Advanced Bionics Retningslinjer for personvern

Generell informasjon

Sonova AG er underlagt lovgivningen i Sveits, som behandlingsansvarlig, med registrert adresse i Laubisrütistrasse 28, 8712 Stäfa, Sveits, og har virksomhet med sine tilknyttede selskaper rundt om i verden (sammen kalt "selskapet", "vi" eller "vår"). 

Siden selskapet behandler personopplysninger som del av sin daglige virksomhet, har disse globale retningslinjene for personvern ("retningslinjene") blitt utarbeidet og implementert for å beskrive selskapets praksis vedrørende bruk av personopplysninger om kunder, leverandører og partnere ("registrerte"). Selskapet vier spesiell oppmerksomhet til temaet personvern og personopplysninger og streber etter å etterleve disse retningslinjene i samsvar med gjeldende lokal lov. 

Med "personopplysninger" mener vi enhver informasjon relatert til en identifisert eller identifiserbar fysisk person. 

Med "behandling" mener vi enhver operasjon eller sett med operasjoner som utføres med personopplysninger eller sett med personopplysninger, enten det skjer automatisk eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpassing eller endring, henting, konsultering, bruk, utlevering ved overføring, offentliggjøring eller annen tilgjengeliggjøring, innretting eller kombinering, begrensning, sletting eller destruering. 

Gjeldende lov for retningslinjene

Selskapet forplikter seg til å etterleve gjeldende personvernlovgivning ("gjeldende lov"). Det vil si at behandlingen av personopplysninger vil være underlagt lokalt gjeldende lovgivning avhengig av landene der selskapet er etablert. Selv om visse krav kan variere fra land til land, er selskapet spesielt opptatt av registrertes personvern, og disse retningslinjene utgjør en global retningslinje selskapet er forpliktet til å følge. 

Spesielt er selskapet forpliktet til å følge følgende lover der det er aktuelt: 

  • Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF (generell personvernforordning)("GDPR"). GDPR har som mål å harmonisere og ramme inn reglene for behandling av personopplysninger på EUs territorium for å gi ett enkelt rettslig rammeverk for profesjonelle. Personvernforordningen søker å styrke innbyggeres kontroll over bruken av personopplysninger som gjelder dem selv. Denne forordningen gjelder behandling av personopplysninger som tilhører statsborgere eller innbyggere i EU, og aktivitetene til en behandlingsansvarlig eller databehandler i EU-området. 
  • Den sveitsiske føderale loven om personvern av 19. juni 1992 ("FADP"), endret i 2020 for å tilpasses moderne teknologi og innrettes med GDPR og andre nylige europeiske forordninger. 
  • California Consumer Privacy Act of 2018 ("CCPA") som har som mål å skape mer åpenhet og garantere flere rettigheter til forbrukere bosatt i California hvis personopplysninger behandles av bedrifter. 
  • Health Insurance Portability and Accountability Act of 1996 ("HIPAA") som definerer reglene i USA for elektronisk behandling av helseopplysninger av helseforetak og forretningspartnere. 

Innsamlede personopplysninger

Selskapet kan behandle følgende personopplysninger: 

  • Identitetsopplysninger: etternavn, fornavn, nasjonalitet og fødselsdato  
  • Kontaktopplysninger: postadresse, privat telefonnummer, privat e-postadresse og kontaktperson ved nødstilfeller 
  • Personnummer og forsikringsselskap  
  • Økonomiske opplysninger: betalingsmetode, finansinstitusjon, IBAN 
  • Opplysninger vedrørende brukerens helse: vekt, høyde, medisinske problemer, resepter, høreevne, registrering av fysisk aktivitet (skritteller, treningsintensitet, treningsminutter), kondisjonsdata (puls, energiforbruk, blodtrykk) 
  • Opplysninger vedrørende brukerens atferd på nettstedet 
  • Opplysninger vedrørende produktet kunden har kjøpt: modell, serienummer, bruksdata 
  • Opplysninger vedrørende tjenesten som leveres 
  • Opplysninger vedrørende tilbakemelding kunden gir om våre produkter og tjenester: kommentarer og merknader 

I tillegg, siden vår aktivitet hovedsakelig dreier seg om produksjon av innovative løsninger for høreapparater, kan det være nødvendig for oss å samle sensitive personopplysninger, og mer spesifikt helseopplysninger. Avhengig av landet hvor den registrerte bor, kan disse sensitive personopplysningene få spesialbeskyttelse, spesielt i form av tiltak for sikkerhet og konfidensialitet. 

Formål for behandling av personopplysninger

Følgende rettslige grunnlag utgjør grunnlaget selskapet bruker for å utføre behandling av personopplysninger. Andre rettslige grunnlag kan brukes avhengig av hvor den registrerte er bosatt, og relevant gjeldende lov. 

Noe behandling av personopplysninger kan være basert på de registrertes samtykke. Behandlingen av personopplysninger for dette formålet kan omfatte: 

  • Markedsføringsformål som utsendelse av nyhetsbrev og informasjon om produkter og tjenester som tilbys av selskapet 
  • Å forbedre ytelsen på nettstedet vårt 
  • Basert på ditt samtykke: For oppretting av kontoen din, for å kontakte oss via kontaktskjemaet, for at Sonova skal kunne svare brukere, for å ta en nettbasert hørselstest  

Behandlingen av personopplysninger som selskapet utfører, kan også være basert på oppfyllelsen av en kontrakt eller førkontraktuelle tiltak med registrerte. Behandlingen av personopplysninger for dette formålet kan omfatte: 

  • Oppfyllelse av våre kontraktsforpliktelser overfor registrerte  
  • Levering av ettersalgtjenester etter at en kunde har kjøpt et produkt 
  • Behandling av velferdstjenester/forsikring 
  • Håndtering av krav om skadeerstatning 

Selskapet kan også behandle personopplysninger basert på sine berettigede interesser, spesielt for å forbedre våre produkter og tjenester, kundeopplevelse og interne prosesser. Behandlingen av personopplysninger for dette formålet kan omfatte: 

  • Utarbeidelse av statistikk/bruksanalyse 
  • Utføring av interne administrative funksjoner 
  • Behandling av kundeforespørsler 
  • Forhindre svindelaktiviteter og forbedre sikkerheten 
  • Håndtering av forhold til registrerte 
  • Evaluering av våre produkter og tjenesters relevans 

Selskapet kan også behandle personopplysninger for å respondere på rettslige krav. Behandling basert på rettslige krav avhenger av gjeldende lov. 

Lagring av personopplysninger

Personopplysninger lagres ikke lengre enn det som er nødvendig for formålene nevnt ovenfor. Dette betyr at personopplysninger slettes så snart formålet med behandlingen av personopplysningene er oppnådd. Selskapet kan imidlertid lagre personopplysninger lengre dersom det er nødvendig for å etterleve gjeldende lov, eller dersom det er nødvendig for å beskytte eller utøve våre rettigheter, i den utstrekning det er tillatt ved gjeldende personvernlovgivning. 

På slutten av lagringsperioden kan selskapet også trenge å arkivere personopplysninger for å etterleve gjeldende lov, i en begrenset tidsperiode og med begrenset tilgang. 

Disse lagringsperiodene kan variere avhengig av landet der de registrerte bor, og i samsvar med gjeldende lov. 

Utlevering av personopplysninger

Selskapet kan dele personopplysninger, underlagt ditt samtykke eller annet relevant rettslig grunnlag, med følgende tredjeparter: 

  • Andre selskap i vårt konsern, for eksempel datterselskaper og tilknyttede selskaper 
  • Betrodde forretningspartnere som leverer tjenester på våre vegne, for eksempel for teknisk støtte, for markedsføringsformål eller for andre typer tjenestelevering 
  • Statlige og offentlige myndigheter, i den grad dette er nødvendig for å levere tjenester som er blitt forespurt og autorisert, for å beskytte kunders, leverandørers og partneres rettigheter, eller våre eller andres rettigheter, eiendom eller sikkerhet, for å opprettholde sikkerheten for våre tjenester eller dersom det kreves at vi gjør dette i henhold til gjeldende lov, domstolavgjørelser eller andre myndighetspålegg, eller dersom slik utlevering på annen måte er nødvendig for å støtte en rettslig etterforskning eller rettssak 

Avhengig av gjeldende lov implementerer vi kontrakter med noen tredjeparter for å sørge for at personopplysninger behandles etter våre instruksjoner og i samsvar med disse retningslinjene og andre tilbørlige tiltak for konfidensialitet og sikkerhet. 

Overføringer av personopplysninger

De ovennevnte tredjepartene, som tilknyttede selskap eller datterselskap, samt forretningspartnere, offentlige myndigheter vi kan utlevere personopplysninger til, kan befinne seg utenfor en registrerts hjemland, og potensielt i et land hvor personvernlovgivningen er annerledes enn i landet der de registrerte befinner seg. 

Dersom personopplysninger behandles innenfor EU/EØS, og dersom personopplysninger utleveres til tredjeparter i et land som ikke anses for å tilveiebringe et tilstrekkelig beskyttelsesnivå ifølge Europakommisjonen, vil selskapet sørge for det følgende: 

  • Implementering av tilstrekkelige prosedyrer for å etterleve gjeldende lov, og spesielt når det er nødvendig å be om autorisasjon fra kompetent tilsynsmyndighet 
  • Implementering av tilbørlige organisatoriske, tekniske og rettslige beskyttelsestiltak for å styre overføringen og sikre nødvendig og tilstrekkelig beskyttelsesnivå i henhold til gjeldende lov 
  • Om nødvendig, implementering av standard avtaleklausuler vedtatt av Europakommisjonen 
  • Om nødvendig, ta ytterligere tiltak som å gjennomføre en tilstrekkelighetsvurdering for en dataoverføring dersom, etter evaluering av omstendighetene rundt overføringen, og etter evaluering av lovgivningen i tredjelandet, det er nødvendig for beskyttelsen av de overførte personopplysningene. 

Dersom personopplysningene ikke behandles innenfor EU/EØS, og dersom personopplysninger utleveres til tredjeparter utenfor den registrertes jurisdiksjon, vil selskapet sørge for at tilbørlige sikkerhetstiltak er på plass for å beskytte personopplysningene ved å implementere tilbørlige rettslige mekanismer. Disse mekanismene kan variere avhengig av land og relevant gjeldende lov. 

Sikkerhet for personopplysninger

Selskapet implementerer en rekke sikkerhetstiltak, ifølge gjeldende lov, for å beskytte personopplysninger mot sikkerhetshendelser eller uautorisert utlevering, og mer generelt mot et brudd på personopplysningssikkerheten. Disse sikkerhetstiltakene er anerkjent som tilbørlige bransjesikkerhetsstandarder og omfatter blant annet tilgangskontroll, passord, kryptering og jevnlige sikkerhetsvurderinger. 

Dersom det oppstår et brudd på personopplysningssikkerheten, og spesielt dersom det er et brudd på sikkerheten som ved et uhell eller lovbrudd fører til ødeleggelse, tap, endring, uautorisert utlevering eller tilgang til personopplysninger som overføres, lagres eller behandles på annen måte, vil selskapet fatte tilbørlige tiltak som:

  • Etterforskning og analyse for å kartlegge konsekvensene av bruddet på personopplysningssikkerheten, og spesielt om det er sannsynlig at det vil skape en risiko for rettighetene og frihetene til de berørte 
  • Dersom analysen viser at det er risiko for rettighetene og frihetene til de berørte, vil selskapet melde fra til den kompetente myndigheten og, ved høy risiko, kommunisere dette til de berørte 
  • Implementere så raskt som mulig de nødvendige tiltakene for å rette og forebygge bruddet på personopplysningssikkerheten 
  • Dokumentere bruddet på personopplysningssikkerheten for å sikre sporbarhet 

Hvilke tiltak og prosedyrer som er tilbørlige ved et brudd på personopplysningssikkerheten, kan variere avhengig av landet hvor det oppstår, typen brudd og avhengig av relevant gjeldende lov. 

Personvernsrettigheter knyttet til personopplysninger

I varierende grad avhengig av relevant gjeldende lov har registrerte rettigheter knyttet til personopplysningene dine, for eksempel rett til å kreve innsyn, retting, sletting av personopplysningene, begrensning av behandling, protestere på behandling, kreve dataportabilitet, å bli informert og trekke tilbake samtykket til behandling av personopplysninger basert på samtykke. Registrerte kan også protestere på automatisert individuell beslutningstaking dersom de er bekymret over slik behandling.  

I tillegg kan du i noen jurisdiksjoner gi instruksjoner om lagring, kommunikasjon og sletting av personopplysningene dine posthumt.   

Utøvelsen av slike rettigheter er ikke absolusjoner om lagring, kommunikasjon og sletting av personopplysningene dine posthumt. tt, og er underlagt begrensningene som er nedfelt i gjeldende lov.  

Registrerte kan ha rett til å klage til sin lokale tilsynsmyndighet eller kompetent myndighet dersom de anser at behandlingen av personopplysningene er i strid med gjeldende lov. 

For å utøve disse personvernrettighetene kan registrerte kontakte oss slik det er beskrevet i avsnittet "Slik kan du kontakte oss" nedenfor. Vi kan be om legitimasjon for å besvare forespørselen. Hvis vi ikke kan oppfylle forespørselen (nekting eller begrensning), vil vi gi en skriftlig begrunnelse. 

Oppdateringer av disse retningslinjene

Vi kan, hvis det er nødvendig, oppdatere disse retningslinjene med jevne mellomrom for å gjenspeile ny eller endret personvernpraksis. I så fall vil vi legge ut oppdaterte versjoner av disse retningslinjene på denne siden. Reviderte retningslinjer for personvern gjelder bare for data som er samlet inn etter at endringene trådte i kraft. Vi oppfordrer deg til å sjekke denne siden med jevne mellomrom for oppdatert informasjon om vår personvernpraksis. 

Slik kan du kontakte oss

Dersom du har spørsmål, kommentarer eller bekymringer om disse retningslinjene, eller ønsker å utøve personvernrettighetene i henhold til relevant lovgiving om personvern, ta kontakt med personvernansvarlig på følgende adresse: Sonova AG, Laubisruetistrasse 28, 8712 Stäfa, Sveits eller ved å sende en e-post til: privacy@sonova.com.

Ikrafttredelsesdato: Februar 2022