Polityka prywatności

Fundacja „Krajowa Organizacja Weryfikacji Autentyczności Leków” („KOWAL”) z siedzibą w Warszawie, adres: ul. Stępińska 9, 00-739 Warszawa, wpisana do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000685283, NIP 5252716278 została ustanowiona przez Związek Pracodawców Innowacyjnych Firm Farmaceutycznych INFARMA, Polski Związek Pracodawców Przemysłu Farmaceutycznego oraz Stowarzyszenie Importerów Równoległych Produktów Leczniczych. Obowiązek utworzenia KOWAL przez przedstawicieli przemysłu farmaceutycznego wynika wprost z dyrektywy Parlamentu Europejskiego i Rady 2011/62/UE, rozporządzenia delegowanego Komisji (UE) 2016/161 i implementującej dyrektywę do prawa polskiego ustawy z dnia 19 grudnia 2014 r. o zmianie ustawy – Prawo farmaceutyczne oraz niektórych innych ustaw (Dz. U. z dnia 8 stycznia 2015 r.).

Zadaniem KOWAL wynikającym z tych aktów prawnych oraz ze statutu fundacji jest utworzenie i zarządzanie systemem baz, w którym przechowuje się informacje m.in. o legalnych niepowtarzalnych identyfikatorach produktów leczniczych, i w którym można wyszukać niepowtarzalny identyfikator produktu leczniczego w celu zweryfikowania jego autentyczności („Krajowy System Weryfikacji Autentyczności Leków”, wraz ze stroną internetową KOWAL dostępną pod adresem http://www.nmvo.pl: „System”, „PLMVS”). Prowadzony we współpracy z Europejską Organizacją Weryfikacji Leków Krajowy System Weryfikacji Autentyczności Leków jest elementem kompleksowego europejskiego systemu weryfikacji autentyczności produktów leczniczych, utworzonego zgodnie z przepisami przywołanych wyżej aktów prawnych. System podlega m.in. integracji z Europejskim Systemem Weryfikacji Autentyczności Leków („EMVS”).

W ramach funkcjonowania Systemu na zasadach określonych w niniejszej Polityce Prywatności mogą być przetwarzane Dane Osobowe jego użytkowników oraz innych osób, których dane zostały do niego przez użytkowników wprowadzone. Dane Osobowe przetwarzane są zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”), ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych oraz z innymi aktami prawnymi, uzupełniającymi lub zastępującymi wskazane wyżej regulacje.

A. Wprowadzenie

Polityka prywatności Krajowego Systemu Weryfikacji Autentyczności Leków (PLMVS) („Polityka Prywatności PLMVS”) opisuje:

• typy informacji, które zbierane są w ramach udostępniania i korzystania z Systemu, w tym informacji, które przekazywane są do Systemu przez użytkownika lub w jego imieniu, a które dotyczą zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych („Dane Osobowe”),
• cele, dla jakich wykorzystywane są takie Dane Osobowe,
• podmioty, którym Dane Osobowe mogą być one udostępniane,
• prawa i wybory dotyczące korzystania z Danych Osobowych przez użytkowników i osoby, których te dane dotyczą,
• zasady ochrony Danych Osobowych,
• możliwości kontaktu z administratorem Danych Osobowych.

Prosimy o zapoznanie się z niniejszą Polityką Prywatności PLMVS przed korzystaniem lub przesłaniem jakichkolwiek Danych Osobowych do Systemu.

Uzyskanie dostępu i korzystanie z Systemu jest równoznaczne z potwierdzeniem zapoznania się z Polityką Prywatności PLMVS, w tym z informacjami dotyczącymi sposobu, w jaki zbierane, przetwarzane, wykorzystywane i ujawniane są Dane Osobowe opisane w niniejszej Polityce Prywatności PLMVS, oraz ich akceptację. Należy pamiętać, że przed użyciem lub przesłaniem Danych Osobowych może pojawić się konieczność potwierdzenia drogą elektroniczną zapoznania się i akceptacji niniejszej Polityki Prywatności PLMVS, np. poprzez potwierdzenie stosownym przyciskiem.

Niniejsza Polityka Prywatności PLMVS stanowi ponadto integralną część warunków korzystania z Systemu. Wyrażenie zgody na warunki korzystania z Systemu oznacza akceptację niniejszej Polityki Prywatności.

B. Kto zbiera Dane Osobowe?

Administratorem danych osobowych przetwarzanych w Systemie jest KOWAL.

Kontakt:

Krajowa Organizacja Weryfikacji Autentyczności Leków, ul. Stępińska 9, 00-739 Warszawa

biuro@nmvo.pl

Aktualne dane kontaktowe dostępne są pod adresem http://www.nmvo.pl/pl/kontakt

C. Kto poza tym może być odbiorcą Danych Osobowych?

W związku z integracją Systemu z EMVS, Dane Osobowe mogą być udostępniane za pośrednictwem Europejskiej Organizacji Weryfikacji Leków A.S.B.L. (European Medicines Verification Organisation) z siedzibą w Brukseli, adres: Rue de la Loi 28, 1040 Bruksela, Belgia („EMVO”). Więcej informacji dostępnych jest na stronie EMVO (https://emvo-medicines.eu) oraz bezpośrednio w polityce prywatności EMVO (https://emvo-medicines.eu/document/emvo-website-privacy-policy).

KOWAL może ponadto udostępniać Dane Osobowe wykonawcom i usługodawcom – podmiotom świadczącym usługi w związku z rozwojem i utrzymaniem Systemu, a także w niektórych uzasadnionych przypadkach dostawcom usług księgowych, prawnych itp., w razie konieczności uwarunkowanej okolicznościami i charakterem takich usług.

KOWAL może ponadto udostępniać Dane Osobowe podmiotom upoważnionym do dostępu do nich na mocy przepisów prawa.

D. Jakie Dane Osobowe są przetwarzane?

Gromadzenie Danych Osobowych w ramach funkcjonowania Systemu może w pierwszym rzędzie wynikać z ich dobrowolnego podawania przez użytkowników. Zbieranie i przetwarzanie Danych Osobowych może także wynikać z zastosowania określonych rozwiązań technicznych, takich jak pliki cookies i inne technologie pomiaru i kontroli ruchu zastosowane w Systemie.

a) Dane wprowadzane do Systemu

Rejestrując się, uzyskując dostęp lub korzystając z Systemu użytkownik przekazuje na potrzeby funkcjonalności Systemu Dane Osobowe, tj. wszelkie informacje odnoszące się do użytkownika jako zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a także dane pracowników, pośredników lub przedstawicieli użytkownika. Dane Osobowe przekazywane przez użytkownika obejmują m.in.:

• imię i nazwisko,
• organizacja użytkownika,
• adres e-mail,
• numer telefonu.

b) Zautomatyzowane zbieranie danych

Dane Osobowe mogą być zbierane bez zwracania się o ich podanie bezpośrednio do użytkownika, za pomocą określonych rozwiązań technicznych związanych z funkcjonowaniem Systemu. Służy temu wykorzystanie pików „cookies” oraz innych technologii pomiaru i kontroli ruchu.

Rozpoczynając korzystanie z Systemu bez zmiany ustawień urządzenia i oprogramowania używanego do korzystania z Systemu w sposób zapobiegający otrzymywaniu plików „cookies”, użytkownik wyraża zgodę na otrzymywanie unikalnych plików „cookies”, które będą zapisywane w pamięci tego urządzenia w celu zapewnienia poprawnego działania Systemu i realizację dalszych celów ich zastosowania (ustawienia urządzenia i oprogramowania określone w sposób umożliwiający umieszczenie plików „cookies” uznaje się za wyrażenie zgody przez użytkownika na stosowanie tych plików).

Pliki takie mogą być generowane i zapisywane w pamięci urządzenia wykorzystywanego przez użytkownika zarówno przez System, jaki i powiązane systemy innych podmiotów.

W plikach „cookies” mogą być zapisywane informacje niezbędne do prawidłowego działania Systemu, w szczególności na potrzeby mechanizmów autoryzacji. Zadaniem takich plików jest zapewnienie poprawnego funkcjonowania Systemu oraz usług dostępnych za jego pośrednictwem, w tym usług dostępnych po zalogowaniu. Dzięki plikom „cookies” możliwa jest także analiza aktywności użytkowników w Systemie. Pliki „cookies” mogą mieć charakter sesyjny (obecne są w urządzeniu do czasu opuszczenia Systemu) lub stały (pozostają w urządzeniu wg parametrów pliku lub do momentu ich ręcznego usunięcia, i mogą być generowane lub aktualizowane np. przy każdorazowej wizycie w Systemie).

Poniżej znajdują się odnośniki do informacji, w jaki sposób możliwe jest dokonanie zmiany ustawień obsługi cookies w najbardziej popularnych przeglądarkach:

• Firefox;
• Chrome;
• Internet Explorer;
• Microsoft Edge;
• Opera;
• Safari.

Nie wszystkie wykorzystywane w Systemie technologie kontroli ruchu muszą polegać wyłącznie na zapisywaniu plików „cookies” na urządzeniu użytkownika. Niektóre z nich mogą polegać na analizie informacji odbieranych przez urządzenia i oprogramowanie obsługujące System po stronie KOWAL, np. informacji dotyczących urządzenia i oprogramowania używanego przez użytkownika do uzyskania dostępu do Systemu, których przesyłanie wynika z rozwiązań i standardów technicznych funkcjonujących w sieci Internet. W zależności od zastosowanej technologii, uzyskane z jej użyciem dane mogą być łączone z danymi uzyskanymi dzięki wykorzystaniu innych narzędzi, w tym także plików „cookies”.

Dane Osobowe zbierane za pomocą tego rodzaju rozwiązań mogą obejmować m.in.:

• system operacyjny,
• typ przeglądarki internetowej,
• dostawca usług,
• przeglądane strony internetowe, wraz godziną ich przeglądania i czasem trwania ich przeglądania,
• strona polecająca.

E. Jaki jest cel i podstawa prawna przetwarzania danych osobowych?

Dane przetwarzane są w celu zapewnienia możliwości korzystania z Systemu przez użytkowników w ramach jego funkcjonalności. Wdrożenie, utworzenie i zarządzanie PLMVS przez KOWAL (jak również odpowiednio wdrożenie, utworzenie i zarządzanie EMVS przez EMVO, oraz innych systemów krajowych przez inne krajowe organizacje weryfikacji leków, z udziałem pozostałych zainteresowanych stron) odbywa się na podstawie dyrektywy Parlamentu Europejskiego i Rady 2011/62/UE oraz rozporządzenia delegowanego Komisji (UE) 2016/161. Dostęp do Systemu uzyskiwany jest na podstawie rejestracji i zawartej z KOWAL umowy.

Ponadto Dane Osobowe mogą być przetwarzane:

a) do celów wynikających z prawnie uzasadnionych interesów realizowanych przez KOWAL (w szczególności takich jak zapewnienie bezpieczeństwa, rozwoju i optymalnego funkcjonowania Systemu, poprawy jakości jego funkcjonalności, organizacji wydarzeń związanych z Systemem, takich jak szkolenia, konferencje i webinaria, jak również dotyczących funkcjonowania KOWAL, w tym prowadzenia komunikacji oraz ochrony praw i dochodzenia roszczeń) – art. 6 ust. 1 lit. f) RODO;

b) do analogicznych celów wynikających z prawnie uzasadnionych interesów realizowanych przez podmioty trzecie (w szczególności EMVO oraz innych operatorów krajowych systemów weryfikacji autentyczności leków) – art. 6 ust. 1 lit. f) RODO;

c) w celu wypełnienia dalszych obowiązków prawnych ciążących na KOWAL.

W szczególnych przypadkach, nieuwzględnionych w powyższym zestawieniu, do przetwarzania Danych Osobowych przez KOWAL konieczna może okazać się zgoda osoby, której takie dane dotyczą – art. 6 ust. 1 lit. a) RODO.

KOWAL może wówczas zwrócić się z prośbą o wyrażenie takiej zgody. Zgoda może także zostać wyrażona za pomocą jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych. Czynność ta może przybrać formę stosownego oświadczenia (elektronicznego, pisemnego lub ustnego), może także polegać na zaznaczeniu okienka wyboru, wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Wyrażenie zgody jest w każdym wypadku w pełni dobrowolnie, a udzielona zgoda może w każdym czasie zostać odwołana.

F. Prawa przysługujące osobie, której dotyczą Dane Osobowe.

Każdej osobie, której Dane Osobowe dotyczą, przysługuje w każdym czasie prawo do żądania dostępu do dotyczących jej danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, ich przeniesienia, a także wniesienia skargi do organu nadzoru. W przypadku danych osobowych przetwarzanych w sposób zautomatyzowany na podstawie umowy lub wyrażonej zgody, przysługuje także prawo do przenoszenia danych.

Prawo do sprzeciwu:

W odniesieniu do Danych Osobowych przetwarzanych na podstawie niezbędności ich przetwarzania do celów wynikających z prawnie uzasadnionych interesów przysługuje prawo do wniesienia w dowolnym momencie sprzeciwu wobec takiego przetwarzania, z przyczyn związanych ze szczególną sytuacją wnoszącego sprzeciw. Uniemożliwi to dalsze przetwarzanie tych danych w objętym sprzeciwem zakresie, chyba że wykazane zostanie istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności wnoszącego sprzeciw, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do wycofania zgody:

W odniesieniu do Danych Osobowych przetwarzanych na podstawie zgody na ich przetwarzanie, przysługuje prawo do cofnięcia tej zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem).

G. Jak długo Dane Osobowe będą przechowywane?

Dane Osobowe są przechowywane przez okres niezbędny z punktu widzenia funkcjonowania Systemu, względnie odpowiednio: realizacji innych wskazanych wyżej celów ich przetwarzania, lub przez czas określony przepisami prawa. W uzasadnionych przypadkach ich przechowywanie może mieć charakter bezterminowy (do upływu ich niezbędności do określonego celu, a następnie upływu konieczności ich archiwizacji).

Dodatkowo Dane Osobowe mogą być przechowywane przez okres, w którym są rozstrzygane ewentualne roszczenia lub takie roszczenia mogłyby powstać, a nie uległy przedawnieniu.

W każdym wypadku KOWAL zaprzestaje dalszego przetwarzania Danych Osobowych w zakresie objętym skutecznie wniesionym sprzeciwem lub wycofaniem zgody.

H. Czy jest to konieczne?

Korzystanie z Systemu w zakresie zapoznawania się z treściami niewymagającymi autoryzacji użytkownika nie wymaga podawania przez użytkownika identyfikujących go Danych Osobowych. Użytkownicy pozostają wówczas anonimowi. To, kiedy i w jakim zakresie KOWAL będzie mógł dokonać ich identyfikacji i gromadzić ich Dane Osobowe, zależy w pierwszym rzędzie od ich decyzji. Ze względu na funkcjonowanie plików „cookies” i innych technologii pomiaru i kontroli ruchu zastosowanych w Systemie, zbieranie niektórych danych w sposób domyślny może jednak wynikać z zachowania użytkownika w obrębie Systemu oraz stosowanych przez niego środków technicznych (w tym np. ustawień prywatności przeglądarki internetowej, stosowanych wtyczek itp.).

Podanie danych identyfikujących użytkownika i inne osoby (np. za pomocą przewidzianych do tego formularzy, mechanizmów logowania) pozostaje dobrowolne, ale może być niezbędne rejestracji i korzystania z określonych funkcjonalności Systemu. Ich niepodanie może skutkować brakiem możliwości skorzystania z takich funkcjonalności.

Ewentualne podawanie dalszych, niewymaganych w tym kontekście Danych Osobowych następuje w pełni dobrowolnie.

W Systemie mogą zostać umieszczone łącza (linki) prowadzące do innych systemów. KOWAL nie gwarantuje standardów każdego z takich innych systemów, ani nie ponosi odpowiedzialności za materiały w nich się znajdujące.

Prosimy pamiętać, że witryny internetowe osób trzecich, których łącza (linki) znajdują się w Systemie, mogą zbierać od użytkowników informacje umożliwiające identyfikację. Sposoby postępowania z informacjami w takich systemach nie podlegają niniejszej Polityce Prywatności PLMVO. Zalecamy, by użytkownik łącząc się z innym systemem zawsze zapoznawał się z obowiązującymi w nich zasadami, w tym zasadami ochrony prywatności i informacji.

KOWAL zapewnia, że dokłada starań, by Dane Osobowe gromadzone i przetwarzane były z zachowaniem należytej ostrożności, w sposób zapewniający wysoki poziom bezpieczeństwa. W Systemie wdrożono środki mające na celu zabezpieczenie Danych Osobowych przed utratą, niewłaściwym użyciem i nieupoważnionym dostępem, ujawnieniem, modyfikacją i zniszczeniem.

Pomimo podejmowanych wysiłków, korzystanie z Systemu poprzez sieć Internet wiąże się jednak z ryzykiem typowym dla działalności internetowej. W szczególności zwracamy uwagę na ryzyko związane z:

a) szkodliwym oprogramowaniem (np. wirusy, malware);

b) możliwością uzyskania dostępu do danych użytkownika i danych zawartych na jego koncie przez osoby niepowołane;

c) możliwością wysyłania fałszywych wiadomości lub powstania fałszywych stron do złudzenia przypominających System, służących do wyłudzenia danych użytkownika, w tym haseł;

d) możliwością przechwytywania danych przepływających w sieci.

Dążąc do zminimalizowania wskazanych wyżej ryzyk, rekomendujemy stosowanie się do zasad bezpieczeństwa podczas korzystania z Internetu – zgodnie z zasadą ograniczonego zaufania:

1. Powinno się korzystać tylko ze zweryfikowanych sieci i urządzeń.

a) W miarę możliwości użytkownik powinien korzystać tylko z zaufanych, posiadanych przez niego urządzeń, z zaufanych sieci, oraz unikać sieci publicznych, do których dostęp ma wiele osób lub osoby niezidentyfikowane (np. publiczne sieci Wi-Fi).

b) Rekomenduje się, żeby użytkownik odpowiednio zabezpieczał tak urządzenie, z którego korzysta (np. poprzez oprogramowanie antywirusowe, odpowiednio skonfigurowane zapory sieciowe), jak i przesył danych za jego pomocą (np. za pomocą usług VPN).

2. Powinno się otwierać tylko zweryfikowane treści:

a) W celu bezpiecznego dostępu do Systemu należy sprawdzić, czy wywołano właściwą stronę i funkcjonalność:

• nie rekomenduje się przechodzenia na strony wymagające logowania z wyników wyszukiwania wyszukiwarki internetowej;
• należy zweryfikować adres i protokół połączenia, a w szczególności to, czy adres panelu logowania rozpoczyna się od „https://” – co oznacza połączenie za pomocą szyfrowanego protokołu. Adres panelu logowania nie powinien rozpoczynać się od „http://”. Wykorzystanie szyfrowanego protokołu symbolizowane jest typowo poprzez znak zamkniętej kłódki, który wizualnie może różnić się w zależności od przeglądarki. Rekomenduje się również upewnić, czy znak taki nie jest wyłącznie graficzną ikonką wyświetlaną przez stronę, i czy prowadzi do okna przeglądarki zawierającego informacje o połączeniu i certyfikacie bezpieczeństwa;
• rekomenduje się weryfikację, czy przeglądarka internetowa, z której korzysta użytkownik, uznaje połączenie za bezpieczne, czy certyfikat bezpieczeństwa jest ważny, i czy wyświetlane przez przeglądarkę informacje o certyfikacie odnoszą się do KOWAL i Systemu.

b) Należy weryfikować źródło otrzymywanych wiadomości i linków oraz adresy, do których przesyłane linki faktycznie prowadzą;

c) Należy zwracać szczególną uwagę na rzetelność linków do stron (np. w celu potwierdzenia danych) otrzymywanych w wiadomościach e-mail, za pośrednictwem komunikatorów itd.

3. Powinno się korzystać tylko z właściwych narzędzi:

a) Rekomenduje się korzystanie z oprogramowania (programów, aplikacji itd.) pochodzącego z oficjalnych źródeł. W szczególności dotyczy to przeglądarki internetowej.

b) Należy korzystać z narzędzi zapobiegających działaniu szkodliwego oprogramowania.

c) Należy aktualizować używane oprogramowanie, zwracając szczególna uwagę na aktualizacje bezpieczeństwa.

d) Odradza się używanie nieoficjalnych, niezweryfikowanych narzędzi i kanałów dostępu do określonych treści i usług (szczególnie za pomocą nakładek, plug‑inów, wtyczek).

4. Powinno się stosować silne i niepowtarzalne hasła, składające się z kombinacji wielkich i małych liter, cyfr oraz symboli specjalnych.

Aktualna wersji Polityki Prywatności PLMVO udostępniana jest nieodpłatnie w Systemie w formie umożliwiającej jej pozyskanie, odtwarzanie, utrwalanie i wydrukowanie.