Y-Prime, LLC
Integritetspolicy
Syfte
Y-Prime, LLC (YPrime) har åtagit sig att vara transparent när det gäller insamling och användning av personuppgifter. I detta meddelande beskrivs YPrimes åtagande i fråga om integritet, dataskydd och individuella rättigheter och skyldigheter i förhållande till personuppgifter.
Detta meddelande gäller alla personuppgifter om kunder, deltagare i kliniska prövningar, leverantörer, arbetssökande, anställda, entreprenörer, tidigare anställda och besökare på YPrimes webbplats (t.ex. kakor och spårningspixlar) som lämnas till eller samlas in och behandlas av YPrime.
Din rätt till integritet i Kalifornien
Enligt Kaliforniens \”Shine the Light\”-lag har invånare i Kalifornien som tillhandahåller viss personligt identifierbar information i samband med att de köper produkter eller tjänster för personligt bruk, familjebruk eller hushållsbruk rätt att begära och få information från oss (en gång per kalenderår) om den kundinformation som vi har delat (i förekommande fall) med andra företag för deras egna direktmarknadsföringsändamål. Om tillämpligt omfattar denna information kategorierna av kundinformation samt namn och adresser till de företag med vilka vi delade kundinformation under det närmast föregående kalenderåret (t.ex. kommer förfrågningar som görs 2021 att få information om eventuell delning av kundinformation under 2020).
För att få denna information kan du skicka ett e-postmeddelande till privacy@yprime.com med \”Request for California Privacy Information\” i ämnesraden och i meddelandets brödtext. Vi skickar sedan den begärda informationen till din e-postadress.
Observera att allt informationsutbyte kanske inte omfattas av kraven i \”Shine the Light\” och att endast information om informationsutbyte som omfattas av dessa regler kommer att ingå i vårt svar.
YPrime respekterar den personliga integriteten och värdesätter förtroendet hos sina kunder, anställda, deltagare i kliniska prövningar, konsumenter, affärspartner och andra. YPrime strävar efter att samla in, använda och dela personuppgifter på ett sätt som är förenligt med lagarna i de länder där företaget gör affärer, men företaget har också en tradition av att upprätthålla de högsta etiska standarderna i sin affärsverksamhet.
Frågor om detta meddelande eller förfrågningar om ytterligare information ska ställas till privacy@yprime.com. YPrime följer GDPR-reglerna (Dataskyddsförordningen).
Detta meddelande kan komma att uppdateras vid olika tillfällen. När materiella uppdateringar görs så kommer datumet för den senaste revideringen att anges i slutet av sidan.
Definitioner
\”Data Controller\” (Personuppgiftsansvarig) är en fysisk eller juridisk person, en offentlig myndighet, en byrå eller ett annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandling av personuppgifter.
\”Data Subject\” (Registrerad person) är en identifierad eller identifierbar fysisk levande person.
\”GDPR\” (Dataskyddsförordningen) är EU:s allmänna dataskyddsförordning.
\”Personal Data\” (Personuppgifter) är all information rörande en levande person som kan identifieras utifrån denna information. Enligt GDPR kallas dessa uppgifter för \”Personally Identifiable Information\” (Personligt identifierbar information).
\”Processing\” (Behandling) är all användning av uppgifter, inklusive insamling, lagring, ändring, utlämnande eller förstöring av uppgifter.
\”Data Processor\” (Databehandlare) är en fysisk eller juridisk person, en myndighet, en byrå eller ett annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
\”Special Categories of Personal Data\” (Särskilda kategorier av personuppgifter) omfattar information om en individs ras eller etniska ursprung, uppgifter ur Kriminalregistret, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackföreningar, hälsa, sexualliv eller sexuell läggning samt biometriska uppgifter och är en form av personuppgifter.
\”Criminal Records Data\” (Uppgifter ur Kriminalregistret) omfattar information om en individs brottsdomar och brottsliga handlingar samt information om anklagelser och förfaranden i brottsmål.
Principer för dataskydd
YPrime behandlar personuppgifter i enlighet med följande principer för dataskydd:
- Behandlar personuppgifter på ett rättvist, lagligt och öppet sätt.
- Samlar in personuppgifter endast för specificerade, uttryckliga och legitima ändamål.
- Behandlar personuppgifter endast om de är tillräckliga, relevanta och begränsade till vad som är nödvändigt för behandlingens ändamål.
- Registrerar korrekta personuppgifter och vidtar alla rimliga åtgärder för att se till att felaktiga personuppgifter rättas eller raderas utan dröjsmål.
- Behåller personuppgifter endast under den period som är nödvändig för behandlingen.
- Vidtar lämpliga åtgärder för att se till att personuppgifter är säkra och skyddade mot otillåten eller olaglig behandling och oavsiktlig förlust, förstörelse eller skada.
YPrime tar ansvar för hur de förvärvar, behandlar och avyttrar personuppgifter samt för att se till att ovanstående principer följs.
- Behandla personuppgifter på ett rättvist, lagligt och öppet sätt.
- Samla in personuppgifter endast för specificerade, uttryckliga och legitima ändamål.
- Behandla personuppgifter endast om de är tillräckliga, relevanta och begränsade till vad som är nödvändigt för behandlingens ändamål.
- Registrera korrekta personuppgifter och vidtar alla rimliga åtgärder för att se till att felaktiga personuppgifter rättas eller raderas utan dröjsmål.
- Behåller personuppgifter endast under den period som är nödvändig för behandlingen.
- Vidtar lämpliga åtgärder för att se till att personuppgifter är säkra och skyddade mot otillåten eller olaglig behandling och oavsiktlig förlust, förstörelse eller skada.
- Ta ansvar för hur de förvärvar, behandlar och avyttrar personuppgifter samt för att se till att ovanstående principer följs.
När YPrime anses vara personuppgiftsansvarig så informerar YPrime enskilda personer om skälen till behandlingen av deras personuppgifter, hur YPrime använder dessa uppgifter och den rättsliga grunden för behandlingen i sina integritetsmeddelanden. Yprime behandlar inte personuppgifter om enskilda personer av några andra skäl. Om YPrime åberopar sina legitima intressen som grund för behandling av uppgifter så kommer företaget att göra en bedömning för att säkerställa att dessa intressen inte åsidosätts av individens rättigheter och friheter. YPrime kommer att uppdatera personuppgifterna omedelbart om en person meddelar att vederbörandes information har ändrats eller är felaktig.
Om YPrime betraktas som databehandlare eller underdatabehandlare så kommer YPrime endast att behandla personuppgifterna i enlighet med tillämpliga lagar, regler och förordningar och enligt specifika anvisningar från den personuppgiftsansvarige.
Personuppgifter som samlas in under anställnings- och entreprenörsförhållanden lagras i personens personakt, i papperskopia eller elektroniskt format samt i YPrimes HR-system. De perioder under vilka YPrime innehar sådana HR-relaterade personuppgifter finns i de integritetsmeddelanden som utfärdas till enskilda personer.
YPrimes drifts- och underhållsentreprenörer har ibland begränsad tillgång till personuppgifter i samband med att de tillhandahåller produkter eller tjänster till YPrime. Dessa entreprenörers tillgång till personuppgifter är begränsad till vad som rimligen är nödvändigt för att entreprenören ska kunna utföra sin begränsade funktion för YPrime. YPrime kräver att dess drifts- och underhållsentreprenörer ska: (1) skydda sekretessen för alla personuppgifter i enlighet med detta meddelande, och (2) inte använda eller avslöja personuppgifter i något annat syfte än att förse YPrime med produkter och tjänster, i enlighet med lagstadgade krav.
YPrime för register över sina aktiviteter för behandling av personuppgifter i enlighet med kraven i GDPR.
Individuella rättigheter
Som en registrerad person har individen ett antal rättigheter i förhållande till sina personuppgifter.
Subject Access Requests (Begäran om datatillgång)
Individer har rätt att veta vilka personuppgifter om dem som kontrolleras och behandlas av YPrime, och att se till att sådana personuppgifter är korrekta och relevanta för de ändamål för vilka YPrime samlade in dem. Om en person gör en rimlig begäran så kommer YPrime att meddela vederbörande:
- huruvida vederbörandes uppgifter behandlas eller ej och i så fall varför, vilka kategorier av personuppgifter det rör sig om samt varifrån uppgifterna kommer om de inte samlades in från personen själv;
- till vem vederbörandes uppgifter lämnas ut eller kan lämnas ut, inklusive till mottagare utanför Europeiska ekonomiska samarbetsområdet (EES) och vilka skyddsåtgärder som gäller för sådana överföringar;
- hur länge vederbörandes personuppgifter lagras (eller hur denna period fastställs);
- vederbörandes rätt till rättelse eller radering av uppgifter, eller att begränsa eller invända mot behandling;
- vederbörandes rätt att klaga till den relevanta tillsynsmyndigheten för dataskydd om hen anser att YPrime inte har uppfyllt vederbörandes dataskyddsrättigheter; och
- huruvida YPrime utför automatiserat beslutsfattande och vilken logik som i sådana fall ingår i detta beslutsfattande.
YPrime kommer också att förse individen med en kopia av de personuppgifter som samlades in under behandlingen. Detta sker normalt i elektronisk form om individen har gjort en begäran elektroniskt, såvida inte vederbörande begär något annat.
Om individen kräver ytterligare kopior så kan YPrime ta ut en rimlig avgift, baserad på de administrativa kostnaderna för att tillhandahålla de extra kopiorna.
För att göra en begäran om tillgång till information ska individen skicka ett e-postmeddelande till marketing@yprime.com. I nästan alla fall är YPrime juridiskt skyldigt att begära identitetsbevis innan en sådan begäran kan behandlas. I vissa fall kan YPrime också behöva kontakta den personuppgiftsansvarige om YPrime är databehandlare (eller underdatabehandlare).
YPrime svarar normalt på en begäran inom en månad från det datum då begäran togs emot. I vissa fall, t.ex. när YPrime behandlar stora mängder av individens uppgifter, kan YPrime komma att svara inom tre månader efter det datum då begäran mottogs. YPrime kommer att skriva till personen inom en månad efter att ha mottagit den ursprungliga begäran för att meddela vederbörande om detta i sådana fall.
Om en begäran om tillgång till information är uppenbart ogrundad eller överdriven så är YPrime inte skyldigt att uppfylla den. Alternativt kan YPrime svara, men också ta ut en avgift som baseras på den administrativa kostnaden för att svara på denna begäran. Ett exempel på när en begäran om tillgång till information kan anses vara uppenbart ogrundad eller överdriven är när en begäran upprepas efter att YPrime redan har svarat på den. Om en person lämnar in en begäran som är ogrundad eller överdriven så kommer YPrime att meddela vederbörande om att så är fallet och huruvida YPrime kommer att besvara den eller ej.
Andra rättigheter
Individer har ett antal andra rättigheter i förhållande till sina personuppgifter. Enskilda personer kan kräva att YPrime:
- informerar dem om insamling och användning av deras personuppgifter;
- korrigerar felaktiga personuppgifter;
- stoppar behandlingen eller raderar personuppgifter som inte längre är nödvändiga för behandlingens syfte;
- fortsätter att lagra deras personuppgifter, men utan att använda dem;
- respekterar en individs rätt att motsätta sig behandling av sina personuppgifter under vissa omständigheter, t.ex. för direktreklam;
- ger dem sina personuppgifter i flyttbar form så att de lätt kan överföras till en annan IT-miljö. Vi uppfyller vanligtvis denna begäran genom att tillhandahålla uppgifterna i form av en csv-fil (comma-separated-values);
- respekterar en individs rättigheter i samband med ett automatiserat beslut baserat på vederbörandes personuppgifter;
- stoppar behandlingen eller raderar personuppgifter om individens intressen väger tyngre än YPrimes legitima skäl för behandling av Ppersonuppgifter (i fall där YPrime åberopar sina legitima intressen som skäl för behandlingen av personuppgifter);
- stoppar behandlingen eller raderar personuppgifter om behandlingen är olaglig;
- och stoppar behandlingen av personuppgifter under en period om uppgifterna är felaktiga eller om det pågår en tvist om huruvida individens intressen väger tyngre än YPrimes legitima skäl för behandling av personuppgifter.
För att be YPrime att vidta någon av dessa åtgärder ska vederbörande skicka ett e-postmeddelande till marketing@yprime.com.
EU Persons (EU Data Subjects) (Registrerade personer inom EU) kan klaga till den nationella dataskyddsmyndigheten och åberopa bindande skiljedomsförfarande för vissa återstående krav, som inte har lösts genom andra mekanismer för prövning.
Om du har en kommentar eller ett problem som inte kan lösas direkt med oss så kan du också kontakta den behöriga lokala dataskyddsmyndigheten.
Datasäkerhet
YPrime tar säkerheten för personuppgifter på allvar. YPrime har interna riktlinjer och kontroller för att skydda personuppgifter mot förlust, oavsiktlig förstörelse, missbruk eller avslöjande samt för att säkerställa att uppgifterna inte är tillgängliga förutom för anställda som utför sina arbetsuppgifter på ett korrekt sätt.
När YPrime anlitar en tredje part för att behandla personuppgifter för YPrimes räkning så gör dessa parter detta på grundval av skriftliga instruktioner. De har också tystnadsplikt och är skyldiga att genomföra lämpliga tekniska och organisatoriska åtgärder för att garantera datasäkerheten.
YPrime erkänner potentiellt ansvar i fall där personuppgifter kan komma att överföras till tredje part. YPrime överför inte några personuppgifter till en tredje part utan att först säkerställa att den tredje parten följer principer eller liknande lagar som ger en tillräcklig och likvärdig skyddsnivå. YPrime överför inte personuppgifter till icke-relaterade tredje parter, såvida inte en kund eller en annan personuppgiftsansvarig lagligen kräver detta. Sådana omständigheter kan till exempel vara utlämnandet av en klients personuppgifter enligt laga krav eller rättsligt förfarande, eller utlämnande som sker i en identifierbar persons vitala intresse, t.ex. när det gäller liv, hälsa eller säkerhet. Om YPrime ombeds att överföra personuppgifter till en oberoende tredje part så kommer YPrime att se till att denna part tillhandahåller en tillräcklig och likvärdig skyddsnivå. Om YPrime får reda på att en icke-relaterad tredje part som har fått personuppgifter från YPrime sedan använder eller avslöjar dessa personuppgifter på ett sätt som strider mot detta meddelande så kommer YPrime att vidta rimliga åtgärder för att förhindra eller stoppa användningen eller avslöjandet.
Konsekvensbedömningar
En del av den behandling som YPrime utför kan medföra integritetsrisker. Om behandlingen skulle leda till en hög risk för individens rättigheter och friheter så utför YPrime en konsekvensbedömning av dataskyddet för att avgöra huruvida behandlingen är nödvändig och proportionerlig. Detta innebär att man överväger de syften för vilka verksamheten bedrivs, riskerna för enskilda personer och de åtgärder som kan vidtas för att minska dessa risker.
Dataintrång
Om YPrime upptäcker att det har skett ett intrång i personuppgifter som utgör en risk för individers rättigheter och friheter så kommer YPrime att rapportera detta till Information Commissioner (den informationsansvarige) inom 72 timmar efter upptäckten. YPrime registrerar alla dataintrång, oavsett vilken effekt de har.
Om överträdelsen sannolikt leder till en hög risk för enskilda personers rättigheter och friheter så kommer företaget att informera berörda personer om att en överträdelse har skett samt ge dem information om de sannolika konsekvenserna och de åtgärder som har vidtagits för att mildra konsekvenserna.
International Data Transfers (Internationella dataöverföringar)
Personuppgifter som kontrolleras eller behandlas av YPrime kan komma att överföras till länder utanför EES.
YPrime säkerställer efterlevnaden av detta meddelande genom att använda tillämpliga standardavtalsklausuler samt genom att undersöka och försöka lösa alla klagomål eller tvister om användning och utlämnande av personuppgifter i strid med detta meddelande.
YPrime-anställdas ansvar
Anställda på YPrime kan ha tillgång till andra personers personuppgifter,inklusive uppgifter om våra kunder och klienter, i samband med sin anställning. När så är fallet så förlitar sig YPrime på att enskilda personer hjälper till att uppfylla sina dataskyddsförpliktelser gentemot personal och kunder och klienter.
Anställda som har tillgång till personuppgifter ska:
- endast se uppgifter som de har behörighet att få tillgång till och då endast för godkända ändamål;
- inte lämna ut uppgifter förutom till personer inom eller utanför YPrime som har lämplig behörighet;
- hålla uppgifterna säkra, t.ex. genom att följa reglerna för tillträde till lokaler, datortillträde, inklusive lösenordsskydd, samt säker lagring och destruktion av filer;
- inte avlägsna personuppgifter, eller enheter som innehåller eller kan användas för att få tillgång till personuppgifter, från YPrimes lokaler utan att först vidta lämpliga säkerhetsåtgärder, t.ex. kryptering eller lösenordsskydd, för att skydda uppgifterna och enheten;
- inte lagra personuppgifter på lokala enheter eller på personliga enheter som används i arbetet;
- och omedelbart rapportera eventuella dataintrång som de får kännedom om till privacy@yprime.com.
Om de inte följer dessa krav så kan detta utgöra en disciplinär överträdelse, som då kommer att behandlas i enlighet med YPrimes disciplinära riktlinjer och förfaranden.
YPrime kommer att utbilda alla anställda om deras ansvar för dataskydd som en del av introduktionsprocessen och med jämna mellanrum därefter.
Anställda vars roller kräver regelbunden tillgång till personuppgifter, eller som är ansvariga för att implementera detta meddelande eller svara på förfrågningar om tillgång enligt detta meddelande, kommer att få ytterligare utbildning för att hjälpa dem att förstå sina skyldigheter och hur de ska uppfylla dem.
Internet Privacy (Integritet på nätet)
YPrime, eller tredje part på uppdrag av YPrime, kan komma att samla in personuppgifter genom sin webbplats och besökarnas interaktion med delar av webbplatsen. Dessa uppgifter omfattas också av detta meddelande. Sådana personuppgifter kan komma att samlas in när en person lämnar sitt namn och/eller sin adress. YPrime, eller tredje part på uppdrag av YPrime, kan också komma att samla in information om besök på YPrime-webbplatsen utan att en person aktivt lämnar information. Detta kan ske genom olika automatiserade digitala medel såsom IP-adresser, kakidentifierare, pixlar och slutanvändarens webbplatsaktivitet. Även om den information som samlas in med sådana automatiserade digitala medel inte direkt identifierar specifika individer så överför webbläsare automatiskt information till YPrimes webbplats om den programvara som används på en besökares dator, till exempel IP-adress och webbläsarversion. Information som samlas in med denna teknik kan inte användas för att identifiera enskilda personer utan tillgång till ytterligare identifieringsinformation.
Kakor
YPrime använder kakor, vilket är små datafiler som vår plattform lagrar på din enhet. Vår webbplats använder kakor som vi eller tredje part lägger in för en rad olika ändamål, bland annat för att driva och anpassa webbplatsen i syfte att förbättra användarnas upplevelse och för riktad reklam. Kakor kan löpa ut i slutet av din webbläsarsession, eller så lagras de på din dator så att de är där nästa gång du besöker webbplatsen. Du kan förhindra att kakor läggs in genom att justera inställningarna i din webbläsare (se avsnittet \”Hjälp\” i din webbläsare för att se hur du gör detta). Om du inaktiverar kakor så kommer det att påverka hur du upplever vår webbplats.
Version 9, senast uppdaterad 25 mars 2023