Introduzione

GE HealthCare rispetta i diritti alla protezione dei dati personali e si impegna a gestire i dati personali in modo responsabile, in conformità con le leggi vigenti, con gli obblighi contrattuali applicabili e con l'Impegno di GE HealthCare per la protezione dei dati personali (in prosieguo: "Impegno"), descritto di seguito. L'Impegno definisce i principi di GE HealthCare per il trattamento dei dati personali da parte e per conto di GE HealthCare.

Stabilisce anche i fondamenti giuridici per i trasferimenti transfrontalieri dei dati personali all'interno del Gruppo GE HealthCare (tutte le divisioni possedute completamente o principalmente da GE HealthCare Company). Inoltre, GE HealthCare può effettuare trasferimenti transfrontalieri dei dati personali a terze parti esterne al Gruppo GE HealthCare in conformità con la legge vigente. GE HealthCare gestirà i dati personali in conformità con l'Impegno, ove applicabile, a meno che questo non sia in conflitto con requisiti più rigorosi specificati nelle leggi locali, nel qual caso prevarranno le leggi locali.

Ambito di applicazione

L'Impegno è volto a garantire la protezione dei dati personali utilizzati all'interno del Gruppo GE HealthCare, indipendentemente dall'area geografica o dalla tecnologia, e si applica al trattamento dei dati personali di GE HealthCare e dei dati personali del cliente di GE HealthCare.

Trattamento dei dati personali

GE HealthCare elabora i dati personali del cliente di GE HealthCare solo per conto del cliente e in conformità alle istruzioni ricevute dal cliente..

GE HealthCare rispetta i seguenti principi durante il trattamento dei dati personali e fornisce una ragionevole collaborazione e assistenza al cliente per facilitare la sua osservanza degli stessi principi. Ove richiesto dalle leggi vigenti, ciò include l'assistenza al cliente per le valutazioni dell'impatto sulla privacy, le necessarie consultazioni con le autorità competenti per la protezione dei dati e l'implementazione di misure di conformità fin dalla progettazione e per impostazione predefinita:

Correttezza: GE HealthCare tratterà i dati personali in modo corretto e legale.

Finalità: GE HealthCare limiterà il trattamento dei dati personali all'adempimento delle finalità legittime e specifiche di GE HealthCare. GE HealthCare eseguirà esclusivamente trattamenti compatibili con tali finalità, a meno che GE HealthCare non abbia il consenso esplicito della persona o la conferma da parte del cliente che tale consenso è stato ottenuto, ove richiesto.

In generale, GE HealthCare elaborerà i dati personali:

• • laddove GE HealthCare abbia un interesse legittimo che, nel complesso, giustifichi il trattamento;
• • ove necessario ai fini del mantenimento o dell'attuazione di un rapporto legale tra GE HealthCare e la persona;
• • ove necessario per ottemperare a un obbligo imposto a GE HealthCare da leggi, normative o autorità governative applicabili;
• • in presenza di situazioni eccezionali che minacciano la vita, la salute o la sicurezza del soggetto o di un'altra persona;
• • dopo aver ottenuto il consenso esplicito, informato e liberamente concesso della persona, ove richiesto dalle leggi vigenti; oppure
• • ove il trattamento sia correlato a un contratto di assistenza stipulato con il cliente.

Nei casi in cui il consenso sia stato ottenuto direttamente da GE HealthCare, GE HealthCare fornirà una procedura per consentire alle persone di revocare il proprio consenso nella misura richiesta dalle leggi vigenti, in qualsiasi momento e a titolo gratuito.

Proporzionalità: GE HealthCare limiterà il trattamento dei dati personali a quelli adeguati, pertinenti e non eccessivi in relazione alle finalità per le quali GE HealthCare li raccoglie e utilizza.

Qualità delle informazioni: GE HealthCare adotterà le misure ragionevoli per fornire al cliente un mezzo per garantire che i dati personali siano accurati e aggiornati, per conservare i dati personali solo per il tempo necessario alle finalità per le quali sono raccolti e utilizzati e per cancellarli o renderli anonimi dopo che tali requisiti di conservazione siano stati soddisfatti.

A seguito di una richiesta valida da parte del cliente e ove ragionevolmente possibile, GE HealthCare provvederà a:

• • eseguire o fornire al cliente i mezzi per rettificare, aggiornare, rendere anonimi o cancellare (se applicabile) i propri dati personali e
• • comunicare questa informazione a tutte le entità GE o di terze parti a cui sono stati divulgati i dati personali del cliente di GE HealthCare.

Trasparenza: laddove richiesto dalle leggi vigenti, GE HealthCare renderà disponibili alle persone al momento della raccolta, o entro un intervallo di tempo ragionevole dalla stessa, le informazioni sull'identità di GE HealthCare; le finalità e i fondamenti giuridici del trattamento dei dati personali; i destinatari previsti e i trasferimenti transfrontalieri dei dati; le fonti dei dati personali; le modalità tramite le quali le persone possono esercitare i propri diritti in relazione ai dati personali, i contatti del responsabile della protezione dei dati, ove applicabile, e ulteriori spiegazioni secondo necessità per garantire un trattamento equo. Nel caso in cui GE HealthCare raccolga i dati personali tramite Internet o altri mezzi elettronici, GE HealthCare pubblicherà un'informativa sulla privacy facilmente accessibile che soddisfi questi requisiti di trasparenza.

Riservatezza: GE HealthCare garantirà la riservatezza dei dati personali che tratta, salvo nei casi in cui la divulgazione sia richiesta da un valido requisito operativo o legale. Tale obbligo dovrà persistere anche dopo la fine del rapporto con il cliente. GE HealthCare richiede che tutti i membri del Gruppo GE HealthCare che elaborano i dati personali del cliente di GE HealthCare e dei propri dipendenti rispettino le istruzioni del cliente relative al trattamento dei dati personali del cliente di GE HealthCare.

Sicurezza: GE HealthCare si impegna a proteggere i dati personali con adeguate misure tecniche e organizzative per garantirne l'integrità, la riservatezza, la sicurezza e la disponibilità e richiede che tutti i membri del Gruppo GE HealthCare che elaborano i dati personali del cliente di GE HealthCare e dei propri dipendenti rispettino le misure di sicurezza e riservatezza stabilite nel contratto di assistenza stipulato con il cliente. GE HealthCare fornirà una ragionevole assistenza al cliente di GE HealthCare per garantire la sicurezza del trattamento dei dati personali e informerà il cliente di GE HealthCare se si dovesse verificare una violazione della sicurezza dei suoi dati personali, come previsto dalle leggi vigenti.

Effetto della risoluzione: alla risoluzione del contratto di assistenza stipulato con il cliente, se non diversamente concordato con il cliente o vietato dalle leggi vigenti, GE HealthCare restituirà o distruggerà (e, in caso di distruzione, certificherà al cliente di averlo fatto) tutti i dati personali del cliente di GE HealthCare e tutte le relative copie.

Condivisione e/o trasferimento dei dati personali

GE HealthCare può condividere o trasferire i dati personali nelle seguenti circostanze:

• • i dati personali possono essere condivisi all'interno del Gruppo GE HealthCare per le finalità sopra specificate, a condizione che l'entità del Gruppo GE HealthCare che elabora i dati personali aderisca al presente Impegno.
• • GE HealthCare può fornire i dati personali a fornitori o fornitori di servizi selezionati, assunti per eseguire determinate attività o altri servizi per suo conto. GE HealthCare si adopererà per garantire che i nuovi fornitori trattino i dati personali in modo coerente con il presente Impegno e con le leggi vigenti, stabilendo un rapporto giuridico tramite un contratto o altri mezzi legalmente consentiti che impongano al fornitore obblighi equivalenti a quelli applicabili a GE HealthCare ai sensi del contratto di assistenza stipulato con il cliente. Ai sensi di tali contratti, i fornitori devono attuare misure di sicurezza adeguate e possono trattare i dati personali solo in conformità alle istruzioni di GE HealthCare.
• • GE HealthCare può divulgare alcuni dati personali ad altre terze parti, comprese le forze dell'ordine, ove richiesto dalla legge, per proteggere i diritti legali di GE HealthCare o in relazione a una fusione o acquisizione di GE HealthCare oppure all'insolvenza o alla riorganizzazione di qualsiasi parte di GE HealthCare. GE HealthCare può effettuare trasferimenti transfrontalieri dei dati personali all'interno del Gruppo GE HealthCare, in virtù dell'adesione dei membri del Gruppo ricevente alle parti pertinenti del presente Impegno. GE HealthCare può effettuare trasferimenti transfrontalieri anche al di fuori del Gruppo GE HealthCare se il destinatario può garantire il livello minimo di protezione previsto dal presente Impegno, se esiste una giustificazione appropriata in conformità con le leggi vigenti oppure se il Paese al quale vengono trasmessi tali dati garantisce il livello di protezione indicato dalle decisioni di adeguatezza della Commissione europea. Nell'ambito dell'impegno verso l'assunzione di responsabilità, GE HealthCare potrà dimostrare prontamente che un trasferimento transfrontaliero è conforme alle misure di protezione previste dal presente Impegno, in particolare ove richiesto da un'autorità di vigilanza competente.
• • quando si eseguono trasferimenti transfrontalieri, le società e le entità di GE HealthCare non hanno motivo di credere che le leggi e le prassi del Paese di destinazione terzo applicabili al trattamento dei dati personali da parte dell'importatore di dati impediscano a quest'ultimo di adempiere ai propri obblighi ai sensi del presente Impegno. Inoltre tengono in debita considerazione le circostanze specifiche del trasferimento transfrontaliero, le leggi e le prassi del Paese di destinazione terzo ed eventuali misure di salvaguardia contrattuali, tecniche o organizzative adottate per integrare le misure di salvaguardia previste dal presente Impegno.

Trattamento di dati personali sensibili

Nel caso in cui GE HealthCare elabori e/o trasferisca dati personali sensibili, lo farà in base alle istruzioni del cliente e applicherà le misure di salvaguardia appropriate richieste dalle leggi vigenti. Saranno applicate le misure di sicurezza appropriate, in base alla natura di queste informazioni e ai rischi associati agli usi previsti.

Responsabilità

GE HealthCare è responsabile dell'adempimento dei requisiti stabiliti nell'Impegno e ai sensi delle leggi vigenti. In particolare, GE HealthCare:

• • adotterà le misure necessarie per adempiere ai requisiti dell'Impegno e alle leggi vigenti e
• • disporrà dei necessari meccanismi interni per dimostrare tale osservanza, compreso il mantenimento di un registro delle attività di trattamento in conformità con le leggi vigenti.

Programma per la privacy

GE HealthCare adotta pratiche per la privacy volte a supportarne la conformità con l'Impegno e le leggi vigenti, tra cui la nomina di responsabili della privacy, programmi di formazione e sensibilizzazione, protocolli di risposta agli incidenti, valutazioni dell'impatto sulla privacy, procedure di verifica e un approccio Privacy by Design e by Default allo sviluppo di processi e sistemi.

Diritti delle persone

In conformità con le leggi vigenti, un soggetto che abbia confermato in modo soddisfacente la propria identità nei confronti di GE HealthCare o del cliente può esercitare i seguenti diritti in relazione ai dati personali raccolti direttamente dall'interessato. GE HealthCare assisterà il cliente nell'adempimento degli obblighi in materia di privacy nei confronti delle persone:

Accesso: laddove richiesto dalle leggi vigenti, a seguito di una richiesta da parte di una persona e secondo le istruzioni del cliente, GE HealthCare fornirà i dati personali che GE HealthCare detiene, comprese le informazioni riguardanti la fonte dei dati personali, le finalità di qualsiasi elaborazione da parte di GE HealthCare e i destinatari oppure le categorie di destinatari a cui tali dati personali vengono divulgati.

Correzione ed eliminazione: su istruzione del cliente, verranno espletate e confermate richieste valide di correzione o cancellazione di dati personali non incompleti, imprecisi o eccessivi. È fatta salva la cancellazione dei dati, che non verrà eseguita laddove la conservazione sia richiesta dal rapporto contrattuale tra GE HealthCare e il cliente, nel contesto di una controversia legale o da altri requisiti di conservazione legale o come altrimenti previsto dalle leggi vigenti.

Opposizione: su istruzione del cliente, GE HealthCare interromperà il trattamento dei dati personali qualora l'opposizione di una persona sia giustificata ai sensi delle leggi vigenti, ad esempio quando la vita o la salute della persona sono a rischio a causa del trattamento. Una persona ha inoltre il diritto di opporsi a decisioni basate esclusivamente sul trattamento automatizzato dei dati personali che producono effetti legali che influiscono in modo significativo sulla persona coinvolta, ad eccezione dei casi in cui la persona ha richiesto il trattamento o quando esso è necessario per il rapporto contrattuale tra GE e il cliente. In quest'ultimo caso, l'interessato potrà esprimere il proprio parere sulla decisione automatizzata. Una persona ha il diritto di opporsi al trattamento dei dati personali da parte di GE HealthCare per finalità di marketing, laddove consentito dalle leggi vigenti. Questo diritto di opposizione può essere superato nel caso in cui GE HealthCare e/o il cliente possano dimostrare che il proprio interesse legittimo e prevalente nel proseguire il trattamento prevale sugli interessi oppure sui diritti e sulle libertà fondamentali della persona.

Restrizioni: una persona ha inoltre il diritto di richiedere la limitazione del trattamento dei propri dati personali da parte di GE HealthCare, nella misura in cui tale diritto sia previsto dalle leggi vigenti, ad esempio nei casi in cui l'accuratezza dei dati personali GE sia contestata. Su istruzione del cliente, GE HealthCare cesserà il trattamento di tali informazioni laddove la restrizione sia giustificata, ad eccezione della conservazione e di altri trattamenti continuativi consentiti ai sensi delle leggi vigenti.

Reclami: chiunque sostenga di aver subito danni a causa della mancata conformità all'Impegno da parte di un'entità del Gruppo GE HealthCare può presentare un reclamo al responsabile della privacy o al responsabile della conformità del Gruppo GE HealthCare applicabile oppure utilizzare i processi di gestione dei reclami di GE HealthCare disponibili sui siti Web di GE HealthCare, se altri canali non sono disponibili o attivi:

• • Segnalazione di problemi interni: https://submit-irm.trustarc.com/services/validation/13864fcb-7587-457a-9a97-91497f5c0ad7
• • Segnalazione di problemi esterni: https://submit-irm.trustarc.com/services/validation/66c3579f-50bb-49a3-b68a-39e4f9076a57

GE HealthCare dovrà gestire il reclamo solo nel caso in cui il cliente sia diventato insolvente, sia scomparso o abbia cessato di esistere ai sensi di legge e solo nel caso in cui gli obblighi legali del cliente non siano stati assunti da un successore.

Se il cliente ritiene che il reclamo sia giustificato, GE HealthCare assisterà il cliente e adotterà misure adeguate per risolvere il problema e rispondere alle ragionevoli aspettative della persona. GE HealthCare si impegna a rispondere ai reclami entro trenta giorni dalla ricezione. Una persona con un reclamo non risolto relativo alla conformità all'Impegno di GE HealthCare nei Paesi disciplinati dalle norme internazionali sulla privacy dell'APEC può contattare il fornitore di terze parti per la risoluzione delle controversie con sede negli Stati Uniti di GE HealthCare (gratuitamente).

Applicazione: una persona che ha subito danni a seguito di una violazione dell'Impegno può avere diritto a ricevere un risarcimento per tali danni in conformità alle leggi vigenti e secondo quanto previsto dall'Impegno. Una persona idonea a ricevere un risarcimento può far valere i propri diritti secondo quanto previsto dall'Impegno mediante ricorso diretto ai tribunali o ad altre autorità giudiziarie in conformità alle leggi vigenti.

Cooperazione con le autorità di vigilanza

GE HealthCare collaborerà con qualsiasi autorità di vigilanza nazionale o regionale competente, responsabile della supervisione della legge sulla privacy applicabile che abbia validi motivi per contestare la gestione del trattamento dei dati personali da parte di GE HealthCare e rispetterà le decisioni di tale autorità in merito a qualsiasi questione relativa all'Impegno.

GE HealthCare informerà il cliente di qualsiasi richiesta legalmente vincolante ricevuta dalle forze dell'ordine in merito alla divulgazione dei dati personali del cliente di GE HealthCare, salvo quanto altrimenti vietato dalle leggi vigenti, ad esempio in caso di divieto prescritto dalle leggi penali finalizzato a preservare la riservatezza di un'indagine delle forze dell'ordine.

Modifiche all'Impegno

GE HealthCare si riserva il diritto di apportare modifiche all'Impegno. Eventuali modifiche sostanziali saranno sottoposte all'autorità responsabile della protezione dei dati di GE HealthCare e/o al suo agente di fiducia, ove appropriato, e verranno notificate sul sito Web di GE HealthCare.

Qualora una modifica proposta dell'Impegno abbia un effetto materialmente dannoso sulle condizioni di trattamento dei dati personali del cliente di GE HealthCare, GE HealthCare deve comunicare al cliente tale proposta e il cliente può opporsi alla modifica proposta in base alle finalità del contratto di assistenza esistente o rescindere tale contratto di assistenza.

Definizioni

Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile.

I dati personali di GE HealthCare includono tutte le informazioni personali ottenute nel contesto del rapporto di una persona con GE HealthCare e che GE HealthCare elabora per conto del cliente. Tali dati possono includere, ad esempio, i dati del cliente ottenuti nel contesto di un rapporto tra il cliente e GE HealthCare.

I dati personali del cliente di GE HealthCare includono tutti i dati personali ottenuti nel contesto della fornitura di servizi da parte di GE HealthCare a un cliente ai sensi di un contratto di assistenza ed elaborati da GE HealthCare per conto del cliente.

Il cliente è una persona o un'entità che stipula un contratto di assistenza con GE HealthCare.

I dati personali sensibili rappresentano una speciale categoria di informazioni personali, che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici, i dati biometrici, le informazioni sullo stato di salute e i dati relativi alla vita o all'orientamento sessuale.