DMVO / Oplysning til Leverandører

Oplysning til Leverandører

Oplysning fra Dansk Medicin Verifikation Organisation ApS til Leverandører i forbindelse med EU databeskyttelsesforordning

​V. 1.0. oktober 2018

Baggrund
I maj 2018 trådte en ny EU-forordning om persondatabeskyttelse i kraft (herefter GDPR). Hos Dansk Medicin Verifikation Organisation ApS (herefter DMVO) har vi naturligvis sat os grundigt ind i databeskyttelseslovgivningen og dens krav til os.

Det betyder blandt andet, at DMVO skal leve op til GDPR’s øgede krav om at informere om indsamling, opbevaring og brug af data. Det gælder også, selvom der udelukkende er tale om oplysninger relateret til den registreredes professionelle virke.

Hos DMVO er troværdighed og professionalisme kerneværdier. Formålet med denne oplysningstekst er derfor at give alle de lovpligtige informationer om vores brug af data om leverandører i forbindelse med vores drift og administrationen af DMVO. Denne oplysningstekst uddyber i detaljer, hvordan vi behandler data i forhold til vores formål: At etablere, administrere og drive et nationalt datalagringssystem, i overensstemmelse med EU-lovgivningens krav herom[1].


Hvilken type data behandler DMVO
DMVO opbevarer og behandler de oplysninger, der er nødvendige for at leve op til vores formål: at etablere, administrere og drive et nationalt datalagringssystem, i overensstemmelse med EU-lovgivningens krav herom. Det drejer sig blandt andet om data om kontaktperson(er) hos leverandører. Denne behandling kan omfatte navn, titel, arbejdsrelaterede kontaktoplysninger, logininformationer til vores kontrakthåndteringssystem samt eventuelle betalingsoplysninger.

Hvad er formålet med DMVOs databehandling
DMVOs virke er at etablere, administrere og drive et nationalt datalagringssystem, i overensstemmelse med EU-lovgivningens krav herom. Vi opbevarer og behandler data til dette lovbestemte formål. I den forbindelse behandler vi data blandt andet for at kunne indgå kontrakter med leverandører, tildele sikker adgang til kontrakthåndteringssystemet, administrere systemet og varetage kommunikation med de registrerede. Endvidere kan vi behandle data som led i at gøre det muligt for de kompetente myndigheder at føre kontrol.

Ud over dette formål, skal vi opbevare og behandle data på en måde, der overholder lovgivning på området, som f.eks. databeskyttelsesloven. Vi skal f.eks. kunne dokumentere, at vi har givet denne oplysningstekst. Vi skal kunne påvise, at vi har besvaret visse typer henvendelser inden for bestemte frister.

Vi er forpligtet til at indføre sikkerhedsforanstaltninger, der kan beskytte data. Dvs. forhindre uautoriseret adgang til it-systemer (hacking), stoppe virusangreb, standse overbelastningsangreb (denial-of-service-angreb) mv. Hvis der alligevel skulle ske et sikkerhedsbrud, kan vi være forpligtede til at fortælle det til både Datatilsynet og den/de berørte individer personligt.

Oplysningerne skal også være opbevaret, så vi kan give Datatilsynet og andre offentlige myndigheder de nødvendige oplysninger, hvis de kommer på tilsyn eller inspektion.

Vi skal også opbevare og behandle oplysninger, så de er tilgængelige, hvis der opstår tvister med tredjeparter og/eller de registrerede.

Det juridiske grundlag for indsamling, behandling og videregivelse af data i DMVO
Vores indsamling, behandling og videregivelse af oplysningerne skal stemme overens med GDPR. DMVO har derfor fået foretaget en juridisk analyse for at sikre, at vi har hjemmel til brug af data for at overholde DMVO’s retlige forpligtelser samt at vores øvrige interesser i den forbindelse er legitime.

Vores juridiske grundlag kan være, at behandlingen er nødvendig for at overholde en retlig forpligtelse, der påhviler DMVO. Denne retlige forpligtelse findes i EU-forordningen (EU/2016/161) der fastsætter de nærmere regler for sikkerhedselementerne på humanmedicinske lægemidlers emballage og etableringen af et nationalt datalagringssystem i den forbindelse.

Herudover er en del af de data, som DMVO behandler, nødvendige for, at vi kan følge de legitime interesser, vi har. Vi har i denne vurdering lagt vægt på følgende:

  1. At data er begrænset til det strengt nødvendige for at varetage DMVO’s formål.
  2. At DMVO er en non-profit organisation, der behandler data for det formål at etablere, administrere og drive et nationalt datalagringssystem.
  3. At der er tale om data, der relaterer til den registreredes professionelle virke og ikke til den registreredes privatsfære.
  4. At leverandører har en interesse i, at deres data behandles for at sikre dem adgang til kontrakthåndteringssystemet, korrekt indgåelse af kontrakter samt kommunikation i den forbindelse som led i efterlevelsen af EU-lovgivningens krav.
  5. Vi har derudover lagt vægt på vores legitime interesser i at sikre data med alle nødvendige sikkerhedsforanstaltninger og kunne kommunikere og samarbejde med registrerede og de relevante offentlige myndigheder.
  6. Endelig har vi lagt vægt på vores legitime interesse i at kunne håndtere eventuelle tvister.

Hvad er DMVOs datakilder
Oplysningerne indsamles hos leverandører og kan suppleres med oplysninger fra leverandørers egen organisation bl.a. i forbindelse med kontraktindgåelse.

Hvem kan behandle data
DMVO kan gøre brug af en eller flere databehandlere. Det er typisk virksomheder, der på vegne af DMVO, behandler oplysninger for DMVO. DMVO bruger Dansk Lægemiddel Information A/S i Danmark og deres underleverandør som databehandler ift. IT-drift og –sikkerhed. Der kan derudover anvendes en systemleverandør og juridisk konsulent i forbindelse med kontraktindgåelse samt udvalgte konsulenter, der hjælper os med driften af DMVO og disses underleverandører.

Overføres data til lande uden for EU/EØS
DMVO og vores databehandlere overfører p.t. ikke oplysninger til lande uden for EU/EØS, men vi forbeholder os muligheden for at gøre det fremover. Hvis der i fremtiden skal ske overførsel til lande uden for EU/EØS har DMVO pligt til at oplyse herom.

Hvor længe opbevares data
DMVO opbevarer de angivne oplysninger, så længe vi har brug for dem til vores formål, som er beskrevet herover, til at opfylde de retlige forpligtelser der påhviler DMVO, og til at varetage relationen til leverandører. Derudover opbevarer vi data i henhold til gældende regler om forældelse af straf- og erstatningsansvar.

Hvad er dine rettigheder i forhold til data
Du har, som registreret, visse rettigheder. F.eks. har du ret til at få indsigt i, hvilke oplysninger vi opbevarer dig som leverandør. Du har ret til at få ændret forkerte eller misvisende oplysninger. Du har ret til at få persondata om dig slettet, bl.a. såfremt de behandles i strid med lovgivningen, eller ikke er nødvendige for de angivne formål. Du har ret til at gøre indsigelse mod vores behandling af personoplysninger. Og endelig har du ret til at klage til Datatilsynet. Du skal dog være opmærksom på, at vi iflg. GDPR kun er forpligtet til at imødekomme sådanne henvendelser på visse betingelser.

Har du spørgsmål om dine rettigheder, kan du altid kontakte os:

Kontakt:

Tina Hou Marer
DMVO
Telefon: +45 39 15 09 51
E-mail: thm@dmvo.dk

Hvem er dataansvarlig
Dansk Medicin Verifikation Organisation ApS, Lersø Park Allé 101, 2100 København Ø

[1] Kommissionens delegerede forordning (EU) 2016/161 af 2. oktober 2015 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2001/83/EF i form af de nærmere regler for sikkerhedselementerne på humanmedicinske lægemidlers emballage.

Separat indsigelsestekst vedr. interesseafvejning

Version: 1.0, dato: Maj 2018

Du har ret til at - af grunde, der vedrører din særlige situation - at gøre indsigelse mod behandling af personoplysninger, hvor hjemlen er en legitim interesse. Den dataansvarlige må derefter ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for dine interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.