Adatvedelmi Szabalyzat

ÁLTALÁNOS ADATKEZELÉSI TÁJÉKOZTATÓ

For English Version Scroll down

Jelen tájékoztató a Boehringer Ingelheim RCV GmbH & Co KG Magyarországi Fióktelepe (székhelye: 1095 Budapest, Lechner Ödön fasor 10.; cégjegyzékszáma: 01- 17-000552, képviseli: Saverio Traficante, Dr. Fábián Zsolt és Martin Gaishüttner) (továbbiakban: Adatkezelő) által megvalósított egyes személyes adatok kezelését és feldolgozását szabályozza az alábbiak szerint.

Bevezető

Jelen Tájékoztatót az Adatkezelő magára nézve kötelezőnek ismeri el. Adatkezelő ezen túlmenően kötelezettséget vállal arra, hogy a személyes adatok kezelését mindenkor a hatályos jogszabályi előírások és a jelen Tájékoztatóban meghatározottak szerint végzi.

Jelen Tájékoztató az Adatkezelő által bármikor egyoldalúan módosítható és/vagy visszavonható, az Érintettek egyidejű tájékoztatásával. A tájékoztatás a honlapon történő közzététellel, illetve a változás jellegétől függően az Érintettek közvetlen értesítésével valósul meg.

Amennyiben a jelen Tájékoztatóval, vagy az adatkezeléssel kapcsolatban bármilyen kérdése vagy észrevétele lenne, kérem, forduljon bizalommal hozzánk az alábbi elérhetőségek bármelyikén: dataprotection.hu@boehringer-ingelheim.com e-mail címen vagy az Adatkezelő 1095 Budapest, Lechner Ödön fasor 10. szám alatti postacímén.

1. Alkalmazási terület, hatály

1. Személyi hatály: jelen Tájékoztató kiterjed az Adatkezelő által az alábbi természetes személyek vonatkozásában megvalósított adatkezelésekre (a továbbiakban összefoglalóan: Érintett):

1. az Adatkezelőhöz munkaviszony létrehozása érdekében önéletrajzot benyújtott személyek (a továbbiakban: Pályázó)

2. a biztonságos és gazdaságos gyógyszer- és gyógyászatisegédeszköz-ellátás, valamint a gyógyszerforgalmazás általános szabályairól szóló 2006. évi XCVIII. törvény (a továbbiakban: Gyftv.) 3. § 12. pontjában meghatározott személyek, azaz az orvos, a gyógyszerész, a gyógyszerek, gyógyászati segédeszközök kereskedelmi forgalmában részt vevő - a vonatkozó tevékenységi engedéllyel rendelkező - előállító és kereskedő természetes személyek (a továbbiakban együtt: HCP)

3. az állatgyógyászati tevékenység vonatkozásában: állatorvosok, állatorvosi asszisztensek, állatpraxisok munkavállalói és tulajdonosai, állattartó telepek megbízottai, alkalmazottai, tulajdonosai, vezetői (a továbbiakban együtt: Állatorvos)

4. az Adatkezelő természetes személy szerződéses partnerei, ideértve az egyéni vállalkozókat is (a továbbiakban: Szerződéses Partner)

5. az Adatkezelő nem természetes személy szerződéses partnerei által meghatározott kontaktszemélyek és egyéb kapcsolattartók (a továbbiakban együtt: Kapcsolattartó)

6. a bejelentett mellékhatás, nemkívánatos esemény vagy egyéb betegbiztonsággal összefüggő információ/minőségi kifogás vonatkozásában a betegek (a továbbiakban: Beteg)

7. a bejelentett mellékhatás, nemkívánatos esemény vagy egyéb betegbiztonsággal összefüggő információ/minőségi kifogás vonatkozásában a betegen és a HCP-n kívüli egyéb bejelentő (a továbbiakban: Bejelentő)

8. továbbá egyéb természetes személyek, egyedi esetek mentén.

A nem az Érintettől származó személyes adat esetében az adatot közlő felelőssége az Érintett hozzájárulásának beszerzése ahhoz, hogy az adat az Adatkezelővel közölhető legyen.

2. Időbeli hatály: Jelen Tájékoztató 2024.03.01. napján lép hatályba, és visszavonásig/módosításig marad hatályban. Jelen Tájékoztatót a hatálybalépéskor már folyamatban lévő adatkezelésekre is alkalmazni kell.

3. Területi hatály: jelen Tájékoztató hatálya az Adatkezelő által bármely (földrajzi) területen megvalósított adatkezelésre kiterjed.

4. Tárgyi hatály: jelen Tájékoztató az Érintettek vonatkozásában az Adatkezelő által megvalósított adatkezeléseket szabályozza, meghatározva azok célját és jogalapját, az alkalmazott eszközöket és módokat, továbbá a bevezetett biztonsági intézkedéseket.

2. Fogalmak és rövidítések

1. Személyes adat: azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személyre („érintettre”) vonatkozó bármely információ;

2. Személyes adat különleges kategóriái: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. Az Adatkezelő fő szabály szerint különleges adatot (pl. egészségügyi adatot) az Érintett vonatkozásában nem kezel. Különleges adat kezelése kizárólag kifejezett előzetes hozzájárulás vagy jogszabályi felhatalmazás alapján kerülhet sor (pl. farmakovigilancia tárgyú bejelentés esetén).

3. Érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

4. Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így különösen a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

5. Adatkezelő: a Boehringer Ingelheim RCV GmbH & Co KG Magyarországi Fióktelepe (székhelye: 1095 Budapest, Lechner Ödön fasor 10.; cégjegyzékszáma: 01-17-000552, képviseli: Saverio Traficante, Martin Gaishüttner és Dr. Fábián Zsolt; elérhetőségek: dataprotection.hu@boehringer-ingelheim.com, tel.: +3612998900). A jelen Tájékoztató szerinti adatkezelés szempontjából – az Adatkezelő sajátos jogi formájára tekintettel – az Adatkezelő anyavállalata, a Boehringer Ingelheim RCV GmbH & Co KG (székhely: A-1121 Wien, Dr. Boehringer Gasse 5-11., cégjegyzékszám: FN 312077 m) – a továbbiakban: Anyavállalat – nem minősül harmadik személynek, hanem az Adatkezelővel egy tekintet alá esik;

6. Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

7. Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az Érintettel, az Adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az Adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

A jelen Tájékoztatóban alkalmazott többi fogalom megfelel a hatályos jogszabályi előírások – így különösen: az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet – a továbbiakban: GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) – által meghatározott fogalmaknak. 

3. Adatkezelés alapelvei

Adatkezelő az általa alkalmazott adatkezelések során a mindenkor hatályos jogszabályi előírások maradéktalan betartásával jár el. Ezen túlmenően az Adatkezelő az Érintett adatai kezelése során a következő alapelvek maradéktalan figyelembevételével jár el:

1. Az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

2. az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”);

3. az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

4. pontosnak és szükség esetén naprakésznek kell lenniük („pontosság”);

5. tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);

6. kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

7. az adatkezelő felelős a fenti alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

Az Adatkezelő az eljárásrendjét a fentieknek megfelelően alakította ki, azt folyamatosan felülvizsgálja és szükség szerint módosítja. Az Adatkezelő az adatkezelés során biztosítja a beépített és alapértelmezett adatvédelmet.

4. Egyes adatkezelési célok

1. Önéletrajzok kezelése

A Pályázók adataihoz kizárólag HR osztály munkavállalói, illetve annak a területnek a vezetője férhet hozzá, amely területre a Pályázó pályázik. 

Az önéletrajzok kezelésével kapcsolatban a Boehringer-Ingelheim cégcsoport által üzemeltetett álláskereső portálon elhelyezett adatkezelési tájékoztató nyújt bővebb felvilágosítást azon Pályázók vonatkozásában, akik ezen a portálon keresztül nyújtották be önéletrajzukat.

A hozzájárulás megadása a szerződés kötésének előfeltétele, elmaradásának lehetséges jogkövetkezményei: az Adatkezelő a hozzájárulás hiányában a Pályázót alkalmazni nem tudja, tekintettel arra, hogy önéletrajz hiányában nem tud megalapozott döntést hozni az alkalmazást illetően.

2. Humán gyógyszerekkel kapcsolatos gyógyszerismertetői tevékenység, terápiás ismertetés

Ezen fejezet alkalmazásában gyógyszerismertetési tevékenység alatt a Gyftv. 12. § (1) bekezdésében meghatározott tevékenység értendő. A gyógyszerismertetési tevékenységre a Gyftv. és az emberi felhasználásra kerülő gyógyszer, illetve gyógyászati segédeszköz ismertetésére, az ismertetői tevékenységet végző személyek nyilvántartására, és a gyógyszerrel, gyógyászati segédeszközzel kapcsolatos, fogyasztókkal szembeni kereskedelmi gyakorlatra vonatkozó részletes szabályokról szóló 3/2009. (II. 25.) EüM rendelet (a továbbiakban: EüM rendelet) irányadók.

Az adatkezelés céljához kapcsolódó kiegészítő tevékenységek különösen:

• első bemutatkozó megkeresés

• kapcsolattartás

• időpont-egyeztetés

• személyes vagy egyéb (digitális) platformon keresztül megvalósított megbeszélés gyógyszerismertetés / terápiával kapcsolatos megbeszélés keretében

• Gyógyszerrel, terápiával kapcsolatos HCP kérdések megválaszolása.

Tájékoztatjuk, hogy a megvalósított megkeresésről (interakcióról) belső feljegyzést készítünk, mely tartalmazza röviden a látogatás időpontját, helyét, a megkeresés módját és témáját, és a felvetett kérdéseket, továbbá a gyógyszerismertető összefoglaló elemzését a megkeresés hatékonysága tárgyában, a termékekre és/vagy terápiás területekre is vonatkoztatva. Utóbbi feljegyzés célja, hogy a megkeresés hatékonysága a későbbiekben növelhető legyen, és optimalizálni tudjuk az Érintettnek legmegfelelőbb értékesítési tartalmat, kommunikációs csatornát és formát: olyan megkeresést indítsunk, mely az Érintettet jobban érdeklő témákra koncentrál. Ennek érdekében, amennyiben az Érintett részére tableten mutat információt a gyógyszerismertető, úgy a tablet tárolja azt az adatot is, hogy az Érintett részére mennyi ideig került bemutatásra az adott oldal, mellyel szemben az Érintett a gyógyszerismertetőnél kifejezheti tiltakozását. Amennyiben a megkeresés e-mail formájában kerül megküldésre, kezeljük azt az adatot, hogy az e-mail sikeres megküldésére mikor került sor, hogy az Érintett azt megnyitottae és mikor, és az e-mailben található mely linkre kattintott. Web alapú interakció esetén rögzítésre kerül a megbeszélés időtartama és az alkalmazott eszköz is. Az Érintett ez ellen tiltakozhat.

Az Érintett nem válik olyan döntés alanyává a fentiek által, mely joghatással vagy egyéb komoly hatással lenne rá.

Az adat származási helye:

• IQVIA Solutions Services Korlátolt Felelősségű Társaságtól (székhelye: 1117 Budapest, Dombóvári út 9.; cégjegyzékszáma: 01-09-268070) vásárolt adatbázis,

• Monocl AB-tól (székhely: Redegatan 1B, 42679 Västra Frölunda, Svédország) vásárolt adatbázis,

• nyilvános forrásból gyűjtött adat,

• HCP által szolgáltatott adat.

A nem a HCP-től közvetlenül származó adat és adatkezelés tekintetében az Adatkezelő az érintettet köteles legfeljebb az adat megszerzésétől számított egy hónapon belül tájékoztatni az adatkezelés tényéről, a kezelt adatok köréről, az adatkezelés céljáról és jogalapjáról, továbbá a kezelési időről, illetve a hatályos jogszabályi előírásokban meghatározott egyéb kérdésekről.

3. Állatgyógyászati termékekkel kapcsolatos termékismertetői tevékenység

Adatkezelő a jelen Tájékoztatóban meghatározott, állatgyógyászati készítménnyel kapcsolatos ismertetési- és reklámtevékenységére az állatgyógyászati termékekről szóló 128/2009. (X.6.) FVM rendelet előírásai is irányadóak.

Az adatkezelés céljához kapcsolódó kiegészítő tevékenységek különösen:

• első bemutatkozó megkeresés

• kapcsolattartás

• időpont-egyeztetés

• személyes megbeszélés termékismertetés keretében

• megvalósított látogatásról belső feljegyzés készítése (mely tartalmazza röviden a látogatás időpontját, helyét, a látogatás témáját és a felvetett kérdéseket)

• termékkel kapcsolatos kérdések megválaszolása.

Az adat származási helye: részben nyilvános forrásból gyűjtött adat, részben pedig az Állatorvos által szolgáltatott adat. A nem az Állatorvostól közvetlenül származó adat és adatkezelés tekintetében az Adatkezelő az Érintettet köteles legfeljebb az adat megszerzésétől számított egy hónapon belül tájékoztatni az adatkezelés tényéről, a kezelt adatok köréről, az adatkezelés céljáról és jogalapjáról, továbbá a kezelési időről, illetve a hatályos jogszabályi előírásokban meghatározott egyéb kérdésekről.

4. Marketing tevékenység megvalósítása HCP-k és Állatorvosok irányában

Az adat származási helye: HCP-től, Állatorvostól közvetlenül felvett adat.

Adatkezelő a kiküldött e-maileket és viber üzeneteket nyomon követi az egyediesíthetőség és annak megállapítása érdekében, hogy az a címzetthez megérkezette, illetve, hogy a címzett megnyitotta-e azt és mikor, illetve, hogy a benne szereplő mely linkre kattintott. Az Adatkezelő a gyűjtött információk alapján profilt nem alkot, az információt a kommunikáció hatékonyságának növelése érdekében használja.

Érintett a hozzájárulását bármikor jogosult visszavonni az Adatkezelő felé intézett ilyen irányú kéréssel (ld. a VII. fejezetet is), illetve hasonló módon adatai ilyen célú kezelésével szemben tiltakozással élhet.

A hozzájárulás elmaradásának lehetséges jogkövetkezményei: az Adatkezelő a hozzájárulás megtagadásához hátrányos jogkövetkezményt nem fűz. Aki nem adja hozzájárulását az adatkezeléshez, nem értesül (legalábbis közvetlen megkeresés útján) az aktuális szakmai és nem szakmai információkról.

5. Medinfo (HCP-k és Állatorvosok részére gyógyszer-, illetve állatgyógyászati termékinformáció nyújtása, kérés alapján)

A hozzájárulás elmaradásának lehetséges jogkövetkezményei: aki nem adja hozzájárulását az adatkezeléshez, nem tud választ kapni az általa feltett kérdésre.

6. Érintettekkel kötött szerződések, kötelmek teljesítése

Adatkezelő az Érintettekkel többféle szerződést köthet (ideértve az egyoldalú kötelezettségvállalásokat és egyéb, kötelemkeletkeztető jognyilatkozatokat is), melyek megkötése és teljesítése mindkét fél érdekét szolgálja. Jelen fejezet nem vonatkozik a Pályázókkal megkötésre kerülő munkaszerződésekre, melyre külön adatkezelési tájékoztató vonatkozik.

Adatkezelő szokásosan az alábbi típusú szerződéseket köti magánszemélyekkel/egyéni vállalkozókkal (a teljesség igénye nélkül), ideértve az egyoldalú kötelezettségvállalásokat és egyéb, kötelemkeletkeztető jognyilatkozatokat is:

• tanácsadói megbízási szerződés

• előadói megbízási szerződés

• testületi tagsági megbízási szerződés

• pályázat szakmai-tudományos rendezvényen való részvétel támogatására (pályázati kérelem és jóváhagyó határozat alapján)

• felhasználói szerződés (pl. videofelvétel készítéséhez és felhasználásához)

• szűrővizsgálatra történő orvosi felkérés,

• egyoldalú kötelezettségvállalás szűrővizsgálat lebonyolítására orvosi felkérés alapján

• megbízási szerződés szűrővizsgálati tevékenység ellátására

• adományozási, minta átadási megállapodás, adomány iránti kérelem.

Az adat szolgáltatása bizonyos esetekben a szerződés kötésének előfeltétele. Az adatszolgáltatás elmaradásának lehetséges jogkövetkezményei: az Adatkezelő az adatszolgáltatás hiányában nem tudja a szerződést megkötni, vagy szerződéses kötelezettségeit teljesíteni.

7. Farmakovigilancia

Gyógyszeripari vállalatként az Adatkezelőnek kötelessége felderíteni, értékelni, megérteni és megelőzni a mellékhatásokat vagy az egyéb, a gyógyszerekkel kapcsolatos problémákat, azaz eleget kell tennie az úgynevezett farmakovigilanciai kötelezettségeknek. Ezért a nemkívánatos eseményről vagy egyéb betegbiztonsággal kapcsolatos információról való tájékoztatás fontos a Boehringer Ingelheim RCV GmbH & Co KG Magyarországi Fióktelepe számára humán és/vagy állategészségügyi szempontból. Ezeket az adatokat Adatkezelő kizárólag farmakovigilanciai célokra használja fel és osztja meg. 

A farmakovigilanciai kötelezettségek előírják olyan információk feldolgozását, amelyek lehetővé teszik az egyén, azaz a beteg és/vagy a mellékhatást, nemkívánatos eseményt vagy egyéb betegbiztonsággal kapcsolatos információt bejelentő személy közvetlen vagy közvetett azonosítását (személyes adatok).

Adatkezelő a termékeivel kapcsolatos mellékhatásokról, nemkívánatos eseményekről és egyéb betegbiztonsággal kapcsolatos információról a következő módokon értesülhet:

• HCP-től/Állatorvostól kapott bejelentés

• Betegtől/Állattulajdonostól érkező bejelentés

• harmadik személytől érkező bejelentés

• nyilvános forrás (pl. szakmai cikk)

• egyéb forrásból.

Humán gyógyszerek esetében szükséges továbbá megadni:

• A reakciót feltételezhetően kiváltó Boehringer Ingelheim termékkel kapcsolatos információkat, mint például adagolás, gyártási szám;

• A nemkívánatos eseménnyel kapcsolatos további részleteket, úgy mint az esemény lefolyása és kimenetele, kezdetének és befejeződésének dátuma, a felhasználó gyógyszerrel kapcsolatos korábbi tapasztalata (első felhasználó?), egyidejűleg alkalmazott gyógyszerei és társbetegségei; az esemény súlyossága; a beteg és/vagy a bejelentő véleménye a Boehringer Ingelheim termék és a nemkívánatos esemény közötti lehetséges ok-okozati összefüggésről.

8. Minőségbiztosítás

Adatkezelőnek mint emberi- és állatgyógyászati célra szánt termékek forgalmazásával foglalkozó gazdálkodó szervezetnek, a helyes gyógyszergyártási gyakorlat (Eudralex Volume IV. Good Manufacturing Practice (GMP)] keretében kötelezettsége eljárni a tudomására jutott minőségi kifogásokkal kapcsolatban, ideértve az esetleges gyógyszerhamisítást is.

Adatkezelő a termékeivel kapcsolatos minőségi kifogásokról a következő módokon értesülhet:

• HCP-től/Állatorvostól kapott bejelentés

• betegtől érkező bejelentés

• harmadik személytől érkező bejelentés

• nyilvános forrás (pl. szakmai cikk)

• egyéb forrás.
   

Adatkezelőnek a kapott bejelentéseket ellenőriznie kell. Ennek keretében kötelezettsége lehet visszakérdezni, további részleteket bekérni, akár a beteggel, akár a kezelőorvossal vagy (pl. állatgyógyászati készítmény esetén) más érintettel a kapcsolatot felvenni.

Adatkezelő a betegek tekintetében személyes adatot kizárólag a visszakövethetőség érdekében kezel, és csak a minimálisan szükséges ideig (pl. a tényállás felderítése érdekében a bejelentő beteg elérhetőségeit kezelheti az Adatkezelő, amíg a tényállás feltárása nem történik meg, ezt követően az adatok törlésre kerülnek).

A felderített tényállást követően a bejelentett minőségi kifogást Adatkezelő belső rendszereiben rögzíti, és továbbítja a Boehringer Ingelheim cégcsoport megfelelő gyártóhelyére [Boehringer Ingelheim (Ingelheim, Németország); Ridgefield (USA); Cognizant (Manila, Fülöp-szigetek és Mumbai, India)] abból a célból, hogy ezen adatokat ezen tagvállalatok a megfelelő Európai Uniós mellékhatásfigyelő- és bejelentő rendszerekbe (pl. Eudravigilance) feltöltsék, ugyanis hozzáféréssel ezen rendszerhez ezek a cégek rendelkeznek. Betegadatot a továbbított jelentés nem tartalmaz. A rögzített adat alapján az Érintett nem beazonosítható. A bejelentő személye (név, elérhetőségi adatok) a rendszerben rögzítésre kerülhet.

9. Piackutatás, szegmentáció

Adatkezelő esetileg megbízhat piackutató cégeket, hogy saját adatbázisuk alapján, saját hatáskörükben és saját felelősségükre végezzenek előzetes piackutatási tevékenységet. A piackutatási tevékenység elsődlegesen az egyes szakorvosi területek felmérésére irányul, a HCP-k egyes, a piackutatás jellegétől függő jellemzőinek meghatározásával. Adatkezelő ezen felmérések eredményeként személyes adatot sem a piackutatás lezárultát, sem pedig azt követően bármikor nem kap.

A piackutatás (anonim) eredményéhez kapcsolódóan Adatkezelő esetenként saját piackutatást is szervezhet az érintett HCP-k körében. A piackutatás lefolytatásához Adatkezelő bekéri a HCP kifejezett előzetes hozzájárulását. A hozzájárulás bekérését megelőzően Adatkezelő külön, teljeskörűen tájékoztatja a HCP-t: az adatkezelés pontos céljáról, jogalapjáról, a bekért és elemzett adatok köréről, az esetleges profilalkotásról vagy szegmentációról, az esetleges adattovábbításról, adatfeldolgozásról, az adatkezelés időtartamáról, az érintetti jogokról és a joggyakorlás módjáról, továbbá minden egyéb releváns információról, melyet a hatályos jogszabályi előírások előírnak.

10. Az Adatkezelő által folytatott ellenőrzések – beléptetés, kamerás megfigyelés

Az Adatkezelő az Érintettnek az Adatkezelő székhelyén (1095 Budapest, Lechner Ödön fasor 10. szám, 5. emelet) megvalósított tevékenységét bizonyos esetekben jogosult ellenőrizni. Az alkalmazott módszerek az Adatkezelő egyes jogos érdekeit védik (például: vagyonvédelem, üzleti titok védelme, stb.).

Az Adatkezelő tájékoztatja az Érintetteket, hogy a budapesti székhelyén az irodaházban (Adatkezelő területén kívüli terület) és a mélygarázsban kamerás megfigyelés történik a vagyonvédelem és a biztonság ellenőrzése érdekében, valamint mágneskártyás beléptető rendszer alkalmazására kerül sor. Ez az Adatkezelőtől független, az ellenőrzést saját előírásai szerint az Irodaházat üzemeltető First Facility Ingatlankezelő Kft. végzi. Az adatokhoz az Adatkezelő nem fér hozzá, azokat nem kezeli.

11. Honlap használat, cookie-k

A www.boehringer-ingelheim.hu honlap (a továbbiakban: Honlap) az Adatkezelő tulajdonát képezi. A honlap használatára, az alkalmazott sütikre (cookies) vonatkozó feltételek (a továbbiakban: Használati Feltételek) a https://www.boehringer-ingelheim.hu/hasznalati-szabalyzat címen érhetők el, kérjük ezt is figyelmesen olvassa el, mivel a jelen Tájékoztatót kiegészítik.

A fentieken túlmenően az Adatkezelő egyéb honlapokat is üzemeltet ideiglenesen vagy határozatlan időre szólóan. Amennyiben az adott honlap rendelkezik külön adatkezelési tájékoztatóval, úgy az adott honlappal kapcsolatos adatkezelésre az ott megjelenített tájékoztató irányadó, ellenkező esetben jelen Tájékoztató alkalmazandó.

A Honlap használata során bizonyos adatok, így a böngésző által továbbított információk (IP-cím, sütik, a hivatkozó weboldal, dátum és időpont, a megtekintett tartalom) elmentésre kerülnek. Az ilyen adatokat kizárólag a honlap használatára (ideértve a karbantartási célokat, pl. a támadások megakadályozását, honlap továbbfejlesztését) és/vagy statisztikai célokra használja fel az Adatkezelő.

A hozzájárulás megtagadásának jogkövetkezményei: a honlap funkcionalitásának és hozzáférhetőségének csökkenése.

12. Nem magánszeméllyel megkötött szerződések esetén a kapcsolattartói adatok kezelése

Az Adatkezelő az általa megkötött szerződések teljesítése érdekében a (nem természetes személy) szerződő partner munkavállalói és egyéb megbízottai egyes személyes adatait jogosult kezelni.

13. Nagykereskedelmi (állatgyógyászati) forgalmi adatok elemzése

Az Adatkezelő az állatgyógyászati termékek kereskedelmi forgalmi adatainak alakulását figyelemmel kíséri annak érdekében, hogy a marketing stratégiájának és üzleti tervének teljesülését, sikerességét meg tudja állapítani, szükség szerint a terveket, stratégiákat módosítani tudja, illetve a forgalmat a tényleges szükségletekhez tudja igazítani, és ezzel működését optimalizálja.

14. Regisztráció rendezvényekre, oktatásokra, webináriumokra

Az Adatkezelő saját szervezésű oktatásokat, rendezvényeket, webináriumokat (a továbbiakban: Esemény) tart, melyen történő részvételre az érintett HCP, Állatorvos regisztrálhat. Amennyiben az adott Eseménynek nincsen külön adatkezelési tájékoztatója, úgy a jelen tájékoztatás irányadó.

5. Adatokhoz való hozzáférés, adatok kiadása harmadik személyeknek, az adatok tárolása

1. Általános rendelkezések

Adatkezelő gondoskodik az alapértelmezett és beépített adatvédelemről. Ennek érdekében az Adatkezelő megfelelő technikai és szervezési intézkedéseket alkalmaz annak érdekében, hogy:

• az adatokhoz való hozzáférést pontosan szabályozza;

• csak olyan személyeknek engedélyezze a hozzáférést, akiknek az adat az azzal való feladat elvégzése érdekében szükséges, és ekkor is csak azon adatokhoz lehessen hozzáférni, mely minimálisan szükséges a feladat ellátásához;

• az általa megbízott adatfeldolgozókat körültekintően válassza ki, és megfelelő adatfeldolgozói szerződéssel gondoskodjon az adatok biztonságáról;

• gondoskodjon a kezelt adatok változatlanságáról (adatintegritás), hitelességéről és védelméről.

2. Adattovábbítás, adatfeldolgozás, hozzáférés

Az Adatkezelő törekszik arra, hogy ne adjon ki harmadik személynek Érintetti adatot. Az adatkiadás azonban bizonyos esetekben nem kerülhető el. Adatkezelő elsődlegesen a következő esetekben ad ki adatot harmadik személynek:

• hatóság(ok) felé történő adatátadás: a szerződések létesítésével, teljesítésével és megszüntetésével, illetve rendezvényeken történő részvétellel kapcsolatban az Adatkezelőnek jogszabályi előírásokból fakadó jelentési kötelezettsége keletkezhet. Erre tekintettel a NAV, az NEAK és az NNGyK felé történik elsődlegesen adatkiadás. Hatósági megkeresésre vagy bűncselekmény gyanújára alapítottan egyéb adatkiadásra is sor kerülhet.

• adatfeldolgozók részére történő adatátadás: az Adatkezelő az Érintett adatait az adatfeldolgozóinak jogosult átadni. Az orvoslátogatói tevékenységet bizonyos esetekben nem az Adatkezelő munkavállalói, hanem az Adatkezelővel egyéb jogviszonyban álló személyek látják el. Ebben az esetben a látogatáshoz szükséges adatok ezen személyek részére kiadásra kerülnek.

• Anyavállalat hozzáférési jogosultsága: az Adatkezelő működési formájára tekintettel (fióktelep) nem különül el az Anyavállalattól, hanem annak része. Erre tekintettel az Anyavállalat jogosult az Érintett adataiba betekintést nyerni, amennyiben az adat kezeléséhez a jelen Tájékoztatóban meghatározottak szerinti valamely jogalappal rendelkezik. A hozzáférés az Anyavállalat szintjén is korlátozott, a megfelelő osztályhoz tartozó egyes munkavállalókra és vezetőkre szorítkozva.

• Boehringer Ingelheim cégcsoport hozzáférési jogosultsága: tekintettel arra, hogy az Adatkezelő a Boehringer Ingelheim globális cégcsoport tagja, bizonyos Érintetti adatokhoz a cégcsoport többi tagjának is lehet hozzáférése. Ilyen különös tekintettel a farmakovigilancia keretében gyűjtött adatok. Ezen hozzáférés korlátozott, és a szükséges adatokra terjed csak ki.

• kontaktszemély adatok kiadása: a szerződések teljesítéséből fakadóan szükséges lehet az ügyfelekkel, partnerekkel, egyéb személyekkel való kapcsolattartás. Erre tekintettel az Adatkezelő jogosulttá válhat harmadik személyek részére az Érintett céges elérhetőségi adatait (elsődlegesen: név, céges e-mail cím, céges telefonszám, beosztás) kiadni. Ilyen esetekben az alapszerződés rendelkezik arról, hogy az adatok milyen harmadik személy részére kerülnek továbbításra.

A fentiekben meghatározott eseteken kívül is adhat ki az Adatkezelő adatot harmadik személynek, mely adatkiadás a mindenkor hatályos jogszabályi előírásokkal összhangban történhet.

3. Adatok fizikai tárolása

Az adatok egy részének kezelése és feldolgozása harmadik országbeli szerveren keresztül történik. Az e-mail levelezés tárolása a cégcsoport tulajdonát képező németországi szervereken történik.

Az Adatkezelő a személyes adatoknak harmadik országokba irányuló továbbadására vonatkozó alternatív általános feltételek bevezetéséről szóló 2001/497/EK bizottsági határozat értelmében (a „BI Group Data Transfer Agreement” rendelkezései alapján és szerint) jogosult arra, hogy a Boehringer Ingelheim cégcsoporton belül a személyes adatokat az Európai Gazdasági Térségen kívüli adatkezelőnek továbbítsa.

Amennyiben nem a cégcsoporton belüli adattovábbításról van szó, úgy harmadik országba megfelelőségi határozat, ennek hiányában megfelelő vállalati garanciák, általános adatvédelmi kikötések vagy az adott helyzetre jogszabály által biztosított eltérések, végső soron pedig az Érintett hozzájárulásával kerülhet csak sor. Amennyiben nincs olyan kielégítő mértékű adatvédelmi törvény vagy előírás abban az országban, ahová az Adatkezelő a Személyes adatokat továbbítja, az Adatkezelő maga, vagy a cégcsoport más tagján keresztül biztosítja a hatályos jogszabályokban előírt szigorúságú szerződéses biztosítékokat az adatok védelmére. Az adattovábbítás jogszerűségéért és az adatok biztonságáért az Adatkezelőt teljeskörű felelősség terheli.

Az adatvédelmi biztonsági mentés tárolása Németországban történik. A cégcsoport szervereinek karbantartása a következő cégek által történik:

Accenture cégcsoport (India, Ridgefield (USA), Szingapúr)

Capgemini cégcsoport (EU)

4. Tárolási idő

Adatkezelő az Érintetti adatokat a fentiekben, az egyes adatkezelési céloknál meghatározott ideig tárolja, ezt követően az adatok megsemmisítésre kerülnek. Az adatok tárolásának időtartamára a mindenkor hatályos jogszabályi előírások is vonatkoznak, azaz ha jogszabályi előírás az adat tárolását a fent megjelölt időtartamon túlmenően is előírja, úgy az adatot az Adatkezelő a jogszabályban meghatározott ideig jogosult tárolni.

5. Adatkezelő által az adatvédelem körében tett intézkedések

Az Adatkezelő ésszerű mértékű fizikai, műszaki és szervezeti biztonsági intézkedéseket alkalmaz az Érintetti adatok védelmére, különösen azoknak a véletlen, illetéktelen, törvénytelen megsemmisítése, elvesztése, megváltoztatása, továbbadása, felhasználása, elérése vagy feldolgozása ellen. Az Adatkezelő a személyes adatokhoz való ismert, és az érintettre nézve magas kockázattal járó illetéktelen hozzáférés vagy azok felhasználása esetén haladéktalanul értesíti az Érintettet.

Adatkezelő, amennyiben Érintetti adat továbbítása szükséges, gondoskodik a továbbított adatok megfelelő védelméről, például az adatállomány titkosításával. Az Adatkezelő a harmadik személyek által megvalósított Érintetti adatkezelésért teljeskörű felelősséggel tartozik.

Adatkezelő megfelelő és rendszeres biztonsági mentésekkel is gondoskodik arról, hogy az Érintett adatai a megsemmisüléssel vagy elvesztéssel szemben védve legyenek.

6. Az Érintett jogai

Az Érintettet az adatkezelés kapcsán az alábbi jogosultságok illetik meg:

1. Átlátható tájékoztatáshoz való jog: az adatkezelést megelőzően és közben is joga van az Érintettnek arra, hogy a kezelt adatokról és az adatkezelésről magáról is tájékoztatást kapjon, ennek része a jelen Tájékoztató is;

2. Tárolt adatokhoz való hozzáférés joga: az Érintett jogosult arra, hogy információt kérjen a róla tárolt adatokról és az adatkezelés egyes elemeiről (különösen: adatkezelés léte, célja, jogalapja, kezelt adatok köre, adatkiadás harmadik személyek részére, adattárolási idő, joggyakorlások módja, jogorvoslati lehetőségek, adatforrás, profilalkotás, automatizált döntéshozatal, garanciák, stb.);

3. Helyesbítéshez való jog: téves adat esetén az Érintett kezdeményezheti az adat helyesbítését;

4. Törléshez (elfeledtetéshez) való jog: az Érintett kérheti az adat törlését, ha:

   • az adatra nincs szükség abból az eredeti célból, amiért azt gyűjtötték

   • az Érintett az adatkezelésre vonatkozó hozzájárulását visszavonja

   • az Érintett tiltakozik az adatkezelés ellen és nincs más ok, jogalap az adatkezelésre

   • az adatkezelés jogellenes

   • jogi kötelezettség előírja a törlést

   • az adatgyűjtésre információs társadalommal összefüggő szolgáltatás kínálásával kapcsolatban került sor;

5. Tiltakozáshoz való jog: közérdekű vagy jogos érdeken alapuló adatkezeléssel szemben az Érintett tiltakozhat; ebben az esetben az Adatkezelő csak akkor jogosult az adatot továbbra is kezelni, ha azt olyan kényszerítő erejű jogos okok indokolják, melyek az Érintettel szemben elsőbbséget élveznek, vagy jogi igényérvényesítéshez kapcsolódnak. Közvetlen üzletszerzési célból történő adatkezeléssel szemben bármikor lehet tiltakozni, és tiltakozás esetén az adat nem kezelhető tovább;

6. Adatkezelés korlátozásához való jog: jogellenesen kezelt adatok esetén, illetve a jogszabály által megengedett egyéb esetekben kérhető az adatkezelés korlátozása;

7. Adathordozhatósághoz való jog: automatikus adatfeldolgozással kezelt, hozzájáruláson vagy szerződésen alapuló adatkezelés esetén az Érintett jogosult az általa megadott adatok kiadását kérni tagolt, széles körben használt, géppel olvasható formátumban, és az adatot tetszés szerint továbbíthatja;

8. visszavonás joga: az Érintett a hozzájárulását bármikor visszavonhatja.

Érintett fenti jogaival bármikor élhet. Az erre irányuló kérelmet az Érintett a dataprotection.hu@boehringer-ingelheim.com e-mail címre vagy az Adatkezelő 1095 Budapest, Lechner Ödön fasor 10. szám alatti postacímére küldheti meg írásban. Adatkezelő tájékoztatja az Érintetteket, hogy a hatályos jogszabályi előírások értelmében adatvédelmi tisztviselő kijelölésére nem köteles, de a fenti elérhetőségeken megbízott adatvédelmi koordinátor áll az Érintettek rendelkezésére.

Adatkezelő jogosult az Érintett beazonosítására a válaszadást megelőzően (annak ellenőrzése érdekében, hogy a kérés az arra jogosulttól származik-e). Az Érintett Adatkezelő által nyilvántartott e-mail címéről beérkező megkereséseket Adatkezelő úgy tekinti, hogy az az Érintettől származik. Egyéb formában beérkező kérések esetén Adatkezelő jogosult az Érintettet más módon hitelesíteni (pl. megadott telefonszámon szóban érdeklődni az írásbeli kérelem valóságtartamáról, szóbeli felkérésre írásbeli megerősítést kérni, vagy más, megfelelő beazonosítást kezdeményezni).

Az Adatkezelő a beérkezett kérelmeket megvizsgálja, és azokat haladéktalanul, de nem később, mint egy hónapon belül – kivételes esetben a jogszabály által megengedett ennél hosszabb határidőben – elintézi, vagy azt (indokolással ellátva) elutasítja. Adatkezelő a döntés eredményéről az Érintettet írásban tájékoztatja. A kérelem elintézése díjmentes, kivéve a megalapozatlan vagy túlzó kérelmeket, melyek elintézéséért az Adatkezelő az adminisztratív költségeinek megfelelő, ésszerű mértékű díjat számíthat fel.

Érintett az adatkezeléssel szemben bármikor élhet észrevétellel, panasszal az Adatkezelőnél a fent megadott elérhetőségeken (dataprotection.hu@boehringer-ingelheim.com e-mail címen, vagy a 1095 Budapest, Lechner Ödön fasor 10. levélcímen). Ezen kívül Érintett a sérelmezett adatkezeléssel szemben jogosult bírósági eljárás megindítására is az Adatkezelő székhelye vagy az Érintett lakóhelye szerinti bíróságon, mely eljárás illetékmentes, és melynek során a bíróság soron kívül jár el. A fentieken túlmenően panasszal is élhet a Nemzeti Adatvédelmi- és Információszabadság Hatóság előtt.

Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges – naprakészségét. Erre tekintettel Adatkezelő kéri az Érintetteket, hogy bármely, az Adatkezelő által rögzített személyes adatában bekövetkezett változásról az Adatkezelőt a lehető leghamarabb tájékoztatni legyenek szívesek.

GENERAL DATA PRIVACY NOTICE

This Notice controls the processing of certain personal data by the Hungarian Branch Office of Boehringer Ingelheim RCV GmbH & Co. KG (headquarters: H-1095 Budapest, Lechner Ödön fasor 10. Hungary, company registration number: 01-17-000552, represented by Saverio Traficante, Dr. Zsolt Fábián and Martin Gaishüttner) (hereinafter referred to as “Data Controller”) as follows.

Introduction

The Data Controller expresses its consent to be bound by this Notice. In addition, the Data Controller undertakes to process the personal data at all times in accordance with the legal regulations in force and as specified in this Notice.

This Notice may be modified and/or revoked at any time by the Data Controller at any time by simultaneously informing the Data Subjects. The information will be provided by publication on the website or, depending on the nature of the change, by direct communication to the Data Subjects.

If you have any questions or comments regarding this Notice or data processing, please feel free to contact us at any of the following contact details: dataprotection.hu@boehringer-ingelheim.com or at the mailing address of the Data Controller at H-1095 Budapest, Lechner Ödön fasor 10. Hungary.

1. Area of Application, Scope

1 Personal scope: This Notice extends to the data processing performed by the Data Controller in respect of the following natural persons (hereinafter collectively referred to as “Data Subject”):

1. persons submitting a curriculum vitae to the Data Controller (hereinafter referred to as the “Applicant”) for the purpose of creating an employment relationship,

2. persons specified in Point 12 of Section 3 of Act XCVIII of 2006 on the General Provisions Relating to the Reliable and Economically Feasible Supply of Medicinal Products and Medical Aids and on the Distribution of Medicinal Products, that is, physicians, pharmacists, and manufacturers and traders of medicinal products and medical aids holding the appropriate authorization and engaged in their commercial distribution (hereinafter collectively referred to as “HCP”)

3. in the case of veterinary activities: veterinary physicians, veterinary assistants, employees and owners of veterinary practices, agents, employees, owners and managers of livestock farms (hereinafter collectively referred to as “Vet”),

4. natural persons as contractual partners of the Data Controller, including the self-employed (hereinafter referred to as “Contractual Partner”)

5. the contact persons and other contacts determined by the non-natural persons as contractual partners of the Data Controller (hereinafter referred to as “Contact Person”)

6. in the case of reported side effect, adverse event or other patient safety relevant information/quality objection, the patients (hereinafter referred to as “Patient”)

7. for the reported side effect, adverse event or other patient safety relevant information/quality objection, a reporter other than the patient and the HCP (hereinafter referred to as “Reporter”)

8. as well as other natural persons, in individual cases.

For personal data not from the Data Subject, it is the responsibility of the disclosing person to obtain the consent of the Data Subject to the disclosure of the data to the Data Controller.

2 Duration: This Notice will enter into force on 01.03.2024. and will remain in effect until revocation/amendment. This Notice shall also apply to data processing that is in progress at entry into force.

3 Territorial scope: The scope of this Notice applies to data processing performed by the Data Controller in any (geographic) area.

4 Material scope: This Notice governs data processing by the Data Controller regarding the Data Subjects, specifying its purpose and legal basis, the means and methods used and the security measures introduced.

2. Terms and Abbreviations

1. ‘Personal data’ means any information relating to an identified or, directly or indirectly, identifiable natural person (‘data subject’);

2. ‘Special categories of personal data’ means personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation. As a general rule, the Data Controller does not process sensitive data (e.g. data concerning health) for the Data Subject. The processing of sensitive data may only be performed on the basis of explicit prior consent or statutory authorization (e.g. in case of reporting pharmacovigilance).

3. ‘Consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

4. ‘Processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

5. Data Controller: the Hungarian Branch Office of Boehringer Ingelheim RCV GmbH & Co KG (headquarters: H-1095 Budapest, Lechner Ödön fasor 10. Hungary; company registration number: 01-17-000552, represented by:  Saverio Traficante, Martin Gaishüttner and Dr. Zsolt Fábián; contact details: dataprotection.hu@boehringer-ingelheim.com, phone: +3612998900). For the purposes of data processing under this Notice, with respect to the specific legal form of the Data Controller, the Data Controller’s parent company, Boehringer Ingelheim RCV GmbH & Co KG (headquarters: A-1121 Wien, Dr. Boehringer Gasse 5-11., company registration number: FN 312077 m) – hereinafter referred to as “Parent Company” – is not considered a third party but is equivalent to the Data Controller;

6. ‘Processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

7. ‘Third party’ means a natural or legal person, public authority, agency or body other than the Data Subject, Controller, processor and persons who, under the direct authority of the Controller or processor, are authorised to process personal data.

The other terms used in this Notice comply with the applicable legal requirements, in particular: the concepts specified in Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), hereinafter referred to as “the GDPR”) and Act CXII of 2011 on Informational Self-determination and Freedom of Information (hereinafter referred to as “Information Act”).

3. Principles of the Data Handling

The Data Controller acts in full compliance with the applicable legal regulations in its data processing. The Data Controller is responsible for processing the data of the Data Subject in full compliance with the following principles:

1. Data shall be processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);

2. Data shall be collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes (‘purpose limitation’);

3. Data shall be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);

4. Data shall be accurate and, where necessary, kept up to date (‘accuracy’);

5. Data shall be kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed (‘storage limitation’);

6. Data shall be processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

7. The controller shall be responsible for, and be able to demonstrate compliance with, the principles above (‘accountability’).

The Data Controller has established its rules of procedure in accordance with the above and continuously revises them and, if necessary, modifies them. The Data Controller shall provide data protection by design and by default during data processing.

4. Description of Purposes

1. Processing of curricula vitae

Applicants’ data can only be accessed by the employees of the HR department or by the head of the area to which the Applicant applies. Scope of data processed: according to curriculum vitae.

The Privacy Notice provided on the Job Search Portal operated by the Boehringer-Ingelheim Group provides more information on the processing of CVs in respect of the Applicants who submitted their curriculum vitae via this portal.

Giving consent is a prerequisite for the conclusion of the contract. The possible legal consequences of the failure to do so: in the absence of consent, the Data Controller cannot employ the Applicant, given that in the absence of his or her CV, it cannot make a sound decision on the employment.

2.  Promotion of medicinal products for human use

For the purposes of this Chapter, the term promotion of medicinal products shall mean the activity specified in Section 12 (1) of the Act on the Distribution of Medicinal Products. Promotion of medicinal products is governed by the Act on the Distribution of Medicinal Products and Decree No. 3/2009. (II. 25.) EüM of the Minister of Health on the Detailed Rules of the Promotion of Medicinal Products and Therapeutic Medical Devices for Human Use, and the Registration of Medical Sales Representatives and Commercial Practices Targeted at Consumers (hereinafter referred to as “Decree of the Minister of Health”).

The ancillary activities related to the purpose of processing are, in particular:

• first introductory call

• liaising

• making an appointment

• a personal or online meeting on drug information/therapy

• answering HCP questions about medicines and therapies.

Please be advised that an internal record will be made on the interaction, which includes a brief description of the time and place of the interaction, the method and subject matter of the interaction, the questions raised and a summary analysis of the drug information in terms of the effectiveness of the interaction, related to the products and/or therapeutic areas discussed. The purpose of the latter note is to increase the effectiveness of future interactions and to optimise the most appropriate sales content, communication channel and modality for the Data Subject: to launch an interaction that focuses on the topics that are of more interest to the Data Subject. Therefore, if information is presented to the Data Subject on a tablet, the tablet will also store information about the time while the Data Subject was presented with the particular page, and the Data Subject may object to this at the person who presents drug information to him/her. If the interaction takes the form of an e-mail, we process the following data: when the e-mail was successfully sent out, whether and when the Data Subject opened it, and which link in the e-mail was clicked. In the case of a web-based interaction, both the duration of the meeting and the device used are recorded. The Data Subject shall have the right to raise objections.

Therefore, the data subject is not subject to any decision that produces legal effects on him/her or significantly affects him/her in a similar manner.

The origin of the data:

• database purchased from IQVIA Solutions Services Korlátolt Felelősségű Társaság (seat: 1117 Budapest, Dombóvári út 9.; reg. nr.: 01-09-268070) ,

• database purchased from Monocl AB (seat: Redegatan 1B, 42679 Västra Fröluna, Sweden),

• data collected from public sources and

• data provided by the HCP.

In the case of data not directly originated from the HCP and data processing, the Data Controller shall inform the data subject at the latest within one month after obtaining the personal data on the fact of the data processing, the scope of data processed, the purpose of and legal basis for data processing and the duration of processing and other matters specified in the legal regulations in force.

3.  Promotion of medicinal products for veterinary use

The presentation and promotion of the veterinary medicinal products by the Data Controller set forth in this Notice is governed by the provisions of Decree 128/2009 (X. 6.) FVM of the Minister of Agriculture and Rural Development on medicinal products for veterinary use.

The ancillary activities related to the purpose of processing, are in particular:

• first introductory request

• contact

• agreement on appointment

• personal discussion in the context of the promotion of medicinal products

• making an internal record of a visit made (which briefly includes the date and place of the visit, the topic of the visit and the questions raised, and the sales representative’s summary analysis of the efficiency of the visit, including the products; the purpose of the latter record is to increase the efficiency of the visit later, to optimally select the content, the communication channels and the type of communication best suited to the data subject. The data subject is not subject to any decision that produces legal effects on him/her or significantly affects him/her in a similar manner.)

• answering the questions related to the products.

The origin of the data: partly data collected from public sources and partly data provided by the Vet. In the case of data not directly originated from the Vet and data processing, the Data Controller shall inform the Data Subject at the latest within one month after obtaining the personal data on the fact of the data processing, the scope of data processed, the purpose of and legal basis for data processing and the duration of processing and other matters specified in the legal regulations in force.

4. Performance of marketing activity for HCPs and Veterinaries

The origin of the data: data directly obtained from the HCP and the Vet.

Data Collector monitors sent e-mails and viber notices for customizability and to determine whether it has been received by the recipient or whether the recipient has opened it and when, and which link therein has the recipient clicked on. The Data Controller does not make a profile on the basis of the collected information; it uses the data to augment the effectiveness of the communication.

The Data Subject may withdraw his or her consent at any time through such a request addressed to the Data Controller (see also Chapter 7), or, in the same way, he or she may object to the processing of his or her of data for this purpose.

Possible legal consequences of the failure to give consent: no adverse legal consequence is attached to the denial of consent by the Data Controller. Anyone who does not give their consent to data processing will not be informed (at least by direct inquiry) of current professional and non-professional information.

5. Med info (providing HCPs and Vets with information on medicinal and veterinary products on request)

Possible legal consequences of the failure to give consent: Anyone who does not give their consent to data processing cannot get an answer to the question posed thereby.

6. Completion of contracts and obligations with Data Subjects

The Data Controller may conclude several contracts (including unilateral commitments and other legally binding legal declarations) with the Data Subjects, the conclusion and performance of which is in the interest of both parties. This chapter does not apply to employment contracts to be concluded with Applicants for which specific rules apply.

The Data Controller normally concludes the following types of contracts with individuals/private entrepreneurs (without being exhaustive), including unilateral commitments and other legally binding legal declarations:

• consultant assignment contract

• speaker assignment contract

• board membership assignment contract

• application for support of participation in a professional-scientific event (based on an application form and approval decision)

• user agreement (e.g. for video recording and use)

• one-sided commitment to perform screening based on a medical request

• request for screening activities from doctors

• agency contract for performing screening activities

• agreement on the provision of product donation, product sample, request for donation.

In some cases, the provision of data is a prerequisite for the conclusion of the contract. The possible legal consequences of the failure to provide data: in the absence of data provision, the Data Controller cannot conclude the contract or fulfil its contractual obligations.

7. Pharmacovigilance

As a pharmaceutical company, the Data Controller is subject to certain obligations related to the detection, evaluation, understanding and prevention of adverse reactions or other drug-related problems, also known as pharmacovigilance obligations. Therefore, being informed about an adverse event or other patient safety relevant information is important for the Hungarian Branch Office of Boehringer Ingelheim RCV GmbH & Co KG in regards of human and/or veterinary health. These data are used and shared by the Data Controller exclusively for pharmacovigilance purposes.

 Pharmacovigilance obligations require to process information by the Data Controller that may allow to identify, directly or indirectly, an individual, i.e. the patient and/or the person reporting the side effect, adverse event or other patient safety relevant information (personal data). 

The Data Controller may be informed about the side effects, adverse events and other patient safety relevant information in relation of its products in the following ways:

• report from HCP/Vet

• patient report/ animal owner’s report

• report from a third party

• public source (e.g. professional article)

• from other sources.

In case of human pharma products, providing the following data is also necessary: 

• Details related to the Boehringer Ingelheim product suspected to cause the reaction, such as administration information, batch number;

 • Further details related to the adverse event: Course and outcome of the adverse event, start and end date, first-time user?, information on concomitant medications and/or diseases; seriousness of the event; view of patient and/or reporter on possible causal relationship between Boehringer Ingelheim product and adverse event.

8. Quality assurance

The Data Controller as a business organization dealing with the marketing of medicinal products for human and veterinary use has an obligation to deal with the quality complaints that it has come to know, in the framework of good manufacturing practice [(Eudralex Volume IV. Good Manufacturing Practice (GMP)], including possible counterfeiting of medicines.

The Data Controller may be informed about the quality complaints about its products in the following ways:

• report from HCP/Vet

• patient report

• report from a third party

• public source (e.g. professional article)

• from other sources.

The Data Controller must check the reports received. In this context, it may be required to clarify, ask for further details, and to contact either the patient or the physician or, for example, in case of veterinary medicines, another person.

The Data Controller will process personal data of the patients only for traceability, and only for the minimum amount of time required (e.g. to investigate the facts, the contact details of the reporting patient can be processed by the Data Controller until the investigation of the facts takes place, then the data will be deleted).

After the fact is investigated, the reported quality complaint is recorded by the Data Controller in its internal systems and transferred to the appropriate manufacturing site of the Boehringer Ingelheim Group [Boehringer Ingelheim (Ingelheim, Germany); Ridgefield (USA); Cognizant (Manila, Philippines and Mumbai, India)] so that these data are uploaded to relevant European Union adverse event monitoring and reporting systems (e.g. Eudravigilance) by these member companies, since these companies have access to this system. The transmitted report does not contain patient data. The Data Subject cannot be identified on the basis of the data recorded. The identity of the reporter (name, contact details) may be recorded in the system.

9. Market research, segmentation

The Data Controller may occasionally assign market research companies to carry out a preliminary market research activity based on their own database, within their own sphere of competence and at their own risk. Market research is primarily aimed at assessing individual specialist areas by defining the specific characteristics of HCPs depending on the type of market research. As a result of these surveys, the Data Controller does not receive personal data either at the end of the market research or at any time afterwards.

Concerning the (anonymous) results of the market research, the Data Controller may occasionally organize its own market research among the affected HCPs. In order to carry out a market research, the Data Controller requests the express prior consent of HCP. Prior to requesting consent, the Data Controller fully informs HCP of the precise purpose of and the legal basis for data processing, the scope of data requested and analyzed, possible profiling or segmentation, possible data transfer, data processing, duration of data processing, rights of the Data Subject and the way of exercising rights, as well as any other relevant information required by the applicable legal regulations.

10. Controls by the Data Controller – access control, camera surveillance

The Data Controller is entitled to check the activity of the Data Subject at the headquarters of the Data Controller (H-1095 Budapest, Lechner Ödön fasor 10, Floor 5.) in certain cases. The methods used protect some legitimate interests of the Data Controller (for example, property protection, business secrecy, etc.).

Data Controller hereby informs the Data Subjects that the office building at the headquarters of the Data Controller in Budapest (area outside the Data Controller’s area and control) and the underground garage are monitored by cameras in order to control property protection and security and a magnetic card control system is applied. This is independent of the Data Controller; the control is carried out by the office building operator First Facility Ingatlankezelő Kft. according to its specifications. The Data Controller cannot access the data, neither does it process them.

11. Website use, cookies

The website www.boehringer-ingelheim.hu (hereinafter: Website) is the property of the Data Controller. The terms and conditions of use of the website and the cookies used (hereinafter referred to as the “Terms of Use”) are available at https://www.boehringer-ingelheim.hu/hasznalati-szabalyzat, please read those herein carefully as they supplement this Notice.

The Data Controller may, apart from the Website, operate for a definite time period or indefinitely other websites. If these other websites contain a privacy notice of their own, then that privacy notice shall be applicable to the use of those websites, otherwise the present Notice shall be applicable.

During the use of the Website, certain data, such as information transmitted by the browser (IP address, cookies, referral web site, date and time, and content viewed) will be saved. Such data will only be used by the Data Controller for the use of the website (including maintenance purposes, such as preventing attacks, website development) and/or for statistical purposes.

The legal consequences of refusing consent: a reduction in the functionality and accessibility of the website.

12. Processing of contact details in case of contracts concluded with non-individuals

The Data Controller is entitled to process certain personal data of the employees and other agents of the (non-natural person) contracting partner in order to fulfil the contracts concluded thereby.

13. Analysis of (animal health) wholesale consumption data

The Data Controller pays attention to the consumption data of the animal health products in order to review the fulfilment and success of its marketing strategy and business plans, and to modify the plans and strategies if needed, and to adjust the circulation of the goods to the actual needs, therefore optimizing its operations.

14. Event, training and webinar registrations

The HCP and/or Veterinarian concerned may register to attend trainings, events and webinars (hereinafter referred to as "Event") organised by the Data Controller. If there is no specific privacy notice for the relevant Event, this notice shall prevail.

5. Access and Forwarding of Data to Third Parties, Storage of Data

1. General provisions

The Data Controller shall provide data protection by design and by default. To this end, the Data Controller shall apply appropriate technical and organizational measures to ensure that:

• it regulates access to data precisely;

• allows access only to persons for whom data are required for the purpose of performing the task therewith, and only access to the data that is minimally necessary to perform the task;

• carefully selects the data processors entrusted thereby and ensures data security by an appropriate data processing contract;

• ensures that the unchangeability (data integrity), credibility and protection of the data processed.

2. Data transfer, data processing, access

The Data Controller endeavours not to disclose the data of the Data Subject to a third party. However, data disclose cannot be avoided in some cases. The Data Controller primarily discloses data to a third party in the following cases:

• Transfer of data to the authority (ies): Regarding the establishment, execution and termination of contracts, or participation in events, the Data Controller may be subject to reporting obligations arising from legal requirements. In this regard, data is primarily disclosed to the NTCA, the National Health Insurance Fund of Hungary (NEAK) and the NNGyK. Other data discloses may be based on a request from an authority or suspicion of a criminal offense.

• Data transfer to processors: the Data Controller is entitled to transfer the Data Subject's data to its data processors. In some cases, the medical visit activity is performed not by the Data Controller's employees, but by persons with other legal relationships with the Data Controller. In this case, the data required for the visit will be issued to these persons.

• Right of access by the parent company: In view of its operating form (branch office), the Data Controller is not separate from the Parent Company but is part of it. In this respect, the Parent Company is entitled to gain access to the data of the Data Subject if it has a legal basis as defined in this Notice for processing the data. Access is also restricted on the Parent Company level, confined to certain employees and managers belonging to the appropriate department.

• Right of access by the Boehringer Ingelheim Group: Given that the Data Controller is a member of the Boehringer Ingelheim Global Group of Companies, some data of the Data Subject may also be accessed by other members of the Group. Such data are particularly the data collected under pharmacovigilance. This access is limited and covers only the necessary data.

• Disclose of the contact person’s data: Due to the fulfilment of the contracts, it may be necessary to keep in touch with clients, partners and other persons. For this reason, the Data Controller may become entitled to disclose the company contact details of the Data Subject (primarily: name, company email address, corporate telephone number, position) to third parties. In such cases, the basic contract provides for the transfer of the data to a third party.

The Data Controller may also disclose data to a third party outside of the cases specified above, which disclosure of data may be realized in accordance with current legal regulations.

3. Physical storage of data

Part of the data is processed through a third-country server. E-mail correspondence is stored on the German servers owned by the group of companies.

Pursuant to Decision 2004/915/EC amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries (abased on and according to the provisions of “BI Group Data Transfer Agreement”), the Data Collector is entitled to transfer personal data to a data controller outside the European Economic Area within the Boehringer Ingelheim group.

If it is not a data transfer within the Group, data transfer to a third country is only possible with the existence of an adequacy decision, in the absence of this, subject to appropriate corporate guarantees, general data protection clauses or derogations for specific situations provided by law, and ultimately with the consent of the Data Subject. If there is no sufficient data protection law or regulation in the country to which the Data Controller transmits the Personal Data, the Data Controller itself or through another member of the group ensures the contractual safeguards provided for in the applicable law to protect the data. The Data Controller is fully responsible for the lawfulness of the data transfer and the security of the data.

Data protection backups are stored in Germany. The maintenance of the servers is performed by the following companies:b

Accenture group (India, Ridgefield (USA), Singapore)

Capgemini group (EU)

4. Storage period

The Data Controller will store the data of the Data Subject for the time specified above for each of the data processing purposes, and then the data will be destroyed. The data storage period is also subject to the applicable legal regulations at all times, so if the statutory requirement stipulates the storage of the data beyond the above-mentioned period, the Data Controller is entitled to store the data for the period specified by the law.

5. Security Measures Applied by Data Controller

 The Data Controller shall take reasonable physical, technical and organizational security measures to protect the data of the Data Subject, in particular against their accidental, unauthorized, illegal destruction, loss, modification, transmission, use, access, or processing. The Data Controller shall promptly notify the Data Subject of any unauthorized access or use of personal data being known and imposing a high risk to the data subject.

If the data of the Data Subject has to be transferred, the Data Controller will ensure proper data protection, such as the encryption of the data file. The Data Controller is fully responsible for the processing of the data of the Data Subject by third parties.

The Data Controller also provides adequate and regular backups to protect the data of the Data Subject against destruction or loss.

6. Rights of the data subject

The Data Subject is entitled to the following rights in relation to data processing:

1. Right to transparent information: Before and during the data processing, the Data Subject has the right to receive information about the data processed and the processing of data, including this Notice;

2. Right to access to stored data: The Data Subject is entitled to request information about the data stored thereon and certain elements of the data processing ((in particular: the existence, purpose, legal basis of data processing, scope of data processed, disclosure of data to third parties, data storage time, mode of litigation, remedies, data sources, profiling, automated decision making, guarantees, etc.);

3. Right to rectification: In case of inaccurate data, the Data Subject may initiate the rectification of the data;

4. Right to erasure (‘right to be forgotten’): The Data Subject may request the erasure of a data if:

   • the data is no longer necessary in relation to the purposes for which it was collected

   • the Data Subject withdraws consent on data processing

   • the Data Subject objects to the processing and there is no other reason, legal ground for the processing

   • data processing is unlawful

   • erasure is stipulated by a legal obligation

   • the data have been collected in relation to the offer of information society services;

5. Right to object: The Data Subject shall have the right to object to data processing for public or for a legitimate interest; in this case, the Data Controller shall have the right to continue to process the personal data if it is justified by compelling legitimate grounds which override the Data Subject or are connected to the exercise of legal claims. The Data Subject shall have the right to object at any time to processing of personal data for direct marketing purposes, and in case of objection, the data shall no longer be processed;

6. Right to restriction of processing: In the case of unlawfully processed data, and in other cases permitted by law, restriction of the processing of data may be requested;

7. Right to data portability: In case of automatic data processing, based on consent or contract, the Data Subject shall have the right to receive the data provided thereby in a structured, commonly used and machine-readable format and have the right to freely transmit those data;

8. Right of withdrawal: The Data Subject shall have the right to withdraw his or her consent at any time.

The Data Subject can exercise his or her rights above at any time. The Data Subject may send the request to this effect to the e-mail address at dataprotection.hu@boehringer-ingelheim.com or to the postal address of the Data Controller at H-1095 Budapest, Lechner Ödön fasor 10. Hungary in writing. The Data Controller informs the Data Subjects that it is not obliged to designate a Data Protection Officer under the applicable legal regulations, but a designated data protection coordinator is available on the contact details above to the Data Subjects.

The Data Controller is entitled to identify the Data Subject before responding (to check whether the request originates from the person entitled). Requests received from the Data Subject’s email address registered by the Data Controller are considered by the Data Controller to come from the Data Subject. In the case of requests received in other forms, the Data Controller is entitled to authenticate the Data Subject in another way (e.g. verbally inquire about the validity of the written request on a given telephone number, request a written confirmation of the oral request or initiate other appropriate identification).

The Data Controller will examine the requests received and handle them without delay, but no later than within one month, or, in exception cases, within a longer period permitted by law, or rejects them (with justification). The Data Controller will inform the Data Subject of the outcome of the decision in writing. The processing of the request is free of charge, except for unfounded or excessive requests for which the Data Controller may charge a reasonable fee corresponding to its administrative costs.

The Data Subject may make an observation or complaint against the processing any time to the Data Controller at the above mentioned contact details: (e-mail address: dataprotection.hu@boehringer-ingelheim.com, or postal address: H-1095 Budapest, Lechner Ödön fasor 10. Hungary). In addition, the Data Subject is entitled to initiate legal proceedings against the data processing complained about in the court of the Data Controller’s headquarters or the Data Subject’s place of residence, which is duty free and in which the court proceeds out of order. In addition to the above, he or she may also lodge a complaint with the National Data Protection and Information Authority.

During the data processing, the accuracy, completeness and - if necessary for the purposes of data processing - actuality of the data must be ensured. In this respect, the Data Controller asks the Data Subjects to inform the Data Controller as soon as possible of any change in their personal data recorded by the Data Controller.