschwerden und Anträge auf Ausübung von Rechten

Mitteilungen, Anfragen und Anträge auf Ausübung von Informationsrechten (z. B. Zugang zu Daten) oder Beschwerden können an den Datenschutzbeauftragten gerichtet werden: Data Protection Officer, Privacy Department, Granta Park Cambridge, CB21 6GQ, United Kingdom.

Gemäß der Verordnung ist Synexus Polska Sp Z.o.o. als leitendes EU-Tochterunternehmen von Synexus (der „Verantwortliche“) für Datenschutzzwecke der Hauptverantwortliche für Datenschutzfragen, die unsere Unternehmensgruppe in der EU betreffen. Im Sinne der Einhaltung der Verordnung kann der Datenschutzbeauftragte über die oben genannten Kontaktdaten kontaktiert werden.

Innerhalb der EU haben natürliche Personen das Recht, sich bei einer Aufsichtsbehörde, die für die Regulierung der Einhaltung der Verordnung zuständig ist, über den Umgang mit ihren Informationen zu beschweren. Eine Liste aller Aufsichtsbehörden der EU ist auf der Website der Europäischen Kommission abrufbar: http://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm.


Rechtlicher Status der Bestimmungen und Bestimmungsänderungen

Die vorliegende Richtlinie ist kein Vertrag und erschafft keine Rechte oder Verpflichtungen Synexus behält sich das Recht vor, diese Bestimmungen zu ändern oder zu ergänzen. Zum Beispiel müssen die Bestimmungen eventuell geändert werden, wenn neue Gesetze eingeführt werden oder die Gesetzgebung geändert wird. Die aktualisierten Bestimmungen werden auf https://www.synexus.com/ veröffentlicht.

 

Letzte Aktualisierung: 01. Januar 2020