Denne personvernerklæringen er rettet mot våre samfunnskontaker inkludert:
- Offentlige beslutningstakere
- Offentlig ansatte
- Politikere
- Journalister og media
- Pasientforeninger
- Bransjeforbindelser
- Influencere
(heretter samlet "eksterne interessenter")
Du mottar denne personvernerklæringen fordi Novartis Norge AS (Novartis) behandler informasjon om deg som utgjør “personopplysninger” og Novartis mener at beskyttelse av dine personopplysninger og ditt personvern er svært viktig.
Novartis er behandlingsansvarlig for dine personopplysninger i og med at selskapet bestemmer hvorfor og hvordan opplysningene skal behandles. Selskapet kan utøve ansvaret alene eller sammen med andre selskap(er) i Norvartis-konsernet der disse handler som “medansvarlig(e)”. I denne personvernerklæringen referer “vi” eller “oss” til Novartis Norge AS.
Vi inviterer deg til å lese nøye gjennom denne personvernerklæringen som beskriver i hvilken sammenheng vi behandler personopplysningene dine, og dine rettigheter og våre forpliktelser i forbindelse med denne behandlingen.
Dersom du har spørsmål knyttet til behandlingen av personopplysningene dine, ber vi deg kontakte [email protected].
1. Hva slags informasjon har vi om deg?
Vi samler inn ulike typer personopplysninger om deg, inkludert:
- identifikasjonsinformasjon (som navn, fornavn og etternavn, kjønn, e-post og/eller postadresse, fast- og/eller mobiltelefonnummer)
- ditt arbeidssted, stilling og profesjonelle aktiviteter (f.eks. tittel, stilling, navn på selskap/organisasjon, publikasjoner, aktiviteter i medier og sosiale medier, priser, CV, utdanning, ekspertise og tilknytning til universiteter og organisasjoner)
- dine elektroniske identifikasjonsdata der dette kreves for vår samhandling (for eksempel innlogging, tilgangsrettigheter, passord, kortnummer, IP-adresse, online identifikatorer/cookies, logger, tilgangs- og tilkoblingstider, opptak av bilde eller lyd som kortbilder, CCTV eller stemmeopptak)
- informasjon om dine svar og/eller preferanser som eksempelvis tema for diskusjon, kommunikasjonskanaler og hyppighet
- informasjon du gir oss for eksempel når du fyller ut skjema eller i forbindelse med arrangement du deltar på, eller når du besvarer spørsmål i samtale eller undersøkelse
- informasjon om aktivitet/samhandling du har med oss, inkludert mulig fremtidig samhandling
Denne informasjonen om deg er gitt av deg direkte, av våre samarbeidspartnere (som kan være din arbeidsplass) eller av tredjeparter (for eksempel konsulentselskaper, offentlige myndigheter) eller innhentet gjennom pålitelige offentlige kilder (som offentlige internettsider, sosiale medier, universitetsnettsider).
Hvis du har til hensikt å gi oss personopplysninger om andre personer (for eksempel dine kolleger), må du gi et eksemplar av denne personvernerklæringen til de aktuelle privatpersonene, direkte eller til deres arbeidsgi
2. Til hvilke formål bruker vi personopplysningene dine, og hvorfor er det nødvendig?
2.1 Formål med behandlingen
Vi har alltid et spesifikt formål for å behandle dine personopplysninger og behandler kun de personopplysningene som er relevante for dette formålet. Følgende formål er relevante for behandling av dine personopplysninger:
- administrere vårt forhold til deg (for eksempel gjennom våre databaser)
- gi deg hensiktsmessig, egnet og oppdatert informasjon om sykdom, legemidler samt våre produkter og tjenester
- forbedre kvaliteten på vår samhandlingen, besvare dine forespørsler
- sende deg generell kommunikasjon og informasjon, så vel som undersøkelser (f.eks. for å hjelpe oss med å forbedre din fremtidige kommunikasjon med oss)
- administrere, planlegge og gjennomføre kommunikasjon og samhandling med deg, kartlegge dine forbindelser med andre interessenter som er relevante for oss
- invitere deg til arrangement eller markedsføringsmøter som vi arrangerer (for eksempel medisinske møter, foredrag, konferanser)
- implementere oppgaver som forberedelse til eller oppfyllelse av eksisterende kontrakter
- administrere våre IT-ressurser, inklusive administrering av infrastruktur
- ivareta selskapets økonomiske interesser og sørge for etterlevelse og rapportering (for eksempel etterlevelse av selskapets retningslinjer og lokale lovpålagte krav, rapportering av skatt og skattefradrag, håndtering av angivelige tilfeller av tjenesteforsømmelse eller svindel, gjennomføring av revisjoner, forsvar mot søksmål)
- håndtere fusjoner og oppkjøp som involverer vårt selskap
- arkivering og registrering
- for å oppfylle lov- og myndighetskrav
2.2 Rettslig grunnlag for behandlingen
Vi vil ikke behandle dine personopplysninger uten lovhjemmel for det aktuelle formålet. Derfor vil vi kun behandle dine personopplysningene dersom:
- informasjonen ble offentliggjort av deg
- behandlingen er nødvendig for å samsvare med våre juridiske eller regulatoriske forpliktelser eller
- behandlingen er nødvendig i forbindelse med våre berettigede interesser og ikke i urimelig grad påvirker dine interesser eller grunnleggende rettigheter og friheter
Merk at når vi behandler personopplysningene dine på dette grunnlaget, søker vi alltid å opprettholde en balanse mellom våre berettigede interesser og ditt personvern. Eksempler på slike «berettigede interesser» er aktiviteter som innebærer databehandlingfor å:
- identifisere nøkkelinteressenter for Novartis, for å utvikle en bedre forståelse av deres aktiviteter og for å initiere ytterligere kontakt med dem
- utvikle et nært og tillitsbasert profesjonelt forhold til eksterne interessenter
- fremme Novartis' innovasjoner på legemiddelområdet og å forstå markedene
- administrere Novartis' menneskelige og økonomiske ressurser og optimalisere interaksjonen med våre interessenter
- sikre at riktig medisin når frem til pasienten i henhold til den velinformerte tekniske og profesjonelle oppfatningen til våre eksterne interessenter
- hindre svindel eller kriminell aktivitet, for å sikre våre IT-systemer, arkitektur og nettverk
- selge en del av vår virksomhet eller virksomhetens aktiva eller muliggjøre tredjeparts oppkjøp av hele eller deler av vår virksomhet eller våre aktiva
- oppfylle våre mål for selskapet og vårt sosiale ansvar
For mer informasjon om våre spesifikke interesser vennligst kontakt oss som angitt i avsnitt 6 nedenfor.
3. Hvem har tilgang til personopplysningene dine, og hvem overføres de til?
Vi vil ikke selge, dele eller på annen måte overføre dine personopplysninger til andre tredjeparter enn de som er nevnt i denne personvernerklæringen.
I forbindelse med gjennomføring av våre aktiviteter, og for å oppfylle de samme formålene som listet opp i denne personvernerklæringen, kan dine personopplysninger bli tilgjengeliggjort for eller overført til følgende kategorier av mottakere på en need-to-know-basis:
- vårt personell (inklusive personell, avdelinger eller andre selskaper i Novartis-konsernet)
- våre uavhengige agenter eller meglere (hvis aktuelt)
- våre leverandører og tjenesteleverandører som leverer tjenester og produkter til oss
- våre leverandører av IT-systemer, skyløsninger og databaser samt konsulenter
- våre forretningspartnere som sammen med oss, våre datterselskap eller tilknyttede selskap tilbyr produkter eller tjenester
- tredjeparter som vi overfører rettigheter eller forpliktelser til
- våre rådgivere og eksterne advokater i forbindelse med salg eller overføring av en del av virksomheten eller virksomhetens aktiva
De tredjepartene som er nevnt over, er kontraktsmessig forpliktet til å beskytte personopplysningene dine med hensyn til konfidensialitet og sikkerhet i samsvar med gjeldende lovgivning.
Personopplysningene dine kan også gjøres tilgjengelige for eller overføres til ethvert/enhver nasjonal og/eller internasjonal offentlig organ eller rettsinstans der vi er forpliktet til å gjøre dette etter gjeldende lover og regler eller på deres anmodning.
De personopplysningene vi samler inn fra deg kan også bli behandlet, gjort tilgjengelig eller lagret i et land utenfor Norge, der man kanskje ikke tilbyr samme beskyttelsesnivå for personopplysninger. Dersom vi overfører personopplysningene dine til eksterne selskaper i andre land, vil vi sørge for å beskytte personopplysningene ved å (i) bruke det beskyttelsesnivået som kreves i henhold til norske lover for databeskyttelse/personvern, og (ii) handle i samsvar med våre retningslinjer og standarder og, (iii) såfremt intet annet er angitt, kun overføre personopplysningene dine på grunnlag av standardavtalevilkår godkjent av EU-Kommisjonen. Du kan be om ytterligere informasjon i forbindelse med internasjonal overføring av personopplysninger og få et eksemplar av de aktuelle sikkerhetstiltakene som er utarbeidet, ved å utøve dine rettigheter som beskrevet i avsnitt 6 under.
For overføring av personopplysninger mellom selskapene i Novartis-konsernet, har konsernet vedtatt «Binding Corporate Rules» (bindende konsernregler), et system av prinsipper, regler og verktøy som følger av EU/EØS-lovgivningen, med det formål å sikre effektive beskyttelsesnivåer ved overføring av personopplysninger utenfor EØS og Sveits. Les mer om Novartis Binding Corporate Rules her: www.novartis.com/privacy-policy/novartis-binding-corporate-rules-bcr.
4. Hvordan beskytter vi personopplysningene dine?
Vi har iverksatt hensiktsmessige tekniske og organisatoriske tiltak for å sørge for tilfredsstillende grad av sikkerhet og konfidensialitet av dine personopplysningene.
Disse tiltakene tar hensyn til:
- hvor avansert teknologien er
- kostnader i forbindelse med implementering av teknologien
- type opplysninger
- risikoen ved behandlingen
Formålet er å beskytte opplysningene mot utilsiktet eller ulovlig ødeleggelse eller endring, utilsiktet tap og uautorisert utlevering eller tilgang, og mot andre ulovlige former for behandling.
I tillegg gjelder følgende når vi behandler dine personopplysningene:
- Vi innhenter og behandler kun personopplysninger som er tilstrekkelige, relevante og begrenset til det omfang som er nødvendig for å kunne oppfylle ovennevnte formål.
- Vi sikrer at personopplysningene er oppdaterte og korrekte.
For å oppnå det sistnevnte kan vi komme til å be deg om å bekrefte personopplysningene vi har om deg. Du oppfordres også til uoppfordret å informere oss dersom det skjer endringer i dine personlige forhold, slik at vi kan sørge for at dine personopplysningene hele tiden er oppdatert.
5. Hvor lenge lagrer vi personopplysningene dine?
Vi vil kun beholde dine personopplysninger så lenge som nødvendig for å kunne oppfylle det formål de ble innhentet for, eller for å samsvare med lovpålagte krav.
Dine personopplysninger som vi har lagret i vår database som ikke er knyttet til en spesifikk kontrakt, vil bli lagret i 36 måneder regnet fra datoen da formålet for innsamlingen ikke lenger er oppfylt, f.eks. fra den datoen du ikke lenger deltar i offentlige aktiviteter.
For kontrakter er oppbevaringsperioden den tid din (eller ditt selskaps) kontrakt varer, pluss perioden frem til eventuelle juridiske krav kan fremsettes i henhold til denne kontrakten, såfremt ikke lover eller regler overstyrer og krever en lengre eller kortere oppbevaringperiode. Når denne perioden utløper, blir dine personopplysninger fjernet fra våre aktive systemer.
Personopplysninger som er samlet inn og behandlet i forbindelse med en tvist, blir slettet eller arkivert (i) så snart det er inngått et forlik, (ii) så snart det er avsagt en rettskraftig dom eller (iii) når kravet foreldes.
6. Hvilke rettigheter har du, og hvordan kan du utøve dem?
Du kan utøve følgende rettigheter under de vilkår og innenfor de grensene som er fastsatt i loven:
- rett til tilgang til dine personopplysninger som behandles av oss, og rett til å be om korrigering eller oppdatering dersom du mener at informasjonen om deg er feil, utdatert eller ufullstendig
- rett til å be om at dine personopplysninger slettes eller begrenses i omfang
- rett til å motsette deg, helt eller delvis, behandlingen av dine personopplysninger
- rett til å protestere mot en kommunikasjonskanal som brukes til direkte markedsføring
- rett til dataportabilitet, det vil si at personopplysningene du har gitt oss, returneres til deg eller overføres til den personen du har valgt, i et strukturert, vanlig og maskinlesbart format, uten at vi motsetter oss dette og i samsvar med dine krav om konfidensialitet
Dersom du har spørsmål eller ønsker å utøve rettighetene som er nevnt ovenfor, kan du sende en e-post til [email protected] eller et brev til Novartis Norge AS, Postboks 4284, Nydalen, 0401 Oslo, Norge, adressert til Head Data Privacy Nordics med en skannet kopi av legitimasjon for identifiseringsformål, og det med kunnskap om at vi kun vil bruke slike opplysninger til å verifisere identiteten din og ikke vil beholde den skannede kopien etter at verifiseringen er utført. Når du sender oss en slik skannet kopi, ber vi deg sørge for å sladde bildet og ditt fødselsnummer.
Dersom du ikke er tilfreds med måten vi behandler dine personopplysninger på, kan du henvende deg til vårt personvernombud på [email protected], som vil undersøke saken.
Du har også rett til å klage til Datatilsynet.
7. Hvordan blir du informert om endringer i vår personvernerklæring?
Alle fremtidige endringer i behandlingen av dine personopplysningene, slik det er beskrevet i denne personvernerklæringen, vil bli varslet gjennom våre vanlige kommunikasjonskanaler (for eksempel e-post eller via våre internettsteder).