Diese Datenschutzerklärung beschreibt, wie wir, die für die Datenverarbeitung verantwortliche Novartis Pharma GmbH, Head Data Privacy Austria, Jakov Lind Straße 5, Top 3.05, 1020 Wien (nachfolgend: „Novartis“, „wir“, oder „uns“) Informationen sammeln, speichern und verarbeiten.
Aktueller Stand: November 2021
Diese Datenschutzerklärung richtet sich an:
- unsere Lieferanten und Dienstleister, die natürliche Personen sind (z. B. Selbständige);
- die Vertreter oder Ansprechpartner unserer Lieferanten und Dienstleister, die juristische Personen sind, sowie
- alle anderen Besucher unserer Einrichtungen.
Sie erhalten diese Datenschutzerklärung, weil die Novartis Pharma GmbH mit dem Firmensitz Jakov-Lind-Straße 5, Top 3.05, 1020 Wien, Österreich Informationen über Sie verarbeitet, die „personenbezogene Daten“ darstellen und Novartis bzw der Novartis-Konzern den Schutz Ihrer personenbezogenen Daten und Ihrer Privatsphäre als sehr wichtig betrachtet.
Novartis ist für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich, da sie entscheidet, warum und wie diese verarbeitet werden und daher als „Datenverantwortlicher“ auftritt. In dieser Datenschutzerklärung bezieht sich „wir“ oder „uns“ auf die Novartis Pharma GmbH. Sie kann diese Verantwortung allein oder gemeinsam mit anderen Unternehmen des Novartis-Konzerns wahrnehmen, die als "gemeinsam Verantwortliche" handeln.
Wir laden Sie dazu ein, sich diese Datenschutzerklärung sorgfältig durchzulesen, denn hier legen wir dar, in welchem Zusammenhang wir Ihre personenbezogenen Daten verarbeiten und welche Rechte Sie und Pflichten wir dabei haben.
Wenn Sie weitere Fragen zur Verarbeitung Ihrer personenbezogenen Daten haben, wenden Sie sich bitte an den lokalen Datenschutzkontakt unter [email protected].
1. Welche Informationen besitzen wir über Sie?
Diese Informationen können entweder direkt von Ihnen oder von unserem Lieferanten bzw. Dienstleister übermittelt worden sein (d.h. der juristischen Person, für die Sie tätig sind). Wir können verschiedene Arten von personenbezogenen Daten über Sie erfassen, beispielsweise:
i. Ihre allgemeinen Informationen sowie solche, mit denen Sie identifiziert werden können (z. B. Vorname, Nachname, Geschlecht, Geburtsdatum und -ort, Staatsangehörigkeit, Personausweis/Ausweis- oder Passnummer, E-Mail-Adresse und/oder Postanschrift, Festnetz- und/oder Mobilnummer, Sozialversicherungsnummer, Foto, Führerscheinnummer sowie KFZ-Kennzeichen);
ii. Ihre Funktion (z.B. Titel, Position und Name des Unternehmens);
iii. Finanzinformationen (z. B. Bankverbindung);
iv. Ihre Daten zur elektronischen Identifizierung, falls diese für die Bereitstellung von Produkten oder Dienstleistungen an unser Unternehmen notwendig sind (z. B. Log-in-Daten, Zugriffsrechte, Passwörter, Ausweisnummer, IP-Adresse, Onlinekennungen/Cookies, Protokolle, Zugriffs- und Verbindungszeiten, Bild- und Audioaufzeichnungen wie Ausweisbilder, Video- oder Sprachaufzeichnungen).
Wenn Sie uns personenbezogene Daten über andere Personen (z.B. Ihre Kollegen) zur Verfügung stellen wollen, müssen Sie den entsprechenden Personen ein Exemplar dieser Datenschutzerklärung entweder direkt oder über Ihren Arbeitgeber zukommen lassen.
2. Für welche Zwecke verwenden wir Ihre personenbezogenen Daten und warum ist dies gerechtfertigt?
2.1 Rechtsgrundlage für die Datenverarbeitung
Wir werden Ihre personenbezogenen Daten nicht verarbeiten, wenn wir keine angemessene gesetzlich vorgesehene Begründung für den jeweiligen Verwendungszweck haben. Daher verarbeiten wir Ihre personenbezogenen Daten nur dann, wenn:
- wir Ihre vorherige Zustimmung eingeholt haben;
- die Verarbeitung erforderlich ist, um unsere vertraglichen Verpflichtungen Ihnen gegenüber zu erfüllen oder um auf Ihren Wunsch hin vorvertragliche Schritte zu unternehmen;
- die Verarbeitung erforderlich ist, um unseren gesetzlichen und behördlichen Verpflichtungen nachzukommen; oder
- die Verarbeitung aufgrund unserer berechtigten Interessen notwendig ist und Ihre Interessen oder Grundrechte und -freiheiten nicht unangemessen beeinträchtigt werden.
Bitte beachten Sie, dass wir bei einer Verarbeitung Ihrer personenbezogenen Daten aufgrund des zuletzt genannten Zwecks stets darauf achten, das Gleichgewicht zwischen unseren berechtigten Interessen und dem Schutz Ihrer Daten zu wahren. Beispiele für solche „berechtigten Interessen“ ist die Datenverarbeitung zu folgenden Zwecken:
- um von kostengünstigen Dienstleistungen zu profitieren (z.B. können wir bestimmte Plattformen von Lieferanten für die Datenverarbeitung nutzen);
- um unseren Kunden unsere Produkte und Dienstleistungen anzubieten;
- zur Verhinderung von Betrug oder kriminellen Aktivitäten, Missbrauch unserer Produkte oder Dienstleistungen sowie zur Sicherheit unserer IT-Systeme, -architektur und -netzwerke;
- um einen Teil unseres Unternehmens oder seiner Vermögenswerte zu veräußern oder um den vollständigen oder teilweisen Erwerb unseres Unternehmens oder unserer Vermögenswerte durch einen Dritten zu ermöglichen; und
- um die Ziele im Rahmen unserer unternehmerischen und sozialen Verantwortung zu erreichen.
Für Fragen und weiterführende Informationen zu unseren Interessen, kontaktieren Sie uns bitte unter der angegebenen Adresse unter Punkt 6.
2.2 Zwecke der Datenverarbeitung
Wir verarbeiten Ihre personenbezogenen Daten immer zu einem bestimmten Zweck, und zwar immer nur die Daten, die zur Erreichung des jeweiligen Zwecks erforderlich sind. Insbesondere können wir Ihre personenbezogenen Daten zu folgenden Zwecken verarbeiten:
- um unsere Lieferanten und Dienstleister über die gesamte Lieferkette zu verwalten;
- um Ausschreibungen zu organisieren, Aufgaben zur Vorbereitung oder Erfüllung bestehender Verträge durchzuführen;
- um Aktivitäten in unseren Werken zu kontrollieren, einschließlich der Konformität mit den anwendbaren Richtlinien sowie der geltenden Gesundheits- und Sicherheitsbestimmungen;
- um Ihnen Zugang zu unseren Schulungsmodulen zu gewähren, damit Sie uns bestimmte Dienstleistungen anbieten können;
- zur Verwaltung unserer IT-Ressourcen, einschließlich Infrastrukturmanagement und Geschäftskontinuität;
- zur Wahrung der wirtschaftlichen Interessen des Unternehmens und zur Sicherstellung der Compliance und Berichterstattung (z. B. Einhaltung unserer Richtlinien und lokaler gesetzlicher Bestimmungen, Steuern und Abzüge, Verwaltung angeblicher Fälle von Fehlverhalten oder Betrug, Durchführung von Prüfungen und Verteidigung in Rechtsstreitigkeiten);
- zur Bewältigung von Fusionen und Übernahmen, an denen unser Unternehmen beteiligt ist;
- zur Archivierung und Protokollierung;
- für Fakturierung und Rechnungslegung sowie
- zu anderen Zwecken, die gesetzlich und behördlich vorgeschrieben sind.
3. Wer hat Zugang zu Ihren personenbezogenen Daten und an wen werden diese übermittelt?
Wir werden Ihre personenbezogenen Daten nicht an Dritte verkaufen, weitergeben oder anderweitig übertragen, außer an den in dieser Datenschutzerklärung genannten Personenkreis. Im Rahmen unserer Aktivitäten und zu den in dieser Datenschutzerklärung genannten Zwecken können Ihre personenbezogenen Daten von den folgenden Empfängerkategorien abgerufen oder an diese weitergegeben werden, sofern dies zur Erreichung der jeweiligen Zwecke erforderlich ist:
- unser Personal (einschließlich Personal, Abteilungen oder andere Unternehmen des Novartis-Konzerns https://www.novartis.com/our-company/contact-us/office-locations);
- unsere unabhängigen Agenten oder Makler (falls vorhanden);
- unsere anderen Lieferanten und Dienstleister, die uns Dienstleistungen und Produkte anbieten;
- unsere IT-Systemanbieter, Cloud-Service-Provider, Datenbank-Anbieter und Berater;
- Unsere Geschäftspartner, die Produkte oder Dienstleistungen gemeinsam mit uns oder unseren Tochter- oder verbundenen Unternehmen anbieten;
- Dritte, denen wir unsere Rechte und Pflichten abtreten oder übertragen sowie
- unsere Berater und externen Rechtsanwälte im Zusammenhang mit der Veräußerung oder Übertragung eines Teils unseres Geschäfts oder seiner Vermögenswerte.
Die oben genannten Dritten sind vertraglich verpflichtet, die Vertraulichkeit und Sicherheit Ihrer personenbezogenen Daten in Übereinstimmung mit dem geltenden Recht zu wahren.
Ihre personenbezogenen Daten können auch von nationalen und/oder internationalen Behörden, Vollstreckungsbehörden, öffentlichen Stellen oder Gerichten eingesehen oder an diese übermittelt werden, wenn wir durch geltende Gesetze oder Vorschriften dazu verpflichtet sind bzw. auf deren Anfrage hin. Die personenbezogenen Daten, die wir über Sie erfassen, können gegebenenfalls auch außerhalb des Landes, in dem Novartis seinen Sitz hat, verarbeitet, zugänglich gemacht oder gespeichert werden, wo möglicherweise nicht dasselbe Schutzniveau für personenbezogene Daten geboten wird. Wenn wir Ihre personenbezogenen Daten an externe Unternehmen in anderen Ländern übermitteln, stellen wir sicher, dass Ihre Daten geschützt sind, indem wir (i) das Schutzniveau anwenden, das gemäß den lokalen Datenschutzgesetzen für Novartis gilt, (ii) in Übereinstimmung mit unseren Richtlinien und Standards vorgehen und (iii) für Novartis im Europäischen Wirtschaftsraum (also den EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen, dem „EWR“), sofern nicht anders angegeben, Ihre personenbezogenen Daten nur auf der Grundlage von Standardvertragsklauseln übermitteln, die von der Europäischen Kommission genehmigt wurden. Sie können zusätzliche Informationen in Bezug auf die internationale Übermittlung personenbezogener Daten anfordern und ein Exemplar der entsprechenden Schutzmaßnahmen erhalten, indem Sie Ihre Rechte gemäß Abschnitt 6 unten ausüben. Für die konzerninterne Übermittlung personenbezogener Daten an unsere Konzerngesellschaften (die Sie ermitteln können, indem Sie auf diesen Link klicken https://www.novartis.com/our-company/contact-us/office-locations) hat der Novartis-Konzern im Bemühen um ein wirksames Datenschutzniveau bei der Übermittlung personenbezogener Daten außerhalb des EWR und der Schweiz verbindliche unternehmensinterne Vorschriften in Form eines vom europäischen Datenschutzrecht vorgegebenen Systems aus Prinzipien, Regeln und Instrumenten umgesetzt. Erfahren Sie mehr über die verbindlichen unternehmensinternen Vorschriften unter https://www.novartis.com/privacy-policy/novartis-binding-corporate-rules-bcr.
4. Wie schützen wir Ihre personenbezogenen Daten?
Wir haben geeignete technische und organisatorische Maßnahmen ergriffen, um ein angemessenes Niveau der Sicherheit und Vertraulichkeit Ihrer personenbezogenen Daten zu gewährleisten. Diese Maßnahmen berücksichtigen Folgendes:
(i) den Stand der Technik in der Technologie;
(ii) die Kosten ihrer Umsetzung;
(iii) die Art der Daten sowie
(iv) das Risiko bei der Verarbeitung.
Sie dienen dem Schutz vor unbeabsichtigter oder unrechtmäßiger Zerstörung oder Veränderung, vor unbeabsichtigtem Verlust, unberechtigter Offenlegung oder unberechtigtem Zugriff und vor anderen unrechtmäßigen Formen der Verarbeitung.
Außerdem halten wir uns beim Umgang mit Ihren personenbezogenen Daten an folgende Regeln:
- wir erheben und verarbeiten nur solche personenbezogenen Daten, die zur Erfüllung obiger Zwecke angemessen, relevant und nicht zu umfangreich sind, und
- wir stellen sicher, dass Ihre personenbezogenen Daten auf dem neuesten Stand sind und korrekt bleiben.
Zu letzterem Zweck können wir Sie bitten, die über Sie gespeicherten personenbezogenen Daten zu bestätigen. Sie sind auch eingeladen, uns spontan zu informieren, wenn sich Ihre persönlichen Verhältnisse ändern, damit wir Ihre personenbezogenen Daten auf dem neuesten Stand halten können.
5. Wie lange speichern wir Ihre personenbezogenen Daten?
Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies zur Erfüllung des Zwecks, für den sie erhoben wurden oder zur Erfüllung gesetzlicher, behördlicher oder interner Vorschriften erforderlich ist.
Bei Verträgen entspricht der Aufbewahrungszeitraum der Laufzeit Ihres Liefer- oder Dienstleistungsvertrags (oder dem Ihres Unternehmens) zuzüglich des Zeitraums, bis Rechtsansprüche aus diesem Vertrag verjähren, es sei denn, vorrangige gesetzliche oder behördliche Fristen erfordern einen längeren oder kürzeren Aufbewahrungszeitraum. Nach Ablauf dieses Zeitraums werden Ihre personenbezogenen Daten aus unseren Systemen entfernt.
Personenbezogene Daten, die im Rahmen einer Streitigkeit erhoben und verarbeitet werden, werden gelöscht oder archiviert, (i) sobald eine gütliche Einigung erzielt wurde, (ii) sobald eine Entscheidung in letzter Instanz getroffen wurde oder (iii) sobald die Forderung verjährt ist.
6. Welche Rechte haben Sie und wie können Sie diese ausüben?
Sie können die folgenden Rechte unter den folgenden Bedingungen und in den gesetzlich festgelegten Grenzen ausüben:
- Das Recht auf Auskunft über die von uns verarbeiteten personenbezogenen Daten, und das Recht auf Berichtigung, wenn Sie meinen, dass Angaben über Sie nicht korrekt, veraltet oder unvollständig sind;
- das Recht, die Löschung Ihrer personenbezogenen Daten oder deren Beschränkung auf bestimmte Verarbeitungskategorien zu verlangen;
- das Recht, Ihre Einwilligung jederzeit zu widerrufen, wobei die Rechtmäßigkeit der Verarbeitung vor diesem Widerruf nicht betroffen ist;
- das Recht, der Verarbeitung Ihrer personenbezogenen Daten ganz oder teilweise zu widersprechen; und
- das Recht, die Portabilität Ihrer Daten zu verlangen, d.h. dass die von Ihnen zur Verfügung gestellten personenbezogenen Daten in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format ungehindert von uns und unter Einhaltung Ihrer Vertraulichkeitsverpflichtungen an Sie zurückgegeben oder an die Person Ihrer Wahl übermittelt werden.
Wenn Sie eine Frage haben oder die oben genannten Rechte ausüben möchten, schicken Sie eine E-Mail an den lokalen Datenschutzkontakt unter [email protected] oder senden Sie einen Brief an Novartis Pharma GmbH, Head Data Privacy Austria, Jakov Lind Straße 5, Top 3.05, 1020 Wien.
Sollte unsererseits ein Zweifel an Ihrer Identität bestehen, kann Novartis in Einzelfällen eine Vorlage einer (an bestimmten Stellen geschwärzten) Ausweiskopie verlangen.
Wenn Sie mit unserer Art der Verarbeitung Ihrer personenbezogenen Daten nicht einverstanden sind, wenden Sie sich bitte an [email protected] zur Prüfung Ihres Anliegens.
In jedem Fall haben Sie das Recht, zusätzlich zu den oben genannten Rechten eine Beschwerde bei den zuständigen Datenschutzbehörden einzureichen. Dies kann zum Beispiel in dem Mitgliedstaat erfolgen, in dem Sie Ihren gewöhnlichen Aufenthalt oder Ihren Arbeitsort haben, in Österreich der österreichischen Datenschutzbehörde.
7. Wie werden Sie über die Änderungen unserer Datenschutzerklärung informiert?
Zukünftige Änderungen und Ergänzungen zur Verarbeitung Ihrer personenbezogenen Daten gemäß dieser Datenschutzerklärung werden Ihnen vorab durch eine individuelle Benachrichtigung über unsere üblichen Kommunikationswege (z. B. per E-Mail oder über unsere Internetseiten) mitgeteilt.